個人情報保護委員会は7月3日、経済関係閣僚会議で「信頼を基盤とするAI革新を促進する第3次個人情報保護基本計画(2027〜2029)」を公表した。AI時代に対応した個人情報保護制度への再設計を打ち出し、原則ベースの規律体系への転換、事前予防型の監督強化、企業責任の明確化などを進める。
同計画は、個人情報保護委員会が法に基づき、中央行政機関の長とともに3年ごとに策定する中期計画。今後3年間の個人情報政策の方向性を示すもので、今回は「信頼される個人情報環境、安心して享受するAI社会」をビジョンに掲げた。柱は、(1)AI大転換時代の個人情報保護体制の革新(2)事前予防中心の保護体制の確立(3)戦略的な個人情報政策の高度化(4)国民の権益増進と信頼文化の定着――の4戦略、12課題で構成する。
まず、AI環境の変化を柔軟に反映できる規律体系への転換を進める。委員会は、AI以前を前提に設計された画一的な規制では、法令順守やデータ活用の両立が難しいとの現場の声を踏まえ、リスクに応じた保護を軸とする原則ベースの保護体系へ移行する方針だ。
AI転換(AX)に伴う個人情報処理の不確実性に迅速に対応するため、「AX安心支援センター」も運営する。企業や機関主導で進んできたデータ活用に対し、情報主体の自己決定権を強化する狙いもある。
この一環として、個人が自らの情報に対する決定権を持てるよう、マイデータ支援プラットフォーム「On MyData」を強化する。データから生み出された価値を情報主体に還元する仕組みについても整備・拡大を進める。
AIデータの信頼性確保に向けたプライバシーリスク対応も強化する。自律型AI(エージェンティックAI)による処理などを踏まえた意思決定責任のあり方を検討するほか、フィジカルAIによる常時的な情報収集の拡大に対応した権利保護やリスク評価など、最新技術に対応する規律体系と保護基準を整備する。
また、情報流出は発生後の被害回復が難しいことを踏まえ、事前予防型の保護体制を確立する。高リスク分野を重点的に点検するほか、省庁合同の常時点検体制も高度化し、事故発生前の脆弱性の把握や保護措置の改善につなげる。
情報保護および個人情報保護管理体系(ISMS-P)認証や各種評価体系にはAI技術を取り込み、基準や手続きの見直しを通じて実効性を高める方針だ。
企業の先制的な保護措置を促すため、インセンティブ制度も拡充する。義務基準を上回る保護投資を行った企業に対しては、情報流出時の課徴金を減免するなどの措置を広げ、自発的な保護対応を後押しする。あわせて、組織の意思決定過程で個人情報保護が十分に考慮されるよう、代表者(CEO)の責任定着と個人情報保護責任者(CPO)の位置付け強化も進める。
一方で、管理義務違反などの法令違反には厳正に対応する。調査と制裁の実効性を高めるため、履行強制金の導入など制度改善を進めるほか、技術分析環境の構築・拡充を通じて、科学的調査の能力も継続的に強化する。
これまでは流出事故発生後の調査・制裁が中心だったが、恒常的な流出リスクを踏まえ、今後は「レジリエンス支援」を軸に対応インフラを再整備する。中小企業で流出が起きた場合は復旧に向けた技術支援を中心に対応し、平時から中小・零細企業向けの個別コンサルティングや保護・セキュリティ支援事業も提供する。
個人情報の活用が全産業に広がる中、政府横断で個人情報保護に取り組むため、省庁間の協力体制も整備する。通信、教育、雇用など比較的リスクの高い分野では、個人情報保護委員会と所管省庁が共同で点検・管理する体制を構築する。
加えて、個人情報を巡る脅威に対する早期警戒体制を整え、危機対応能力を強化する。生成AIやクラウド環境の拡大で越境移転ニーズが高まっていることを受け、データ移転ネットワークの拡大も進める。
すでに整備された韓国とEUの相互同等性認定の枠組みに続き、英国、日本、米国などについても、法体系の類似性や貿易規模などを踏まえながら、データの相互移転ネットワークを広げる方針だ。
最近は情報流出の被害を経験した国民が増え、簡便な権利救済への需要も高まっている。このため、流出や権利侵害が起きた際の申告、調査、紛争調整、損害賠償までを連携させるワンストップの権利救済体制を整備し、情報主体の権利保障を支える制度基盤も構築する。
ソン・ギョンヒ委員長は「今回の3カ年基本計画では、AI環境に合わせて個人情報の規律体系を再設計し、事前予防中心の保護体制を確立する。国民が安心してAIの便益を享受し、企業が信頼を基盤に革新できる環境づくりに政策能力を集中していく」と述べた。