本人の権利・利益を保護するための本人への利用目的の通知に関する要求事項が「3.4.4.4 開示対象個人情報の利用目的の通知」です。
開示対象の個人情報を本人へ通知するには
開示対象個人情報の本人への通知に関して要求しているのが「3.4.4.4 開示対象個人情報の利用目的の通知」で、以下の内容を要求しています。
- 本人から、当該本人が識別される開示対象個人情報について、利用目的の通知を求められた場合には、遅滞なくこれに応じること
- 以下に該当する場合は利用目的の通知を必要としないが、そのときは、本人に遅滞なくその旨を通知するとともに、理由を説明すること
ー「3.4.2.5 個人情報を3.4.2.4以外の方法によって取得した場合の措置」のただし書きa)~c)のいずれかに該当する場合
ー「3.4.4.3 開示対象個人情報に関する周知など」のc)によって利用目的が明らかな場合
本人からの求めがあった場合には
「3.4.4 個人情報に関する権利」において、事業者が本人からの開示、内容の訂正、追加または削除、利用の停止、消去及び第三者への停止の求めのすべてに応じることができる権限を有する「開示対象個人情報」のみが、事業者が本人からの求めに対応する必要がある個人情報となっています。
そのため、本人からの求めがあった場合には、以下のアクションを確実に行う必要があります。
- 本人確認(代理人の場合は、本人との関係の確認)
- 開示対象個人情報かの確認
すなわち、本人ではない悪意ある第三者による「なりすまし」などによる求めに誤って応じてしまうと、個人情報の漏えい等につながるおそれがあるため、十分な注意が必要です。
個人情報保護法との関連
個人情報保護法「第24条 保有個人データに関する事項の公表等」の第2項から第3項及び「第28条 理由の説明」に相当するのが「3.4.4.4 開示対象個人情報の利用目的の通知」です。
ただし、規格では利用目的の通知をしない場合、本人にその旨を通知するとともに、その理由を説明することを求めています。