個人情報保護委員会が、反復的または重大な個人情報保護法違反に対し全体売上高の最大10%まで課す過料的制裁金制度の導入を推進し、団体訴訟に損害賠償請求を含めるなど、制裁と被害救済を大幅に強化する方針である。
個人情報保護委員会は12日、政府世宗コンベンションセンターで開かれた大統領業務報告で、こうした内容を盛り込んだ個人情報保護の制裁体系強化策を発表した。最近、流通・通信など国民生活に密接な分野で大規模な個人情報流出事故が相次いだことを受けた措置である。
個人情報委は、故意または重過失がある場合や被害規模が大きい場合に、制裁金の上限を現行の売上高の3%から最大10%まで引き上げる過料的制裁金の特例を新設する計画だ。これにより、企業の法違反に対する抑止力を強化する構想である。
また、個人情報被害に対する実質的な救済のため、個人情報保護法上の団体訴訟要件に損害賠償請求を含めることにした。現在は権利侵害行為に対する差止請求のみが可能で、金銭的補償には限界があるとの判断からである。消費者団体などの公益団体が代表して訴訟を進める場合、一般の国民の訴訟費用負担も緩和されると見ている。
ソン・ギョンヒ個人情報委委員長は、クーパンなど現在調査中の事件に過料的制裁金の適用が可能かとの質問に「法律が改正されても、過去に発生した事件に遡及適用するのは難しいとみられる」と明らかにした。ただし団体訴訟に関しては「適用可能性がある部分があると判断しており、立法過程でより明確にする計画だ」と述べた。
また、制裁金の算定基準については、前年度売上高を基準とするか、3カ年平均売上を適用するかなどの詳細争点について追加検討が必要だとの立場である。ソン委員長は「国民の利益を保護し、制度の趣旨を生かせる最も合理的な方策を検討し、必要であれば改正を推進する」と説明した。
あわせて、個人情報保護法違反で賦課された制裁金などを国民の被害回復に活用する「(仮称)個人情報被害回復支援基金」の新設も推進する。ただし基金導入の可否は、関係部処と社会的議論を経て共感帯の形成が必要だと付け加えた。
事故企業が自発的に是正方策を提示すれば、これを議決で確定し迅速な被害回復を促す「被害回復型同意議決制度」も導入する方針だ。情報保護・個人情報保護管理体系(ISMS-P)認証については予備審査と現場技術審査を強化し、重大または反復的な法違反が確認される場合は原則として認証を取り消す。
加えて、企業規模と個人情報処理のリスク度に比例して責任を強化し、個人情報保護投資へのインセンティブも制度化する。代表者(CEO)を個人情報の処理・保護に対する最終責任者と明確に規定し、大規模・センシティブ情報を処理する主要機関には個人情報保護責任者(CPO)指定の届出制度導入も推進する計画だ。