通信各社が毎年公表するESG報告書を巡り、記載内容の実効性を疑問視する声が強まっている。SK Telecom、KT、LG Uplusはいずれも情報セキュリティ強化を重要課題に掲げてきたが、実際にはサイバー事故や対応の遅れが相次ぎ、開示内容と現場対応の乖離が浮き彫りになっているためだ。

通信業界では、3社は毎年、数百ページ規模のESG報告書を発行している。そこでは情報保護投資の拡大、管理プロセスの高度化、従業員教育の強化などを重点施策として示し、統合セキュリティ監視や定期教育、情報主体の権利保護にも言及してきた。報告書の記載だけを見る限り、各社のセキュリティ体制は相応に整備されているように映る。

ただ、事故が相次ぐなかで、報告書に盛り込まれた対応プロセスが実際に機能していたのかを疑問視する見方が出ている。業界関係者は「報告書上は万全の対応体制に見えるが、実際の事故対応では通報の遅れや初動の混乱を巡る論争が繰り返されている」と指摘。「開示文言が実態を伴っていたのか、改めて点検する必要がある」と話した。

◆「セキュリティ体制強化」を掲げる一方、事故が相次ぐ

SK Telecomは2024年報告書で、ゼロトラスト体制の推進や統合監視センターの運営を主要なセキュリティ戦略として掲げた。情報保護ポリシーのデータセキュリティ項目では、重要データの暗号化や未承認アクセスの原則遮断も明記している。

一方で、昨年はUSIM情報の大規模流出やマルウェア感染事例が伝えられ、報告書で強調していたリスク対応が実際には十分機能していなかったのではないかとの指摘が出た。SK Telecomは、ハッキング事故が明らかになった4月以降に公表した同報告書で、「すべての顧客が安心できるよう、顧客情報保護と再発防止に向けセキュリティ体制強化に最善を尽くす」と強調していた。

KTもESG報告書で、侵害事故を想定した定期的な模擬訓練と迅速な対応体制を打ち出している。侵害事故対応の項目では、「侵害事故を認知した従業員は、複数のチャネルを通じて部門別の情報セキュリティ管理者に報告する」と説明した。だが同社は昨年、不正な少額決済を巡る事案の届け出が遅れたとして批判を受けた。

官民合同調査団の調査では、すべてのフェムトセルで同一メーカーの証明書を使用し、有効期間を10年に設定していたことなど、基本的なセキュリティ上の不備も明らかになった。通信の暗号化が解除され得る構造となっており、SMSや音声通話のARS認証情報が盗まれる可能性がある脆弱性も露呈した。

LG UplusはESG報告書で、セキュリティ体制だけでなく、組織と手続きの整備も強調してきた。全社情報保護規程・指針の制定・改正、全社セキュリティ協議体の運営、外部の情報保護諮問委員会の設置などを成果として挙げている。だが、協力会社への侵害の兆候が確認された後、一部サーバーの再構築や廃棄が行われた事実が明らかになり、事故隠蔽の疑いが浮上した。政府はLG Uplusの対応を不適切とみて、公務執行妨害の疑いで警察に捜査を依頼している。

◆ESG評価は高水準でも、事故対応には疑問

通信3社のESG評価を巡っても、実態とのずれを指摘する声がある。2025年の韓国ESG基準院（KCGS）の評価では、SK Telecom、KT、LG Uplusの3社はいずれも総合A等級を取得した。通信は国民生活に直結する基幹インフラ産業だが、相次ぐセキュリティ事故や管理不備の兆候が確認されており、現行のESG評価が事故対応能力や説明責任を十分反映していないとの指摘が出ている。

専門家は、通信各社のセキュリティ体制をスローガンにとどめず、実効性あるガバナンスとして定着させる必要があると指摘する。監視体制やソリューションの高度化に加え、「予防―検知―対応―報告」の全工程を有機的に回す体制が求められるという。

スンチョンヒャン大学情報保護学科の名誉教授、ヨム・フンヨル氏は「単にセキュリティ対策を策定するだけでは不十分だ」と述べ、「有効性を検証できるガバナンス体制が必要だ」と指摘した。さらに「セキュリティ方針の策定から実装、執行、効果確認までが最高情報保護責任者の指揮の下で適切に運用されたのかを、ESG報告書に具体的に記載すべきだ」と話した。

セキュリティ業界関係者も「企業が責任を果たしたかどうかを外部から判断できるようにする必要がある」としたうえで、「セキュリティソリューションの導入だけでなく、予算執行の過程やセキュリティプロセスの運用フローまで開示に盛り込むべきだ」と述べた。