ISO27701規格解説 - 7.3.8、7.3.9、7.3.10

ここでは、ISO 27701管理策の解説をしていきます。
今回は、『7.3.8 処理されるPIIの複製の提供』~『7.3.10 自動化された意思決定』まで解説します。

目次
  1. 7.3.8 処理されるPIIの複製の提供
  2. 7.3.9 要請の処理
  3. 7.3.10 自動化された意思決定

※ ご覧になりたい項目をクリックすることで、該当のセクションにジャンプできます。

7.3.8 処理されるPIIの複製の提供

この管理策では、PII主体から請求があった場合に処理されるPIIのデータ等のコピーをPII主体に提供しましょうと書かれています。

日本の個人情報保護法上は本人から請求された場合にその本人に関する保有個人データのコピーを渡さなければならないというような規定はありません。
これに対しGDPRでは「データポータビリティ権」として、一定の場合に自己と関係する個人データを管理者から受け取る権利があると定めています。

そのため、日本においてはPII主体(本人)との間で関連するPIIのコピーをその者に渡すといった契約上の義務がない限りは、企業は本管理策を適用する必要はないかと思われます(適用除外)。
もちろん、適用して本人から請求があったらコピーを渡すとしてもいいかと思いますが、その分業務は煩雑になるかもしれません。

この管理策の実施の手引では、PII主体に提供するファイルが構造化され一般的に使われているPII主体がアクセス可能な形式でデータコピーを渡す旨の記載があります。
これは、一般的ではない独自のファイル形式で渡したとしてもPII主体が確認できないため、PII主体が確認できるような形式のファイルを渡しましょうとしています。

また、実施の手引では「複製がそのPII主体と明確に関連したものであることを確実にする」ように、つまり、本人確認などをしっかりとして、関係ないPII情報のコピーを渡さないようにと書かれています。
さらに、PII主体からの請求があったときに既にそのPIIを削除してしまった場合は、削除されたことをPII主体に通知すること、非識別化などをしてしまい、PII主体を特定できなくなった場合にはPII主体にコピーを渡すためだけに再識別しないようにということも、この実施の手引では書かれています。

7.3.9 要請の処理

この管理策では、PII主体からの「正当な要請」に対するルールや手順を定めてマニュアル化しましょうと書かれています。
「正当な要請」とは、PII主体にその要請を行う権利があり、PII管理者に応じる義務がある場合を指すと考えていいかと思います。これまで見てきたような、訂正や消去などの請求、苦情申し立ての請求などがこの「要請」に該当します。

実施の手引では、法域によっては一定の場合に要請に応じるにあたって手数料を取得できることがある旨や、定められた適切な応答時間内に対応することが望ましいといったこと書かれています。
個人情報保護法の場合ですと、開示請求に対して手数料を取ることが認められています。

またGDPRでも、特に反復して請求する場合や明らかに根拠のない場合などに限ってですが手数料を請求できることが規定されています。
応答時間については、個人情報保護法では具体的な時間の規制はありません。これに対しGDPRでは、「不当に遅滞することなく、かつ、要求を受けたときから1か月以内」に情報を提供する(2か月の延長可能)か、応じない場合であっても、「遅滞なく、かつ、その要求を受けてから遅くとも1か月以内」に何も行わない理由などを通知するように定めています。

7.3.10 自動化された意思決定

GDPR等の法令等によっては、PII管理者が「自動化された意思決定」をすることによって、PII主体の法的義務が決定する場合などについて規制がされています。
そのような規制を特定して、適切に対処しましょうということがこの管理策に書かれています。

まず、この「自動化された意思決定」という用語について見ていきます。日本の個人情報保護法では無い概念や規制なので、GDPRの規定等をもとに見ていきたいと思います。

「自動化された意思決定」の例の一つとして、GDPRのガイドラインでは車のスピード違反の例を挙げています。スピードカメラでスピード違反の状態を撮影し、それを証拠として、それ以外の判断要素を介さずに罰金を科す場合、これは、刑を科すという意思の判断を自動的に行っており、「自動化された意思決定」にあたるということになります。

このような内容の自動的な判断でしたら判断基準が明確(●km/h以上のスピードを出したか否か)であり、特にPII主体のプライバシーへの影響は大きくないといえます。

これに対し、GDPR上では、データ主体に法的効果を発生させたり同様の重大な影響を及ぼすような「プロファイリングを含むもっぱら自動化された取扱いに基づいた決定」の対象とされない権利を有するとしています。

例えば、あるPII主体がお金を借りたい場合に、システムにその者のPIIに関する情報を入力し、それのみによって(人間の判断が介在することなく)貸し付けをするか否かが判断される場合が「プロファイリングを含むもっぱら自動化された取扱いに基づいた決定」にあたります。
このような場合には、そのPII主体に対して金銭を借りられる/借りられないという法的効果を発生させることになるので、このPII主体にはその決定の対象とされない権利があるというのが、ここでいう「プロファイリングを含むもっぱら自動化された取扱いに基づいた決定の対象とされない権利」となります。

お気軽にご相談ください
ISO27701管理策資料
ダウンロード(無料)
お問い合わせ/無料相談
お問い合わせフォーム
お電話でのお問い合わせもお待ちしております
TEL:03-5719-6234
受付: 10:00~18:00 ※土日祝日、年末年始は除く

ページの先頭へ戻る