韓国カカオペイ、4045万人分の個人情報を中国アリペイに提供していた
韓国の決済サービス「カカオペイ」が顧客の同意を得ずにユーザー4045万人の個人情報を中国電子商取引(EC)大手、阿里巴巴集団(アリババ)傘下の金融決済業者、支付宝(アリペイ)に提供し、13日までに韓国金融監督院の摘発を受けた。2018年4月から約6年にわたり、一度でもカカオペイを利用したユーザー全員のカカオペイID、携帯電話番号、電子メールアドレス、カカオペイでの加入・取引履歴がアリペイ側に渡った。
金融監督院はカカオペイの海外決済部門に対する立ち入り検査結果を発表し、カカオペイが会員の個人情報を毎日1回、暗号化してアリペイ側に提供していたことを明らかにした。累計で542億件に達する。同院関係者は「カカオペイの月間ユーザー数は約2500万人だが、休眠・脱退ユーザーまで加えれば4000万人以上の情報が少なくとも1回は提供されたことになる」と説明した。
アリペイはアップル、グーグル、アリエクスプレス、TEMUなどのEC決済をはじめ、46カ国でオンライン、オフラインの加盟店8100万カ所の金融決済を支援する業者だ。アリペイはカカオペイの株式32%を保有する2大株主でもある。カカオペイは独自の海外決済ネットワークがないため、アリペイと提携し、海外決済サービスを提供している。カカオペイは海外決済を利用していない顧客の個人情報も暗号化してアリペイに提供していた。
金融監督院はカカオペイの情報暗号化レベルも問題視した。同院がテストした結果、インターネットで簡単に入手できる暗号解読プログラムで、名前を除く携帯電話番号、カカオペイIDなどの情報を復元できたという。
カカオペイは「違法な情報提供はなかった。今後の調査過程で事実関係を明らかにする」とした。金融監督院は細かい法的検討を行った上で、制裁手続きを速やかに進める一方、類似ケースに対する追加点検を実施すると表明した。
カカオペイがアリペイに暗号化された個人情報を適正に提供していたのであれば、それ自体は違法ではない。カカオペイは韓国の消費者が多く利用するアップルがApp Store(アップストア)を利用する顧客の信用度を評価するシステムを整備するよう要求したことを受け、アリペイにシステム構築を依頼し、その過程でユーザーの個人情報を提供した。
問題はカカオペイが①ユーザーの同意がない状態で②アリペイ側と具体的な契約もなしに③海外決済を利用していない個人情報まで不必要に多くの情報を提供したことだ。これについて、カカオペイ関係者は「海外決済潜在顧客の情報を提供したものであり、アップルが要求したためだ」と釈明した。
■契約もなしに個人情報提供
カカオペイ側はアリペイと契約を結んでおり、暗号化水準も高く、個人情報を識別するのは難しいと主張した。カカオペイが海外決済サービスを提供するため、アリペイと個人情報に関する委託・受託契約を結んでおり、提供される情報は徹底的に暗号化されているため、定期的に決済を利用するユーザーの信用度判断以外に情報が活用されることはないとの立場だ。
カカオペイとアリペイは信用度判断システム構築のために個人情報処理に関する委託・受託関係を結んでおり、個人情報の移転にユーザーの同意は必要ないというのがカカオペイ側の主張だ。信用情報法17条1項は「個人信用情報の処理委託で情報が提供される場合、情報主体の同意は求められない」と定めている。
金融監督院はこれに真っ向から反論した。5月から7月にかけ行われたカカオペイに対する現場検査では、カカオペイが言及した委託・受託契約が結ばれた事実を裏付ける根拠が見つからなかった。同院関係者は「両社が締結した約定書はあるが、海外決済サービス提供に関する両社の役割と責任について定めているだけであり、信用点数算出システム関連の委託・受託に関する内容は全く記述がない」と話した。
カカオペイは「アリペイに情報を提供する際、ランダムコードに置き換える暗号化方式を採用している」とし、「ユーザーを特定できず、信用度判断以外の目的では情報を活用することは不可能だ」と主張した。暗号化されてアリペイ側に提供されたユーザーの個人情報は元データを持っているカカオペイだけが識別できるとの説明だ。
しかし、金融監督院はカカオペイの個人情報暗号化水準が精巧ではなく、一般人でも十分に暗号を解除できる水準だったと指摘した。同院の実務担当者は検査過程でカカオペイの暗号を解除したという。暗号解除に成功した担当者は、コンピューター関連の専攻者でもないという。同院関係者は「カカオペイの暗号化方式は非常に単純な水準だ。インターネット上で一般人もアクセスできる『暗号解除プログラム』を使い、暗号を解除した職員もいる」と話した。
■海外決済ユーザー情報も過剰提供
カカオペイは会員全員の個人情報流出とは別に、実際に海外決済を利用した顧客の情報を無分別に流出させていたとの指摘も受けている。例えば、中国でカカオペイを使って決済を行った場合、アリペイ決済システムを必ず経由するが、その際に注文・決済情報だけでなく、カカオアカウントIDと不完全な形の電子メール、電話番号も提供されていた。金融監督院は2019年11月から海外決済ユーザーの情報計5億5000万件がアリペイに提供されたと指摘した。同院関係者は「カカオペイが中国国内決済にアリペイを利用した初期には単に注文情報を提供するだけだったが、その後不必要に提供情報が拡大した」と話した。
カカオアカウントIDをアリペイに提供することは、ユーザーの選択的同意事項だ。IDを提供しなくても、海外決済に問題はない。ところが、カカオペイは海外決済を行うユーザーに対し、カカオアカウントIDをアリペイに提供しなければサービスを利用できないとする「必須同意事項」として告知してした。
한국 카카오 페이, 4045만명 분의 개인정보를 중국 개미 페이에 제공하고 있던
한국의 결제 서비스 「카카오 페이」가 고객의 동의를 얻지 않고 유저 4045만명의 개인정보를 중국 전자 상거래(EC) 대기업, 아리파파집단(알리바바) 산하의 금융 결제 업자, 지부보(개미 페이)에 제공해, 13일까지 한국 금융 감독원의 적발을 받았다.2018년 4월부터 약 6년에 걸쳐, 한 번이라도 카카오 페이를 이용한 유저 전원의 카카오 페이 ID, 휴대 전화 번호, 전자메일 주소, 카카오 페이로의 가입·거래 이력이 개미 페이 측에 건넜다.
금융 감독원은 카카오 페이의 해외 결제 부문에 대한 출입 검사 결과를 발표해, 카카오 페이가 회원의 개인정보를 매일 1회, 암호화해 개미 페이 측에 제공하고 있던 것을 밝혔다.누계로 542억건에 이른다.동원관계자는 「카카오 페이의 월간 유저수는 약 2500만명이지만, 휴면·탈퇴 유저까지 가세하면 4000만명 이상의 정보가 적어도 1회는 제공된 것이 된다」라고 설명했다.
개미 페이는 애플, 굿 한패, 개미 익스프레스, TEMU등의 EC결제를 시작해 46개국에서 온라인, 오프 라인의 가맹점 8100만 개소의 금융 결제를 지원하는 업자다.개미 페이는 카카오 페이의 주식 32%를 보유하는 2 대주주이기도 하다.카카오 페이는 독자적인 해외 결제 네트워크가 없기 때문에, 개미 페이와 제휴해, 해외 결제 서비스를 제공하고 있다.카카오 페이는 해외 결제를 이용하고 있지 않는 고객의 개인정보도 암호화해 개미 페이에 제공하고 있었다.
카카오 페이는 「위법한 정보 제공은 없었다.향후의 조사 과정에서 사실 관계를 분명히 한다」라고 했다.금융 감독원은 세세한 법적 검토를 실시한 다음, 제재 수속을 신속하게 진행하는 한편, 유사 케이스에 대한 추가 점검을 실시하면 표명했다.
카카오 페이가 개미 페이에 암호화된 개인정보를 적정하게 제공하고 있던 것이면, 그 자체는 위법은 아니다.카카오 페이는 한국의 소비자가 대부분 이용하는 애플이 App Store(업 스토어)를 이용하는 고객의 신용도를 평가하는 시스템을 정비하도록 요구한 것을 받아 개미 페이에 시스템 구축을 의뢰해, 그 과정에서 유저의 개인정보를 제공했다.
■계약도 없이 개인정보 제공
카카오 페이측은 개미 페이와 계약을 맺고 있어 암호화 수준도 높고, 개인정보를 식별하는 것은 어렵다고 주장했다.카카오 페이가 해외 결제 서비스를 제공하기 위해(때문에), 개미 페이와 개인정보에 관한 위탁·수탁 계약을 맺고 있어 제공되는 정보는 철저하게 암호화되고 있기 때문에, 정기적으로 결제를 이용하는 유저의 신용도 판단 이외에 정보가 활용될 것은 없다는 입장이다.
금융 감독원은 이것에 정면으로부터 반론했다.5월부터 7월에 걸쳐 행해진 카카오 페이에 대한 현장 검사에서는, 카카오 페이가 언급한 위탁·수탁 계약이 연결된 사실을 증명하는 근거가 발견되지 않았다.동원관계자는 「양 회사가 체결한 약정서는 있다가, 해외 결제 서비스 제공에 관한 양 회사의 역할과 책임에 대해 정하고 있는 것만으로 있어, 신용 점수 산출 시스템 관련의 위탁·수탁에 관한 내용은 전혀 기술이 없다」라고 이야기했다.
그러나, 금융 감독원은 카카오 페이의 개인정보 암호화 수준이 정교하지 않고, 일반인이라도 충분히 암호를 해제할 수 있는 수준이었다고 지적했다.동원의 실무 담당자는 검사 과정에서 카카오 페이의 암호를 해제했다고 한다.암호 해제에 성공한 담당자는, 컴퓨터 관련의 전공자도 아니다고 한다.동원관계자는 「카카오 페이의 암호화 방식은 매우 단순한 수준이다.인터넷상에서 일반인도 액세스 할 수 있는 「암호 해제 프로그램」을 사용해, 암호를 해제한 직원도 있다」라고 이야기했다.
■해외 결제 유저 정보도 과잉 제공
카카오 어카운트 ID를 개미 페이에 제공하는 것은, 유저의 선택적 동의 사항이다.ID를 제공하지 않아도, 해외 결제에 문제는 없다.그런데 , 카카오 페이는 해외 결제를 실시하는 유저에 대해, 카카오 어카운트 ID를 개미 페이에 제공하지 않으면 서비스를 이용할 수 없다고 하는 「필수 동의 사항」으로서 공지 하고 했다.