情報保護責任者（Chief Information Security Officer、以下「CISO」といいます。）の指定・申告制度を整備する『情報通信網の利用促進と情報保護等に関する法律』（以下「情報通信網法」といいます。）の改正法律案が２０２１年５月２１日に国会本会議を通過しました。同改正法律案は、２０２１年１２月９日付で施行される予定です。

1. 主な内容

￭ CISOの指定・申告制度の整備

- 上記改正法律案では、CISOの資格を「大統領令に定める基準に該当する役職員」と定め、CISO指定義務違反（未指定および資格条件未達）に対する過料条項を新設しています。
- 大統領令に定める一定の基準に達しない情報通信サービス提供者の場合には、CISOを申告しないことができるものとしています。

￭ CISO業務の明確化

- 情報保護の発展方向等を反映し、CISOの総括業務の内容および兼職できる業務を明らかにしています。

[CISO業務（第４５条の３第４項）比較]

２． 関連企業らに対する示唆点

現行の情報通信網法は、情報通信システム等に対するセキュリティおよび情報の安全管理に向け、情報通信サービス提供者が役員レベルのCISOを指定し、これを申告するものとしています。各企業において指定されたCISOは、企業内の情報技術部門の安全性の確保、ユーザーを保護するための戦略と計画の樹立、セキュリティ事故の予防および措置等の情報保安業務を総括する役割を行わなければなりません。

現行法では、「役員レベル」という地位が曖昧で企業がこれを悪用しているという指摘があり、不適正な指定・申告があったにもかかわらず、関連法律によりこれを制裁する手立てがなかったため、CISO指定制度の実効性の確保に限界があるという批判がありました。これを受け、改正法は、CISOの資格を大統領令に定める基準に該当する役職員と改正し、兼職のできる業務を明示しています。

科学技術情報通信部は施行令の改正により、①兼職制限対象企業（直前の事業年度末における資産総額が５兆ウォン以上または情報保護システム（ISMS）認証の義務対象企業のうち資産総額が５千億ウォン以上の企業）を除いた中小企業の場合、代表者または部長レベルの職員も情報保護最高責任者に指定できるよう許容し、②情報保護の必要性が高い「中企業」以上に対しては、CISOを申告するものとし、申告義務が免除された企業は、代表者をCISOとみなすという計画を明らかにしています。

今回の情報通信網法の改正により、CISOの資格が一部緩和され、兼職できる業務が法律に明示されたという点で一部の規制が緩和されてはいますが、CISO指定義務に違反した場合、過料賦課の対象になるということが明示されているため、企業らはCISO指定義務を果たし、過料賦課とならないよう留意する必要があります。

About Shin & Kim’s ICT Group

法務法人(有)世宗は、IT産業全般および個人情報、データ分野における独歩的な専門性と人的ネットワークを擁しており、企業らのための国内外のAI、データをはじめとする新技術についての専門的アドバイスをご提供しております。他にもIT産業全般に関する規制動向の把握および官公庁向けの業務、立法コンサルティング、規制の影響力の分析と企業の戦略づくり等に対するリーガル・アドバイスをご提供しております。より専門的な内容やご質問等がございましたら、下記の連絡先までご連絡ください。より詳細な内容について対応させて頂きます。

※ 法務法人(有)世宗のニュースレターに掲載された内容および意見は、一般的な情報提供の目的で発行されたものであり、ここに記載された内容は、法務法人(有)世宗の公式的な見解や具体的な事案についての法的な意見ではないことをお知らせ致します。