韓国情報保護産業が大きく活性化できなかった原因として、まず政府の政策的支援が不足しているという点が挙げられる。加えて「制度が古い」という点も見逃せない。政府もこうした問題点を認識し、昨年、迅速確認制度と情報保護義務公示制度などを新たに導入し、情報保護産業界の期待感を高めている。
迅速確認制度は、適当な評価基準がなく認証を得にくい新技術や融・複合製品を、国家や公共機関に導入できるよう製品セキュリティ性と機能適合性などを点検する制度だ。これまで業界では革新的なセキュリティ新技術を開発し、製品に適用させて発売しても評価できる基準がないという理由で販路が広がらない事例が一度や二度ではなかった。
代表的なのが「CC認証」だ。IT製品のセキュリティを評価して認証する制度だが、受け取るだけで1年近くかかり、市場参入が遅れる。それでも国家・公共機関に納品するためには必ずCC認証が必要で、仕方なく認証を申請する状況だった。公共分野の販売事例(レファレンス)がなければ、民間進出はもちろん輸出、投資誘致もまた遠い。
これに対する批判が殺到すると、政府が昨年11月に導入したのが迅速確認制度だ。最新技術を保有した企業は別途の評価基準なしにもセキュリティ性認証を受けることができるようになり、国家・公共機関納品資格を得ることができるようになった。
韓国で初めて、この制度の承認を受けて発売されたのが、情報保護を専門とする企業「F1セキュリティ」が開発した「F1-WEB Castle V2022.07」。この製品は「ホストベース」(監視システムが顧客のサーバーなどに設置されること)のウェブ・ファイアウォール(不正な侵入を遮断する防火壁)だ。制度の通過製品は確認書発給日から2年間効力が認められる。
◇投資内訳が透明に
情報保護義務公示制度の強化も、情報保護産業への企業投資を促進させたという評価を受けている。情報保護公示制度は企業の▽情報保護投資現況▽情報保護専門人材現況▽情報保護認証現況▽利用者情報保護活動内訳――などを消費者に公示する制度だ。政府は自主規制で運営していた制度を昨年から義務対象企業を選定し適用している。
情報保護に対する投資内訳が透明になる。企業はセキュリティ事故が起きれば過ちを問われるため、この分野の投資を増やすという効果がある。今年初め、個人情報流出事故が起きたLGユープラスの場合、情報保護公示を確認した結果、ライバル会社よりセキュリティ投資と人材配置が半分以下と少なかったことが明らかになり、世論の袋叩きに遭った。
業界関係者は次のように指摘する。
「情報保護公示義務制度の施行以後、企業が顧客の信頼を得るためにセキュリティ投資を拡大している点を感じ取れる。今年から、情報保護公示が不十分な企業に過料を賦課するなど制裁を強化したことで投資拡大の期待感が大きくなっている。ユン政権になってサイバーセキュリティの育成を公約したうえAIとクラウド拡散でセキュリティの弱点がさらに増えており、ゼロトラスト(あらゆる通信を信頼しないという前提でさまざまなセキュリティ対策を講じること)のようなセキュリティ原則と育成策をさらに細かくすべきだ」
(つづく)
(c)MONEYTODAY
