ISO27701規格解説 - 7.3.4、7.3.5、7.3.6、7.3.7

ここでは、ISO 27701管理策の解説をしていきます。
今回は、『7.3.4 同意を変更又は撤回するための仕組みの提供』~『7.3.7 第三者に通知するPII管理者の義務』まで解説します。

目次
  1. 7.3.4 同意を変更又は撤回するための仕組みの提供
  2. 7.3.5 PIIの処理に対する異議申し立ての仕組みの提供
  3. 7.3.6 アクセス、修正及び/又は消去
  4. 7.3.7 第三者に通知するPII管理者の義務

※ ご覧になりたい項目をクリックすることで、該当のセクションにジャンプできます。

7.3.4 同意を変更又は撤回するための仕組みの提供

この管理策では、PII主体が同意を変更・撤回するための仕組みを提供することを定めています。

PII処理に対する同意の撤回については、個人情報保護法上には規定がありません。
これに対して、GDPR上では、「データ主体が自己の同意をいつでも撤回する権利を有する」ことや、「データ主体が同意を与える前に、そのこと(いつでも撤回できること)について情報提供を受ける」ことが規定されています(「データ主体」=GDPR上の用語で、ISO27701でいう「PII主体」と一致します)。

本管理策の実施の手引には、「PII主体にいつでも同意を撤回する権利があること(これは法域によって異なる場合がある)を知らせる」とあります。そのため、法域によって同意を撤回する権利が(法律上)ない場合があることを前提としています。

この管理策では、同意を変更・撤回するための「仕組み」の提供としていますので、同意の変更・撤回をする権利がある場合にどのように変更・撤回するかの仕組み(例えば、メール送信先、架電先、Web問い合わせフォームといった仕組み)を用意しておくことになります。
そして、この仕組みは「同意を得るために使用する仕組みと一貫性がある」ことが求められています。

つまり、同意取得の際にWebフォームを使用したのに、撤回は事務所に来て書面で撤回しなければならないなどと定めた場合は、PII主体の撤回権を害するのでやめましょうということになります。

また、同意の撤回や変更について、同意の記録と同じように撤回・変更の要請があったことを記録しましょうと定められています。そして、要請があった際にわざと回答を遅らせたり、回答が遅れてPII主体の権利を侵害しないように、PII管理者が「応答時間を定め、それに従って」PII主体からの要請を受けることを規定しています。

さらに、同意が撤回されたことで撤回前のPII処理が違法になるという相関関係はありませんが、PII処理の同意が撤回されたことで、撤回以後のPII処理は元の同意がなかったことを前提にその処理の適法性が判断されることになります。

7.3.5 PIIの処理に対する異議申し立ての仕組みの提供

この管理策では、「異議申し立て」の仕組みを提供するようにと書かれています。

PII処理に対する異議申し立ての内容としては、規制される法令等で変わってきます。
個人情報保護法の例としては、「異議を申し立てる権利」という文言では定められていませんが、GDPRでは、21条で「異議を述べる権利」として、明確に規定されています。
ここでは、例えば、ダイレクトマーケティング目的で利用される場合はいつでも異議を述べる権利がある旨などが定められています。

実施の手引では、上記のような法令や規制上の要求事項を文書化することが望ましいとされています。
これは、PII管理者としてどのような場合にPII主体から申し立てられた異議に従う必要(義務)があるかなどを洗い出して一覧化しておくことで法令順守につなげることができるためです。

7.3.6 アクセス、修正及び/又は消去

この管理策では、まずPII主体が自らのPIIに「アクセスし、それ(=自らのPII)を修正・消去すること」に関する「組織の義務」という記載があります。そして、その義務を果たすための方針・手順・仕組みを実施することを要求しています。

ここでは「組織の義務を果たすための」とあるので「組織の義務がある場合にはその義務を果たすための」と読み取れます。
逆にいえば、PII管理者にPII主体が自らのPIIにアクセス・修正・消去させるような義務を負わない場合にまで、PII主体にアクセス・修正・消去させましょうとまでは言っていません。つまり、法令等で、PII主体にそういった権利が規定されている場合(=PII管理者にとっては応じる義務がある場合)についての話が書かれているのです。

例えば、日本の個人情報保護法上では、保有個人データの内容が事実でないときに、訂正、追加、削除を請求できると定めています。したがって、その際の義務を果たすための方針・手順・仕組みとしては、以下のようになります。
まず法律上は、原則として訂正等の請求があった場合には、「遅滞なく必要な調査」を行う必要があります。そして、その結果に基づき、訂正等を行う場合はそれを実施してその内容を遅滞なく本人に通知する必要があります。

また、訂正等を行わないと決定した場合は、その旨を遅滞なく本人に通知しなければなりません(その理由の説明については努力義務とされています)。
この例でいうと、どのタイミングで誰がどういった調査を行うかの手順や、窓口に請求があってから調査依頼、結果判断、訂正等の実施の仕組みをどうするかなど、決めておく必要があります。

なお、実施の手引においては、その応答時間を定めておくことが望ましいとしています。例えば上記のように「遅滞なく」としか法令で定めていない場合にも、「〇時間以内に調査を開始する」などと記載しておくと調査開始の判断が属人的にならず、組織の義務を果たす上で役立ちます。

7.3.7 第三者に通知するPII管理者の義務

この管理策では、PIIを他の管理者と共有している場合で、下記の時は、共有している相手にそのことを通知しましょうと定めています。

  • その共有しているPIIに対する処理の同意が変更や撤回されたとき
  • 処理に対して異議が出されたとき

そして、その同意の撤回などに対して適切な対応ができるように方針・手順・仕組みを整えましょうとしています。

これは、PIIを共有している他のPII管理者がそのことを知らずに、これまでと同じ処理を行ってしまわないようにするためです。
また、例えばPIIを共同で管理している場合には、それぞれの管理者で役割が異なっている場合があるため、適切に対応するためには他の管理者の行為も必要な可能性があるためです。

そして、単に一方的に通知しただけできちんと第三者にその通知が伝わっていなければ意味がありません。
そこで、実施の手引では、連絡手段を定めることや、同意が撤回されたなどといった情報を、通知を受けた第三者がきちんと確認したかを監視することが望ましいとされています。

監視の仕方としては、例えば、メール送信した際にそのメールが開封されたか確認できる仕様であれば、その確認をすることなどがこれに当たります。

お気軽にご相談ください
ISO27701管理策資料
ダウンロード(無料)
お問い合わせ/無料相談
お問い合わせフォーム
お電話でのお問い合わせもお待ちしております
TEL:03-5719-6234
受付: 10:00~18:00 ※土日祝日、年末年始は除く

ページの先頭へ戻る