fbpx

情報セキュリティにまつわる
お役立ち情報を発信

Pマーク会社に個人情報利用停止の請求があった場合

 

本人の同意を得て取得したものであっても、個人情報はあくまで本人のものです。その個人情報の取り扱われ方に関する本質的な権利を持っているのも本人であってプライバシーマーク(Pマーク)取得会社ではありません。

そして個人情報を提供した本人は、望む場合に会社に対して個人情報の「利用停止」や「消去」、または「第三者提供の停止」を請求することができます。

 

個人情報利用停止について

「利用停止」とは個人情報の利用を全面的または部分的に停止すること、「消去」とは取得した個人情報を記憶媒体から消し去ること、そして「第三者提供の停止」とは個人情報の第三者への提供を停止することを指します。

ところで本人から利用停止などを請求された場合の対応について、個人情報保護法で義務付けられている内容とプライバシーマーク(Pマーク)で要求されている内容が違うことはご存じでしたか?

 

個人情報保護法で義務付けられていること

個人情報保護法とはプライバシーマーク(Pマーク)取得にかかわらずすべての個人情報取扱事業者に適用されるものですが、この法律においては本人から利用停止などの請求があっても特定の場合でない限り応じる義務はないとされています。応じる義務が生じるのはどのような場合でしょうか。

一つ目に会社が個人情報の目的外利用を行った場合です。特定された利用目的から逸脱して個人情報を利用し、その結果本人から利用停止を求められた場合、会社はその請求に応じるべきなのです。

二つ目に会社が個人情報を不正に取得した場合です。会社が詐欺的または強迫的な手段、その他不公正で不適法な手段によって個人情報を取得した場合、本人は利用停止を求める正当な権利を有します。

三つ目に本人の同意なく個人情報を第三者に提供した場合です。この場合でも会社は本人から利用停止の請求があった以上応じなければなりません。

このように個人情報保護法では何らかの法律違反があった場合にのみ本人からの利用停止などの請求に応じることを義務付けているのです。

 

Pマークで要求されていること

一方プライバシーマーク(Pマーク)取得会社に要求されていることは、一般の個人情報取扱事業者に義務付けられていることよりも厳格です。

プライバシーマーク(Pマーク)の規格書であるJIS Q 15001は単に「事業者が,本人から当該本人が識別される開示対象個人情報の…利用停止など…を求められた場合は,これに応じなければならない」と規定しており、法律違反などの有無にかかわりなく無条件に本人からの求めに応じなければならないことを要求しているわけです。

 

まとめ

プライバシーマーク(Pマーク)取得会社は、本人からの利用停止などの請求に応じることに関して個人情報保護法で義務付けられている内容とプライバシーマーク(Pマーク)で要求されている内容が違うという点に特に注意すべきです。

そして本人からの利用停止などの請求があった場合にその個人情報の利用や更新を停止するなどの対応方法を定めておかなければなりません。

こちらの記事もおすすめです

→【Pマークって日本だけ?

この記事を書いた人

株式会社UPF

株式会社UPF

東京都中央区に本社を構える株式会社UPFです。 日本全国を対象にPマーク(プライバシーマーク)とISMS(ISO27001)の新規取得コンサルティング、取得後の運用支援事業を展開しております。 プライバシーマークについてのお問い合わせ・ご相談は→03-6661-0846セキュリティーコンサルティング事業部まで

同じテーマの記事はこちら

すべて見る