個人情報の利用が不適切であるとして苦情の申出があった際に、個人情報取扱事業者はどのような措置をとればよいのでしょうか。今回は、この点に関し、日本とロシアのそれぞれの法律・ガイドラインの規定を紹介したうえ、両者の違いを分析したいと思います。
日本における規律
個人情報の保護に関する法律(平成15年法律第57号)第35条では、次のように規定されています。
1項 個人情報取扱事業者は、個人情報の取扱いに関する苦情の適切かつ迅速な処理に努めなければならない。
2項 個人情報取扱事業者は、前項の目的を達成するために必要な体制の整備に努めなければならない。
そのうえで、個人情報の保護に関する法律についてのガイドライン(通則編)によると、個人情報取扱事業者は、苦情の適切かつ迅速な処理を行うに当たり、苦情処理窓口の設置や苦情処理の手順を定める等必要な体制の整備に努めなければならない、とされています。
ロシアにおける規律
これに対し、ロシアの個人情報保護法(Федерального закона от 27.07.06 № 152-ФЗ «О персональных данных»)21条1項から3項に規定されている苦情処理の規定は日本と異なり、具体的な日数が詳細に規定されており、これらの日数を遵守することが「義務」という形で規定されているので、ロシアで個人情報を扱う際にはこの点、注意が必要であるといえます。
では、具体的にはどのような日数が規定されているのでしょうか。
まず、個人情報取扱事業者は、違法な個人情報の取扱いをしていると個人や個人の権利を保護する機関などから苦情の申出を受けたとき、個人情報取扱事業者は当該個人情報の取扱いを停止する義務があります。そして、停止行為により個人や個人の権利を保護する機関の権利が侵害される場合を除き、苦情を受けた瞬間に、個人情報取扱事業者は、まず当該個人情報の停止を行わなければいけないということが法律上、規定されています。
そして、違法な個人情報の取扱いがあるのかが不明な場合には、申立てを受けた日から7営業日以内(初日算入)に本当に違法な個人情報の取扱いがあるかを調査することが義務付けられています。
違法な個人情報の取扱いがなされていることが調査により発覚した場合には、発覚した日から換算して3営業日以内(初日算入)に違法な個人情報取扱いの停止をすることが義務付けられています。もし適法な個人情報の取扱いができないと判断した場合には、違法な個人情報の取扱いが発覚した日から換算して10営業日以内(初日算入)に当該個人情報を削除することが義務付けられています。
そのうえで、違法な個人情報の取扱いを停止したり、あるいは当該個人情報を削除した場合には、かかる対応をしたことを、苦情を申立てた主体に対する通知をすることが個人情報取扱事業者に義務付けられています。
メモ
ロシアで個人情報の取扱いに関し苦情の申出を受けてしまった際には日数制限に注意が必要です。
参考
