個人情報保護委員会はSKテレコムの過怠金不服訴訟に積極的に対応し、米国の政界を前面に立てて「韓国政府が米国企業のクーパンを魔女狩りしている」といった主張を展開しているクーパンに対し、「国内企業、海外企業を区別せず個人情報保護法違反の有無を原則どおり徹底して調査し、処分を下す」と明らかにした。
最近SKテレコムが個人情報委から科された1300億ウォン台の過怠金が不当だとして取り消し訴訟を提起したことについて、ソン・ギョンヒ個人情報保護委員長は21日「個人情報流出による金融被害がなく不当な利得を得ていないため過怠金が不当だという主張は論理に合わない」と述べ、このように語った。
ソン委員長はこの日、ソウル中区プレスセンターで開かれた新年記者懇談会で「米国や欧州連合(EU)など海外の事例だけを見ても、大規模な個人情報流出に科す過怠金は企業が個人情報を適切に管理できなかったことに対する責任を問う性格だ」とし、「SKテレコムの過怠金は複数の法的事項を徹底的に検討し前提として出た処分であるため、取り消し訴訟に積極的に対応する」と強調した。
先立って個人情報委は昨年4月、ハッキング攻撃で2700万人に達する顧客の個人情報流出事故を起こしたSKテレコムに過怠金1347億9100万ウォンと過料960万ウォンを科した。これは個人情報委が国内企業に科した過去最大規模の過怠金で、2022年のグーグル(692億ウォン)・Meta(メタ)(308億ウォン)に科した過怠金を上回った。
SKテレコムは19日、過怠金が類似事例と比べ過度だとして個人情報委を相手取り処分取り消し訴訟を起こした。ハッキング事故後に補償案と情報保護革新案の策定に総額1兆2000億ウォンを投入した点、流出による金融被害がなかった点などを考慮すべきだというのがSKテレコム側の立場だと伝えられている。
ソン委員長はクーパンの大規模個人情報流出事態についても「調査が相当程度進んだ」とし、「確かなのは3000万人を超えるクーパン会員の個人情報が流出し、ここに(加入者が入力した家族など未加入者の配送先住所、電話番号など)非会員情報まで加われば規模がさらに拡大するとみられる」と述べた。クーパンが自社の調査結果として、知られている流出規模の1万分の1水準である3000人の個人情報のみが流出したと発表したことに対する反論である。
クーパンの対応を巡る論争については「既存の個人情報流出事業者や機関と比べると(クーパンの対応が)不十分だったのは事実だ」としながら、「個人情報委は個人情報保護法違反の有無に基づいてクーパンを調査し処分を下すもので、これは海外事業者であれ国内事業者であれ関係なく同じように適用される」と強調した。
ハッキング被害の疑いで一部サーバーを再設置したり廃棄した事実が確認されたLG U+については「極めて深刻な問題だと認識している」とし、「(今後同様の事態を防止するため)強制調査権、資料保存命令などを盛り込んだ法案を用意している」と述べた。
さらに昨年、個人情報流出事故を経験したKT、ロッテカード、ネットマーブル、教員グループなどに対する調査も現在進行中で「遠くない時期に終結する」と付け加えた。
この日で就任100日を少し過ぎたソン委員長は「昨年、個人情報委が最も注目を集めた部分は、残念ながら通信会社、小売プラットフォームなど国民生活に密接な分野で発生した大規模な個人情報流出事故だった」と述べた。ソン委員長は「これら企業は大量の個人情報を保有しているだけに、それに見合う高水準の保護措置が求められるが、実際の調査過程で確認された多くの事故は先端的なハッキング手法というより、基本的な管理・点検・統制の不在に起因する場合が少なくなかった」と指摘した。
ソン委員長は「これは個別企業の問題だけでなく、事後対応に偏重してきた既存の保護体制の構造的限界を示す側面もある」とし、「特に人工知能(AI)と自動化技術が拡散した環境では、個人情報侵害が発生した後に調査し処罰する方式だけでは国民を実質的に保護することは難しい」と述べた。AI基盤のサービスやプラットフォーム環境では、一度の管理失敗が短期間に大規模・連鎖的な被害へと拡散し得て、事故を認知して対応した時には既に個人情報が複製・流通した後である場合が多いという説明だ。
続けて「個人情報の保護体制を事後制裁ではなく事前予防方式へ転換する」と強調した。組織とインフラの面で予防機能を強化するため、昨年末に事前予防を専担する部署を設置し、フォレンジックセンターも新設した。ソン委員長は「今年は技術分析センターを構築し、主要分野に対する事前実態点検と予防的措置が適切に実施されるようにする」と述べた。
ソン委員長は事前予防中心の体制への転換が制裁の弱体化を意味するものではないと強調した。ソン委員長は「重大・反復違反に対しては全体売上高の最大10%に達する過怠金を科す懲罰的過怠金特例を導入する方案を推進中だ」とし、「これは処罰を強化する目的ではなく、個人情報保護を企業の選択ではなく経営の前提条件として認識させる構造的装置だ」と説明した。
また、企業が先制的に個人情報保護へ投資し予防措置を着実に履行した場合には、過怠金の減免などの恩典を与えるインセンティブ制度の法的根拠を確保すると付け加えた。
あわせて個人情報保護の責任構造自体を根本的に強化するため、最高経営者(CEO)の個人情報保護に対する最終責任を明確にし、個人情報保護責任者(CPO)の権限強化とCPO指定申告制の導入などを含む法改正も推進中である。
このほか、ディープフェイクなどAI時代の新たな個人情報侵害の脅威にも継続的に対応する観点から、個人情報処理基準に関する研究も強化する計画だ。