韓国政府がウリィ銀行の顧客情報流出の経緯を調査する中、金融圏では今回の事故でウリィ銀行の経営陣が制裁を受ける可能性があるとの見方が出ている。4月に外部業者へ業務を委託する際の経営陣責任を強化する銀行界の模範規準が施行され、事故発生時に経営陣への制裁が可能になったためである。
8日、金融当局によると、金融監督院はウリィ銀行に対し、顧客情報流出の経緯と再発防止策に関する自社点検を要請した。個人情報保護委員会が今回の事故について正式調査に着手し、金融監督院も状況を注視している。金融監督院は信用情報の流出が確認される場合、直ちに現場点検に入る計画だ。
ウリィ銀行は3日、ノンファンジブル・トークン(NFT・Non-Fungible Token)ウォレット関連サービスに同意した利用者を大象に個人情報1万7551件が流出したと公示した。2024年にNFTプラットフォーム構築事業を遂行した外部開発業者(再受託社)が任意に保管していた個人情報を、当該業者の従業員の過失で流出させたというのがウリィ銀行の説明である。
今回の事故で、金融会社の第三者リスク(危険)管理の脆弱性が露呈したとの指摘が業界で出ている。昨年、金融監督院が全金融圏に第三者業務委託リスク管理の強化を求め、今回の事故が経営陣への制裁まで可能な事案だとの観測も金融圏で出ている。
金融監督院は昨年「第三者業務委託リスク管理ガイドライン」を策定し、全金融圏への適用を求めた。銀行界はこれを基に模範規準を整備し、4月1日から施行した。模範規準は、銀行が全社的なリスク管理プロセスと統合した第三者リスク管理体制を構築し、施行・維持することが骨子である。とりわけ、取締役会と経営陣が第三者リスク管理体制の履行責任を負うようにした。
金融監督院は第三者リスク管理体制を職責構造図に反映するよう求めた。職責構造図は、金融会社の代表理事と役員の内部統制の責任範囲を事前に定める制度である。職責構造図に記載された役員は、金融事故発生時に事故の範囲と業務の関連性に応じて責任を負う。職責構造図に明示した委託業務の管理義務を適切に履行せず事故が発生した場合、役員など経営陣が制裁を受け得るという意味である。
主要銀行は模範規準の施行以前に、あらかじめ職責構造図に金融監督院のガイドラインを一部反映したと伝わる。金融圏では、今回の事故が銀行界の第三者業務委託事故における初の経営陣制裁の大象となるか注目している。