ソン・ギョンヒ個人情報保護委員長は5日「深刻な事故が発生したり、繰り返し個人情報流出が起きるなど国民の基本権を侵害し得る行為に対しては厳格に処罰する」と明らかにした。
ソン委員長は同日午後、政府ソウル庁舎で開かれた記者懇談会で「そのような事案については規制を追加で設けることもあり得る」と述べ、このように語った。ソン委員長は個人情報流出事故の対応パラダイムを事前予防中心へ転換すると明らかにしたことについて「事前予防というのは決して事前規制の意味ではない」とし「事前予防体制を事前規制と誤解してはならない」と強調した。
一方で「個人情報委が今後新たな規制を多数設ける可能性があるとの懸念が出ている」との質問には「規制で得られる利益が費用より大きくなければならない」とし「どのような規制を設ける際にも慎重に検討するという意味だ」と答えた。
ソン委員長は「どれだけ予防に投資しても100%防ぐことはできないという現実を知っている」とし「事故が起きても努力した企業についてはそれを認めるということであり、規制よりも自発的に参加できる体制を誘導しようとするものだ」と説明した。個人情報委は個人情報流出事故の対応パラダイムを事後制裁ではなく事前予防体制へ転換する方針を継続して強調してきた。懲罰的課徴金制度の導入など、より実効性のある制裁手段を中長期的に検討する立場も明らかにしている。
最近示されたSKTの紛争調停案に関してソン委員長は「紛争調整委は個人情報保護法に基づき独立的に運営される機構だ」とし「個人が全体的な補償の観点で十分な補償を受けられなかったときに併せて作動する構造だ」と説明した。個人情報紛争調整委員会は3日、3998人の加入者がSKTを相手取って申請した紛争調停に対し、各30万ウォンの損害賠償金を支払うよう勧告した。KTの個人情報流出事件に関しては「まだ調査が進行中であり、終わり次第明確に説明できるだろう」と明らかにした。
最近のSKT個人情報流出事件のほか、KT、ロッテカード、SKシールダスなど大型案件の調査が相次ぎ、個別事件の調査・処分決定が遅延しているとの指摘も出た。これに対しソン委員長は「調査が相当数進んでいるのは事実だ」とし「全般的な事故の規模や個人に及ぼす影響を勘案し、限られた人員を配分して調査しているため、軽微な案件の処分に時間がかかる側面もある」と答えた。続けて「2022年の調査官数は31人だったが、現在も変動がない」とし「一方で処分件数は56%、事故規模は500%以上増えた」と付け加えた。
ISMS-P(個人情報保護管理体系)制度に関しては「最近、認証を受けた企業でも事故が発生し『認証に実効性があるのか』という批判が提起されている」とし「ISMS-PはISMSと異なり義務ではないが、認証を受けた企業の保護水準は全般的に向上した」と明らかにした。続けて「認証制度だけであらゆる事故を防ぐことはできないが、企業のセキュリティ水準を高めるうえで一定部分寄与してきた」とし「書面審査にとどまっていた手続きを改善して現場・予備審査などを導入し、認証後は年1回の模擬ハッキングや事後審査を実施する計画だ」と付け加えた。