個人情報保護委員会は5月12日、個人情報保護の管理体制を事後対応中心から事前予防型へ転換する計画を、大統領主宰の国務会議に報告した。2026年下期からは、主要な公共システムや大量の個人情報を扱う約1700の高リスクシステムを定期点検の対象とし、先行して保護対策に投資した企業・機関には一定の優遇措置を講じる。

同委はあわせて、反復的または重大な個人情報保護法違反に対し、売上高の最大10％を課徴金として科す方針を示した。経済制裁の実効性を高め、違反抑止につなげる狙いだ。

課徴金の算定基準も見直す。現行の「3年平均売上高」ではなく、「直前年度売上高」と「3年平均売上高」のいずれか高い額を基準とする。迅速な調査と処分に向け、履行強制金制度も導入する。

証拠隠滅への制裁も強化し、通報報奨金制度も新設する。零細企業による軽微な違反については、再発防止と改善に向けた是正機会を与える一方、違反を繰り返す場合は厳正に対処する。

企業の自主的な保護投資を促し、リスクベースの管理体制を構築する方針も打ち出した。形式的な法令順守にとどまらず、実効性のある保護水準の引き上げや責任ある経営体制の整備を後押しする。

法定基準を上回る先制的な保護措置、積極的なセキュリティ投資、安全管理体制の実効的な運用状況などを総合的に評価し、課徴金の減額などのインセンティブを与える。9月に施行される経営陣の個人情報保護責任についても、企業の保護活動の開示を促し、着実な履行につなげる考えだ。

委員会側の監督体制も、リスク水準に応じて重点を変えるリスクベース型へ改める。主要公共システム387件に加え、教育・福祉などの高リスク分野については、同委が直接重点管理する。

企業や産業全体の個人情報保護競争力を高めるため、点検対象はクラウド事業者、専門受託会社、システム供給会社を含むサプライチェーン全体へ広げる。委員会は現在、互助会社や顧客相談センターなどを点検しており、結果を早期に取りまとめた上で、不備が確認された事項について是正を勧告する予定だ。

個人情報の処理環境が複雑化するなか、サービス公開後の対応だけでは侵害の把握や防止に限界があるとして、システム設計段階から個人情報保護を組み込む方針も示した。

このため同委は、サービスの企画・設計段階からプライバシー・バイ・デザイン（PbD）の原則を反映できるよう制度化を進める。個人情報影響評価の基準とISMS-P認証基準に、個人情報保護を中心に据えた設計原則を盛り込む。

同委が2月に実施した現況調査では、公共部門で個人情報保護に関わる人員と予算が不足している実態も確認された。関係省庁と連携して専担人員と予算を拡充し、官民協力で全体の保護水準を引き上げる。専担人員の処遇改善も進める。

また、立証責任を企業側に負わせることで、法定損害賠償制度の活用も後押しする。利用者を欺いたり誤認させたりして、個人情報の修正、同意撤回、退会を難しくするダークパターンについては、重点的に点検する。

個人情報侵害申告センターについても、専門相談やコンサルティング、被害救済支援などの機能を強化する。機微情報が流出した場合には、SNSなどでの違法流通の有無を監視し、検知と削除につなげる。

捜査機関とも連携し、個人情報の違法流布に関与した者やその利用者を最後まで追跡し、厳正に処罰する方針だ。

ソン・ギョンヒ委員長は「個人情報は一度流出すると、被害を完全に回復するのは難しく、元に戻すまでにも長い時間がかかる」と述べた。その上で「事後責任の追及に加え、事前予防が機能する体制を整え、国民の情報をより安全に守り、信頼できる個人情報活用環境をつくっていく」と語った。