本人(個人)から事業者への請求可能な事項が増えた
利用停止等の請求範囲が広がった(法第30条関係)
-
改正前:個人情報取扱事業者は、本人から請求があった際には、当該本人が識別される保有個人データが以下いずれかの場合は原則として、遅滞なく利用停止等または第三者提供の停止を行わなければなりませんでした。
- 目的外利用をしていた場合
- 不適正な利用をしていた場合
- 不正な取得をしていた場合
- 本人の同意なく要配慮情報を取得していた場合
- 本人の同意なく第三者に提供していた場合
-
改正後:改正前に加えて、以下のいずれかに該当する場合も、本人から請求があった際には、原則として遅滞なく利用停止等または第三者提供の停止を行わなければならなくなりました。
- 利用する必要がなくなった場合
- 漏えい等の事案が生じた場合
- 本人の権利または正当な利益が害されるおそれがある場合
[画像クリックで拡大]
解説
本人から請求されるのは、保有個人データの利用停止(利用しない)、消去(消す)、第三者提供の停止(第三者提供しない)です。「消去」とは、保有個人データを“保有個人データとして使えなくすること”であり、当該データを削除することのほか、当該データから特定の個人を識別できないようにすること等を含みます。
今回新たな請求範囲に含まれることとなった「本人の権利又は正当な利益が害されるおそれがある場合」とは、たとえば以下のような場合です。
- ダイレクトメールの送付を受けた本人が、送付の停止を求める意思を表示したにもかかわらず、個人情報取扱事業者がダイレクトメールを繰り返し送付していることから、本人が利用停止等を請求する場合
- 電話勧誘を受けた本人が、電話勧誘の停止を求める意思を表示したにもかかわらず、個人情報取扱事業者が本人に対する電話勧誘を繰り返し行っていることから、本人が利用停止等を請求する場合
- 個人情報取扱事業者が、安全管理措置を十分に講じておらず、本人を識別する保有個人データが漏えい等するおそれがあることから、本人が利用停止等を請求する場合
システム部門が対応するべきこと
システム部門では、以下の対応が必要です(ユーザー部門が自ら行う。もしくはユーザー部門の依頼に応じて対応する場合もあります)。
- 保有個人データの利用停止等の請求が増える可能性が出てきたことに伴い、システム面や技術面の対応を実施する可能性も増えたことは認識しておくことが望ましい
- 個人情報取扱事業者の方針によっては、利用停止、消去、第三者提供の停止を効率的に実施するためITを使った仕組みを整備するケースもあり、その際のシステムや技術面におけるサポートが必要
保有個人データの開示方法が指示できるようになった(法第28条第1項~第2項関係)
- 改正前:本人(個人)が個人情報取扱事業者に保有個人データの開示請求を行う場合、書面の交付による方法で開示してもらうしかありませんでした
- 改正後:本人(個人)が個人情報取扱事業者に保有個人データの開示請求を行う場合、書面の交付だけでなく、電磁的記録の提供による方法も含めて開示方法を指定できるようになりました。
[画像クリックで拡大]
