ＫＴのある子会社は現在最高情報保護責任者（ＣＩＳＯ）と最高財務責任者（ＣＦＯ）を役員級の総括をする人が兼職している。同社は韓国インターネット振興院（ＫＩＳＡ）情報保護義務公示の対象だ。ＣＩＳＯは情報保護リスク（危険）を最小化するための職だがＣＦＯはコスト削減と収益性を管理する役割なので、二つの職責の兼職は利害衝突問題が発生する懸念が大きい。同社関係者は「一時的に兼職をする状況で、現在は分離検討中」と説明した。

ＳＫテレコムのＵＳＩＭ（加入者識別モジュール）情報ハッキング事件の余波が今も大きく残る中で、韓国大企業の情報保護体系にも警告灯がついた。最近現代（ヒョンデ）自動車では役職員情報が外部に流出し、ＣＪオリーブネットワークスも証明書ファイルがハッキングされた。個別企業の問題と考えるよりも産業全般的に情報保護現況を再点検しなければならないという指摘が出ている。これに対して中央日報は１２日、時価総額上位１０大グループ（農協除外）の情報保護義務公示資料を全数分析し、主要系列会社１２カ所に対してアンケート調査を実施した。大企業の情報保護投資額と人材規模は大きくなったが「構造的弱点」は変わっていなかった。


①投資額は増えたが…ＩＴ投資に比べて「足踏み」


１０大グループ中のうちＫＩＳＡ公示義務がある系列会社８７社の情報保護現況によると、昨年の総情報保護投資額は９８４９億ウォン（約１０２８億円）であることが分かった。２０２３年の投資額（８３３１億ウォン）に比べて１８．２％増加した。企業別にサムスン電子が２９７４億ウォンで最も多く、続いてサムスンＳＤＳ（６３２億ウォン）、ＬＧ　Ｕ＋（６３２億ウォン）、ＳＫハイニックス（６２７億ウォン）、ＳＫテレコム（６００億ウォン）の順だった。１０大グループ以外ではＫＴ（１２１８億ウォン）とクーパン（Ｃｏｕｐａｎｇ）（６６０億ウォン）の投資額が大きかった。

ただし情報技術（ＩＴ）投資のうち、情報保護投資の比重は２０２３年と２０２４年ともに５．８％で変化がなかった。絶対額は増えたが情報保護に対する実質的な投資が拡大したとみるのは難しい。グローバル保険会社「ヒスコックス（Ｈｉｓｃｏｘ）」の「サイバーセキュリティ現況報告書」によると、米国企業のＩＴに対する情報保護投資比重は２０２３年基準平均２６％で、韓国の４．５倍水準だった。ドイツ（２４％）・英国（２３％）・フランス（２２％）など他の先進国も韓国よりも高かった。

②３人中１人「外注」依存…「内部専門家の養成を」

あわせて情報保護人材の３人に１人以上は外注に依存していることも確認された。系列会社８７社の総情報保護人材は前年比１５．１％増となる３５２１．９人だったが、このうち３５％（１２６９．３人）は外注人材だった。系列社別の外注比重はＳＫグループが７２．６％で最も高く、続けてＨＤ現代（５４．３％）、現代自動車（４９．５％）、ＬＧ（４２．３％）の順だった。サムスンの外注比重は１３．６％で１０大グループのうち最も低かった。ＳＫグループの場合、セキュリティ子会社ＳＫ　Ｓｈｉｅｌｄｕｓから人材の派遣を受ける構造の影響と分析することができる。

外注比重が高いからといってセキュリティが脆弱というわけではないが、非常時の体系的対応のためには内部専門家の確保が重要だという指摘だ。これに先立ち、２０１７年１４００万人の顧客情報が流出した米国通信社ベライゾン事故は外注会社所属のサーバー管理職員のミスで発生した。順天郷（スンチョンヒャン）大学情報保護学科のヨム・フンヨル教授は「最近企業がセキュリティ人材を外注に頼る傾向があるが、企業所属感や責任感が相対的に低いこともある」とし「セキュリティ事故発生時に責任感を持って対応できる内部人材の養成が重要だ」と指摘した。

③大企業ＣＩＳＯ　４人に１人は役員Ｘ

情報保護「指令塔」の役割を果たすＣＩＳＯの権限と役割も不十分だった。系列会社８７社のＣＩＳＯ運営実態を確認した結果、４社に１社の２４．１％はＣＳＩＯが役員ではないことが分かった。情報通信法施行令上、資産総額が５兆ウォン（約５２１３億円）を超えない企業は役員の選任は義務ではないが、政府のＫ－ＥＳＧ（環境・社会・支配構造）ガイドラインで登記役員や未登記役員でＣＩＳＯを選任するように勧告している。ＣＩＳＯが役員ではない場合、情報保護関連の予算確保と執行で速度感が落ちるよりほかないためだ。

グループ別にサムスン（１２社）とＬＧ（１０社）は各社ＣＩＳＯをすべて役員級で選任していた。ＳＫは１社を除く残り１５社が役員級だった。反面、新世界（６０％）、ＨＤ現代（５７．１％）、ロッテ（５５．６％）、ＧＳ（４０％）などは相対的にＣＩＳＯが役員級でない比率が高かった。

ＣＩＳＯを兼職で置いている系列会社は全体の７２．４％に該当する６３社だった。大部分は類似の業務を遂行する最高個人情報保護責任者（ＣＰＯ）を兼職する場合だったが、セキュリティー強化のためにはＣＩＳＯにさらに強い権限を与えるべきだという声も出ている。ヨム・フンヨル教授は「ＣＩＳＯを最小限役員級として置いてこそ、情報保護分野に十分に投資でき、何が重要なのか判断して意志決定を速かに下せる」と話した。


韓国大企業「ハッキング不感症」…セキュリティ人材の３分の１が外注企業（２）