EnterpriseZine(エンタープライズジン)

EnterpriseZine(エンタープライズジン)

テーマ別に探す

すぐに消す個人データも請求対象に システム部門は改正個人情報保護法にどう備える? 第4回:請求範囲の拡大、開示方法の指示、第三者提供記録の開示請求等

  2021/12/24 08:00

 前回は、「第三者提供の制限」「共同利用の通知」を中心に、Cookie規制等を受けてシステム部門に求められる対応について確認しました。今回は、「請求範囲の拡大」「開示方法の指示」「第三者提供記録の開示請求」について解説します。

本人(個人)から事業者への請求可能な事項が増えた

利用停止等の請求範囲が広がった(法第30条関係)

  • 改正前:個人情報取扱事業者は、本人から請求があった際には、当該本人が識別される保有個人データが以下いずれかの場合は原則として、遅滞なく利用停止等または第三者提供の停止を行わなければなりませんでした。
    • 目的外利用をしていた場合
    • 不適正な利用をしていた場合
    • 不正な取得をしていた場合
    • 本人の同意なく要配慮情報を取得していた場合
    • 本人の同意なく第三者に提供していた場合
  • 改正後:改正前に加えて、以下のいずれかに該当する場合も、本人から請求があった際には、原則として遅滞なく利用停止等または第三者提供の停止を行わなければならなくなりました。
    • 利用する必要がなくなった場合
    • 漏えい等の事案が生じた場合
    • 本人の権利または正当な利益が害されるおそれがある場合
利用停止等の請求範囲の拡大
利用停止等の請求範囲の拡大
[画像クリックで拡大]

解説

 本人から請求されるのは、保有個人データの利用停止(利用しない)、消去(消す)、第三者提供の停止(第三者提供しない)です。「消去」とは、保有個人データを“保有個人データとして使えなくすること”であり、当該データを削除することのほか、当該データから特定の個人を識別できないようにすること等を含みます。

 今回新たな請求範囲に含まれることとなった「本人の権利又は正当な利益が害されるおそれがある場合」とは、たとえば以下のような場合です。

  • ダイレクトメールの送付を受けた本人が、送付の停止を求める意思を表示したにもかかわらず、個人情報取扱事業者がダイレクトメールを繰り返し送付していることから、本人が利用停止等を請求する場合
  • 電話勧誘を受けた本人が、電話勧誘の停止を求める意思を表示したにもかかわらず、個人情報取扱事業者が本人に対する電話勧誘を繰り返し行っていることから、本人が利用停止等を請求する場合
  • 個人情報取扱事業者が、安全管理措置を十分に講じておらず、本人を識別する保有個人データが漏えい等するおそれがあることから、本人が利用停止等を請求する場合

システム部門が対応するべきこと

 システム部門では、以下の対応が必要です(ユーザー部門が自ら行う。もしくはユーザー部門の依頼に応じて対応する場合もあります)。

  • 保有個人データの利用停止等の請求が増える可能性が出てきたことに伴い、システム面や技術面の対応を実施する可能性も増えたことは認識しておくことが望ましい
  • 個人情報取扱事業者の方針によっては、利用停止、消去、第三者提供の停止を効率的に実施するためITを使った仕組みを整備するケースもあり、その際のシステムや技術面におけるサポートが必要

保有個人データの開示方法が指示できるようになった(法第28条第1項~第2項関係)

  • 改正前:本人(個人)が個人情報取扱事業者に保有個人データの開示請求を行う場合、書面の交付による方法で開示してもらうしかありませんでした
  • 改正後:本人(個人)が個人情報取扱事業者に保有個人データの開示請求を行う場合、書面の交付だけでなく、電磁的記録の提供による方法も含めて開示方法を指定できるようになりました。
開示方法の指定が可能に
開示方法の指定が可能に
[画像クリックで拡大]

※この続きは、会員の方のみお読みいただけます(登録無料)。


※この続きは、会員の方のみお読みいただけます(登録無料)。


著者プロフィール

  • 戸田 勝之(トダ カツユキ)

    NTTデータ先端技術株式会社 セキュリティ事業本部 セキュリティコンサルティング事業部 担当課長 大手信用調査会社でシステム管理、セキュリティ管理に従事した後、マーケティング会社を経てNTTデータセキュリティ株式会社(のちにNTTデータ先端技術に統合)に入社。リスクアセスメント、セキュリティ監査、ISMS構築、個人情報保護、インシデント対応、脅威インテリジェンス等、多様な案件に従事。技術とマネジメントの両面の視点で企業のセキュリティ課題解決の支援を行っている。 CISSP、CEH、CISA、情報セキュリティスペシャリスト JNSA(日本ネットワークセキュリティ協会)インシデント被害調査WGメンバー  

バックナンバー

連載:【2022年4月施行】改正個人情報保護法 システム部門が担うべき役割とは
All contents copyright © 2007-2022 Shoeisha Co., Ltd. All rights reserved. ver.1.5