Tvingの個人情報流出を巡り、影響が通信会社やプラットフォーム経由の利用者にも広がっている。通信会社の補償プログラムで配布されたTving利用券の登録者に加え、NAVERやKakaoの簡便ログインで利用していた会員も流出対象に含まれることが分かり、提携サービスをまたぐ個人情報管理のあり方が問われている。
韓国のイ・ジョンホン議員(共に民主党)事務所が16日、個人情報保護委員会と韓国科学技術情報通信部から入手した資料によると、これまでに確認されたTvingの個人情報流出の被害人数は1953万人に上り、2000万人に迫っている。
■通信会社経由にも拡大、簡便ログイン利用者も対象
今回の問題は、Tvingに直接登録した利用者だけにとどまらない点にある。KTは年初、ハッキング被害に対する顧客向けプログラムの一環として、Tvingの利用券を提供していた。
イ・ジョンホン議員事務所によると、複数の特典のうちTving利用券を選択した顧客は約58万6000人。このうち実際に利用券を登録した約41万6000人が、今回の流出対象に含まれていた。
また、NAVERやKakaoなど外部プラットフォームのアカウントでTvingにログインしていた会員も、流出対象に含まれていたことが確認された。
簡便ログインは、利用者が個別にIDやパスワードを新たに設定しなくても、既存のプラットフォームアカウントで外部サービスに登録・接続できる仕組みだ。この過程で、利用者が同意した氏名、メールアドレス、連絡先、識別情報などの一部が外部サービス事業者に提供される場合がある。
問題は、利用者自身がどの情報をどの企業に提供したのか把握しにくい点だ。Tving専用アカウントを作成していない利用者の場合、自らをTvingの個人情報流出の被害者と認識しない可能性もある。
セキュリティ業界関係者は「利便性のために導入された簡便ログインが、結果として個人情報流出リスクの経路になり得る構造が浮き彫りになった」とした上で、「抜本的な対策と再発防止策が必要だ」と指摘した。
今回の事故を受け、企業間提携や簡便ログインに伴う個人情報管理体制そのものを見直すべきだとの声も出ている。利用者にとっては単一サービスの利用でも、実際には通信会社、プラットフォーム、コンテンツ事業者の間で個人情報が連携される構造になっているためだ。
■補償範囲は調査結果次第、集計基準も焦点に
業界では、官民合同調査団の調査結果に注目が集まっている。韓国科学技術情報通信部は先月、Tvingの事案を重大事故と判断し、合同調査団を立ち上げた。
調査団は、Tvingへの侵入経路やセキュリティ対策の適切性に加え、登録経路別の被害規模や、提携サービス経由で提供された情報の内容などを調べているとされる。
調査結果次第では、Tvingの利用者補償の範囲や方式も定まる見通しだ。Tvingは先月3日、チェ・ジュヒ代表名義で謝罪文を公表して以降、補償案や追加対応を別途示していない。
焦点の一つは、KTの事例のように、提携プログラムや簡便ログイン経由でTvingを利用していた会員にも、直接登録した利用者と同等の補償や保護措置が適用されるかどうかだ。
Tving関係者は「正確な調査結果が出た後、補償案と今後の計画を明らかにしたい」とした上で、「現在は政府や関係機関の調査に誠実に協力している」と述べた。
被害人数の1953万人が、Tvingの有料会員数や月間アクティブユーザー数を大きく上回っている理由も、今後の調査の焦点となりそうだ。1人の利用者が複数の登録経路でアカウントを作成していたケースや、長期間使われていないアカウント、提携サービス経由で生成されたアカウントなどが集計に含まれた可能性がある。
業界関係者は「サービス間連携が広がる中、1社のセキュリティ事故が別の企業の顧客にまで影響する構造になっている」と指摘。「責任の所在を問うだけでなく、提携や連携の全工程を点検できる対応体制が必要だ」と話した。