韓国政府が、個人情報保護政策を事後対応型から予防型へ切り替える。個人情報保護委員会は5月22日、個人情報の侵害・漏えいリスクをあらかじめ把握して管理する体制に移行すると発表した。2026年下半期からは、個人情報の処理分野をリスク水準に応じて区分し、実態点検を本格化する。

同委員会は同日、経済長官会議で「予防中心の個人情報管理体制への転換計画」を公表した。5月12日に国務会議へ報告した内容を受けた後続施策で、事故発生後の対応ではなく、リスクの事前識別と管理に軸足を移すのが狙いだ。

政府は、個人情報の処理規模や機微性、産業ごとの特性を踏まえ、個人情報を扱う分野を高・中・低リスクに区分する。これに応じて、点検や管理の重点も分ける方針だ。

高リスク分野については、点検対象を事前に公表したうえで、定期・随時の点検を通じて内部統制の運用実態を確認し、事故の未然防止を図る。2026年は、プラットフォーム、金融機関、公共機関、エドテック、療養病院など、大量の個人情報や機微情報を扱う分野を中心に実態点検を進める。

高リスク分野以外では、個人情報影響評価の実施や、プライバシー・バイ・デザイン（PbD）原則の順守を促す。9月に個人情報保護責任者（CPO）の指定申告制を導入するのに合わせ、CPO協議会など関連する協会・団体との連携も強化する。最新の脅威情報を迅速に共有するホットラインを設け、類似事故への事前対応を促す考えだ。

IoT機器やエージェント型AIなど新技術分野についても、想定される侵害リスクを先行的に点検し、個人情報保護の死角が生じないよう管理する。

あわせて、サービスの企画・設計・開発段階から個人情報保護を組み込むPbD原則の制度化も進める。原則の普及に向けては、個人情報保護法の改正とあわせ、企画・設計段階で参照できるガイドラインや優良事例を整備・配布するほか、ISMS-P認証など既存の評価・認証基準にもPbD原則を反映する。

企業が個人情報保護法の最低基準を満たすだけでなく、実効性のある保護投資を拡大できるよう、情報保護に関する公示などを通じて、個人情報保護活動の積極的な開示も後押しする。さらに、大量の個人情報が集積するSaaS、クラウド、専門受託事業者などを含むサプライチェーン全体の管理を強化し、漏えいや不正利用を防ぐ個人情報保護強化技術（PET）の研究開発と専門人材の育成も進める。

ソン・ギョンヒ個人情報保護委員会委員長は「関係省庁と連携し、重点分野ごとの個人情報処理の実態と脆弱要因を継続的に点検する。リスクに見合った予防型の管理体制を定着させていく」と述べた。