李粲珍(イ・チャンジン)金融監督院長は、金融圏で内部統制の不備などにより情報通信(IT)および情報セキュリティ事故が再発する場合、無関与(ゼロトレランス)の原則を適用し、厳正に責任を問うと明らかにした。
李院長は7日、ソウル・ヨイドの金融監督院本院で開かれた「金融セキュリティのパラダイム転換」懇談会で、「基本的な義務の不履行や内部統制の不備によりIT事故が繰り返される場合、無関与の原則で対応する」と強調した。この日の行事には国会・金融協会・国内外のセキュリティ業界関係者が出席した。
金融監督院は監督方式を従来の事後制裁中心から事前予防中心へ転換する方針である。李粲珍院長は「現在の監督体制では繰り返されるセキュリティ事故を防ぐことに限界があるという危機意識がある」とし、「外部からのハッキングだけでなく、内部要因によるシステム障害も後を絶たず、金融セキュリティのパラダイムを根本的に変えなければならない」と述べた。
これに向け、金融監督院は事前予防的監督システムの構築に乗り出す。2月に稼働した金融セキュリティ統合管制システム(FIRST)を活用し、常時監視とフィードバック体制を強化し、事故リスクの高い金融会社を選別して重点管理する計画だ。
金融会社には先制的なリスク管理の強化を求めた。IT資産を体系的に識別・管理し、年1回以上のセキュリティ脆弱性の分析・評価を実施させる一方で、自律的な脆弱性改善体制の構築も促す方針だ。
あわせて国会には電子金融取引法改正案の迅速な処理を要請した。同法案はハッキング事故発生時に金融会社に対し売上高の最大3%まで課徴金を賦課できるようにする内容を盛り込んでいる。法案が通過すれば、仮想資産事業者にも同水準の制裁が適用される可能性がある。現行の課徴金は最大50億ウォン水準だ。
政務委員会所属の李廷文・共に民主黨議員も、金融圏の情報保護水準向上のため関連立法を支援すると明らかにした。
この日の懇談会に出席したセキュリティ専門家らは、基本的な管理の怠慢による情報流出と人工知能(AI)を活用したランサムウェア攻撃が増加していると指摘し、金融会社のセキュリティ投資拡大と専門人材の育成が急務だと強調した。
金融協会長らもまた、金融セキュリティ体制の転換の必要性に共感し、非常対応訓練の強化などで対応能力を高めるとした。金融監督院は今後、金融圏の重大電子金融事故対応ガイドラインを策定し、合同の災害復旧訓練など諸課題を迅速に推進する計画だ。