政府が情報保護管理体制(ISMS)と情報保護・個人情報保護管理体制(ISMS-P)認証制度を大幅に強化する。最近クーパンをはじめとする認証企業でハッキングと大規模な個人情報流出が繰り返されたことを受けた措置だ。より実効性のある認証体制へ移行するということだ。
6日、ソン・ギョンヒ個人情報保護委員会委員長の主宰で、科学技術情報通信部第2次官、韓国インターネット振興院(KISA)院長などが出席した関係部処対策会議で、政府は認証全過程に対する強化案を確定し、法・制度の改編を推進することにした。
政府はまずISMS-Pを公共・民間の主要な個人情報処理システムで事実上義務化する。これまで企業・機関が必要に応じて任意で申請する自律認証だった。今後は公共システム・通信事業者・オンラインプラットフォームなどが必ず認証を受けるよう制度を見直す。
通信事業者、大手プラットフォーム事業者など大規模な利用者を保有する企業には、強化された認証基準も別途に設ける。これに向けて個人情報保護法・情報通信網法の改正を推進する。審査方式も大幅に変える。予備審査段階から核心項目を先に検証し、満たせなければ本審査に入れないようにする。
本審査では既存の書面中心・サンプリング方式から脱し、コアシステム中心の現場実証型審査を強化する。分野別の認証委員会を運営し、審査員にAIなど新技術の教育を拡大して専門性も高める。
事後管理も厳格になる。認証企業で流出事故が発生した場合、直ちに特別事後審査を実施して認証基準の充足状況を点検する。この過程で重大な欠陥が確認されれば、認証委員会の審議を経て認証が取り消される。
事故を起こした企業には従来比2倍規模の審査人員と審査期間を投入し、事故原因と再発防止措置を集中的に点検する。個人情報保護委員会は今月から流出事故企業を対象に現場点検に着手する予定だ。
特にクーパンなど現在調査が進行中の企業については、科学技術情報通信部の民官合同調査団・個人情報保護委員会の調査と連携し、認証機関の主導で適合性を点検する計画だ。
科学技術情報通信部は10月に発表した「情報保護総合対策」の後続として、通信・オンラインショッピングモールなど約900社のISMS認証企業を対象に、すべてのインターネット接点のセキュリティ脆弱性に関する緊急な自主点検を要請した。企業の点検結果に関連し、来年初めから政府が現場検証に着手する。
政府は先月から運営中の科学技術情報通信部・個人情報保護委員会・認証機関の合同制度改善TFの議論結果と特別点検の結果を踏まえ、関連告示を来年第1四半期中に改正し、段階的に施行する計画だ。