韩国个人信息保护委员会表示，将从大规模处理居民登记号码等重要个人信息的公共机构入手，强化以事前预防为核心的管理机制。

为推进相关工作，委员会提出三项原则，即“风险导向”“证据核查”以及“检查结果与激励措施挂钩”，并将据此完善事前预防性管理体系。

委员会解释称，公共机构依据法律法规，在无需取得信息主体同意的情况下即可大规模处理国民个人信息，相关风险较高；而过去以罚款等事后处罚为主的监管方式效果有限，因此决定优先推进现状检查和安全管理体系建设。

在具体措施上，委员会新将8个个人信息处理规模较大的系统纳入“重点管理系统”，其中包括大韩红十字会的血液信息管理系统。另一方面，此前在传染病扩散期间限时使用的流行病学调查支援系统（疾病管理厅）不再纳入指定范围。此外，随着Worknet等3个既有重点管理系统并入Employment 24，委员会同步将相关指定调整为Employment 24（韩国就业信息院）。

经调整后，公共部门重点管理系统数量将由2024年的382个系统（57家运营机构）增至2026年的387个系统（58家运营机构）。纳入重点管理后，相关系统在权限管理与人事信息联动、访问日志自动分析等方面，需执行高于一般系统的安全要求。

委员会计划在3月底前，对公共机构387个重点管理系统，以及处理1万人以上居民登记号码的系统开展紧急检查，重点排查近期重大泄露事件中暴露出的安全薄弱环节。针对重点管理系统，检查内容将包括是否已应用最新安全补丁、访问环节是否采用证书和一次性密码等安全认证方式，以及访问日志是否经过脱敏处理，避免记录居民登记号码等敏感信息。

对于处理1万人以上居民登记号码的系统，委员会将重点检查是否采用安全加密算法，以及密钥管理是否规范。对检查中发现的问题，各机构需优先完成整改；委员会也将根据风险程度提供咨询等改进支持，以提升检查实效。

根据《个人信息保护法》，韩国个人信息保护委员会有义务对处理一定规模以上居民登记号码等唯一识别信息的机构开展安全管理现状检查。委员会指出，过去相关检查多停留在提交自查书面材料的形式层面，且调查本身缺乏强制力，因此外界普遍认为该制度较大程度依赖处理机构自律。为回归唯一识别信息安全检查的制度初衷，委员会今后将依据公共机构个人信息文件清单中所列唯一识别信息类型及处理规模等因素，按风险高低确定检查对象。

为此，委员会计划在上半年更新个人信息文件清单，并对现有26项检查指标进行大幅调整。新的检查将围绕核心项目展开，包括可访问唯一识别信息的权限授予情况、信息查询过程中是否采取部分遮蔽等脱敏措施，以及密钥管理现状等，同时要求机构提交具体证明材料。对存在不足的机构，委员会将强制其提交整改计划；对检查结果优秀的机构，则将给予一定期限的免检和表彰等激励。

韩国个人信息保护委员会委员长Song Kyung-hee表示，公共机构依法可在无需本人同意的情况下，大规模处理国民的重要个人信息，因此更需要强化事前预防性管理。委员会将以公共部门为起点，积极推进“以事前预防为核心”的政策方向，推动相关个人信息保护体系在全社会落地生根。