LG U+が人工知能(AI)通話アプリ「イクシオ」の通話情報流出を個人情報保護委員会に申告したなか、流出事故は作業者のミスに端を発したが、事故は顧客の通報で把握したとみられる。イクシオはLG U+が2024年11月に発売したAIサービスである。リアルタイムのボイスフィッシング検知機能や通話録音・要約などを提供し、足元で加入者が100万人を突破した。
LG U+は6日、「イクシオサービスの運用改善作業の過程でキャッシュ(臨時保存領域)設定の誤りにより、顧客36人の一部の▲通話相手の電話番号▲通話時刻▲通話内容の要約などの情報が、他の利用者101人に一時的に露出する現象が発生した」とし、「6日午前9時ごろに個人情報保護委員会への申告を完了した」と明らかにした。今回流出した情報には住民登録番号、旅券番号などの固有識別情報や金融情報は含まれていないことが確認されたと会社側は伝えた。
会社側が個人情報が流出し得たと推定する時間は12月2日20時から12月3日10時59分の間である。通話情報の流出形態は、イクシオ利用者Aの携帯電話に、全く知らないイクシオ利用者Bなどの情報が表示されたというものだ。36人の情報が、1〜6人のイクシオを新規インストールまたは再インストールした利用者101人に露出した。
今回の通話情報流出事故は、ある顧客がイクシオで自身の情報ではない内容を発見し、これをVOC(Voice of Customer、顧客の声)に通報したことで会社側が把握した。該当する異常内容を顧客が通報した時間は12月3日10時20分ごろだ。顧客の通報後、会社側は直ちに原因把握と復旧作業に着手し、約40分でそれ以上情報が露出せず、露出した通話情報が照会されないよう措置を講じたという説明である。その後、該当する顧客全員に電話で案内を行い、連絡が難しい顧客にはSMSなどを通じて事実を知らせたとした。
LG U+は作業者の単純なミスだとして、通話情報が流出した顧客が36人からさらに増える可能性はなく、今回の事故はハッキングとは異なると強調した。
LG U+はまた、個人情報流出を認知してから72時間以内に個人情報保護委に申告するよう定めた規定を順守したと述べた。個人情報保護法によれば、企業や機関などの個人情報取扱者は、1000人以上の情報主体に関する個人情報が流出した場合、または要配慮情報もしくは固有識別情報が流出した場合、72時間以内に個人情報保護委員会に申告しなければならない。今回の事故は申告要件には合致しないが、自発的に申告したということだ。
LG U+は、通話情報が流出した顧客への被害補償については、今後、個人情報保護委員会の調査が行われた後に、帰責事由と範囲、規模などを勘案し、順次協議する計画である。LG U+関係者は「顧客の皆さまにご不便とご心配をおかけし申し訳ない」と述べ、「今回の事案はハッキングとは無関係であり、今後も関係機関の調査に積極的に協力する」と語った。