韓国で消費者の同意なしにChatGPTの有料メンバーシップが決済される事故が相次いで発生した。ハッキングなどで流出したか盗難に遭ったカード情報が悪用された事例とみられる。
22日、業界によれば、これまでに把握された韓国の「ChatGPTプロ」無断決済の疑い件数は合計858件である。ChatGPTプロは月額利用料が29万9000ウォンの高額プランで、集計された被害額だけで約2億5600万ウォンに達する。
今回の被害は、クレジットカード決済の通知メッセージを受け取ったという書き込みがオンラインに相次いで投稿され、明らかになった。被害者が受け取ったメッセージには加盟店が電子決済代行(PG)社の「NICE情報通信」と表示され、実際の利用内訳は人工知能(AI)サービスであるChatGPTの高額プランの決済という共通点があった。
被害者の抗議と苦情が相次ぐと、ChatGPTの運営会社であるオープンAIと韓国内のPG社であるNICE情報通信などは決済取消と返金措置を進めた。その後、追加被害は確認されていないと伝えられた。
今回の無断決済事故は、オープンAI自体のハッキングというよりも、盗難または流出したカード情報が決済に悪用された可能性が高いとみられる。被害決済は、NICE情報通信のオンライン決済サービスであるナイスペイを経由して、オープンAIのChatGPT有料プランを決済する方式で行われた。
海外のオンライン加盟店の相当数は、カード番号と有効期限、セキュリティコード(CVC)など基本的なカード情報を入力すれば決済が可能である。盗難・流出したカード情報だけでも決済が試行され得る構造だ。
専門家は、PG社を介した決済構造が被害の認知を遅らせたと見ている。PG社はカード会社と直接契約しにくい事業者に代わって決済業務を仲介する。このため、PG社を利用した決済ではカード明細や決済通知に実際のサービス名ではなくPG社名が加盟店名として表示される場合が多い。
今回の事故でも、決済内訳にChatGPTやオープンAIではなく「NICE情報通信」と表示され、消費者がどのサービスで決済が行われたのか把握しにくかった。事故直後、オープンAIとNICE情報通信は、決済時にNICE情報通信とオープンAIまたはChatGPTが併記されるように加盟店名を変更した。
PG社決済がカード会社の異常金融取引探知システム(FDS)で遅れて捕捉され得るとの指摘もある。FDSは決済金額、時間、業種、取引パターンなどを総合して異常取引を探知するシステムである。しかし、実際の決済先情報が十分に示されない場合、特定の加盟店で繰り返される異常兆候を把握するのに時間がかかり得るということだ。
一方、今回のようなクレジットカードの盗用や不正使用被害は、予防と事後措置によって減らすことができる。与信金融協会消費者支援センターの「紛失・盗難による被害の予防および対応方法」によれば、顧客はカードを発行され次第、カード署名欄に自筆で署名し、暗証番号を厳格に管理しなければならない。署名していないカードが盗難後に使用された場合、カード所有者が責任の全部または一部を負担する可能性がある。