韓国政府が今年下半期から、個人情報侵害のリスク水準に応じて個人情報の取扱分野を高・中・低のリスク群に区分し、管理に乗り出す。プラットフォーム・金融機関・公共機関など高リスク分野を中心に事前点検を強化し、サービス企画段階から個人情報保護を反映する予防中心の管理体制への転換を本格化する。
個人情報保護委員会は22日の経済長官会議で、このような内容の「予防中心の個人情報管理体制転換計画」を発表した。12日に国務会議に報告した計画の後続措置で、個人情報の侵害・流出リスクを事前に識別して管理する予防中心の保護体制への転換を推進するために用意したものだ。
個人情報保護委は、個人情報取扱いの規模とセンシティビティ、産業別の特性を考慮して個人情報取扱分野を高・中・低のリスク群に区分し、差別的な点検および管理を実施する。高リスク群は点検分野を事前に公開したうえで、定期・随時の点検を通じて内部統制の運用実態を点検する方針だ。今年はプラットフォーム、金融機関、公共機関、エドテック、療養病院など、大規模な個人情報またはセンシティブ情報を取り扱う分野を中心に実態点検を推進する。
高リスク群ではない分野には、個人情報影響評価の実施、個人情報保護中心設計原則(PbD)の順守などを誘導する。ただし必要な場合は所管省庁と個人情報保護委が合同点検に乗り出す予定だ。
また9月には個人情報保護責任者(CPO)指定申告制が導入されることから、協会・団体と協力して最新の脅威情報を共有する官民の早期警報体制とホットラインも運用する。モノのインターネット(IoT)機器やエージェントAIなど新技術分野に対する先制点検も強化する計画だ。
個人情報保護委は、個人情報保護をサービスの企画・設計・開発段階からデフォルトで反映するPbD原則も制度化する。IP(アイピー)カメラ、ロボット掃除機など一部製品を対象にPbD認証制度を運用してきたが、適用範囲が特定の製品群に限定されるという限界があった。
PbD原則の普及に向け、企画・設計段階で参照できるガイドと優良事例を用意して配布する予定だ。また、ISMS-P認証など既存の評価・認証基準にもPbD原則を反映する。あわせてISMS-P認証など既存の評価・認証基準にもPbD原則を反映する計画だ.
これとともに、サービスとしてのソフトウエア(SaaS)、クラウド、専門受託者などサプライチェーン全般の管理も強化する。個人情報の流出・不正使用を防ぐための予防型個人情報保護強化技術(PET)の研究開発と専門人材の育成も推進する計画だ。
ソン・ギョンヒ個人情報保護委員長は「関係省庁と協力し、重点分野別の個人情報取扱いの実態と脆弱要因を継続的に点検し、リスクに比例した予防中心の管理体制を定着させていく」と明らかにした。