주메뉴바로가기본문바로가기
비즈한국 비즈한국

事故多発の外国企業・中小企業が「ブラックボックス」に…「情報保護ポータル」の公開基準が高すぎる

この記事はAIによって自動翻訳されました。原文(韓国語)と異なる部分がある場合があります。  Read original in Korean →

[비즈한국] 近年、企業のサイバーセキュリティ関連事故が相次ぎ、個人情報保護に対する企業の関心が高まっている。これを受け、韓国インターネット振興院(KISA)は「情報保護公表ポータル」を通じて、各企業のセキュリティ担当人員や投資状況などを公開している。

しかし、情報保護の公表が義務付けられる企業の基準が高く、制度改善の必要性が指摘されている。これを受け、政府は情報保護公表制度の改善に向けた議論を開始した。

韓国インターネット振興院。
韓国インターネット振興院。

情報保護公表ポータルの義務基準が高すぎる

2025年4月にはSKTのUSIM情報流出事故があり、6月にはYes24053280でランサムウェア事故が発生した。また、上半期だけでもラグジュアリーブランドのディオール、ティファニー、カルティエをはじめ、高級品プラットフォームのMustIt、求人プラットフォームのAlbaMon、ピザチェーンの韓国パパ・ジョンズなどで個人情報流出事故などが起きた。

韓国インターネット振興院の「情報保護公表ポータル」は公開義務の基準が高すぎて、実際に事故が多い中小企業などの情報は確認できない。写真=韓国インターネット振興院ホームページ
韓国インターネット振興院の「情報保護公表ポータル」は公開義務の基準が高すぎて、実際に事故が多い中小企業などの情報は確認できない。写真=韓国インターネット振興院ホームページ

これにより、顧客の個人情報管理に対する企業の責任を問う声が強まった。また、各企業が顧客の個人情報を守るためにどのような措置を講じているか、投資規模や人員、役員の状況はどうなっているのかといった関心も高まっている。

これらの状況は通常、KISAの情報保護公表ポータルで検索できるが、公表義務対象となる企業の基準ラインが高く、対象企業が少ない点が問題視されている。

KISAは「情報保護産業の振興に関する法律(以下、情報保護産業法)」などの規定に基づき、企業などに情報保護関連情報の公表を求めている。対象となる情報は、情報保護の投資状況、担当人員の状況、情報保護関連の認証・評価・点検活動などで、企業は毎年6月30日までに提出しなければならない。

規定に基づき、SKTの場合は2025年基準で情報保護部門への投資額が652億ウォン、専任人員が219.2名であると申告・公表された。Yes24の場合は、2025年の情報保護投資額が16億ウォン、専任人員が10.1名であった。

しかし、実際に情報流出事故を起こしたディオールコリア、ティファニーコリア、カルティエの韓国法人であるリシュモンコリア、韓国パパ・ジョンズ、AlbaMon、MustItなどは、同ポータルで情報を検索できない。これらの企業には情報保護関連情報の公表義務がないためだ。

外国企業の韓国法人や中小企業には義務なし

これは法律および関連規定を確認すれば明らかだ。現行の法令では、情報保護公表制度は施行令で定められた義務公開対象企業でない限り、公表するかどうかを各企業の自律に委ねている。

情報保護産業法第13条は、企業などが情報保護の状況を公開できると定めている。そして利用者の安全な利用のため、事業分野や売上高、サービス利用者数を考慮し、施行令で定めた企業に対しては状況の公表を義務付けている。

同法施令第8条第1項では、法第13条第2項に規定された義務公開対象企業を具体的に提示している。期間通信事業者やNAVERやカカオ035720などのポータルサイトを運営する大規模データ企業、上級総合病院、クラウドコンピューティングサービス提供企業などがこれに該当する。

また、有価証券市場およびコスダック(KOSDAQ)上場法人のうち売上高が3000億ウォン以上の企業を公表義務対象とし、サービス利用者が100万人を超える場合も公開を義務付けている。

言い換えれば、大規模なデータを処理する通信事業者、売上高が3000億ウォンを超える巨大上場企業、利用者が100万人を超える企業でなければ、情報保護の公表義務はないということだ。

実際、先述の個人情報流出事故を起こした企業は、2025年にKISAが公開した671社の情報保護公表義務対象リストには名を連ねていなかった。

例えば、韓国パパ・ジョンズは2024年に717億ウォンの売上を上げたが、上場法人ではなく売上高も3000億ウォン以下であるため公表対象ではない。韓国でディオールを運営するクリスチャンディオールクチュールコリアも2024年に9453億ウォンの売上を上げたが、韓国の上場法人ではないため公表対象には含まれていない。

個人情報流出事故の多くは中小企業で発生

現行制度では、国内に上場していない外国系企業や中小企業、利用者が100万人に満たないオンラインプラットフォームの情報保護状況を確認することは困難だ。個人情報流出事故の多くが民間企業、その中でも特に中小企業に集中しているという点こそ、制度改善が必要とされる理由である。

個人情報保護委員会が2025年3月に発表した前年度の個人情報流出申告動向分析。写真=個人情報保護委員会
個人情報保護委員会が2025年3月に発表した前年度の個人情報流出申告動向分析。写真=個人情報保護委員会

統計データもこれを裏付けている。個人情報保護委員会が2025年3月に発表した「2024年個人情報流出申告動向分析」の結果によると、2024年に申告された個人情報流出事故の過半数が中小企業によるものだった。

分析によると、307件の申告のうち民間企業の申告が66%を占め、その中で中小企業で発生した事故が60%にも達した。業種別では情報通信、ソフトウェア、電子商取引を合わせて34%を占めた。流出の原因も、情報保護分野の投資と管理が不可欠なハッキングが67%を占めている。

政府はこれを受けて制度改善を推進している。李在明(イ・ジェミョン)大統領は、大統領候補当時にサイバー脅威へ対応するため「情報保護の投資状況や専任人員規模などを透明に公開する情報保護公表制度の強化」を選挙公約に掲げていた。

また、新政権発足後、科学技術情報通信部は政権引き継ぎ委員会に当たる国政企画委員会に、情報保護制度改善に関する案件を報告したとされる。改善案には、情報保護公表制度の義務対象を現在の売上高3000億ウォン以上の全上場企業に拡大する内容などが盛り込まれた。

ただし、実質的な流出事故が集中している非上場の中小企業や外国系企業、利用者数が100万人以下の中小規模オンラインプラットフォームに対する公表義務化の是非などは、現在国政企画委員会が国政課題の草案作成および細分化の段階にあるため、今後の議論の推移を見守る必要があるとみられる。

この記事はAIによって自動翻訳されました。原文(韓国語)と異なる部分がある場合があります。
이동영 인턴기자
writer@bizhankook.com
저작권자 ⓒ 비즈한국 무단전재 및 재배포 금지