Bithumb暗号資産取引所、無断ユーザーデータ共有で2億1000万ウォンの罰金

• 韓国の個人情報保護委員会（PIPC）は、越境個人データ移転規則に違反したとして、Bithumbに2億1,000万ウォン（約136,000ドル）の罰金を科した。
• 違反は2025年9月から11月の間に発生し、海外取引所が関与するUSDT注文板の共有および暗号資産の出金プロセスにおいて確認された。
• 規制当局は是正命令も発令し、デジタル資産業界全体のデータ保護強化に向けた新たなブロックチェーンプライバシーガイドラインを公表した。

韓国の個人情報保護委員会（PIPC）は、暗号資産取引所Bithumbが同国の個人情報保護法を完全に遵守することなくユーザーの個人情報を海外プラットフォームに移転したと判断し、2億1,000万ウォン（約136,000ドル）の制裁金を科した。

6月24日に発表された今回の措置は、Bithumbの越境データ取り扱い慣行に関する規制調査を受けたものである。制裁金に加え、委員会は同取引所に対して個人情報の海外移転手続きの改善と、法律上の開示および同意要件への準拠を命じた。

PIPCが2件の独立したデータ移転違反を認定

調査の結果、2025年9月から11月の間に、BithumbがUSDT市場の注文板データを海外取引プラットフォームと共有する際にユーザー情報を移転していたことが判明した。

PIPCによると、ユーザーは個人情報がStellar Exchangeに移転される旨の通知を受け、その開示に基づいて個別の同意を提供していた。しかし、実際には会員識別番号および注文情報がBingXが運営するインフラに送信されており、韓国の越境データ移転要件に違反していたことが判明した。委員会は注文板共有の違反に対して1億2,000万ウォンの制裁金を科した。

また、調査担当者は、Bithumbがマネーロンダリング対策（AML）目的で暗号資産の出金処理を行う際に、ユーザーの氏名、ウォレットアドレスおよびその他の必要情報を13の海外暗号資産取引所に提供していたことも確認した。規制当局はAML義務を果たすための一部情報共有の必要性は認めたものの、Bithumbが個人情報保護法の下で越境移転に必要な個別のユーザー同意を取得していなかったと結論付けた。この2件目の違反により、追加で9,000万ウォンの制裁金が科された。

調査の発端は2025年国会審査

PIPCは、Bithumbの注文板共有サービスを通じた個人情報の海外移転に関して、韓国の2025年国政監査において懸念が示されたことを受けて調査を開始したと述べた。

調査結果を踏まえ、規制当局はBithumbに対して今後の海外データ移転が法的要件に準拠すること、およびプライバシーポリシーにおいて関連事項を明確に開示することを命じた。

委員会は発表の中で、個人情報の越境移転は個人が自らのデータを管理する権利と密接に関連しており、個人情報保護法に定められた手続きへの厳格な遵守が求められると述べた。

ブロックチェーンサービス向けプライバシーガイドラインを公表

今回の執行措置と並行して、PIPCは調査で確認された問題を反映した「ブロックチェーンサービスにおける個人情報保護ガイドライン」を新たに公表した。

同ガイドラインは、ブロックチェーンの透明性、分散性および不変性がもたらすプライバシーリスクに対応するものである。規制当局は推奨事項の一つとして、ブロックチェーンサービス提供者が個人を特定できる情報をオンチェーンに直接記録することを避けるよう助言し、データ露出の低減、ネットワーク参加者間の情報共有の管理、および不変のブロックチェーンシステム内における個人データ取り扱いに対処するための措置を概説した。

今回の措置は、韓国当局が同国の暗号資産セクターへの規制監督を強化し続ける中で取られたものである。今年初め、Bithumbはマネーロンダリング対策コンプライアンス違反を理由に金融情報分析院（FIU）から重大な制裁を受けており、金融犯罪防止と個人データ保護の両面においてデジタル資産プラットフォームの監督強化を図る規制当局の幅広い取り組みを反映している。

また最近、BithumbのCEOであるイ・ジェウォン氏が採用不正疑惑に関する韓国の調査で贈収賄容疑者として名指しされており、同取引所の規制上の課題はさらに増している。今回のプライバシー制裁は、Bithumbが採用慣行、AMLコンプライアンス、および個人データ保護をめぐる幅広い監視に直面する中で科されたものである。