カカオが少なくとも6万5000件以上の個人情報を流出させたとして151億ウォン（約17億3000万円）の課徴金支払いを命じられた。

【グラフィック】個人情報流出事件　LINEヤフーとNTT西日本を比べてみた

　韓国個人情報保護委員会は23日に全体会合を開き、個人情報保護法に違反したとしてカカオに対する151億4196万ウォン（約17億3400万円）の課徴金支払い命令を議決した。同委員会が同日発表した。これは同委員会が個人情報保護法違反を理由に韓国企業に命じた課徴金では過去最高額だ。これまで韓国企業で最も高額の課徴金が命じられたのはゴルフゾーンの75億ウォン（約8億6000万円）だった。海外企業ではグーグルが692億ウォン（約79億3000万円）、メタが308億ウォン（約35億3000万円）で、今回のカカオに対する課徴金はそれに続く額だ。

　昨年3月にカカオトークのオープン・チャットルーム（匿名で自由に参加できる公開のチャットルーム）参加者の個人情報が流出したとの報道を受け、同委員会はカカオに対して個人情報保護法違反がないか調査を行ってきた。同委員会によると、ハッカーはまずオープン・チャットルームで参加者の会員番号を把握したという。この番号はカカオがユーザーに任意に付ける数字で、それだけでは何の情報もない。その後ハッカーは無作為で電話番号を入力し、カカオトークで「友達」に追加した。友達に追加された場合は相手がこの番号を把握できる。このような手口でオープン・チャットルームと友達追加で得た番号を対照する方法で特定のオープン・チャットルーム参加者の電話番号を突き止め、これらの個人情報をテレグラムなどSNS（交流サイト）で販売したという。同委員会は少なくとも6万5000件の個人情報が流出したとみている。

　カカオは2020年8月にオープン・チャットルームの臨時IDを暗号化したが、それ以前に開設されたオープン・チャットルームは暗号化されておらず、ハッカーは参加者の情報を簡単に把握できたようだ。またプログラム開発者のチャットルームにこれらの方法が公開されていたにもかかわらず、カカオは個人情報が流出する可能性のチェックや対策を怠ったという。いずれも委員会が指摘した。

　これに対してカカオは同日「課徴金支払いには応じられない」とした上で「行政訴訟を含む複数の法的措置や対応策を前向きに検討する」とコメントした。会員番号形式はカカオ以外のアプリでも使用されており、それだけでは個人情報は分からないというのがカカオの主張だ。会員番号で個人の識別は不可能であるため、暗号化は関連法で義務づけられていないとカカオは反論している。カカオは昨年、問題の事件が表面化した直後に警察に告発すると同時に、韓国インターネット振興院（KISA）と科学技術情報通信部（省に相当）に通報した。