韓国の決済サービス「カカオペイ」が顧客の同意を得ずにユーザー4045万人の個人情報を中国電子商取引（EC）大手、阿里巴巴集団（アリババ）傘下の金融決済業者、支付宝（アリペイ）に提供し、13日までに韓国金融監督院の摘発を受けた。2018年4月から約6年にわたり、一度でもカカオペイを利用したユーザー全員のカカオペイID、携帯電話番号、電子メールアドレス、カカオペイでの加入・取引履歴がアリペイ側に渡った。

　金融監督院はカカオペイの海外決済部門に対する立ち入り検査結果を発表し、カカオペイが会員の個人情報を毎日1回、暗号化してアリペイ側に提供していたことを明らかにした。累計で542億件に達する。同院関係者は「カカオペイの月間ユーザー数は約2500万人だが、休眠・脱退ユーザーまで加えれば4000万人以上の情報が少なくとも1回は提供されたことになる」と説明した。

　アリペイはアップル、グーグル、アリエクスプレス、TEMUなどのEC決済をはじめ、46カ国でオンライン、オフラインの加盟店8100万カ所の金融決済を支援する業者だ。アリペイはカカオペイの株式32％を保有する2大株主でもある。カカオペイは独自の海外決済ネットワークがないため、アリペイと提携し、海外決済サービスを提供している。カカオペイは海外決済を利用していない顧客の個人情報も暗号化してアリペイに提供していた。

　金融監督院はカカオペイの情報暗号化レベルも問題視した。同院がテストした結果、インターネットで簡単に入手できる暗号解読プログラムで、名前を除く携帯電話番号、カカオペイIDなどの情報を復元できたという。

　カカオペイは「違法な情報提供はなかった。今後の調査過程で事実関係を明らかにする」とした。金融監督院は細かい法的検討を行った上で、制裁手続きを速やかに進める一方、類似ケースに対する追加点検を実施すると表明した。

　カカオペイがアリペイに暗号化された個人情報を適正に提供していたのであれば、それ自体は違法ではない。カカオペイは韓国の消費者が多く利用するアップルがApp Store（アップストア）を利用する顧客の信用度を評価するシステムを整備するよう要求したことを受け、アリペイにシステム構築を依頼し、その過程でユーザーの個人情報を提供した。

　問題はカカオペイが①ユーザーの同意がない状態で②アリペイ側と具体的な契約もなしに③海外決済を利用していない個人情報まで不必要に多くの情報を提供したことだ。これについて、カカオペイ関係者は「海外決済潜在顧客の情報を提供したものであり、アップルが要求したためだ」と釈明した。

■契約もなしに個人情報提供

　カカオペイ側はアリペイと契約を結んでおり、暗号化水準も高く、個人情報を識別するのは難しいと主張した。カカオペイが海外決済サービスを提供するため、アリペイと個人情報に関する委託・受託契約を結んでおり、提供される情報は徹底的に暗号化されているため、定期的に決済を利用するユーザーの信用度判断以外に情報が活用されることはないとの立場だ。

　カカオペイとアリペイは信用度判断システム構築のために個人情報処理に関する委託・受託関係を結んでおり、個人情報の移転にユーザーの同意は必要ないというのがカカオペイ側の主張だ。信用情報法17条1項は「個人信用情報の処理委託で情報が提供される場合、情報主体の同意は求められない」と定めている。

　金融監督院はこれに真っ向から反論した。5月から7月にかけ行われたカカオペイに対する現場検査では、カカオペイが言及した委託・受託契約が結ばれた事実を裏付ける根拠が見つからなかった。同院関係者は「両社が締結した約定書はあるが、海外決済サービス提供に関する両社の役割と責任について定めているだけであり、信用点数算出システム関連の委託・受託に関する内容は全く記述がない」と話した。

　カカオペイは「アリペイに情報を提供する際、ランダムコードに置き換える暗号化方式を採用している」とし、「ユーザーを特定できず、信用度判断以外の目的では情報を活用することは不可能だ」と主張した。暗号化されてアリペイ側に提供されたユーザーの個人情報は元データを持っているカカオペイだけが識別できるとの説明だ。

　しかし、金融監督院はカカオペイの個人情報暗号化水準が精巧ではなく、一般人でも十分に暗号を解除できる水準だったと指摘した。同院の実務担当者は検査過程でカカオペイの暗号を解除したという。暗号解除に成功した担当者は、コンピューター関連の専攻者でもないという。同院関係者は「カカオペイの暗号化方式は非常に単純な水準だ。インターネット上で一般人もアクセスできる『暗号解除プログラム』を使い、暗号を解除した職員もいる」と話した。

■海外決済ユーザー情報も過剰提供

　カカオペイは会員全員の個人情報流出とは別に、実際に海外決済を利用した顧客の情報を無分別に流出させていたとの指摘も受けている。例えば、中国でカカオペイを使って決済を行った場合、アリペイ決済システムを必ず経由するが、その際に注文・決済情報だけでなく、カカオアカウントIDと不完全な形の電子メール、電話番号も提供されていた。金融監督院は2019年11月から海外決済ユーザーの情報計5億5000万件がアリペイに提供されたと指摘した。同院関係者は「カカオペイが中国国内決済にアリペイを利用した初期には単に注文情報を提供するだけだったが、その後不必要に提供情報が拡大した」と話した。

　カカオアカウントIDをアリペイに提供することは、ユーザーの選択的同意事項だ。IDを提供しなくても、海外決済に問題はない。ところが、カカオペイは海外決済を行うユーザーに対し、カカオアカウントIDをアリペイに提供しなければサービスを利用できないとする「必須同意事項」として告知してした。

キム・ヒレ記者