中国企業が生産する韓国の決済端末に情報流出の恐れ

　金融アプリ「Toss」を運用する韓国企業ビバリパブリカが全国20万カ所を超える事業所に設置した決済端末を巡り、韓国の消費者の個人情報が中国に流出しかねないとする指摘が浮上した。既存の付加価値通信網（VAN）業者とは異なり、同社は中国企業の中国国内の工場で端末を生産しているためだ。端末を生産する際、顧客決済情報に暗号化するためのセキュリティーキーも中国側の手に渡るが、それが個人情報流出に悪用される可能性がある。

　朝鮮ビズの取材を総合すると、ビバリパブリカのオフライン決済子会社であるトスプレースは決済端末の生産を中国の商米科技（SUNMI）に委託している。韓国の既存のVAN業者で決済端末の生産を中国メーカーに委託している例は限定的だ。

　1980年代末に登場したVAN業界は、海外に顧客情報が流出することを防ぐため、現在でも韓国国内のメーカーに生産を委託するのが通例だという。通常決済端末業者は会社固有の「セキュリティーキー」を委託先の工場に渡す。セキュリティーキーは顧客カード情報を暗号化するために必要な一種のアルゴリズムだ。工場で決済端末に基本ソフトウエア（OS）などのシステムとセキュリティーキーを書き込むことになる。

　顧客が商品を購入するために決済端末にカードを差し込むと、カード情報がVAN業者を経てカード会社に送信される。カード会社のシステムで決済承認が出れば、その情報が再び決済端末に送信され、決済が完了する。この際、決済端末、VAN業者、カード会社の間がやりとりする顧客情報がハッキングされないように暗号化するのがセキュリティキーの役割だ。

　このセキュリティキーを悪用すれば、暗号を解いて顧客カード情報を入手することが可能になる。18年間、韓国のVAN業者でプログラマーとして働いた関係者は「セキュリティーキーが工場に渡る際にも暗号化されるが、これはVAN業者と工場以外の第三者に保安キーが流出することに備えるためだ」とし、「セキュリティーキーを端末に書き込むためには暗号を解かなければならないため、端末生産過程で工場従業員の誰かはセキュリティーキーの原本を見ることになる」と指摘した。さらに、「セキュリティキーの原本を悪用すれば、顧客の決済情報を別のサーバーに復号状態で送信し、不正に入手することができる」と説明した。