金融監督院が、これまでセキュリティ管理の死角にあった法人口座保険代理店(GA・General Agency)に対する点検を強化する。金融監督院はセキュリティ点検基準を整備し、GAのセキュリティ実態を確認する方針である。GAに業務を委託した保険会社がGAを点検する案も検討されている。
9日に金融当局によると、金融監督院はGAを含め金融会社から業務を受託する企業のITセキュリティ実態を点検するために基準を策定する予定である。二要素認証システムの導入有無など、外部者の内部網へのアクセスを効果的に遮断しているかどうかを確認する見通しだ。
年内に基準が整えば、金融監督院はGAを直接点検するか、または保険会社に点検を委ねる計画である。金融監督院が2024年11月に公表した「保険会社の第三者リスク管理ガイドライン」によると、保険会社はGAに商品販売を委託する過程でリスク要因があるかどうかを体系的に測定しなければならない。
保険研究院によると、現在全国のGA数は約4000社である。このうち約60%は金融当局の要請があれば金融保安院が点検する。残りの40%は人員などの制約によりセキュリティ点検が十分に実施されていない。
今回の基準策定は、金融会社を狙ったサイバー攻撃が相次ぐなか、大手保険会社に比べ相対的にセキュリティが脆弱なGAに対する管理・監督を強化する狙いと解される。2024年にはロッテカードで約297万人の個人情報が流出し、仮想資産取引所のアップビットは外部攻撃により400億ウォン規模の会員資産が流出する事故を経験した。
GAは内部統制も不十分な状況だ。金融監督院が所属設計士500人以上1000人未満のGAの半数以上である52%を内部統制等級の4等級(脆弱)と5等級(危険)に分類した。評価項目には電算システムの構築・運用の有無も含まれている。金融監督院関係者は「基準案が出次第、セキュリティ点検の方式などを定める計画だ」と述べた。