本人の権利として規定された、自己の個人情報(事業者にとっての開示対象個人情報)に関する四つめの権利である「利用の停止、消去又は第三者への提供の停止」に対する要求事項です。
本人から利用停止、消去や、第三者提供を拒まれた場合は?
以下の内容を要求したものが「3.4.4.7 開示対象個人情報の利用又は提供の拒否権」となります。
- 本人からの利用の停止、消去又は第三者の提供を拒まれた場合は、これに応じること(ただし、3.4.4.5のただし書きa)~c)のいずれかに該当する場合は、利用停止等を行う必要はないが、そのときは、本人に遅滞なくその旨を通知するとともに、理由を説明すること)
- 措置を講じた後は、遅滞なくその旨を本人に通知すること
開示対象個人情報の利用停止、消去時に留意すべき事項は?
「利用の停止」と「消去」の違いは、開示対象個人情報を取り扱うに際しては考慮する必要があります。一時的に利用を停止することを「利用の停止」といい、システム的に開示対象個人情報を管理している場合には、当該開示対象個人情報はシステム上に存在したままとなります。
逆に当該開示対象個人情報がシステム上に存在しない状態することを「消去」といいます。
「3.4.3.2 安全管理措置」の一つの措置として「バックアップ」があります。
ここで注意しなければいけないのは、バックアップの実施時期とシステム障害のタイミングです。
たとえば、本人から消去の申し出がバックアップの実施後にあり、消去後、システム障害が発生した場合、バックアップされたデータをリストアすると、消去したはずのデータが復活してしまうおそれがあります。
そのため、本人から「利用の停止」や「消去」を求められた場合には、その事実や対応の記録を残しておく必要があります。
第三者への提供の停止時に留意すべき事項は?
複数の第三者に対して当該開示対象個人情報を提供している場合があります。
またその内のすべてではなく、一部に対してのみ、本人から第三者への提供の停止を求められる場合も考えられます。
そのため、「提供の拒否」を受け付けた場合の留意すべき事項として、本人から具体的に要求内容を確認し実施する必要があります。
個人情報保護法との関連
個人情報保護法「第27条 利用停止等」及び「第28条 理由の説明」が「3.4.4.7 開示対象個人情報の利用又は提供の拒否権」に相当する要求事項です。
なお、個人情報保護法では「第16条 利用目的による制限」「第17条 適正な取得」に違反している場合は停止または消去、第23条に違反して第三者に提供されている場合は、第三者への提供の停止を行うこととしていますが、本規格では、求めがあった場合にはその理由を問わず、利用停止などの対応を行うことが要求されています。