個人情報保護委員会は下半期から個人情報漏洩のリスクレベルに応じて差別的に管理する『リスクベースの実態点検』を本格的に導入する。人工知能(AI)やクラウドベースのサービスの普及により、個人情報の処理規模と方式が急速に複雑化しているため、従来の事後制裁中心の管理体制を予防中心に転換することが目的である。
個人情報委は22日、経済閣僚会議でこの内容を含む『予防中心の個人情報管理体制転換計画』を発表した。これは12日の国務会議報告の後続措置である。
宋京姫委員長は就任以来、個人情報事故発生後の制裁方式には限界があるとし、事前予防中心の個人情報保護体制の構築の必要性を繰り返し強調してきた。
個人情報委は今後、個人情報処理規模や敏感度、産業別特性などを基準に高・中・低リスク群を区別し、差別的点検を行う。特にプラットフォーム、金融機関、公共機関、エデュテック、介護病院など、大規模な個人情報や敏感情報を扱う分野は高リスク群に分類し、定期的および随時点検を実施する。
高リスク群は事前に点検項目を公開した後、内部統制の運営実態と安全措置のレベルを集中点検する計画である。一方、相対的にリスクが低い分野は、個人情報影響評価や『個人情報保護中心設計(PbD)』の原則遵守を促す方式で管理体制を差別化する。
政府は個人情報処理の現状とリスク要因を分析した『基礎リスクマップ』も構築する。これを基に点検対象を選定し、主要関係省庁と協力して、全政府政策協議体を運営する計画である。民間と官庁の共同による個人情報の脅威早期警報システムも稼働する。
9月には個人情報保護責任者(CPO)指定申告制の施行に合わせて、CPO協議会と業界団体間のホットラインも構築する。これにより、最新のハッキングや漏洩の脅威情報を迅速に共有し、類似の事故に先制的に対応する方針である。
新技術分野に対する管理も拡大される。個人情報委はIoT機器やエージェントAIなど新規サービスに対する侵害懸念事項を事前に点検し、個人情報保護の隙間を減らす計画である。
個人情報保護中心設計(PbD)の制度化も推進する。個人情報保護機能をサービスの企画・設計・開発段階から基本値として反映させ、関連ガイドラインや優良事例を普及させる予定である。既存のISMS-P認証基準にもPbDの原則を反映する。
企業の自主的な保護投資の拡大も促す。個人情報委は情報保護の公示を通じて追加の保護措置や内部統制の運営状況の公開を拡大し、実質的な保護活動が確認された企業には過徴金の減免などのインセンティブを提供する計画である。
さらに、SaaSやクラウド、専門受託者など供給網全体に対する管理も強化される。個人情報漏洩・不正使用防止のための個人情報保護強化技術(PET)の研究開発と専門人材の育成も推進する。
* この記事はAIによって翻訳されました。
亜洲日報の記事等を無断で複製、公衆送信 、翻案、配布することは禁じられています。
