カカオペイめぐる真実攻防…「暗号化、一般人でも解読できる」ｖｓ「使用者の識別は不可能」＝韓国

「アリペイに顧客情報を違法に渡していない」というカカオペイの主張を韓国金融監督院が真っ向から反論し真実攻防が繰り広げられている。金融監督院はカカオペイが暗号化したという顧客情報に対し「簡単に解読できる」と指摘し、この情報が別の所に流用されたのか今後議論になりそうだ。

カカオペイが１３日に明らかにした釈明の核心は、まずアリペイに渡した顧客情報が暗号化されていて使用者がだれなのか識別が不可能ということだ。カカオペイは「使用者を特定できず、元データを類推できず、絶対に解読することはできない一方向暗号化方式が使われており不正決済探知以外の目的では活用が不可能だ」と説明した。

だが金融監督院は「カカオペイは顧客情報を無作為コードなく単純に暗号化しており、暗号化に必要な関数構造をこれまで全く変更しなかった。グーグルで一般人が容易に手に入れられるプログラムでも暗号を解くことができる水準」と反論した。

暗号化が適切にされたかは信用情報保護法違反の可否を決定する重要な争点のひとつだ。信用情報保護法上、暗号化水準が強くだれの情報かわからない場合は「匿名情報」、だれなのか隠されているが他の情報と結合して知ることができれば「仮名情報」と分類する。匿名情報は顧客の同意なく第三者に渡しても法律違反ではない。だが仮名情報は必ず当事者の同意を受けなくては第三者に提供できない。

金融監督院は、暗号化を適切にしたとしても結局にはアリペイに渡した情報が「仮名情報」に当たると指摘した。専門家らもカカオペイが説明した顧客情報提供目的から照らしてみると匿名情報とみるのは難しい側面があると指摘する。ある法曹界関係者は「カカオペイはアップルが要求するたびに特定顧客の個人信用情報を点数化して提供するためにアリペイに顧客情報の再加工を任せたという。この主張とだれなのか判別できず完全に暗号化したという話は辻褄が合わない」と話した。

金融監督院の主張のように暗号化が疎かであったならアリペイの顧客情報２次流用の可能性も排除することはできない。ただアリペイでこの情報を別の所に使ったのかは現在の状況では確認する方法が事実上ない。金融当局や司法当局に海外にあるアリペイを調査する権限がないからだ。これに対しカカオペイは「アリペイとアップルはカカオペイで提供する情報でマーケティングなど他のいかなる目的でも活用できないようになっており、カカオペイは最近これに対する別途の公式確認手続きを進めた」と強調した。

アリペイと業務委受託関係で顧客情報を渡したため同意手続きは必要でなかったというカカオペイの主張は真実ゲームの様相に広がっている。金融監督院が「検査の結果、業務委受託契約書自体がない」と指摘したためだ。金融監督院関係者は「もし業務委受託契約書があっても今回のカカオペイの事例は許容範囲を超える」と話した。こうした金融監督院の主張に対しカカオペイは別途の追加説明を出していない。

金融監督院は、他のキャッシュレス決済会社も追加検査すると予告した状態だ。しかし業界では他の決済会社ではカカオペイのような問題は起きないとみている。別の決済会社関係者は「われわれもアップルに登録しているがそのような形の顧客情報提供は要求されていない」と話した。