【ソウル聯合ニュース】韓国の個人情報保護委員会は23日、インターネット大手のカカオが利用者情報に対する点検や保護措置などをおろそかにしたことで6万5000件以上の個人情報が流出したとし、151億4196万ウォン(約17億4000万円)の課徴金を科すことを決めたと発表した。国内企業に対する課徴金では最高額となる。カカオはこれに反発し、法的措置などの対応を検討する姿勢を示した。
昨年3月、カカオが運営する通信アプリ「カカオトーク」のオープンチャット利用者の個人情報が違法に取引されていると報じられ、個人情報保護委はこれが個人情報保護法違反に当たるかどうか、調査を開始した。
カカオトークのオープンチャットは匿名で参加できる。ところが特定のウェブサイトでは、参加者の実名や電話番号といった情報を抽出できるという広告が相次ぎ掲載されていたようだ。
調査の結果、ハッカーは同オープンチャットの脆弱(ぜいじゃく)性を利用して参加者の臨時IDを突き止めた後、カカオトークが内部管理目的で用いる「会員一連番号」をたどり、これに紐づく個人情報のファイルを作成、販売していたことが判明した。
個人情報保護委の担当局長は「正確な流出規模は警察で調査中」としながらも「特定のサイトにカカオトークのオープンチャット利用者696人の情報が上がっていることを確認した。ハッカーが少なくとも6万5719件(の個人情報)を照会したことが分かった」と説明した。
個人情報保護委によると、カカオが当初オープンチャット参加者の臨時IDを暗号化していなかったため、ここから簡単に会員一連番号をたどることができた。カカオは2020年8月から臨時IDを暗号化したが、それ以前に開設された一部のトークルームでは臨時IDが暗号化されないまま使われ続けたという。
開発者のネットコミュニティーでカカオトークのAPI(アプリケーション・プログラミング・インターフェース)悪用に関するさまざまな方法が公開されていたにもかかわらず、カカオが個人情報流出の可能性に対する点検と措置をきちんと行わなかったと、個人情報保護委は指摘した。またカカオは個人情報が流出した事実を認識した後も届け出ず、利用者にも伏せていた。
こうした点から個人情報保護委はカカオに対し、安全措置義務違反として151億4196万ウォンの課徴金と、安全措置義務と流出の届け出・通知義務違反で780万ウォンの過怠金を科すことにした。利用者に対し流出に関する通知をすることも命じた。
一方、カカオは23日、「会員一連番号と臨時IDそのものにはいかなる個人情報も含まれておらず、これで個人を識別することは不可能だ」「事業者が生成したサービス一連番号を暗号化しないことは法令違反と見なせない」などと反論。行政訴訟を含め、多様な法的措置と対応を積極的に検討すると表明した。