韓国インターネット振興院(KISA)が前年の情報保護公示登録を締め切ったなか、韓国企業にのみ定量的公示基準が適用されているとして公平性に関する論争が提起されている。韓国企業は情報保護投資額や専任人員などを詳細に公開した一方、大半の外資系企業は核心項目を空欄にしたまま定性的説明だけで公示義務を履行した。政府は来年から情報保護公示の対象を韓国の上場企業全般へ拡大するが、外資系企業は依然として定量評価の対象から除外された。

(左から)NAVERとMeta(メタ)の情報保護状況資料。具体的な数値を示したNAVERと異なり、Meta(メタ)は詳細を公開していない。/KISA情報保護公示ポータルのキャプチャー

3日、セキュリティ業界によると韓国インターネット振興院(KISA)が運営する前年の情報保護公示登録が先月30日に締め切られた。情報保護公示制度は、企業の情報保護投資額と専任人員、関連活動などを公開する制度で、利用者の知る権利を保障し企業の情報保護投資を誘導するために導入された。2015年に自主公示として始まり、企業の情報保護能力強化の必要性が高まったことから2022年から一部企業を対象に義務公示を施行している。

現在の義務公示対象は事業分野と売上高、利用者数などを基準に定める。回線設備を保有する期間通信事業者、データセンター(IDC)事業者、上級総合病院、クラウドコンピューティングサービス提供者などが対象で、情報保護最高責任者(CISO)を指定・届出しなければならない有価証券・KOSDAQ上場企業のうち売上高3000億ウォン以上の企業も含まれる。情報通信サービスの1日平均利用者数が100万人以上の企業も義務公示の対象である。

ただし制度の趣旨とは異なり、業界では外資系企業との公平性の問題が提起されている。グーグル、テンセント、Meta(メタ)、TikTok、マイクロソフト(MS)、IBM、アマゾンウェブサービス(AWS)などグローバル企業の韓国法人は情報保護義務公示の対象であるにもかかわらず、情報保護投資額と専任人員規模を公開していない。これは制度導入当時、政府が本社が海外にある外資系企業の特性を考慮し、国内基準による定量算出が難しいと判断し、例外的に定性公示を認めたためである。

実際、これら企業が提出した公示資料を見ると「グローバル本社のレベルで情報保護体制全般を運用しており、韓国法人だけで情報を提供するのは難しい」として、情報保護活動を説明する方式で公示に代えた。問題は、このような説明も具体性に欠け、自社のセキュリティソリューションと機能を羅列する水準にとどまり、公示の実効性が低下するとの指摘が出ている点である。

これに対し業界では、現行制度が韓国企業にのみ厳格な基準を適用しているとの不満が出ている。政府が来年から情報保護公示の対象を韓国の上場企業全般へ拡大したものの、外資系企業は依然として定量評価の対象から除外された点も批判の的である。前年に相次いだサイバー侵害事故以降、情報保護公示基準が強化されるなかで韓国企業の負担は大きくなったが、グローバル企業には同一の基準が適用されていないということだ。

専門家は、ハッキング被害は企業の国籍を問わず韓国の利用者に発生する以上、韓国で事業を行うグローバル企業も韓国企業と同一基準の情報保護公示と社会的責任を履行すべきだと指摘した。特に人工知能(AI)の拡散でサイバー脅威が高度化し、企業のセキュリティ投資とケイパビリティに対する消費者の関心も高まっているだけに、外資系企業が定量公示の対象から除外される現行制度は「片手落ちの制度」だとの批判である。

ヨム・フンヨル順天郷大情報保護学科名誉教授は「現在、韓国で相当な規模の事業を行う海外企業は、同業界の韓国企業と提供するサービスに差がないが、事実上情報保護公示の対象から漏れている」と述べ、「ただし外資系企業は韓国内の売上や投資規模を別途に算定しにくい側面があるだけに、利用者数など韓国内での影響力を基準に公示対象を定める案を検討する必要がある」と語った。

続けて「個人情報保護法が国籍に関係なく韓国内で事業する企業に適用されるのと同様に、情報保護公示制度も段階的に外資系企業まで拡大し、国内外企業間の差別を解消すべきだ」と述べ、「初期には公示企業にインセンティブを提供する方式で参加を誘導し、長期的には同一の基準を適用する方向で制度を改善する必要がある」と付け加えた。

※ 本記事はAIで翻訳されています。ご意見はこちらのフォームから送信してください。