これから全ての上場企業と金融会社は、ハッキングの被害に遭ったら、公開が義務付けられる。買収合併など、主要経営懸案を知らせる公示制度をハッキング被害にまで拡大するものだ。
1日、知識経済部(知経部)によると、早ければ14年から企業に対し、金融監督院の企業公示サイト(dart.fss.or.kr)もしくは韓国取引所(krx.co.kr)のホームページにハッキングに遭った事実やハッキングにどれほど良く対処できる能力があるかの公示が義務付けられる。また、△セキュリティ担当をどれほど採用したのか、△セキュリティ予算はどれほど使っているか——などの内容を盛り込んだ報告書を年に1回公示しなければならない。
この案が実行されれば、セキュリティに弱い銀行と取引をやめることができ、情報保護管理がずさんなポータルサイトから脱退することもできるため、消費者の選択権が拡大する。
ハッキング公示制度は、昨年12月、情報保護関係省庁が共同でまとめた「情報セキュリティ産業活性化策」で初めて話し合われたが、「セキュリティに投資する余力がない」という企業の反発を意識して、議論が遅々として進まなかった。
しかし、知経部は最近、大型ハッキング事件が相次いで発生したことを受け、制度の導入をこれ以上先送りにできないと判断し、韓国インターネット振興院(KISA)に情報保安公示制度の政策草案を作るよう指示した。そのため、KISA側は最近、「情報保安水準公示制度導入に向けた検討・研究方策」と題された報告書を作成した。
米連邦証券取引所(SEC)は、シティーグループやソニーなどでハッキング事故が発生したことを受け、今年6月、これと似た制度を導入した。ある大学の情報保護学科教授は、「韓国の制度実行時期は14年で、米国より3年も遅れている。最近、韓国も類を見ないハッキング事故に遭っているだけに、急いでハッキング公示制度を導入しなければならない」と指摘した。
これに対し、知経部のオム・チャンワン電子産業課長は、「ハッキング関連情報の公開を義務付けると、企業がさらに責任感を持って体系的な情報保護対応策をまとめるようになる」とし、「金融委員会や放送通信委員会など、関係省庁と協力して制度実行の時期を最大限繰り上げる」と話した。
一方、KISAが09年12月を基準に調査した資料によると、5人以上企業の6000ヵ所のうち、サイバーセキュリティ事故が発生した事実を警察など、関係機関に届ける企業は16.0%に過ぎなかった。届けない理由について、半分以上が「内部で静かに解決するのが望ましいため」と答えた。
coolj@donga.com
About Dong-A Ilbo