海の向こうの“セキュリティ”

第61回:韓国で9月30日に施行された「個人情報保護法」の中身


 今回は、韓国で9月30日に施行された「個人情報保護法」について紹介します。

 日本でも一般のメディアが報道しているので多くの方がご存知とは思いますが、韓国では近年、大規模な個人情報流出事件が多発しています。また、2010年の個人情報盗難被害は2009年の約6倍に達しています。これらの事件の原因として指摘されることが多いのが、個人情報保護法の未整備です。これまでも何度も導入が検討され、法案が提出されていたにもかかわらず、省庁間の主導権争いなどさまざまな理由で、なかなか導入に至りませんでした。それが昨年ようやく議会を通り、先日9月30日に施行されたのです。

 ところで、韓国ではこれまでも「個人情報保護」に関する法律が全くなかったわけではありません。例えば、公共機関に対しては1994年に制定された「公共機関の情報公開に関する法律」をはじめ、「住民登録法」「電子政府法」「家族関係の登録等に関する法」などがあります。また、民間に対しては「情報通信網利用促進および情報保護等に関する法律」「信用情報の利用および保護に関する法律」「金融実名取引および秘密保障に関する法律」など業種やサービスごとに法律が用意されていました。

 ところが、このように官民で異なるだけでなく、民間に関しては業種やサービスごとに規制が異なっており、しかも適用対象となる業種やサービスの定義があいまいであるため、効果的な規制がなされていないこともあったのです。また、インターネットを使ったサービスについては既存の法律の対象から漏れている場合も少なくなかったようです。

 そこで今回施行された個人情報保護法は、まず法律の適用対象(規制対象)に官と民、または業種といった制限を設けず、さらに保護の対象も電子データだけでなく手書きの文書にまで拡大した包括的かつ総合的な一般法として整備されています。

 さて、この個人情報保護法では、個人情報とは「生きている個人に関する情報であり、個人を識別できる情報」と定義されています。これは具体的には以下のようなものを指します。

  • 一般的な情報(氏名、住民登録番号、住所、連絡先など)
  • 経済情報(所得、財産状況、負債など)
  • 社会情報(学歴、成績、兵役、職業、資格など)
  • 通信情報(電子メール、通話、インターネット接続IPアドレス、ログなど)
  • 機微な情報(思想、信条、労働組合、政党の加入・脱退、健康など)
 このような個人情報を取り扱う事業者が注意しておかなければならないのは、まず個人情報を収集する際には原則として情報主体(顧客、会員など)の同意を得なければならないという点です。特に以下の4つの事項を情報主体に告知して同意を得る必要があります。
  • 個人情報の収集および利用目的
  • 収集する項目
  • 個人情報の保有および利用期間
  • 同意を拒否する権利があること
 もしこれに違反した場合には、5000万ウォン以下の罰金が課せられます。

 個人情報の処理をコールセンターなどの外部に委託する場合には、情報主体に対して委託する業務の内容と個人情報の処理業務を委託している事実を告知しなければなりません。また、事業者は、委託先が個人情報を安全に処理しているかどうかを監督する必要があり、これに違反した場合は3000万ウォン以下の罰金が課せられます。

 さらに、個人情報を安全に管理するために、以下の措置をとる必要があります。

  • 管理上の措置(個人情報の内部管理計画の策定など)
  • 技術的な措置(個人情報のアクセス制御、暗号化、セキュリティプログラムのインストールなど)
  • 物理的な措置(個人情報の保管場所の立ち入り制限など)
 このような措置を取らなかったために個人情報が流出した場合には、2年以下の懲役または1000万ウォン以下の罰金が課せられます。

 一方、このような措置を講じたにもかかわらず、個人情報流出事故が発生した場合は、遅滞なく、情報主体に事実を通知し、被害を最小限に抑えるための対策を用意しなければなりません。特に、情報主体に対しては以下の情報を伝える必要があります。

  • 流出した個人情報の項目
  • 流出した時期と経緯
  • 流出の被害を最小限に抑えるために、情報主体が行うべきこと
  • 個人情報管理者の対応措置および被害救済の手続き
  • 情報主体が問い合せる担当部署連絡先
 また、1万人以上の個人情報が流出した場合には、情報主体への通知の結果および対応の結果を行政安全部や専門機関に届け出なくてはならず、もし個人情報流出の事実を通知しなかった場合は3000万ウォン以下の罰金が課せられます。

 そのほか、顧客の個人情報だけでなく、従業員の個人情報も保護対象になります。つまり、従業員の採用の段階から個人情報の収集、利用についての同意を従業員から得る必要があり、従業員の情報は人事管理の目的でのみ利用可ですが、それ以外の目的には利用が禁止されます。また、従業員が退職する場合には、服務記録の発行、社会保険の証明などのために保存・管理する必要がある場合にのみ、従業員の同意の下に保存することができます。

「個人情報安全性確保措置基準告示(案)」発表

 さて、このような個人情報保護法を企業が遵守し、内部セキュリティを強化する際の参考にすべき基準として、行政安全部が「個人情報安全性確保措置基準告示(案)」を発表しました。

 全10カ条で構成された本告示案は、個人情報保護研究会、韓国インターネット振興院、韓国情報化振興院などの関係専門家による検討や公聴会を経て公開されたもので、詳細については、プライバシー保護の総合ポータルサイト(http://www.privacy.go.kr/)に掲載されています。

 この告示案の中から特にキーとなるポイントを以下に紹介します。

1)内部管理計画
個人情報管理者は個人情報の安全な処理のために、以下に関する内部管理計画を策定し、施行しなければなりません。

  • 個人情報保護責任者の指定
  • 個人情報保護責任者と個人情報取扱者の役割と責任に関する事項
  • 個人情報の安全性確保に必要な措置
  • 個人情報取扱者に対する教育
など。

2)アクセス権限
個人情報管理者は個人情報処理システムへのアクセス権限を付与する対象を、業務遂行に必要な最少限の業務担当者のみに限定する必要があります。また、配置転換や退職などの人事移動により個人情報取扱者が変更された場合には遅滞なく個人情報処理システムへのアクセス権限を変更または抹消しなければなりません。さらに個人情報処理システムにアクセスできるユーザーアカウントを発行する場合は、個人情報取扱者に対して1つのユーザーアカウントを発行し、他の個人情報取扱者と共有されないようにする必要があります。なお、この発行・変更・抹消などの記録は最低3年間は保管しなければなりません。

3)アクセス制御
個人情報処理システムへのアクセスをIPアドレスなどで制限するとともに、個人情報処理システムにアクセスした(アクセスを試みた)IPアドレスなどを監視・分析して、違法な個人情報流出の試みが行なわれていないか検出しなければなりません。個人情報管理者は、個人情報取扱者が情報通信網を介して外部から個人情報処理システムにアクセスする場合に、VPNまたは専用線などの安全なアクセス手段を使用させる必要があります。

4)暗号化
ID、パスワード、および生体認証情報といった個人情報などは、暗号化の対象となります。個人情報管理者は、これらの個人情報を情報通信網を介して送受信したり、外部記憶媒体などを経由してやり取りしたりする場合、暗号化しなければなりません。特に、パスワードと生体認証情報は暗号化して保存する必要があり、パスワードを保存する場合には、復号されないように、一方向暗号化を施して保存する必要があります。また、インターネットや、インターネットと内部ネットワークの中間点(DMZ)に認証情報(個人情報)を保存する場合にも暗号化する必要があります。

5)ログ保存
個人情報管理者は、個人情報取扱者が個人情報処理システムにアクセスした記録を6カ月以上保管・管理する必要があり、個人情報取扱者のアクセス記録が偽造や改ざん、盗難、紛失されることがないようにアクセス記録を安全に保管する必要があります。

6)アンチウイルスの導入・運用
個人情報処理システムや業務用コンピューターに、悪意のあるプログラムなどによる感染を防止し、復旧を行なうためのアンチウイルスソフトなどのセキュリティプログラムをインストールし、運用する必要があります。また、セキュリティプログラムおよびそのパターンファイルなどに対しては自動更新機能を使用する、または1日に1回以上アップデートを実施する必要があります。

7)ソフトウェアの更新
マルウェア関連の注意喚起が発せられた場合、あるいは使用中のアプリケーションやオペレーティングシステムのソフトウェアベンダーから、セキュリティ更新プログラムの情報が発表された場合は、すぐにこれに伴う更新を行なう必要があります。

韓国にしては比較的「普通」の内容?

 全体を通して受ける印象としては、際立って特徴的なポイントは見当たらず、比較的「普通」の内容。規制に関しては何かと「イケイケ」のイメージがある韓国にしては、少々「物足りない」気もします(苦笑)。

 しかし、法施行に対して政府や事業者らの対応が間に合っておらず、例えば、大統領所属機構として政策制度・法令・基本計画・施行計画などを審議・議決し、省庁や地方自治体に対する是正措置勧告権を行使する個人情報保護委員会が、委員が決まらないまま発足したりといった「見切り発車」となっている現実もあり、この法律がこれから実際にどのように運用され、効果を出して行くのかは甚だ不透明です。今後の動向を注意深く見て行く必要はあるでしょう。

URL
 韓国における個人情報保護法制の問題と改善案(PDF)
 http://www.yc.tcu.ac.jp/~kiyou/no11/1-05.pdf
 デジタルタイムス(2011年9月6日付記事、韓国語)
 事業者、個人情報保護法発効されれば…
 1万人以上の流出事故通知しなければ過怠金
 http://www.dt.co.kr/contents.html?article_no=2011090702010960746001
 デジタルタイムス(2011年9月13日付記事、韓国語)
 情報処理者アクセス権限IPアドレスなど制限
 個人情報安全性確保基準
 http://www.dt.co.kr/contents.html?article_no=2011091402010960746003
 保安ニュース(2011年9月27日付記事、韓国語)
 個人情報保護法施行控えてこれだけは必ず点検しておこう
 韓国CSO協会、27日‘第8次CSOフォーラム’で法施行ともなう準備事項点検
 http://www.boannews.com/media/view.asp?idx=27755
 保安ニュース(2011年9月28日付記事、韓国語)
 個人情報二次被害本格化“相変らず基本的措置もダメだ!”
 個人情報盗用被害2010年6倍に増加、技術的/管理的措置不備の申告も7倍に増加
 http://www.boannews.com/media/view.asp?idx=27778
 電子新聞(2011年9月29日付記事、韓国語)
 個人情報保護法施行1日前、仕上げ作業‘真っ最中’
 http://www.etnews.com/201109280230
 アイニュース24(2011年9月30日付記事、韓国語)
 30日施行される個人情報保護法“しかしまだ…”
 政府広報にも事業者は相変らず消極的“なぜ?”
 http://news.inews24.com/php/news_view.php?g_serial=606583&g_menu=020100

「電子金融取引法施行令改正案」立法予告

 最後に、個人情報保護法と直接関係はありませんが、韓国の金融機関が特に注意すべき話題がありましたので紹介します。

 韓国金融委員会が金融機関に対する規制強化を目的とした「電子金融取引法施行令改正案」を立法予告しました。

 これは、金融機関のCEOの情報セキュリティ関連の説明責任を強化し、電子金融取引法に違反した場合の制裁を強化するというものです。

 これにより、情報セキュリティ業務を委託したアウトソーシング会社(電子金融補助業者)に対しても、金融監督院が検査できるようになります。また、クラッキングや電算障害が発生した金融機関に法律違反の事実が発見された場合には、営業停止も可能となります。さらに、金融機関やセキュリティに関する外注業者は、クラッキングや情報流出などの事故が発生した場合、金融委員会に報告する義務が発生します。

 今回の改正案は、クラッキング被害が発生した際の処罰の根拠や責任の所在を明確にし、事後の管理をさらに強化することに焦点が当てられています。これに伴い、情報技術部門と電子金融業務に関して金融委員会が定める基準に、人材や施設だけでなく、予算も追加されることになります。また、金融機関および電子金融業者に対する検査の過程で必要に応じて、金融監督院が電子金融補助業者を直接調査可能な検査権が強化されます。

 さらに、金融委員会は電子金融監督規定案に各金融機関のITセキュリティ予算をIT予算全体の7%以上とする案を追加すると明らかにしました。これまでは5%以上と「勧告」していたのですが、ほとんどの金融機関がこれを守っておらず、金融機関全体でも4%程度という状況に、7%以上を義務化しようというのです。

 今年は農協や現代キャピタルといった金融機関で大規模なクラッキング事件が起こったことから韓国国民の不安が高まっていることは確かでしょう。しかし、単にセキュリティ対策に予算さえ確保すればそれでいいというものではないですし、また「7%」という数字に何の意味があるのか全く分かりません。

URL
 デジタルタイムス(2011年9月15日付記事、韓国語)
 ハッキングされた金融会社これからは‘営業停止’
 CEO責任も強化…金融委、電子金融取引法手入れ
 http://www.dt.co.kr/contents.html?article_no=2011091602010457741005
 デジタルタイムス(2011年9月28日付記事、韓国語)
 金融IT保安予算7%で上方修正
 ハッキングなど対処投資明文化…市場3000億台規模拡大予想
 http://www.dt.co.kr/contents.html?article_no=2011092902010151741002

2011/10/6 06:00


山賀 正人
セキュリティ専門のライター、翻訳家。特に最近はインシデント対応のための組織体制整備に関するドキュメントを中心に執筆中。JPCERT/CC専門委員。日本シーサート協議会専門委員。