金融保安院が金融当局、個人情報保護委員会(個保委)とともに、金融会社を対象とする個人情報保護管理体系(ISMS-P)認証の事後点検基準を強化する方策を協議する。科学技術情報通信部が事後点検を通じて保安体制が不十分な企業はISMS-Pを取り消すと予告するなか、金融保安院も金融会社の特性を反映した点検基準を提示する見通しだ。最近、金融会社を狙ったサイバー攻撃が相次いでおり、保安水準を引き上げるためにISMS-P認証を維持できる資格要件もより厳格に審査しようという趣旨である。
6日に金融業界によると、金融保安院は金融当局、個保委などとISMS-P事後点検基準の強化に関する協議を近く進める計画だ。マルウェアなど保安に脅威となり得る要素に対する点検項目を増やす案などが俎上に載るとみられる。
ISMS-P認証は、サイバー侵害の脅威に効果的に対応できるか、企業の情報保護体制と顧客個人情報保護管理体制が適切に運用されているかを審査する公認認証制度である。国内最高水準の管理体制認証と評価される。認証範囲は情報保護に必要な組織構成の有無、個人情報処理の適合性などを含む。認証を取得しない場合、公共機関が実施する事業入札の際に加点を受けられないなどの不利益を被る。認証義務対象が未取得の場合には過料も科される。
ISMS-Pの評価基準は主に個保委が策定するが、金融取引に関連する項目は金融保安院が関与する。今回の協議でも金融保安院は金融会社の保安強化に必要な要素を提示する予定だ。
政府はISMS-P認証を取得した企業に対し年1回の事後審査を実施し、パスワード管理、暗号化の適用、個人情報処理などの中核項目を点検する。認証を維持できるかどうかを確認するためである。金融会社に対する点検は金融保安院が、それ以外の業種に属する企業は個保委が実施する。
金融保安院がこのような協議に乗り出したのは、最近、国内企業に対するサイバー攻撃が相次ぎ、ISMS-P制度の無用論が噴出しているためである。昨年、仮想資産取引所アップビットでハッキングにより会員資産445億ウォンが外部に流出する事故が発生し、ロッテカードでも会員297万人の個人情報が流出した。クーパンは先月、3,370万件の顧客アカウント情報が流出し、新韓カードでも加盟店主情報19万件が流出した。これらの企業はすべてISMS-P認証を取得している。
これを受け、科学技術情報通信部と個保委は先月、韓国インターネット振興院、金融保安院などの認証機関と民間専門家が参加した関係機関対策会議を開き、ISMS-P認証の取り消し基準と手続きを具体化して施行することにした。年1回実施する認証事後審査で重大な欠陥が発見された場合や、点検拒否、資料未提出、虚偽提出の際には審議を経て認証を取り消すことが骨子である。認証が取り消されると過料が科され、公共機関の事業入札で不利益を受ける。認証が取り消されるとその後1年間は再申請できない。
金融保安院の関係者は「関係機関が事後審査基準を強化すべきだという点で共感を形成し、方向性を定めている段階だ」と述べた。