20年の網分離はなぜ今になって廃止されたのか
韓国セキュリティの既定値は長らく切ることでした。2006年からインターネット網と業務網を物理的に分離すれば安全だと信じられ、机ごとにパソコンが二台ずつ置かれました。今年5月、国家サイバーセキュリティ基本指針から内部網とインターネット網の分離義務条項が削除されました。20年ぶりの転換です。
廃止の理由こそが核心です。遮断したから安全だったのではなく、もはや遮断できなくなったからです。昨年の通信会社やカード会社の事故を調べると、閉鎖網とされた場所にはどこもインターネットとの接点が存在していました。マイクロソフトの調査では労働者の75%が生成AIを使い、そのうち78%は会社が承認していないツールでした。網はとっくにつながっており、会社だけがそれを知らなかったのです。
真のボトルネックはセキュリティではなくデータ分類だ
網を開くということは、すべてのデータを国家安全・機微・公開の三等級に分けるということです。ところが韓国はこの分類をまともにやったことがありません。現場にやらせると、ほとんどが国家安全級に上げられます。誤って分類して事故になれば責任を問われるため、保守的に最も高い等級を選ぶのです。英国が六等級体系を三等級に縮め、公開可能なデータの範囲を広げるのに三年かかったのも、ここに理由があります。
分類の単位も問題です。診断書という一つのファイルに、公開してよい患者名と機微な住民登録番号が混在していれば、ファイル全体が機微情報として束ねられ、活用度が落ちます。氏名・住所・識別番号のように項目単位で等級をつければ、同じ文書も権限に応じて違って見えます。この自動分類技術の市場は海外にはありますが、韓国にはありません。クラウドにデータを載せたことがないので、分類する機会もなかったのです。
主権AIへの執着が見落としているものは何か
網分離が解かれると、あらゆる領域を国産AIで埋めねばならないという主張がついてきます。しかし全領域に主権AIを強制すれば、公認認証書がたどった道を繰り返すことになります。強制は競争を奪い、競争がなければ技術は淘汰されます。主権AIが本当に必要なのは、外国モデルが断たれたり情報が漏れたりしてはならない国家安全の領域です。一般産業で何を使うかは企業の選択です。
最近話題になったあるセキュリティAIは、独自の基盤モデルを持たず、すでに公開されたLLMをうまく組み合わせるだけで最高水準の性能を出し、そのチームの主力は韓国人でした。競争力は自分のものを持っているかではなく、うまく組み合わせて使う力から生まれるという証拠です。だからこそ、網分離が解かれた跡地で企業が最初にすべきことはAI導入ではありません。自社のデータがどんなデータなのかを分類することです。