CISOの役員級での選任を義務付ける情報通信網法改正案が公布後6カ月で施行される見通しだ。写真=Shutterstock

最高情報保護責任者(CISO)を役員級で選任することを義務付ける「情報通信網利用促進および情報保護等に関する法律(情報通信網法)」改正案が、3月24日の国務会議を通過した。早ければ来週にも公布され、施行は公布から6カ月後となる見通しだ。一方、義務の適用対象となる企業の基準は施行令に委ねられており、企業側の準備に影響が出る可能性がある。

関係機関によると、改正案は大統領の署名を経て官報に掲載された時点で公布の効力が発生する。施行時期は今年9月末から10月初めにかけてとなる見込み。情報保護水準の評価・公開に関する条項は、現場の準備期間を考慮し、公布から1年後に別途施行する。

今回の改正案は、与野党議員が発議した24本の法案を一本化した委員会代案。SK Telecom、KT、LG Uplusなど主要通信事業者や金融会社で侵害事故が相次いだことが、法改正の直接の契機となった。

改正の柱は、CISOの役員級選任の義務化だ。CISOの職務には、情報保護人材の管理、予算編成、取締役会への情報保護状況の報告が新たに加わる。

一定規模以上の企業には、CISOを委員長とする社内の情報保護委員会の設置・運営も求める。委員会の設置義務が生じる具体的な基準も施行令で定める。

侵害事故に対する制裁も強化する。故意または重大な過失により、5年以内に侵害事故が2回以上発生した場合、年間売上高の3%以下の課徴金を科すことができる。

調査過程での資料提出拒否、調査妨害、是正命令の不履行に対しては、1日平均売上高の0.03%の範囲で履行強制金を課す。侵害事故の通報期限は、事故を認知してから24時間以内と明確化した。事故発生の疑いがある段階でも、政府が調査に着手できるようにする。

侵害事故が発生した際、利用者に遅滞なく通知する義務も新設する。科学技術情報通信部には侵害事故調査審議委員会を新設するが、常設機関へ移行するまでの措置として、2030年12月3日までの時限組織として運営する。

もっとも、法改正は成立したものの、企業側の準備は十分とは言い難い。韓国インターネット振興院(KISA)の「2025情報保護公示現況分析報告書」によると、公示参加企業757社のうち、CISOを役員級としている企業は70.9%(537社)にとどまった。残る220社(29.1%)は非役員、または未指定だった。

今回の改正で中核的な対象とされる「売上高3000億ウォン以上の上場企業」513社に限ると、役員級比率は67.4%とさらに低い。約167社は施行までにCISOを役員級へ引き上げる必要がある計算だ。

情報保護の専担人員が5人未満の企業512社では、役員級比率は67.2%、情報保護投資額が1億ウォン未満の企業137社では64.2%だった。企業規模が小さいほど、準備水準が低い傾向がうかがえる。

業種別では、運輸・倉庫業が40.9%、建設業が60.0%、卸売・小売業が64.9%の順で役員級比率が低かった。情報通信業も75.4%にとどまっている。

とりわけ論点となっているのが中堅企業への適用だ。中堅企業の基準自体は「中小企業基本法」第2条第2項に従うものの、該当企業がどのような方式でCISO選任義務を履行するのかは施行令に委ねられたままだ。施行令の立法予告は、現時点では出ていない。

中堅IT企業の関係者は、セキュリティ専業企業ではないため、役員体制が事業部門や技術分野ごとに組まれているとした上で、CISO義務化により人材面と組織面の負担が生じると指摘した。役員級で選任できる情報セキュリティ人材が国内で限られている点も課題だという。

別の中堅AI企業の関係者も、6カ月という期間では専任CISOの確保やセキュリティ体制の設計は厳しいとの見方を示した。CTOとの兼務を検討する企業が多くなる可能性がある一方、兼職の許容範囲や明確なガイドラインがなければ、形式的な選任にとどまる恐れがあるとしている。

CISO体制が不十分な企業では、事故発生時の課徴金負担が重くなる可能性もある。法曹界では、反復的な侵害事故に対する課徴金要件である「故意または重大な過失」を判断する際、CISOを役員級で指定していたか、取締役会への報告体制があったか、セキュリティ投資の実績があったかなどが総合的に考慮されるとみている。

また、セキュリティ予算や人員への投資実績は課徴金の減免事由として明文化されている。このため、CISOの役員級選任体制を整えられない企業は、事故発生時に減免の余地が小さくなる可能性がある。

企業にとっては、今回の改正で対応が終わるわけではない点も負担要因だ。国会には、侵害事故の未通報に対する制裁をさらに強化する法案も係留中となっている。

キム・ヨンマン議員の法案は、侵害事故を通報した際に捜査機関へ自動通知する仕組みを盛り込んだ。キム・ソヒ議員の法案は、通報が遅れた日数に応じて過料を加算する内容となっている。

科学技術情報通信部の関係者は、社内の情報保護委員会新設などに関連し、企業の役割と力量の強化に向けて必要な支援策を検討していくと述べた。

ペ・ギョンフン副首相兼科学技術情報通信部長官は、今回の情報通信網法改正について、サイバー侵害事故の予防・対応体制を一段と高め、国民の不安を和らげるとともに、企業が強固なセキュリティの下で持続的に成長できる基盤になるとの認識を示した。

キーワード

#CISO #情報通信網法 #科学技術情報通信部 #KISA #課徴金 #サイバーセキュリティ
Copyright © DigitalToday. All rights reserved. Unauthorized reproduction and redistribution are prohibited.