SKTハッキング事件と個人情報

4月に発生したSKT個人情報流出事件は、IT業界が再び個人情報保護への警戒心を持つきっかけとなりました。政府は現在までに加入者識別キー(IMSI)と電話番号2,600万件ほどが流出したことを確認していますが、今後の調査結果により流出規模はさらに大きくなる可能性があります。

現行法令上ハッキングにより流出された情報が「個人情報」でなければ、当該事業者が利用者に民事的な責任を負うことは別にしても、刑事的または行政的に当該事業者を特別に処罰する規定は存在しません。しかし、「個人情報」が流出した場合には、個人情報保護法によって少なくない課徴金が発生する可能性があるため、同様のハッキング事件であっても流出した情報が個人情報であるかどうかによって企業の責任は大きく異なります。

SKTハッキング関連の記事と情報に触れた方の中には、電話番号はともかく、加入者識別キー(IMSI)までもが「個人情報」に含まれるのかと疑問の思われた方もいると思います。加入者識別キー(IMSI)とは、移動通信サービス加入時に端末機に割り当てられる国際標準の15桁の固有番号であり、利用者の識別のため利用されます。特別なことがなければ、通信会社のデータベース内にのみ保管される非公開情報であるため、名前、生年月日、電話番号のように、それ自体個人情報である情報とは、性質が異なるともいえます。

では、オンラインサービスで各利用者に付与される会員番号、ADID・IDFAなどの広告識別子、Mac address、個人機器のシリアルナンバー、IPアドレス、行動情報なども個人情報に該当するのでしょうか?以下では、個人情報保護法が定める「個人情報」の範囲について知り、これらを処理する際に遵守すべき事項と流出トラブル時の刑罰レベルについて見ていきます。

出典:Pixabay

個人情報の法的定義

個人情報保護法第2条1号は、「個人情報」を次のように定義しています。

「個人情報」とは、生きている個人に関する情報として、次の各項目のいずれかに該当する情報をいう。

ア.氏名、住民登録番号、映像など、それを通じて個人を識別することができる情報 
イ.その情報だけでは特定の個人を識別することができなくても、他の情報と容易に組み合わせ、識別することができるようになる情報。この場合、容易に組み合わせられるかどうかは、他の情報の入手可能性など、個人を識別するのに要する時間、費用、技術などを合理的に考慮しなければならない。

1) 生きている個人を識別できる情報

まず、個人情報は生きている個人に関する情報でなければなりません。したがって、会社や団体の名称、事務所の住所、会社や団体自体を代表するメールや顧客センターの電話番号などは個人情報ではありません。そして個人を識別することができる(特定できる)情報でなければなりません。個人識別可能性とは、該当情報を処理する者(個人情報保護法では「個人情報処理者」とは、個人情報を収集、利用、保管、出力、破棄、閲覧などいかなる方法でも利用する者を意味します)の立場で判断しなければなりません。

個人情報保護法第2条ア項目でいう、「情報自体で個人情報である場合」は比較的明確です。氏名はもちろん、人を個別に識別する目的でその人に付与された情報(例えば住民登録番号)や顔・虹彩・指紋などの生体情報は、それ自体でその人を他の人と区別することができ、その人を識別することができるためです。また、自宅住所や個人の携帯電話番号、その他連絡先もそれ自体で個人を識別できるとみなして個人情報と解釈されます。

2) 他の情報と組み合わせて個人を識別できる情報

一方、個人情報保護法第2条1項イ目は、ある情報が他の情報と容易に組み合わせて個人を知ることができれば個人情報に該当すると定めています。つまり、ある情報を「処理する者」にとって、A情報だけでは特定の個人を知ることができなくても、合理的なレベルの努力や費用をかければB情報を入手できる状況であり、A情報とB情報を簡単に組み合わせて個人を特定することができればA情報は個人情報になるのです。このように、法律は個人情報の範囲を大きく広げて定義しています。

例えば自動車に付与される自動車登録番号(ナンバープレートに書かれている番号)も、それ自体では自動車管理法によって自動車に付与されたシリアル番号であり、個人をすぐに特定することはできないため、一般的には個人情報ではありません。ところが、マンション管理室のような場所で駐車管理を目的にその自動車登録番号と所有者名、部屋番号をExcel(エクセル)表にして管理していたとすると、自動車登録番号を他の情報と組み合わせて個人を特定できることになり、アパート管理室の立場ではExcelファイル内の自動車登録番号は個人情報となります。

また、組み合わせる情報を直接保有していなくても、必要なときに簡単に入手できれば個人情報となることがあります。例えば、公共機関は現在自動車登録番号のみを保有していたとしても、それに対応する所有者情報を他の公共機関から入手できる状態であれば、組み合わせて個人を特定できることになるので、自動車登録番号は個人情報に該当することになります。

ただし、組み合わせの可能性がわずか1%でも存在すれば、無条件にすべてが個人を特定できる個人情報と見なされるわけではありません。

そうすると、個人情報の範囲が広くなりすぎる可能性があるためです。合理的に判断したときに他の情報を入手できる可能性が低い場合や、他の情報を入手しても当初の情報と組み合わせることは容易ではない場合には個人情報に該当しないこともあります。たとえば、A情報を保持している人が違法に別のWebサイトをハッキングしなければB情報を入手することはできず、その上でAとBを組み合わせれば特定の個人を識別することができる、という場合には、A情報は個人情報として解釈されません。

つまり、同じ情報でも誰が処理するのか、そしてどのように処理するのかに応じて個人情報となることもならないこともあるのです。個人情報保護委員会は、これに関して「情報を『処理する者』の状況(circumstance)と情報を処理するコンテキスト(context)によって個人情報かどうかは異なってくる」と説明しています。

出典:Pixabay

それでは、オンラインサービスでの個人情報は?

オンラインサービスは直接顧客に対面しないため、電子的な方法で多くの個人情報を収集して利用せざるを得ません。すでに多くのオンラインサービスでは、氏名、電話番号、生年月日、Eメールアドレスなどについては個人情報であることを認識し、それに応じた管理を行っています。それでも他の情報項目については個人情報かどうかについて綿密に確認していない場合が多いのですが、いくつかのあいまいな例を挙げてみましょう。

ADID、IDFAなどの広告識別子(主にカスタム広告を提供するために使用されるユーザー識別コード)の場合、それ自体は単純なコードであり、個人を特定することはできません。しかし、ほとんどのオンラインサービスプロバイダは広告識別子だけを収集するのではなく、それに対応する他の情報(メールアドレス、電話番号、行動情報など)を一緒に収集するため、広告識別子も他の情報と組み合わせれば個人を特定することが可能です。韓国内の判例でも利用者識別子(広告識別子)が当該利用者の行動情報と組み合わされる場合、個人を特定することができるため、広告識別子と行動情報を組み合わせられる立場にいる事業者は個人情報を収集する者である、との判断が下されたことがあります。※1

Mac addressや電子機器シリアルナンバーのように人ではなく機器に割り当てられる機器識別子も、それ自体で個人情報と言うのは難しいものの、共に収集する他の情報と組み合わせれば利用者を特定できる場合があります。この場合、デバイス識別子も個人情報として解釈されることがあります。

逆の場合も同様です。IPアドレスは、それ自体はインターネット上でコンピュータやネットワーク機器を識別する番号ですが、オンラインサービスプロバイダが利用者の会員情報や利用記録とともにIPアドレスを収集している場合、利用者を特定できる手段となります。このため、ほとんどのオンラインサービスで収集されるIPアドレスは個人情報に該当します。

一方、行動情報とは、オンラインで情報主体が財貨またはサービスを利用したり、コンテンツを利用した個人の活動履歴に関する情報であり、ウェブサイトアクセス記録、検索履歴、購入履歴、クリックパターンなどがこれに該当します。 行動情報そのものだけでは特定の個人をすぐに識別することが難しい場合がありますが、実際オンラインサービスでは、行動情報を収集する際に利用者のアカウント情報やクッキー、セッション情報などと連結して収集することが少なくありません。この場合、行動情報は他の情報と組み合わせて個人を特定することができるため、個人情報に該当することがあります。

出典:Pixabay

IMSI(加入者識別キー)の場合

SK telecom(SKテレコム)個人情報漏洩事件で漏洩した項目であるIMSIは、上記のように携帯電話の利用者を識別するために機器に割り当てられる識別子です。個人情報保護法でいう「個人情報」の定義を考慮すると、IMSIはそれ自体で個人を識別する目的でその人に付与した情報でもあり、しかもそのIMSIを処理する者である通信会社の立場からだと、自社が保有する他の情報である加入者個人情報と組み合わせることで容易に利用者を特定できるため、個人情報と解釈される可能性が高いです。

このため、SKTハッキング事件でIMSIのみが流出したと仮定したとしても、SKTは個人情報の漏洩による法的責任を負う可能性が高くなります。

一方、今回のハッキング事故でIMSIとともに流出の疑いを受けているIMEIについても、裁判所は携帯電話機器に付与された固有のシリアル番号であるIMEIは、通信会社管理システムなどを通じて具体的な利用者個人情報の確認が可能なため、個人情報と判決を下した事例※2があります。※3

想像より厳しい個人情報流出の責任

一方、個人情報処理者は、個人情報が漏洩しないように安全性確保に必要な技術的、管理的および物理的措置を取らなければなりません。 (個人情報保護法第29条)このような措置は、個人情報保護法施行令と「個人情報の安全性確保措置基準(個人情報保護委員会告示)」に具体的に明示されています。

詳細は長さの関係上すべてリストアップすることはできませんが、大きな枠組みとしては内部管理計画の策定、アクセス権管理、アクセス制御、暗号化保存、アクセス記録の保管、セキュリティプログラムのインストールと運用、セキュリティ施設のインストールなどに分けられます。このような保護措置を法律で定めたとおり行わずに不意のハッキングにより個人情報が流出した場合、最大年間売上額の3%に該当する課徴金が課されることがあります。 (個人情報保護法第64条の2第1項9号)。

このため、売上が大きい大企業の場合、数百億円台の課徴金が発生する可能性も十分にあります。また、このような課徴金以外にも3千万ウォン(約317万円)以下の過怠料が賦課されることがあり(個人情報保護法第75条第2項)、個人情報主体(サービス利用者)に対する民事的な損害賠償義務がこれとは別に発生します。

個人情報の漏洩による課徴金の賦課の最近の事例

個人情報保護委員会は、2023年に発生したKakaoTalk(カカオトーク)オープンチャットルームの個人情報流出事件に関して、Kakaoに151億ウォン(約16億円)の課徴金を課したことがあります。この事件は、ハッカーがKakaoTalkオープンチャットルームの脆弱性を利用してオープンチャットルームの参加者情報を取得、その後KakaoTalk友達追加機能と自動化されたプログラムを活用して約6万5千件の個人情報を取得し、発生したものでした。現在、Kakaoは本課徴金賦課が違法だとして行政訴訟を行っています。

出典:NAVER

この他にも、Secta9ine(セクタナイン、追徴金約14億7千万ウォン(約1.5億円))、MODETOUR NETWORK(モードツアーネットワーク、約7億5千万ウォン(約7900万円))、Digital Daesung(デジタルデソン、約6億1千万ウォン(約6400万円))、Hiconsy(ハイコンシー、約2億8千万ウォン(約3000万円))など2024年と2025年にもハッキングによる個人情報の流出事例が多く存在しています。個人情報保護委員会が課徴金賦課を開示しない事例まで含めると、これより多くのハッキング事例が存在するものと予想されます。

結論

個人情報保護法が定義している「個人情報」の範囲は、それ自体で人を識別できる情報はもちろん、他の情報と組み合わせて識別できる情報まで含めるため、直観的に判断できるような、通常普通の人々が考える範囲よりも広くなります。

特に個人利用者向けオンラインサービスの場合、多様な個人情報の収集及び利用は必須ですが、最初からサービスが利用者から収集する情報はほとんど個人情報であると考えて準備する必要があります。また、収集した個人情報の漏洩を防止するために、個人情報保護法が定める各種措置を講じなければなりません。個人情報流出事故発生時の課徴金の規模は、思ったより大きくなることもあり、より厳重な注意が必要な部分となります。

1)ソウル行政裁判所2025.1.23.宣告2023求合55191判決
2)ソウル中央地方裁判所2011。2.23.宣告 2010単独5343 判決
3)ただし、この判例は、他の情報と容易に組み合わせて個人を識別できるときのその可能性は、他の情報の入手等にかかる時間、費用、技術等を合理的に考慮しなければならないという現行の個人情報保護法第2条1項目が追加される前の、旧個人情報保護法に基づいたものであり、法的に見て、現行法に即しているかは明確ではありません。

原文:https://www.innoforest.co.kr/report/NS00000384

革新の森:https://www.innoforest.co.kr/
マークアンドカンパニー:https://markncompany.co.kr/