SHOEISHA iD

※旧SEメンバーシップ会員の方は、同じ登録情報(メールアドレス&パスワード)でログインいただけます

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

最新イベントはこちら!

EnterpriseZine Day Special

2024年10月16日(火)オンライン開催

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けの講座「EnterpriseZine Academy」や、すべてのITパーソンに向けた「新エバンジェリスト養成講座」などの講座を企画しています。EnterpriseZine編集部ならではの切り口・企画・講師セレクトで、明日を担うIT人材の育成をミッションに展開しております。

お申し込み受付中!

【2022年4月施行】改正個人情報保護法 システム部門が担うべき役割とは

すぐに消す個人データも請求対象に システム部門は改正個人情報保護法にどう備える?

第4回:請求範囲の拡大、開示方法の指示、第三者提供記録の開示請求等

 前回は、「第三者提供の制限」「共同利用の通知」を中心に、Cookie規制等を受けてシステム部門に求められる対応について確認しました。今回は、「請求範囲の拡大」「開示方法の指示」「第三者提供記録の開示請求」について解説します。

本人(個人)から事業者への請求可能な事項が増えた

利用停止等の請求範囲が広がった(法第30条関係)

  • 改正前:個人情報取扱事業者は、本人から請求があった際には、当該本人が識別される保有個人データが以下いずれかの場合は原則として、遅滞なく利用停止等または第三者提供の停止を行わなければなりませんでした。
    • 目的外利用をしていた場合
    • 不適正な利用をしていた場合
    • 不正な取得をしていた場合
    • 本人の同意なく要配慮情報を取得していた場合
    • 本人の同意なく第三者に提供していた場合
  • 改正後:改正前に加えて、以下のいずれかに該当する場合も、本人から請求があった際には、原則として遅滞なく利用停止等または第三者提供の停止を行わなければならなくなりました。
    • 利用する必要がなくなった場合
    • 漏えい等の事案が生じた場合
    • 本人の権利または正当な利益が害されるおそれがある場合
利用停止等の請求範囲の拡大
利用停止等の請求範囲の拡大
[画像クリックで拡大]

解説

 本人から請求されるのは、保有個人データの利用停止(利用しない)、消去(消す)、第三者提供の停止(第三者提供しない)です。「消去」とは、保有個人データを“保有個人データとして使えなくすること”であり、当該データを削除することのほか、当該データから特定の個人を識別できないようにすること等を含みます。

 今回新たな請求範囲に含まれることとなった「本人の権利又は正当な利益が害されるおそれがある場合」とは、たとえば以下のような場合です。

  • ダイレクトメールの送付を受けた本人が、送付の停止を求める意思を表示したにもかかわらず、個人情報取扱事業者がダイレクトメールを繰り返し送付していることから、本人が利用停止等を請求する場合
  • 電話勧誘を受けた本人が、電話勧誘の停止を求める意思を表示したにもかかわらず、個人情報取扱事業者が本人に対する電話勧誘を繰り返し行っていることから、本人が利用停止等を請求する場合
  • 個人情報取扱事業者が、安全管理措置を十分に講じておらず、本人を識別する保有個人データが漏えい等するおそれがあることから、本人が利用停止等を請求する場合

システム部門が対応するべきこと

 システム部門では、以下の対応が必要です(ユーザー部門が自ら行う。もしくはユーザー部門の依頼に応じて対応する場合もあります)。

  • 保有個人データの利用停止等の請求が増える可能性が出てきたことに伴い、システム面や技術面の対応を実施する可能性も増えたことは認識しておくことが望ましい
  • 個人情報取扱事業者の方針によっては、利用停止、消去、第三者提供の停止を効率的に実施するためITを使った仕組みを整備するケースもあり、その際のシステムや技術面におけるサポートが必要

保有個人データの開示方法が指示できるようになった(法第28条第1項~第2項関係)

  • 改正前:本人(個人)が個人情報取扱事業者に保有個人データの開示請求を行う場合、書面の交付による方法で開示してもらうしかありませんでした
  • 改正後:本人(個人)が個人情報取扱事業者に保有個人データの開示請求を行う場合、書面の交付だけでなく、電磁的記録の提供による方法も含めて開示方法を指定できるようになりました。
開示方法の指定が可能に
開示方法の指定が可能に
[画像クリックで拡大]

次のページ
電磁的記録の提供において対応が必要な3つのケース

この記事は参考になりましたか?

  • Facebook
  • X
  • Pocket
  • note
【2022年4月施行】改正個人情報保護法 システム部門が担うべき役割とは連載記事一覧

もっと読む

この記事の著者

戸田 勝之(トダ カツユキ)

NTTデータ先端技術株式会社 セキュリティ事業本部 セキュリティコンサルティング事業部 担当課長 大手信用調査会社でシステム管理、セキュリティ管理に従事した後、マーケティング会社を経てNTTデータセキュリティ株式会社(のちにNTTデータ先端技術に統合)に入社。リスクアセスメント、セキュリティ...

※プロフィールは、執筆時点、または直近の記事の寄稿時点での内容です

この記事は参考になりましたか?

この記事をシェア

EnterpriseZine(エンタープライズジン)
https://enterprisezine.jp/article/detail/15251 2021/12/24 08:00

Job Board

AD

おすすめ

アクセスランキング

アクセスランキング

イベント

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

新規会員登録無料のご案内

  • ・全ての過去記事が閲覧できます
  • ・会員限定メルマガを受信できます

メールバックナンバー

アクセスランキング

アクセスランキング