Pマーク会社に個人情報利用停止の請求があった場合

本人の同意を得て取得したものであっても、個人情報はあくまで本人のものです。その個人情報の取り扱われ方に関する本質的な権利を持っているのも本人であってプライバシーマーク(Pマーク)取得会社ではありません。
そして個人情報を提供した本人は、望む場合に会社に対して個人情報の「利用停止」や「消去」、または「第三者提供の停止」を請求することができます。
個人情報利用停止について
「利用停止」とは個人情報の利用を全面的または部分的に停止すること、「消去」とは取得した個人情報を記憶媒体から消し去ること、そして「第三者提供の停止」とは個人情報の第三者への提供を停止することを指します。
ところで本人から利用停止などを請求された場合の対応について、個人情報保護法で義務付けられている内容とプライバシーマーク(Pマーク)で要求されている内容が違うことはご存じでしたか?
個人情報保護法で義務付けられていること
個人情報保護法とはプライバシーマーク(Pマーク)取得にかかわらずすべての個人情報取扱事業者に適用されるものですが、この法律においては本人から利用停止などの請求があっても特定の場合でない限り応じる義務はないとされています。応じる義務が生じるのはどのような場合でしょうか。
一つ目に会社が個人情報の目的外利用を行った場合です。特定された利用目的から逸脱して個人情報を利用し、その結果本人から利用停止を求められた場合、会社はその請求に応じるべきなのです。
二つ目に会社が個人情報を不正に取得した場合です。会社が詐欺的または強迫的な手段、その他不公正で不適法な手段によって個人情報を取得した場合、本人は利用停止を求める正当な権利を有します。
三つ目に本人の同意なく個人情報を第三者に提供した場合です。この場合でも会社は本人から利用停止の請求があった以上応じなければなりません。
このように個人情報保護法では何らかの法律違反があった場合にのみ本人からの利用停止などの請求に応じることを義務付けているのです。
Pマークで要求されていること
一方プライバシーマーク(Pマーク)(Pマーク)取得会社に要求されていることは、一般の個人情報取扱事業者に義務付けられていることよりも厳格です。
プライバシーマーク(Pマーク)の規格書であるJIS Q 15001は単に「事業者が,本人から当該本人が識別される開示対象個人情報の…利用停止など…を求められた場合は,これに応じなければならない」と規定しており、法律違反などの有無にかかわりなく無条件に本人からの求めに応じなければならないことを要求しているわけです。
まとめ
プライバシーマーク(Pマーク)取得会社は、本人からの利用停止などの請求に応じることに関して個人情報保護法で義務付けられている内容とプライバシーマーク(Pマーク)で要求されている内容が違うという点に特に注意すべきです。
そして本人からの利用停止などの請求があった場合にその個人情報の利用や更新を停止するなどの対応方法を定めておかなければなりません。
こちらの記事もおすすめです
→【Pマークって日本だけ?】
この記事を書いた人
株式会社UPF
同じテーマの記事はこちら
国内で感染が拡大しているエモテット「Emotet」についての対応
現在、国内で「Emotet(エモテット)」が猛威を振るっており、当社クライアントにおいて多数感染が報告され相談依頼が急増しております。 <IPA> https://w […]
リクナビが個人情報漏洩事故でPマーク取り消し。予想される影響
以前も発生当時に投稿させていただきましたリクナビ問題についてです。 本日動きがございましたので解説していきたいと思います。 リクルートキャリアが運営するリクナビが、就活生の内定辞退 […]
【MEDIS】健康診断事業を行う病院(診療所)のPマーク取得のメリット
個人情報を適切に取り扱う体制の構築を証明できるMEDISのPマーク。取得を検討しているものの、申請に通過するかどうか不安に感じている方もいるでしょう。今回は、健康診断事業を行う病院 […]
株式会社マーケティングアプリケーションズで不正アクセス?原因と対策を解説!
アンケートリサーチサービスなど、市場調査業界で大きなシェアを持つ「株式会社マーケティングアプリケーションズ」が2019年5月24日に、不正アクセスを受けたと発表しました。不正アクセ […]
株式会社スープレックスで不正アクセス?原因や対策について解説!
株式会社スープレックスは2019年9月10日に、運営している「なんとかデータベース(ラーメンデータベース)」が外部から不正アクセスを受けたと発表しました。不正アクセスによって、顧客 […]