ISMS-P(情報保護・個人情報保護管理体系)の認証を受けた企業で相次いで個人情報流出事故が発生し制度の実効性をめぐる論争が拡大するなか、ソン・ギョンヒ個人情報委員長が認証方式全般を見直すと明らかにした。クーパンも2回にわたり認証を維持した状態で大規模流出を含む複数件の事故が発覚し、問題が一段と浮き彫りになった。
ソン・ギョンヒ個人情報委員長は3日、国会政務委員会の懸案質疑で「ISMS-Pが基本的なセキュリティ水準を引き上げる効果はあったが、体系的に補完すべき部分が多い」と述べた。キム・ヨンマン共に民主黨議員が「認証企業263カ所のうち27カ所で33件の流出が発生した」と指摘すると、ソン委員長は現行手続きが書面審査と一部サンプリングに偏っていると認め、改善の方向性を説明した。
ソン委員長は「予備審査の導入と現場審査の拡大を検討中だ」とし、「認証後も毎年の模擬ハッキングなどを通じて基準遵守の可否を確認し、基準を深刻に満たさない企業は認証取消しも推進する」と明らかにした。
予算反映の問題を問う質疑には「増額は実現しなかったが必ず推進する」と答えた。ユ・ヨンハ国民の力議員が「強化すると言いながら変化がない」と批判すると、ソン委員長は「科学技術情報通信部と制度改善TFを構成して改善案を協議中であり、事故が起きた認証企業24カ所を12月中に現場調査する」と述べた。
懲罰的損害賠償制の実効性も俎上に載った。キム・スンウォン共に民主黨議員は「クーパンの年商が41兆ウォンである以上、最大1兆2000億ウォンまで課徴金賦課が可能で、懲罰的損害賠償は6兆ウォンまで適用できる」と言及した。ソン・ギョンヒ委員長は「関連規定がある」と答えたが、この制度は2015年導入以降「故意・重過失の立証」但し書きのため、実際の適用例が一度もなかった。
ソン委員長は「課徴金強化を含め、懲罰的損害賠償制度の実効性を高める方策を用意する」と明らかにした。