2021年10月6日 /個人情報保護とプライバシー/ 著者:マリアナ・ロドリゲス・ロペス
前回の記事では、誤って他人の個人データを受け取ってしまった場合の対処法についていくつかご紹介しました。今回は、同様に重要であり、おそらくもう少し気がかりな別のケースについて取り上げます。 誤って他人の個人情報を、本来送るべきではない相手に送ってしまった場合、どうすればよいでしょうか?
以下に、この件に関するいくつかの推奨事項をご紹介します。これらは、欧州連合(EU)の一般データ保護規則(GDPR)に基づきアイルランドデータ保護委員会が公表したガイドラインに基づいていますが、メキシコの法規制にも合致するものです。
まず、個人データが誤って誰かに送信されたとみなされるのはどのような場合か、明確にすることが重要です。例えば、検査結果を送信すべき患者のメールアドレスを、誤って入力してしまった場合などが挙げられます。
誤って個人情報を間違った相手に送信してしまったと気づいた際、まず取るべき措置は、その相手に個人情報の返却、削除、または破棄を依頼することです。これは単純で直感的な方法に聞こえ、多くの場合うまくいくでしょう。しかし、 もし受信者がこれを拒否したり、個人データを利用・公開すると脅してきたりした場合はどうすればよいでしょうか?
問題はそれほど単純なものではなくなります。なぜなら、 あなたの管理下にあった個人データの保護を確保するのは、依然としてあなたの責任である。
まだ何を残している?
迅速に行動し、本人とその権利に対するリスクに対処し、軽減するために、あらゆる合理的な措置を講じる。
以下のような措置を講じることができます:
- 受信者に対し、個人情報の保持は違法であり、情報主体の権利を侵害することになる旨を通知する。
- データが送信されたことを本人へ通知し、リスクを軽減するために必要な措置を講じられるようにする。
- リスクを軽減するためにどのような措置を講じることができるか、弁護士に相談してください。
講じる措置はすべて、個人データの主体およびその権利に対するリスクや損害を軽減または緩和することを目的としたものでなければならない。
この件やその他の個人情報保護に関する詳細については、
までお問い合わせください。
hguzman@bgbg.mxおよびmrodriguez@bgbg.mx
[1] 参照:データ保護委員会、「第三者へのデータ管理権限の喪失に直面したデータ管理者向けガイダンス」、https://www.dataprotection.ie/sites/default/files/uploads/2020-08/Guidance%20for%20Data%20Controllers%20who%20Lose%20Control%20of%20data%20to%20a%20Third%20Party.pdf、閲覧日:2021年9月13日。