情報セキュリティリスク

ISMS-P未取得LMSが
委託元企業に及ぼすリスク

LMSが扱うのは人事情報・学習ログ・機密コンテンツです。認証のない事業者を選定した場合、情報漏洩時のリスクは委託元企業が負います。

売上高の3%
情報漏洩時の
最大課徴金(2023年改正)
最大2年
個人情報保護法第71条
懲役上限
99.1点
タッチクラス
大手保険会社ベンダー監査
導入のお問い合わせ 提案書をダウンロード
データの機密性

LMSが扱う
機密データの範囲

  • 社員の氏名・社員番号・部署・役職・メール・電話番号が人事システムとリアルタイム連携されます。LMSは実質的に人事DBのレプリカとして稼働するため、漏洩すればフィッシング・ソーシャルエンジニアリングの標的になります。

  • ログイン時刻・修了率・評価スコア・反復誤答・離脱ポイントなどから個人の能力が詳細にトレース可能です。人事評価に間接的に影響するため、機密度は高く扱う必要があります。

  • 発売前の製品研修資料、営業戦略の資料、役員ライブセッションの録画がLMSに保管されます。外部に流出すれば事業戦略の漏洩に直結します。

  • ハラスメント防止・個人情報保護・職場いじめ防止などの法定研修の修了記録は、雇用労働部の監査や法的紛争で証拠として使われます。改ざん防止の仕組みがなければ、修了記録の法的有効性が争点になります。

人事連動学習者データ ⚠ 個人情報含む
氏名 社員番号 部署 役職 メール
金 H. TC-**** 営業2チーム 課長 h.kim@****.com
李 S. TC-**** 人事チーム 主任 s.lee@****.com
朴 M. TC-**** 財務チーム 次長 m.park@****.com
崔 J. TC-**** マーケティングチーム 社員 j.choi@****.com
人事システムリアルタイム連動中
全社員数:3,240名 · 最終同期:00:05
個人学習分析 — 金H. 課長
73点
平均評価スコア
62%
修了率
3回
再受験回数
科目別スコア分布
コンプライアンス
88
営業戦略
71
製品知識
54
リーダーシップ
79
弱点分野:製品知識 · 再受験を推奨
研修コンテンツライブラリ 合計:218件
2026年 新製品発売戦略研修.mp4
営業本部 · 発売D-14 · 3,240名アクセス可能
機密
Q2営業戦略キックオフセッション録画.mp4
戦略企画室 · 2026.03.15 · 役員/部長級
極秘
CEO経営方針ライブクラス.mp4
秘書室 · 全社 · 12,840アクセス記録
社内用
個人情報保護法定研修2026.pdf
コンプライアンスチーム · 全社 · 修了の法的証拠
必修
法定研修修了状況 — 2026年第1四半期
職場いじめ防止研修
雇用労働部 · 年1回必修
修了
セクシャルハラスメント防止研修
女性家族部 · 年1回必修
修了
個人情報保護研修
個人情報保護委員会 · 年1回必修
進行中
障害者認識改善研修
雇用労働部 · 年1回必修
未修了
修了記録のデジタル署名 + タイムスタンプ保証
改ざん不可 · 監査官検査時の有効な法的証拠
法的・財務的リスク

情報漏洩時に
発生する法的帰結

  • 2023年改正の韓国個人情報保護法により、安全措置義務違反による情報漏洩が発生した場合、関連売上高の最大3%または20億ウォンの課徴金が課されます。ISMS-P認証の利用は、委員会審議で軽減事由として考慮されます。

  • 個人情報保護法第71条は、安全措置義務違反による情報漏洩に対して2年以下の懲役または2,000万ウォン以下の罰金を定めています。認証のないLMSを導入した場合、導入意思決定者に刑事責任が及ぶ可能性があります。

  • 電子金融監督規程により、金融機関は個人情報を扱う外部委託システムのセキュリティ水準を検証する義務を負います。金融監督院の検査でISMS-P未取得のLMSを利用していることが判明すると、機関警告・役員問責・過料の対象となります。

  • 研修未修了や低評価スコアの情報が漏洩すると、社員と組織の双方に不可逆な影響を及ぼします。研修データの漏洩は、一般的な個人情報漏洩以上に職業上の信用に直接ダメージを与えます。

過料計算シミュレーション
⚠ 個人情報保護法第64条の2 過料
2023.09.15施行 · 違反関連売上高基準
年間売上高(例) 500億ウォン
過料率 × 3%
算出過料額 15億ウォン
最大上限額 20億ウォン
ISMS-P認証は過料軽減事由として認定
個人情報保護委員会の審議で軽減可能
個人情報保護法第71条(刑事罰)
⚖ 違反行為に対する刑事罰基準
安全措置義務違反による情報漏洩 — 2年以下の懲役または2,000万ウォン以下の罰金(個人および法人)
両罰規定:違反行為者と法人の双方が処罰対象
責任帰属基準(判例要約)
未認証プラットフォームを導入した意思決定者
脆弱性を認識しながら対応を遅延させた担当者
セキュリティ監査の指摘事項を無視した経営層
金融監督院の制裁種類
電子金融監督規定違反
1
機関警告
金融委員会の公式警告 · 公示義務
2
役員問責
CIO、CISOなどセキュリティ担当役員への個人制裁
3
過太料
ベンダーセキュリティ管理の不備 · 最大3,000万ウォン
+
一部業務停止
繰り返し違反の場合、サービス停止命令の可能性
研修データ漏洩 — レピュテーション被害シミュレーション
[仮想シナリオ]
営業2チームの評価スコアが外部に漏洩 —
特定の社員が「下位10%パフォーマー」と特定
漏洩後の信頼回復シミュレーション(職業的信用)
漏洩前
92
漏洩D+1
28
3ヶ月後
41
1年後
55
研修データ漏洩は社員の信頼に回復不可能なダメージを与えます

数字で見るリスク

LMSのセキュリティ不備に起因する法的・財務的コスト。

3%
最大課徴金率
違反関連売上高基準
20億ウォン
課徴金上限額
2023年個人情報保護法改正
2年
懲役上限
個人情報保護法第71条
99.1
タッチクラスのスコア
大手保険会社ベンダー監査

セキュリティリスクを診断しませんか。
タッチクラスが評価資料をご提供します。

導入のお問い合わせ