開示等に見る個人情報保護法との統合
JISの改正で大幅に追加された本人の権利
JIS Q 15001:2006 で追加された項目のうち、最も多いのが、個人情報に関する本人の権利の章である。旧JISでは、「開示を求められた場合は、合理的な期間内にこれに応じなければならない」と簡単な記述で終わっていたが、改正されたJIS Q 15001:2006では、3.4.4.1 手続き、3.4.4.3 周知、3.4.4.4 利用目的の通知、3.4.4.5 開示、3.4.4.6 訂正、追加又は削除 と5つの項目に分け、詳細に書かれている。
開示対象個人情報の新設
新JISでは、開示対象個人情報 という用語が使われている。「事業者が、本人から求められる開示、内容の訂正、追加又は削除、利用の停止、消去及び第三者への提供の求めのすべてに応じることができる権限を有するもの」と定義されている。つまり、個人情報保護法で言う「保有個人データ」のことである。
開示等の求めに応じる手続きを定めること
旧JISでは「合理的な期間内に応じなければならない」とされていた手続きについても、詳細な規格が定められた。開示等の請求先・請求する書面の書式から代理人の確認方法・手数料まで規定することが求められている。
請求に応じて、利用目的を通知し、情報の内容を開示するだけでなく、事実と違う場合は、訂正・追加又は削除しなければならない。また、利用の停止や消去、第三者提供の停止を求められた場合もこれに応じる義務がある。
訂正等の場合、「個人情報の内容が事実でないという理由によって」という条件が付せられているが、利用停止等の場合、特に制限はない。つまり、本人から求められたら,
理由によらず利用や提供を停止しなければならない。
開示等の求めに応じる必要がない場合
例によって開示等を行う必要がない場合の但し書きがある。
- 本人又は第三者の生命、身体、財産その他の権利権益を害するおそれがある場合
- 事業者の業務の適正な実施に著しい支障を及ぼすおそれがある場合
- 法令に違反することとなる場合
しかし、この但し書きを適用して開示等を拒否した場合は、「本人に遅滞なくその旨を通知するとともに、理由を説明しなければならない。」とされている。
開示対象個人情報は周知しなければならない
さらに、開示対象個人情報に該当する場合、開示等に応じるだけでなく、次の事項を本人の知り得る状態に置かなければならない。
- 事業者の氏名、名称
- 個人情報管理者の氏名、役職、連絡先
- すべての開示対象個人情報の利用目的
- 苦情の申し出先
- 開示等の手続き
個人情報保護法改正の先取り
開示等に関する上記の規定は個人情報保護法との統合を目指したものであるが、解釈によっては個人情報保護法以上に事業者に厳しい内容となっている。取りざたされている個人情報保護法改正の先取り言えるかもしれない。
