個人情報保護委員会は6月2日、個人情報漏えい事故の未然防止と対応を強化するため、個人情報保護法施行令の一部改正案を予告した。CPOの指定・変更・解任時に必要となる取締役会決議と届出の基準に加え、ISMS-P認証の義務対象範囲、漏えいのおそれがある段階での通知要件などを明確にする。意見募集は7月13日まで。
9月11日に施行される改正個人情報保護法では、個人情報保護責任者(CPO)の権限と独立性を強化するため、一定規模以上の個人情報処理者に対し、CPOの指定・変更・解任時に取締役会の決議を経たうえで、個人情報保護委員会へ届け出るよう定めている。
あわせて、公的・民間分野で影響力の大きい主要な個人情報処理者には、個人情報保護認証(ISMS-P認証)を義務付ける。また、個人情報漏えいのおそれがある段階で、情報主体に遅滞なく通知し、迅速に対応できるようにした。今回の施行令改正案は、こうした改正法の施行に向けた下位法令整備の一環となる。
改正案ではまず、CPOの指定・変更・解任時に取締役会決議と個人情報保護委員会への届出が必要となる対象基準を示した。CPOの独立性と身分保障を強化する観点から、これらの義務の対象は、現行法で専任CPOの指定義務が課されている対象と同一とする。
届出の方法や手続きも具体化した。届出義務の対象となる個人情報処理者は、義務発生日から1カ月以内に届出書を個人情報保護委員会へ提出しなければならない。やむを得ない事由がある場合は、1カ月の延長を認める。
このほか、ISMS-P認証の義務対象範囲や、漏えいのおそれがある場合の通知要件、通知時期、通知項目も明確にした。制裁の実効性を高めるため、過料の賦課基準も見直す。
改正案に対する意見は、機関・団体・個人を問わず7月13日まで受け付ける。提出先は国民参加立法センター、個人情報保護委員会の電子メール、一般郵便としている。
Chi-gyu Hwang
delight@d-today.co.kr