個人情報保護委員会と科学技術情報通信部は3月12日、ISMS・ISMS-P認証制度の実効性強化に向けた現場懇談会を開き、制度見直しの方向性を示した。義務対象の拡大や認証基準の強化、審査手法の見直し、認証後の管理強化などを検討する。

懇談会には、個人情報保護委員会のソン・ギョンヒ委員長、科学技術情報通信部のリュ・ジェミョン第2次官のほか、認証機関である韓国インターネット振興院、金融保安院のトップ、審査機関、認証審査員らが出席した。

ISMS・ISMS-P認証制度は、企業や機関が構築・運用する情報保護と個人情報保護の管理体系が適切かどうかを認証する制度。科学技術情報通信部が所管する情報保護管理体系と、個人情報保護委員会が所管する個人情報保護要件を統合した認証制度となっている。

両機関は昨年12月6日、認証制度の改善に関する関係省庁会議を開くなど、制度見直しに向けた協議を進めてきた。

その一方で、最近はISMS・ISMS-P認証を取得した通信事業者や大手プラットフォーム事業者などで、セキュリティ事故や個人情報流出が発生している。こうした状況を受け、両機関は制度の実効性向上に向けた「情報保護および個人情報保護認証制度の実効性強化策」を策定し、公表する方針を示した。

政府は懇談会で、現在準備中の制度見直しの方向性も説明した。具体的には、認証義務の対象拡大と認証基準の強化に加え、予備審査の新設、技術審査や実地検証型の審査の導入など審査手法を改める。あわせて、情報流出の防止に向けた認証後の管理強化、審査機関に対する監督強化、審査員の専門性向上による審査品質の改善も進める考えだ。

個人情報保護委員会と科学技術情報通信部は、今回の懇談会で出た現場の意見を反映したうえで、「情報保護および個人情報保護認証制度の実効性強化策」を公表する予定だ。

ソン・ギョンヒ委員長は、ISMS-P認証制度について「企業が運用する個人情報保護管理体系を事前に点検し、個人情報侵害を未然に防ぐうえで重要な政策の一つだ」と述べた。そのうえで、「現場の声を積極的に反映し、認証制度が社会全体のデータ保護水準を実質的に引き上げる基盤として機能するよう、継続的に改善していく」と語った。

リュ・ジェミョン第2次官は「最近はサイバー攻撃が日々高度化しており、侵害事故の発生可能性と波及影響が一段と高まっている」と指摘。「ISMS-P認証制度の改善を通じて、企業の警戒水準とセキュリティ水準を引き上げ、侵害事故による国民の被害を防ぎ、その影響を最小限に抑える基盤を整える」と述べた。