韓国もたどった「規制・罰則強化」の流れは日本でも?
一方、日本のマイナンバーは韓国の住民登録番号とは異なり、ID自体には本人を特定できる情報は含まれていない。この点だけに注目すれば、マイナンバー利用範囲の拡大による個人情報漏えいリスクは低いようにも思えるが、今後マイナンバーが銀行口座など外部の様々な情報と紐づけられると個人情報が特定されるリスクが高まるとも言われている。
「そうなれば、日本もかつて韓国がたどったように、国民IDの普及を機に大規模な個人情報漏えいが発生するリスクが高まると予想されます。現在の日本の法律では、個人情報の暗号化措置は推奨事項とされています。しかし、いずれは韓国と同じように、法律で義務化されるのではないかと思います」と、イ氏はかつて韓国が歩んだ道を、今後日本もたどるのではないかと警鐘を鳴らす。
またイ氏は、韓国企業と比べた場合の日本企業のセキュリティ対策の特徴について、次のように指摘する。
「日本企業はPCなどへのサイバー攻撃をブロックするためのエンドポイントセキュリティ対策にはかなり力を入れている半面、サーバーを守るための対策は比較的手薄な印象を受けます。本来ならエンドポイント対策が突破された場合に備えて、サーバー上のデータを暗号化したり、それらに対するアクセス制御をしっかりと管理したりする必要があります」
韓国では、万が一インシデントが発生した場合、真っ先に企業による説明責任が求められると同時に、法律によって企業の経営トップの責任が厳しく問われる。過去には、深刻なインシデントを引き起こした企業の経営トップが逮捕される事態にまで発展したケースもあったという。
日本でも先般の個人情報保護法改正で罰則が厳しくなったものの、海外と比べると企業に課せられる罰則は軽く、また経営トップが重い罪に問われることもない。裏を返せば、日本ではこれまで、韓国が経験したような大規模な個人情報流出が続発するような最悪のケースを回避できているととらえることもできる。今後、官民双方でデータ流通がさらに加速するであろうことを考えると、日本も徐々に海外に倣って規制や罰則を強化していくことも十分予想される。
