韓国ユーザー120万人分の個人情報が中国バイトダンスに流出、韓国で中国生成AI「ディープシーク」アプリのダウンロード禁止

■ディープシークが集めた個人情報は中国企業に

　個人情報保護委員会が確認したディープシークのセキュリティー上の問題は大きく二つある。個人情報保護法によると、第三者にユーザーの個人情報を提供する場合は本人の同意を得た上で、どの情報をどれくらいの期間保管するかを明確にする必要がある。ところがディープシークはこれを守っていなかった。

　さらに大きな問題は、中国の巨大IT企業であるバイトダンスにディープシーク・ユーザーの個人情報が流出していることだ。韓国個人情報保護委員会の関係者は「プロキシサーバー（インターネット中継サーバー）で通信記録を分析したところ、ユーザーがディープシークにアクセスすればディープシークはもちろん、バイトダンスにもユーザー情報が流出していた」「具体的にどんな情報が流出したか、なぜバイトダンスとつながっているかなどは今後の調査で確認できるだろう」と説明した。

　個人情報保護委員会はディープシークに個人情報保護方針の見直しなどを要求した上で、追加の実態調査を始めた。ディープシークが修正に応じない場合、個人情報保護委員会は課徴金や過料、修正命令などを出すことができる。調査結果は早ければ1－2カ月以内には出る見通しだ。

　新規のダウンロードは中断となったが、以前からのユーザーやパソコンなどを通じたウェブサイトへのアクセスは今も可能なため、セキュリティーを巡る問題は今も解消されていない。個人情報保護委員会のナム・ソク調査調整局長は「過去にアプリをダウンロードした場合はこれを強制的に削除させることはできない。インターネットからの遮断も簡単ではない」「実態調査の過程で個人情報保護法など法令を順守しているか確認し、その結果を発表する際に対策を公表したい」と述べた。個人情報保護委員会はユーザーにディープシークの利用を控えるよう呼びかけている。

■中国に情報が悪用される恐れも

　これまでディープシークはユーザーの個人情報を無差別収集し、これを利用してきたとの指摘を受けてきた。ディープシークはユーザーの生年月日、氏名、電子メールアドレス、IPアドレスなどの個人情報はもちろん、ユーザーが入力した文字、音声、写真、ファイルなどのデータも集めてきた。これはチャットGPTやジェミニ（Gemini）などのAIも収集している。人間がスマートフォンのキーボードで文字を入力する際には入力のスピードやリズムは全て異なるが、これを集めて分析すれば個人を特定でき、場合によってはパスワードの推測にも使われる恐れがある。批判の高まりを受けディープシークは今月14日にユーザーのキーボード入力パターンなど一部の情報収集を中止すると発表した。

　ディープシークは他のAIモデルとは違い、ユーザーに情報収集拒否の権限（オプトアウト）を認めていない。またユーザー情報を全て中国国内のサーバーに保管し、広告目的などで第三者に情報を提供できるとする条項もある。サイバーセキュリティー会社「Feroot Security」がディープシークのコードを分析したところ、ディープシークにはユーザー情報を中国の国営通信社に転送するコードが仕組まれていることを確認したという。

　現在中国ではデータセキュリティー法により、政府が国の安全保障を理由に企業にデータを要求した場合は直ちに提供しなければならない。そのため中国がユーザー情報を悪用する可能性は高いとみられている。

　ディープシークはこれらの懸念を理由に欧州で「（国内ユーザーの）個人データについては、法律で認める範囲内でのみ使用する」という追加の約款を加えた。ただし収集した情報を中国のサーバーに保管するとの条項はそのまま維持され、データ利用拒否を認める条項は設けなかった。

ユン・ジンホ記者

【グラフィック】ディープシークの個人情報流出疑惑と主要国の反応