個人情報保護委員会は、住民登録番号などの重要な個人情報を大量に扱う公的機関を対象に、個人情報保護の枠組みを事後対応型から事前予防型へ切り替える方針を明らかにした。重点管理システムの指定対象を拡大するとともに、3月まで緊急点検を実施する。

新たな運用方針の柱として掲げたのは、リスクに応じた管理、証憑に基づく点検、点検結果をインセンティブに反映する仕組みの3点だ。形式的な自己点検から脱し、実効性のある事前予防型の管理体制へ移行させる考えだ。

同委員会によると、公的機関は本人の同意の有無にかかわらず、法令に基づいて国民の個人情報を大規模に処理しており、情報漏えい時の影響も大きい。一方で、課徴金などの事後的な制裁だけでは抑止効果に限界があるため、実態点検を先行し、安全管理体制の整備を促す必要があるとしている。

まず、国民の個人情報を大量に処理する8つのシステムを新たに重点管理システムに指定した。対象には、血液情報管理システム（大韓赤十字社）などが含まれる。一方、感染症拡大時に限って運用された疫学調査支援システム（疾病管理庁）は指定対象から外した。

また、既存の重点管理システムに指定されていたWorknetなど3つのシステムが「雇用24」に統廃合されたことに伴い、指定先を雇用24（韓国雇用情報院）に変更した。

これにより、公的部門の重点管理システムは2024年の382システム（57機関）から、2026年には387システム（58機関）へ拡大した。重点管理システムに指定されると、個人情報取扱者への権限付与を人事情報と連動させることや、アクセス記録の自動分析など、通常のシステムより厳格な安全措置の適用が求められる。

同委員会は3月までに、公的機関の重点管理システム387システムに加え、1万人以上の住民登録番号を処理するシステムを対象に緊急点検を行う。最近発生した大規模漏えい事故で確認された主な脆弱要因を洗い出し、是正につなげる狙いがある。

重点管理システムについては、最新のセキュリティパッチが適用されているか、取扱者のアクセス時に電子証明書やワンタイムパスワードなどの安全な認証手段を導入しているか、ログに住民登録番号などの重要情報が残らないよう非識別化措置を講じているかを重点的に確認する。

1万人以上の住民登録番号を扱うシステムでは、安全性の高い暗号化アルゴリズムを用いているか、暗号鍵の管理方式が適切かといった点を点検する。点検で不備が確認された場合は、機関ごとに優先順位を付けて是正を進める。あわせて、リスク水準に応じてコンサルティングなどの改善支援も行い、点検の実効性を高める方針だ。

個人情報保護法では、一定規模以上の住民登録番号など固有識別情報を処理する機関について、安全管理の実態を点検するよう定めている。ただ、これまでは自己点検結果を書面で提出させる形式的な確認にとどまり、調査に強制力もないことから、処理主体の自律に依存しているとの指摘があった。

このため同委員会は、固有識別情報の管理実態点検の趣旨に沿って、公的機関の個人情報ファイル一覧を基に、固有識別情報の種類や処理規模を踏まえてリスクを把握し、点検対象を選定する考えだ。

制度運用に向けては、個人情報ファイル一覧を上期中に更新する。あわせて、26項目ある点検項目も大幅に見直す。固有識別情報にアクセス可能な取扱者への権限付与状況、情報照会時の一部マスキングなどの非識別化措置、暗号鍵の管理実態といった中核項目を中心に、より踏み込んだ点検を実施し、具体的な証憑資料の提出を求める方針だ。

不備が見つかった機関には改善計画の提出を義務付ける。一方、点検結果が優秀な機関には、一定期間の点検免除や表彰といったインセンティブを設ける予定だ。

ソン・ギョンヒ個人情報保護委員長は、「公的機関は、本人の同意がなくても法令に基づき全国民の重要な個人情報を大規模に処理しており、事前予防的な管理が特に求められる領域だ」と述べた。そのうえで、「公的部門を起点に、社会全体に事前予防型の個人情報保護体制が定着するよう、個人情報保護委員会として関連政策を積極的に進めていく」と強調した。