[Biz Hankook] ウリ銀行が顧客の個人情報流出問題に巻き込まれた。流出元はウリ銀行のNFT(非代替性トークン)プラットフォーム構築プロジェクトにおいて個人情報を取り扱っていた外部委託先で、今回の事故によりウリ銀行の顧客1万7551人のCI(Connecting Information・連携情報)が外部に漏洩した。銀行内部での流出ではないものの、個人情報を委託した協力会社で事故が発生したことで、ウリ銀行も個人情報の管理・監督責任をめぐる議論を避けることは難しくなった。

3日、ウリ銀行の顧客1万7551人の個人情報が流出した事実が明らかになった。流出対象は、ウリ銀行のNFTプラットフォームサービスにおいて個人情報の提供に同意した顧客である。流出情報は、NFTプラットフォームサービス内のニックネームと連携情報(CI)であり、氏名・住民登録番号・住所などの情報は含まれていない。CIは住民登録番号などを基に本人確認機関が生成する個人識別値で、複数のオンラインサービス間で同一ユーザーであることを確認するために使用される。
流出事故は、2024年にウリ銀行のNFTプラットフォーム構築事業を請け負った再受託会社Blockoの従業員によって発生した。プロジェクト終了後も無断で個人情報を保管していたBlockoの従業員が、2025年9月に個人情報ファイルへのリンクを開発者プラットフォームに投稿したことが原因である。
ウリ銀行とBlockoは6月30日に事故の状況を把握した後、個人情報保護委員会への報告、個人情報ファイルへのリンク遮断などの措置を講じた。Blockoは3日、自社ホームページに個人情報流出に関する案内文と謝罪文を掲載した。Blockoは「2024年9月〜2025年2月までウリ銀行のNFTプラットフォーム構築事業を遂行する再受託会社として、該当サービスの利用者の個人情報を取り扱った」とし、「2025年9月、当社の従業員の過失により、利用者のニックネームとCIが含まれたファイルリンクが流出した」と説明した。
CIはインターネット上で個人を識別するために住民登録番号を暗号化した値であり、「オンライン住民登録番号」と呼ばれている。CI単体では個人を特定したり、住民登録番号に復元したりすることはできない。しかし、すでに流出した個人情報など、身元を特定できる他の情報と組み合わせた場合、悪用される可能性がある。
ウリ銀行は流出対象の顧客に個別に事故の事実を伝えた。ウリ銀行は「被害防止のため、出所不明の電話やメッセージ内のURLリンクには注意してほしい」とし、「今回の流出により被害が発生した場合は、確認後に補償を行う」と表明した。銀行によると、現在までに流出による悪用事例は確認されていない。

事故は銀行内部で発生したものではないが、結果として顧客に被害が及ぶ可能性がある以上、ウリ銀行も責任論を避けることはできない。特に、外部業者に渡した個人情報が管理・監督の死角にあるとの指摘が出ている。ウリ銀行とBlockoが事故発生から9ヶ月以上経過した後に流出状況を把握した点も問題視されている。報告を受けた金融当局は、ウリ銀行に対して事故に関する自主点検を要請したと伝えられている。
ウリ銀行は外部業者とプロジェクトを推進する際、複数の段階を経てセキュリティ管理策を履行していると説明した。プロジェクト開始時には外部業者からプロジェクト情報をむやみに使用したり流出させたりしない旨のセキュリティ誓約書を取り交わす。事業遂行中は銀行の情報保護部門が、プロジェクトに参加する外部業者の従業員を対象に月1回のセキュリティ教育を実施する。プロジェクト終了後は外部業者から撤収確認書を受け取り、使用した電算機器は回収後にすべてフォーマットを行う。
ウリ銀行とBlockoは「流出した情報は会員IDやログインアカウント情報ではなく、CI単体では特定の個人を識別することはできない」と強調したが、近年は業界を問わず個人情報流出事故が多発しており、ユーザーの不安は高まっている。特に6月にはTVINGにおいて1900万人を超える会員のCIを含む氏名・生年月日・連絡先・ID・メールアドレスなどの機密情報が大量流出した経緯があるため、ウリ銀行の情報と関連付けて悪用される可能性を排除できない。
ウリ銀行は事故発生後の案内を通じ、「流出事故を教訓に、開発業者の個人情報管理状況を全数調査し、不十分な点を是正していく」と述べた。
一方、国内企業で顧客のCI流出事故が相次いでいることを受け、不必要なCIの収集を中止し、CIの削除を求める動きも広がっている。デジタル正義ネットワーク、民主社会のための弁護士会デジタル情報委員会、情報人権研究所、参与連帯などは6月のキャンペーンを通じて、「企業はCIを必須情報として扱って収集しているが、CIはサービス提供に決して必須ではない」とし、「国内企業が便宜上収集しているに過ぎない」と主張した。
彼らは「大規模なCI流出事故により、今後どのような被害が及ぶか予測しがたい。企業は流出被害者のCIを削除するか、停止措置を取るべきだ」とし、「政府は企業によるCI収集後の流出実態を調査し、CIの変更を希望する人が変更できるようにすべきだ」と対策の策定を求めた。