NISが企業のサイバー攻撃を調査する前に満たすべき基準は何か？

NISは、捜査を開始する前に外国または国家支援のアクターが関与していることを確認する必要はなく、そのような関与が「疑われる」だけで足りる。関与が「もっともらしい」と主張することが求められるのであり、それが確立されている必要はない。

NISの権限拡大によって最も影響を受けやすい産業はどれか？

「戦略的技術」を保有するとして指定された産業が最も影響を受けやすく、半導体、先端電池、ディスプレイ技術、バイオ医薬品などが含まれる。改正案のサプライチェーンの安定性に関する文言により、物流事業者や決済処理業者も権限の対象となる可能性がある。

韓国でセキュリティ開示要件の義務対象となる企業は現在何社か？

現在、約2,700社の上場企業がセキュリティ開示基準への義務的な適合を求められている。これは、従来対象とされていた約666社から大幅に増加した数字である。

この法制以前、NISは民間部門のサイバーインシデントに対してどのような権限を持っていたか？

法改正以前、NISはサイバーインシデントへの対応において、主に公共部門および防衛関連産業の範囲内で活動していた。以前は企業ネットワーク内への法的な足がかりを持っていなかった。

新たなNIS法制は韓国企業を標的とする外国の脅威アクターだけに関するものか？

そうではない。この法律はNISに対し、国家支援の関与が「疑われる」だけで民間企業を調査する法的権限を与えるため、その影響は外国の脅威アクターにとどまらない。重要なのは、誰が企業を攻撃したかだけでなく、誰が法的にその調査を行う権限を持つかという点である。

韓国NIS、疑惑を根拠に企業へのハッキング調査権限を獲得

韓国の国家情報院（NIS）は、民間部門への介入権限を大幅に拡大しようとしている。韓国の立法委員会を通過した新法により、NISは国家支援または国際的なハッキンググループの関与が疑われるだけで、企業へのサイバー攻撃に介入することが認められた。この韓国NISによる企業監視権限の拡大は、民間部門のセキュリティインシデントを国家安全保障上の問題として再定義し、これまでNISが持っていなかった企業ネットワークへの法的な足がかりを情報機関に与えることになる。

韓国市場で、あるいは韓国市場と連携して事業を展開する企業にとって、その影響は外国の脅威アクターにとどまらない。問題は、誰が企業を攻撃したかだけでなく、今や誰が法的にその調査を行う権限を持つかという点にある。

新たなNIS法制が実際に授権する内容

この法改正以前、NISはサイバーインシデントへの対応において、主に公共部門および防衛関連産業の範囲内で活動していた。今回の改正により、その境界線は大きく移動した。同機関は今後、外国または国家支援の関与を疑う合理的な根拠がある場合、民間企業へのサイバー攻撃に関する情報を収集・分析・共有する権限を持つことになる。

重要なのは、その基準が「確認」ではなく「疑惑」であるという点だ。NISは、捜査を開始する前に国家的アクターが関与していたことを証明する必要はない。そのような関与が「もっともらしい」と主張するだけで足りる。この基準は、迅速な対応という観点からは実用的かもしれないが、自社がいつ政府の監視対象となりうるかを把握しようとする企業にとっては、ほとんど明確性をもたらさない。

また、この法律は、同機関の権限をサプライチェーンの安定性と戦略的技術の分野にまで拡大する。これらのカテゴリーは、半導体や電池製造からロジスティクスやeコマースインフラに至るまで、幅広い産業を包含するほど広範である。

拡大された権限の対象となる企業と産業

韓国政府は、このNIS権限拡大と並行して、情報セキュリティ開示要件の拡大も進めている。別の政府の取り組みとして、従来の約666社から大幅に増加し、約2,700社の上場企業すべてに対し、セキュリティ開示基準への義務的な適合が求められるようになった。この文脈は重要である。なぜなら、今や開示要件への対応を迫られている企業は、サイバーインシデントが発生するたびにNISが関与する可能性にも同時に直面するからだ。

新たな権限の対象となる可能性が最も高い産業は、すでに「戦略的技術」を保有するものとして指定されている分野、すなわち半導体、先端電池、ディスプレイ技術、バイオ医薬品などである。しかし、改正案に盛り込まれたサプライチェーンの安定性に関する文言は、物流事業者、決済処理業者、そして事業が停止した場合に重要な経済インフラ全体に波及しうるあらゆる企業に対して、曖昧さをもたらしている。

韓国に子会社を持つ外資系企業は、特に不確実な立場に置かれている。外国の国家的起源が疑われるサイバー攻撃が多国籍企業のソウル支社を標的とした場合、韓国国境をはるかに超えた範囲に及ぶ内部システムや通信へのNISアクセスを招く可能性が生じた。数千万人ものユーザーの個人情報を流出させ、地政学的問題と企業の説明責任をめぐる議論に急速に発展したクーパンのデータ侵害は、韓国における民間部門のインシデントがいかに迅速に情報機関の利益とビジネスのプライバシーが衝突する領域へと発展しうるかを示した。

監視範囲拡大のリスク：「疑惑」が白紙委任となる場合

「疑惑」という言葉は、この法律の中で非常に重い役割を担っており、まさにそこにプライバシー擁護者や企業顧問が注目すべき点がある。

世界各国の情報機関は、国家安全保障上の脅威を捜査する際に、さまざまな程度の司法的監督のもとで活動している。韓国においてNISは歴史的に大きな裁量をもって運営されてきており、その歴史には国内政治問題への越権行為が記録されている。同機関に民間部門のインシデント対応への低い閾値での介入を認めることは、調査権限が本来のセキュリティ上の懸念をはるかに超えて拡大しうる条件を生み出す。

捜査当局が国家安全保障上の理由から企業ネットワークにアクセスする場合、観察できる範囲が特定の攻撃の技術的痕跡に限定されることはほとんどない。従業員のコミュニケーション、ビジネス戦略、クライアントデータ、独自プロセスがすべて可視化される。NRLキャピタルレンドの侵害のような事例で露呈した機密ローン記録のような金融データを含む侵害を経験した企業にとって、疑惑を根拠とした権限のもとで情報機関が同じシステムにアクセスする可能性は、元のインシデントに加えて第二の露出リスクをもたらす。

NISが保持できる情報を規律する強固な司法承認要件やデータ最小化ルールがなければ、サイバーセキュリティ対応と情報収集の境界線を引くことは困難になる。

国家レベルの監視から機密業務を守るために企業ができること

韓国で事業を展開する企業は、正当な政府の監督をオプトアウトすることはできないし、合法的な調査を妨害しようとすべきでもない。しかし、組織が業務上の露出を適切な範囲に抑え、機密データを適切に分離するために講じられる有意義な措置は存在する。

第一に、データアーキテクチャを見直すことである。機密性の高いコミュニケーション、知的財産、クライアント記録は、横断的なアクセスを制限する方法で保存・送信されるべきだ。調査が自社のシステムに及んだ場合でも、適切なコンパートメント化により、調査の範囲を限定することができる。

第二に、脅威モデルを更新することである。多くの企業の脅威モデルは外部の攻撃者に焦点を当てている。この法律は、脅威モデルが政府アクセスのシナリオも考慮すべきであることを示している。具体的には、どのように対応するか、どの法律顧問を確保するか、どのデータカテゴリーが最も厳格な保護を必要とするかについて検討することが求められる。

第三に、VPNと暗号化のポリシーを改めて精査することである。エンドツーエンドの暗号化通信とネットワークレベルの保護は、あらゆる形態の政府アクセスを防ぐことはできないが、一括データ収集のコストと複雑さを高め、アクセスが受動的な観察ではなく意図的な標的設定を必要とするものとなるよう担保する。

最後に、韓国の裁判所や監督機関が新しい「疑惑」基準をどのように解釈するかを、判例が形成されるにつれて注視すべきである。この法律のもとでのNIS権限の実際の限界は適用を通じて定義されていくため、初期の判断が権限の行使の積極性を左右することになる。

あなたにとっての意味

韓国は重要なテクノロジー・貿易のハブであり、この法改正は韓国に相当の拠点を持つあらゆる組織に影響を及ぼす。NISによる企業監視の拡大は、ソウルのすべての企業が差し迫った情報機関の監視に直面することを意味するわけではないが、関与のルールが変わったことを意味する。

核心的な教訓は明快だ。もし自社が韓国市場で事業を展開しているなら、企業データがどのように保存・送信・保護されているかを今すぐ見直すべき時である。韓国の国家安全保障法に精通した法律顧問との関係を構築すること。外部の攻撃ベクターと並んで政府アクセスのシナリオを含めた現実的な脅威モデルを実施すること。そして、この動向をより広いパターンの一部として捉えること。韓国だけが民間部門のサイバーインシデントへの情報機関の介入権限を拡大しているわけではないからだ。

企業のプライバシーと国家安全保障の交差点は、遠い政策論争の話ではない。韓国で事業を展開する企業にとって、それは日々の実務的な考慮事項になりつつある。