韓国カカオペイ、4045万人分の個人情報を中国アリペイに提供していた

　カカオペイとアリペイは信用度判断システム構築のために個人情報処理に関する委託・受託関係を結んでおり、個人情報の移転にユーザーの同意は必要ないというのがカカオペイ側の主張だ。信用情報法17条1項は「個人信用情報の処理委託で情報が提供される場合、情報主体の同意は求められない」と定めている。

　金融監督院はこれに真っ向から反論した。5月から7月にかけ行われたカカオペイに対する現場検査では、カカオペイが言及した委託・受託契約が結ばれた事実を裏付ける根拠が見つからなかった。同院関係者は「両社が締結した約定書はあるが、海外決済サービス提供に関する両社の役割と責任について定めているだけであり、信用点数算出システム関連の委託・受託に関する内容は全く記述がない」と話した。

　カカオペイは「アリペイに情報を提供する際、ランダムコードに置き換える暗号化方式を採用している」とし、「ユーザーを特定できず、信用度判断以外の目的では情報を活用することは不可能だ」と主張した。暗号化されてアリペイ側に提供されたユーザーの個人情報は元データを持っているカカオペイだけが識別できるとの説明だ。

　しかし、金融監督院はカカオペイの個人情報暗号化水準が精巧ではなく、一般人でも十分に暗号を解除できる水準だったと指摘した。同院の実務担当者は検査過程でカカオペイの暗号を解除したという。暗号解除に成功した担当者は、コンピューター関連の専攻者でもないという。同院関係者は「カカオペイの暗号化方式は非常に単純な水準だ。インターネット上で一般人もアクセスできる『暗号解除プログラム』を使い、暗号を解除した職員もいる」と話した。

■海外決済ユーザー情報も過剰提供

　カカオペイは会員全員の個人情報流出とは別に、実際に海外決済を利用した顧客の情報を無分別に流出させていたとの指摘も受けている。例えば、中国でカカオペイを使って決済を行った場合、アリペイ決済システムを必ず経由するが、その際に注文・決済情報だけでなく、カカオアカウントIDと不完全な形の電子メール、電話番号も提供されていた。金融監督院は2019年11月から海外決済ユーザーの情報計5億5000万件がアリペイに提供されたと指摘した。同院関係者は「カカオペイが中国国内決済にアリペイを利用した初期には単に注文情報を提供するだけだったが、その後不必要に提供情報が拡大した」と話した。

　カカオアカウントIDをアリペイに提供することは、ユーザーの選択的同意事項だ。IDを提供しなくても、海外決済に問題はない。ところが、カカオペイは海外決済を行うユーザーに対し、カカオアカウントIDをアリペイに提供しなければサービスを利用できないとする「必須同意事項」として告知してした。

キム・ヒレ記者

【写真】「日本でカカオペイ使えます」