韓国では、YONHAP NEWSが報道した「i-PIN」(Internet Personal Identification Number)をめぐる問題点について、政府の情報通信部がこれを真っ向否定するという事態が起きた。
i-PINとは、オンライン金融取引の際に利用する番号のことである。韓国ではオンライン決済の本人確認手段として、国民全員に与えられる13桁の住民登録番号を利用することが多い。しかしセキュリティ対策の脆弱なWebサイトから住民登録番号が漏れ、闇で売買されるといった事件も起きている。そこで住民登録番号の代替手段として、情報通信部によってi-PINが用意された。
i-PINは、情報通信部が認めた金融機関などの「本人確認機関」が本人確認手続きをしたうえで発行されるので、社会的信頼度は高い。また住民登録番号とは異なり、生年月日や性別などの情報が盛り込まれていない上に変更も可能という長所がある。
しかしYONHAP NEWSは、このi-PINも完全ではなく弱点があると報道した。報道では、国会議員のソ・サンギ氏の発言として3つの問題を挙げている。
- i-PINを発行する際、本人確認手段としてクレジットカード番号の入力や携帯電話での認証方法を利用する。このとき死亡した人の名義を盗用しても、本人確認機関は死亡者の情報を持っていないため、i-PINが発行されることになる。
- 本人確認を行う際、個人情報の提供を必要以上に求めており、違法である可能性がある
- 他人の名義を盗用してi-PINが発行された場合、名義人はi-PINの発行を受けることが困難になり、Webサイトの加入すらできなくなる。また、こうした場合の救助措置がない
情報通信部ではこれらの問題を否定している。
- クレジットカード番号を利用して本人確認を行う場合、パスワードが必要である。また携帯電話による認証手続きの場合、本人確認機関が携帯電話の所有者情報の確認作業を行ったり、SMSメッセージで認証番号を送り、それをWebサイトに入力するなどの手続きが行われる。いずれにしても死亡者の名義を盗用しだけでは、そのほかの手続き時に問題が発覚する
- 利用者の金融情報は真偽確認のためクレジットカード会社に伝えられるが、このときi-PINの本人確認機関はクレジットカード会社からの真偽の有無を表すコードのみを受け取ることになっており、違法ではない
- 他人の名義を盗用してi-PINの発行を受けようとした場合、住民登録番号やクレジットカード番号など、多くの情報が必要となるので、盗用自体が難しい。また盗用が確認された場合、本人確認機関を通じてそのi-PINを廃棄し、新しいi-PINを受け取ることができる
現在のところi-PIN自体はあまり普及していないので、一般ユーザーにとって今回の話題は蚊帳の外といった感もある。そのような状況で弱点まで指摘されたとあっては、ますます使おうとする人が増えない可能性もあり、情報通信部ではi-PIN弱点報道の否定に躍起だ。
いずれにしても住民登録番号流出の予防や、i-PINなど代替手段の普及は韓国にとって重要な課題となっている。今はi-PIN弱点の有無の真偽を論じるより、i-PINの普及活動や、もしもi-PINに弱点があった場合の対策などに注力すべきだろう。