Pマーク会社に個人情報利用停止の請求があった場合
本人の同意を得て取得したものであっても、個人情報はあくまで本人のものです。その個人情報の取り扱われ方に関する本質的な権利を持っているのも本人であってプライバシーマーク(Pマーク)取得会社ではありません。
そして個人情報を提供した本人は、望む場合に会社に対して個人情報の「利用停止」や「消去」、または「第三者提供の停止」を請求することができます。
個人情報利用停止について
「利用停止」とは個人情報の利用を全面的または部分的に停止すること、「消去」とは取得した個人情報を記憶媒体から消し去ること、そして「第三者提供の停止」とは個人情報の第三者への提供を停止することを指します。
ところで本人から利用停止などを請求された場合の対応について、個人情報保護法で義務付けられている内容とプライバシーマーク(Pマーク)で要求されている内容が違うことはご存じでしたか?
個人情報保護法で義務付けられていること
個人情報保護法とはプライバシーマーク(Pマーク)取得にかかわらずすべての個人情報取扱事業者に適用されるものですが、この法律においては本人から利用停止などの請求があっても特定の場合でない限り応じる義務はないとされています。応じる義務が生じるのはどのような場合でしょうか。
一つ目に会社が個人情報の目的外利用を行った場合です。特定された利用目的から逸脱して個人情報を利用し、その結果本人から利用停止を求められた場合、会社はその請求に応じるべきなのです。
二つ目に会社が個人情報を不正に取得した場合です。会社が詐欺的または強迫的な手段、その他不公正で不適法な手段によって個人情報を取得した場合、本人は利用停止を求める正当な権利を有します。
三つ目に本人の同意なく個人情報を第三者に提供した場合です。この場合でも会社は本人から利用停止の請求があった以上応じなければなりません。
このように個人情報保護法では何らかの法律違反があった場合にのみ本人からの利用停止などの請求に応じることを義務付けているのです。
Pマークで要求されていること
一方プライバシーマーク(Pマーク)取得会社に要求されていることは、一般の個人情報取扱事業者に義務付けられていることよりも厳格です。
プライバシーマーク(Pマーク)の規格書であるJIS Q 15001は単に「事業者が,本人から当該本人が識別される開示対象個人情報の…利用停止など…を求められた場合は,これに応じなければならない」と規定しており、法律違反などの有無にかかわりなく無条件に本人からの求めに応じなければならないことを要求しているわけです。
まとめ
プライバシーマーク(Pマーク)取得会社は、本人からの利用停止などの請求に応じることに関して個人情報保護法で義務付けられている内容とプライバシーマーク(Pマーク)で要求されている内容が違うという点に特に注意すべきです。
そして本人からの利用停止などの請求があった場合にその個人情報の利用や更新を停止するなどの対応方法を定めておかなければなりません。
こちらの記事もおすすめです
→【Pマークって日本だけ?】
この記事を書いた人
株式会社UPF
同じテーマの記事はこちら
国内で感染が拡大しているエモテット「Emotet」についての対応
現在、国内で「Emotet(エモテット)」が猛威を振るっており、当社クライアントにおいて多数感染が報告され相談依頼が急増しております。 <IPA> https://w […]
株式会社三菱UFJ銀行で不正アクセス?原因と対策について解説!
株式会社三菱UFJ銀行は2019年10月25日に、提供しているサービス「LCMS」の認証システムで不正アクセスが発生したと公表しました。不正アクセスによって、顧客の個人情報などが流 […]
株式会社スタジオラインで不正アクセス?原因と対策について解説!
株式会社スタジオラインは2019年10月24日に、運営しているサービス「MODERN BEAUTY TOKYO」で不正アクセスが発生したと公表しました。不正アクセスによって、顧客の […]
株式会社JIMOSで不正アクセス?原因や対策について解説!
株式会社JIMOSは2019年10月15日に、運営していた「酒蔵.com」が何者かのサイバー攻撃を受けたと発表しました。サイバー攻撃によって、顧客の個人情報が流出し、二次被害が懸念 […]
ホビボックス株式会社で不正アクセス?原因と対策について解説!
ホビボックス株式会社は2019年10月9日に、運営している通信販売サービス「ECオーダー.com」が何者かによって不正アクセスを受けたと公表しました。不正アクセスによって、顧客の個 […]