[박춘식 교수의 보안이야기] 일본 정부는 24일, 정보시큐리티정책회의(의장:관방장관)를 열고 정부가 설비 조달 등의 계약을 기업과 맺는 경우, 정보보전대책을 요건으로 하는 것을 결정하였다.　
 
계약에서 안전 대책에 대한 경영자의 관여와 정보 유출의 보고를 의무화했다. 미쓰비시중공업에 대한 사이버 공격에서는 정부에 대한 보고가 늦었다는 것을 근거로 기업과의 연락 체계를 강화하고 정보 유출 등의 피해가 확산되는 것을 방지하도록 하였다.
 
내각관방부장관이 24일 전 부성청에 이러한 사실을 통보하였다. 정부는 지금까지는 정보 시스템의 외부 위탁처에 한해서 정보보전대책을 요구하였다. 앞으로는 나라의 안전에 관한 중요한 정보를 취급하는 거래로 확대하며 일반적인 물품의 구입 등도 대상이 된다.
 
구체적인 내용은 각 부성청이 지금부터 계속해서 만들어 나가도록 하였다. 방위 산업 외의 정부의 청사를 건설한 건설회사나 기밀정보에 관한 컴퓨터 등을 운송하는 업자와 같은 업종이 대상이 될 전망이다. 계약서에는 기업 내에 정보시큐리티 사고의 방지나 긴급대응을 담당하는 조직의 설치를 요구하고 있다. 동 조직에 경영자가 관여하고 책임을 명확하게 하는 내용도 포함되었다. 실무 담당자로는 정보처리의 자격을 가진 전문가를 두도록 하고 있다. 　
 
정부는 사이버 공격의 보고 의무가 발생하는 예로써 스팸메일을 받은 것만으로는 필요하지 않다. 정보 유출이나 그러한 우려가 있는 기업이 인식한 경우로 하고 있다. 단지 기업측에는 사이버공격은 매일 일어나고 있다. 보고할 필요가 있는 기준을 명확하게 해 둘 필요가 있다. 해외 거점도 포함해서 파악, 보고하는 작업이 번잡하게 된다 등의 목소리도 있다. 각 부성청이 구체안을 만들 때의 과제가 될 것 같다. (일본경제신문 2012.01.24)
[박춘식 서울여자대학교 정보보호학과 교수]