今後、オン・オフライン事業者と公共機関など韓国内のすべての個人情報処理者は個人情報流出事故把握時、3日以内に管理当局に申告しなければならない。オン・オフライン事業者と公共機関により異なるように適用した個人情報流出など事故後の申告·通知関連法令が一元化されてからだ。
韓国の個人情報保護委員会は、個人情報保護法施行令改正案が5日の国務会議(閣議)で議決されたことを受け、個人情報保護法と後続改正施行令が今月15日から施行されると明らかにした。
改正された法令は、情報主体の権利を実質的に保障しながらオン・オフラインに二元化された個人情報処理基準をデジタル環境に合うよう一元化したことが核心だ。
これによると、韓国の国内のすべての個人情報処理者は流出した個人情報が △1000人以上 △敏感情報または固有識別情報 △ハッキングなど外部から不法アクセスによる流出などに該当する場合、72時間以内に個人情報委または韓国インターネット振興院(KISA)に申告しなければならない。
オンライン事業者対象規制は緩和され、オフライン事業者と公共機関対象規制は強化されたのだ。改正前にポータル・OTT・インターネットショッピングモール業者のようなオンライン事業者は個人情報流出を24時間以内に申告し、オフライン事業者や公共機関は個人情報流出を5日以内に申告しなければならなかった。
また、改正された施行令は個人情報流出規模と関係なく72時間以内に情報主体に流出事実を知らせなければならないと明示した。ただ、情報主体の連絡先が分からないなど正当な理由があれば、独自のインターネットホームページに30日以上関連事故内容を公示するようにした。
申告義務期限72時間はグローバル動向を反映した政策である。欧州連合(EU)や英国、シンガポールなどの海外国家でも個人情報流出の際、72時間以内に申告義務を負わせる。
これと共に、今後は企業全体の売上高を基準に課徴金を算定することになる。個人情報流出などによる課徴金上限額を既存の「違反行為と関連した売上高」から「全体売上高」に上方修正した。
該当課徴金規定の適用対象は、公共機関を含むすべての個人情報処理者と個人情報処理業務を委託された受託者にまで拡大した。個人情報委は中小・零細事業者などに限り課徴金納付期限を2年範囲内で延期し分割納付するなど根拠も用意し企業負担を減らすことにした。
<亜洲日報の記事等を無断で複製、公衆送信 、翻案、配布することは禁じられています。>
