2日、LG U+は人工知能(AI)通話アプリ「イクシオ」の加入者が100万人を突破したと明らかにした。しかし皮肉にもこの日はイクシオ利用者36人の通話情報が101人の別の利用者に流出する事故が発生した日でもある。イクシオはSKテレコム「エイドット」に比べ後発だ。エイドットが通話録音機能を前面に出して市場を先導するなか、LG U+はイクシオがオンデバイス(内蔵型)AIという差別化でセキュリティに強いと宣伝してきた。だが今回の事故でイクシオ加入者の不安は高まっている。
◇加入者増で速度改善を図る中、エラーで情報流出
9日、LG U+によると今回流出した通話情報は36人の一部△相手の電話番号△通話時刻△通話内容の要約である。通話情報流出の形態は、イクシオ利用者Aの携帯電話に全く知らないイクシオ利用者Bなどの情報が表示されたというものだ。36人の情報がイクシオを新規インストールまたは再インストールした利用者101人に露出したわけだ。
通話情報が流出した経緯は、会社が増加した利用者のためにサービスを改善する過程で発生した。LG U+は2日午後8時から8時35分までイクシオの運用改善作業に入った。最近イクシオの利用者数が増え、遅くなったサーバー速度を高めるアップグレードを進めたということだ。イクシオアプリを再インストールする際に最近の通話履歴と要約を復元するシナリオで、情報を重複呼び出しする挙動を改善する作業を行った。この時点まで会社はエラーが起きたとは全く認識していなかった。
情報流出事故は顧客の通報で明らかになった。LG U+のある顧客は3日午前10時22分、イクシオ画面で自身の通話記録ではない他の利用者の通話内容を発見し、アプリ内の顧客の声(VOC)に通報した。LG U+は顧客からの問い合わせがあってから40分余りでイクシオのサービス改善作業を原状復帰し、エラー解消に一区切りをつけた。
その後3回にわたり、101人の利用者が他のイクシオ利用者の通話記録を見られないようアプリのアクセスを遮断した。LG U+は情報が流出した顧客36人に電話で案内し、連絡が難しい顧客にはSMSなどで事実を知らせたという。その後、個人情報保護委員会に報告した。通信業界関係者は「顧客情報の流出が作業ミスで起き、致命的なミスを顧客の通報で知ることになったのもLGらしくない」と述べた。
◇分かってみれば"半分だけ"のオンデバイスAI
今回の通話情報流出が論争になった理由は、LG U+がオンデバイスAIに言及し通話内容をサーバーに送信しないとしていたのに、どうして情報が流出したのかという点である。
オンデバイスAIはクラウドサーバーを経由せず、スマートフォン、PC、自動車など機器自体でAI演算を実行する技術を意味する。クラウド依存度を下げて応答速度を高め、セキュリティを強化し、コスト削減効果を提供するとされる。特にデータが外部サーバーに送信されず機器内部で処理されるため、企業と個人の情報保護の観点で好まれる技術である。
会社側は、通話音声と内容の全文はサーバーに保存されないが、通話履歴や要約などはサーバーに6カ月間保存されると説明した。LG U+側は「モバイルメッセンジャーも機器を替えると以前のデータが引き継がれるのと同様、通話情報を6カ月間、暫定的にサーバーに保存する」とし「この部分は個人情報処理方針にも記載している」と説明した。
専門家はオンデバイスAIが無条件に安全だと見るのは難しいと指摘する。ホン・インギ慶熙大学電子工学科教授は「オンデバイスAIがクラウドを通じて接続されないためセキュリティ面で相対的に有利なのは確かだが、今回の事例で分かるようにネットワークが接続されているなら必ず安全とは言えない」と述べた。
米国テキサスにあるスパイス(SPIES)研究所のカーリアン・ナカ、ジミー・ダニ、ニテーシュ・サクセナが「オンデバイスAIに適用された小規模言語モデル(SLM)の信頼度と倫理性」を評価した結果では、オンデバイスSLMがサーバー基盤SLMよりはるかに低い信頼度を示すという結果も確認された。特にオンデバイスAIが個人情報を流出させるリスクがより大きいと研究陣は見た。
◇順調だったイクシオに冷や水…利用者の信頼は回復できるか
今回の通話情報流出事故が単純な社員のミスなのか、あるいはイクシオの開発過程で予期しなかったエラーなのかは、調査結果が出てこそ正確になる。LG U+側は単純ミスに起因するもので、ハッキングとは異なると強調する。
IGAworksのデータ分析ソリューション「モバイルインデックス」によると、イクシオの韓国内モバイル月間アクティブユーザー(MAU)は今年4月に初めて1万人を突破した後、6月には7万人まで増加した。前月は32万6715人を記録した。エイドットに比べれば大きく劣るが、成長スピードは速い。SKテレコムのエイドットのMAUは今年10〜11月に181万〜187万人で伸び悩んでいる状況だ。
LG U+側は、流出した情報に住民登録番号、旅券番号などの固有識別情報や金融情報は含まれていないことが確認されたとした。しかし、会社側の弁明にもかかわらず、顧客がイクシオを信頼して利用できるかは疑問だ。社員のミスが再発すれば、類似の情報流出事故が起こり得るためだ。
キム・ヨンデKAIST電気電子工学部教授は「LG U+の通話情報流出事故は、情報流出を防ぐ装置がない場合、ミスあるいは故意によって類似事故がいくらでも発生し得ることを示した」とし「個人情報保護とセキュリティを考慮した開発および運用プロセスが整備されるべきだ」と語った。