科学技術情報通信部と個人情報保護委員会は4月10日、経済関係閣僚会議で「情報セキュリティおよび個人情報保護管理体制認証制度の実効性強化策」を発表した。重要個人情報処理システムを対象にISMS-P認証を義務付けるほか、認証体系を「強化認証」「標準認証」「簡便認証」の3段階に再編し、審査や事後管理も厳格化する。

今回の見直しの柱は、(1)認証義務対象の拡大と基準強化、(2)審査方式の強化、(3)事後管理の強化、(4)審査品質の確保――の4点だ。

◆重要個人情報処理システムにISMS-Pを義務付け

政府は、公的機関・民間企業が運用する重要個人情報処理システムを中心に、ISMS-P認証を義務付ける方針だ。対象は、個人情報保護法に基づく主要公共システムの運営機関に加え、移動通信事業者、本人確認機関、売上高や個人情報の処理規模を踏まえた大規模個人情報処理者などを想定している。

あわせて、リスク水準に応じた認証体系を導入する。新たに「強化認証」を設け、既存制度を含めて「強化認証」「標準認証」「簡便認証」の3段階に再編する。国民生活への影響が大きい分野を対象とする強化認証には、従来より厳しい基準と審査方式を適用する。

認証範囲も段階的に広げる。認証対象サービスに関連する設備や施設まで含めるほか、外部インターネットに接続されたデジタル資産は必ず認証範囲に組み込む。

審査方式も見直す。本審査に先立つ予備審査を導入し、主要な認証基準を事前に点検したうえで、本審査に進めるかどうかを判断する。基準を満たさない場合は、本審査への移行を認めない。さらに、脆弱性診断や模擬侵入テストなどの技術審査を取り入れ、実演ベースの確認を含む実地検証も強化する。

書類確認に偏った従来型の審査から脱し、現場確認を重視する方式へ切り替える。審査に投入する人員と審査期間も拡大する。強化認証では、脆弱性点検の要員を別途投入し、重要情報資産をより精緻に点検するとしている。

◆認証後の常時点検を強化

事後管理も大幅に強化する。従来の「スナップショット」型の点検を見直し、認証取得後もセキュリティ水準が維持されているかを常時点検する仕組みに改める。

定期点検の様式は標準化し、事後審査で重点的に確認する。重大な侵害事故が発生した場合は認証審査を一時中断し、政府調査の後、審査人員と審査期間を拡大して再検証する。重大な不備が確認された場合に認証を取り消せるよう、基準も明確化する。

審査機関の管理責任強化と、審査員の専門性向上にも取り組む。審査機関の信頼度調査を実施し、その結果を翌年度の審査割り当てに反映する。審査機関が指定基準を順守しているかについては、毎年事後点検を行う。

審査員に対しては実務教育を強化し、AIやクラウドなど分野別の専門性を審査員の管理体系に反映する。処遇改善も並行して進める。

科学技術情報通信部と個人情報保護委員会は今後、施行令や告示、ガイドラインを改正し、関連予算の確保など後続措置を進める。今年下半期からは、常時点検の強化や認証取消など、事後管理に関する事項を先行適用する。義務化対象の拡大と差別化された認証体系は、2027年から施行する計画だ。

ソン・ギョンヒ個人情報保護委員長は「認証制度を個人情報保護の事前予防における中核的手段として改善し、国民が安心できるデジタル環境を実現する」とコメントした。

リュ・ジェミョン科学技術情報通信部第2次官は「情報セキュリティ管理体制の認証制度は、国民が安心してデジタルサービスを利用するための中核的な安全装置だ。制度の実効性を高め、信頼できる認証体系へ発展させていく」と述べた。