JAPHICマークを取得する事業者、または取得を目指す事業者は、少なからず顧客等の個人データを取り使います。
こちらは、漏えいなどの対策を取るのはもちろんのこと、他にもポイントを押さえて扱わなければいけません。
ここからは、JAPHICマーク取得事業者に求められる個人データの開示や訂正、利用停止について解説します。
個人データの開示について
JAPHICマーク取得事業者は、個人データの本人から開示請求を受けたとき、その本人に対し、電磁的記録の提供や書面の交付といった方法により、遅延なく当該個人データを開示しなければいけません。
このとき、当該個人データが存在しない場合でも、本人にその旨を知らせる必要があります。
また、ここでいう電磁的記録とは、メールやホームページ、磁気ディスク、CD等に記載、記録したデータのことを指していますが、こちらの方法で開示する場合、可読性、検索性のある形式による提供など、できる限り本人の要望にあった形式での対応が求められます。
ちなみに、個人データを開示することにより、本人や第三者の生命、身体、財産などの権利利益を害する場合や、個人情報取扱事業者として、業務の適正な実施に著しい支障を及ぼす場合などは、データの全部または一部を開示しないことができますが、こちらの決定については、本人にその旨を通知しなければいけません。
これらのルールについては、第三者に提供した個人データの開示を求められたときにおいても、基本的には同様です。
個人データの訂正について
JAPHICマーク取得事業者は、個人データの本人から、そのデータの内容に誤りがあり、事実ではないことによって、内容を訂正したり、追加や削除したりすることを求められたとき、これらの対応を行ったことについて、速やかに本人に通知する義務があります。
このとき、諸事情によって訂正や追加、削除を行わなかったときも、その旨を通知します。
また、これらの本人からの要請については、利用目的の達成に必要な範囲で、遅延なく適切な調査を実施し、その結果に基づいて対応するか否かを決定しなければいけません。
個人データの利用停止について
JAPHICマーク取得事業者は、自社で取り扱う個人データの本人から、当該データの利用停止の請求を受けたとき、適切に遅延なく、停止もしくは消去などの対応を取る必要があります。
具体的には、個人データの本人の同意なく、目的外利用や不適切な利用が行われている場合、もしくは偽りその他不正な手段により、個人データが取得された場合などに請求を受け、その請求が正当である場合に、適切に対応する義務を負います。
また、個人データの本人から、利用する必要がなくなったという理由により、JAPHICマーク取得事業者が保有する個人データの停止の請求を受けた場合も、困難な場合を除いては対応が必要です。
ここでいう“利用する必要がなくなった”とは、利用目的がすでに達成され、事業者が個人データを保有する合理的な理由が存在しなくなったとき、または利用目的が達成されなかったものの、当該目的の前提となる事業そのものが中止になった場合などを指しています。
ちなみに、個人データの利用停止や第三者提供の停止が困難な場合は、本人の権利利益を保護するために、必要な代替措置を講じます。
“停止が困難である場合”には、利用停止等に莫大な費用がかかる場合などが該当します。
まとめ
ここまで、JAPHICマーク取得事業者に求められる個人データの開示や訂正、利用停止における義務やルールなどについて解説してきました。
個人データはあくまで本人のものであり、事業者はこれらのデータの利用を許可してもらっている立場です。
そのため、本人の権利利益が保護されないような管理方法や、漏えい時の対処などについては、正当な理由がない限り基本的には認められず、開示や訂正、利用停止にも早急に応じる必要があります。
