国会立法調査処は、LG U+が運用してきた加入者識別番号（IMSI）の設計について、個人情報保護法に抵触する可能性があるとの見解をまとめた。電話番号を反映した構造により、IMSIが個人情報に該当し得るほか、安全措置義務違反や目的外利用に問われる余地があるとしている。

4月14日、キム・ジャンギョム国民の力議員が立法調査処から提出を受けた資料「LG U+ IMSI関連 個人情報保護法検討」によると、IMSIはそれ単体では特定の個人を識別しにくいものの、通信事業者が保有する加入者情報と結び付けば、個人識別性を持つ可能性があると整理した。

そのうえで立法調査処は、LG U+のように電話番号をIMSIに反映する構造であれば、個人情報に該当する可能性が高いと判断した。IMSIは携帯通信網への接続時に加入者を識別する値で、LG U+は2011年から顧客の電話番号を反映してIMSIを付与してきた。

立法調査処は「IMSIは電話番号と事実上同等の識別力を持つことになる」とし、「通信事業者以外の個人情報取扱者にとっても、個人情報と評価される可能性がある」と指摘した。

個人情報保護委員会も、キム議員室に送った回答で、端末識別値であるIMEIの個人情報性を認めた判例の趣旨はIMSIにも適用され得るとの立場を示した。これは、IMSI自体は個人情報ではないとしてきたLG U+の説明と食い違う内容だ。

また立法調査処は、LG U+のIMSI設計について、個人情報保護法上の安全措置義務を十分に果たしていないと評価される可能性があるとも指摘した。個人情報取扱者には、紛失や盗難、漏えいの防止に向けた保護措置を講じる義務がある。

しかし、電話番号を組み込んだLG U+のIMSI設計は、個人情報を安全に保存・送信するうえで不十分となり得るという。安全措置義務違反が認められた場合、最大3000万ウォンの過料が科される可能性がある。

電話番号をIMSIに利用する行為が、個人情報の目的外利用に当たる可能性があるとの解釈も示された。MNP利用者の電話番号をIMSIに活用する場合、当初の収集目的を外れた利用とみなされる余地があるという。

立法調査処は「通信サービス提供目的の範囲内とみる余地はある」としつつも、「IMSI設計に電話番号を使う技術的必然性があるとは言い難く、目的を超えた利用と解釈される可能性もある」とした。

一方、新規加入者に電話番号とIMSIを付与する行為自体については、外部から個人情報を取得する「収集」ではなく、通信事業者が番号を生成する過程とみることができると説明した。そのため、個人情報の収集に関する規定が適用されるかどうかは、別途検討が必要だとした。

LG U+はこれに先立ち、IMSI値を乱数化するため、全顧客を対象にUSIMの無償交換またはアップデートを進めている。ただ、立法調査処は、同社が2025年6月からIMSI転換策を検討していた点を踏まえ、問題をすでに認識していた可能性があると指摘した。

キム議員は「LG U+はセキュリティ上の懸念を名目に、個人情報管理の責任を回避している」としたうえで、「立法調査処と個人情報保護委員会がいずれも侵害の可能性を確認した以上、これ以上の弁明は通用しない」と述べた。

これに対しLG U+は、「IMSIが個人情報に当たり得るとしても、外部への流出や露出があったわけではなく、個人情報保護法違反とみるのは難しい」と説明した。

さらに同社は、「仮に露出があっても、暗号化された認証キー（KI）が流出していなければ、複製携帯などのリスクはなく、個人情報保護法上の安全措置義務違反には当たらない」と主張した。