今年9月から、反復的または重大な個人情報流出事故を起こした企業に対し、売上高の最大10%まで過料が科される。
個人情報保護委員会は、この内容を盛り込んだ「予防中心の個人情報管理体制への転換計画」を大統領主宰の国務会議で報告したと12日に明らかにした。
9月11日施行予定の改正個人情報保護法によると、反復的または重大な保護法違反行為については、売上高の最大10%まで過料を科す。故意・重過失で3年内に反復された事件、または1,000万人規模以上の個人情報流出被害が発生した場合が対象だ。
過料の算定基準は、19日に施行される改正施行令により、現行の「直近3年平均売上高」から「直前年度売上高」と「直近3年平均売上高」のうち高い金額を適用する方式へと変わる。さらに迅速な調査と処分のために履行強制金と通報報奨金制度も導入する。証拠隠匿行為に対する制裁も強化する計画だ。
ただし零細企業の軽微な違反は再発防止と改善のために是正の機会を付与する予定だ。改正保護法や施行令はいずれも以後に起きた事件から適用されるため、現在調査中のクーパンやKTの事件に適用するのは難しい方針だ。
あわせて、企業の実質的な責任経営を強化するため、先制的な保護措置、積極的なセキュリティ投資などの有無を評価し、過料の減免などのインセンティブを提供する予定だ。
政府は、リスク水準に応じて差別的に管理する「リスクベース管理体制」も構築する。主要公共システム387件と、教育・福祉などの高リスク分野は個人情報保護委が集中的に管理する。また、クラウド事業者と専門受託会社、システム供給会社などサプライチェーン全般へと点検範囲を拡大する予定だ。
個人情報影響評価基準とISMS-P認証基準にもこれを反映する計画だ。あわせて公共部門の個人情報保護人員と予算を拡充し、個人情報保護の専任人員の処遇改善も推進する。個人情報保護委が3月に実施した公共システムの緊急点検結果によると、個人情報保護人員は中央で1.1人、基礎地方政府で0.3人水準にとどまる。
国民の被害救済のため、法定損害賠償制度も活性化する。個人情報流出事故発生時には企業・機関の損害賠償責任を原則とし、立証責任も企業が負う方針だ。また、ダークパターンのように個人情報の修正や同意撤回、会員脱退を困難にする行為を重点点検し、個人情報侵害申告センターの機能も強化する。
センシティブ情報が流出した場合には、ソーシャルメディア(SNS)などで違法流通の有無をモニタリングし、検知・削除を支援する。捜査機関と協力し、個人情報の違法流布者と利用者に対する追跡・処罰も強化する方針だ。
ソン・ギョンヒ個人情報保護委委員長は「個人情報保護委は今後、事後責任に加え、事前予防がうまく機能する体制を構築し、国民の情報をより安全に守り、国民が信頼できる個人情報活用環境をつくっていく」と述べた。