データ主体アクセス要求 (DSAR)
データ主体アクセス要求 (DSAR) とは何ですか?
データ主体アクセス要求 (DSAR)本人が管理者に対し、自身の個人データが処理されているかを確認し、コピーの提供を求める正式な請求。GDPR 第 15 条等で保障される。
データ主体アクセス要求 (DSAR) は、本人が GDPR 第 15 条、英国 DPA 2018、CCPA 第 1798.110 条、LGPD 第 18 条等に基づくアクセス権を行使するための手続きです。管理者は、個人データを処理しているかを回答し、コピーを提供するとともに、処理目的、提供先、保存期間、取得元、自動化された意思決定、国際移転の有無などを開示する必要があります。期限は通常、GDPR で 1 か月、CCPA で 45 日、初回は無償です。実務では、申請者の本人確認、構造化・非構造化システムの検索、第三者情報の墨消し、判断の記録、複雑な事案での期限延長などを行います。繰り返し・明らかに不当・過度な請求は拒否や妥当な手数料の対象になり得ます。
● 例
- 01
退職した従業員が、人事システム、メールバックアップ、監視カメラ映像にある自分の全データを請求する。
- 02
顧客が GDPR 第 20 条に基づく注文履歴のポータブル形式出力を DSAR と併せて要求する。
● よくある質問
データ主体アクセス要求 (DSAR) とは何ですか?
本人が管理者に対し、自身の個人データが処理されているかを確認し、コピーの提供を求める正式な請求。GDPR 第 15 条等で保障される。 サイバーセキュリティの プライバシーとデータ保護 カテゴリに属します。
データ主体アクセス要求 (DSAR) とはどういう意味ですか?
本人が管理者に対し、自身の個人データが処理されているかを確認し、コピーの提供を求める正式な請求。GDPR 第 15 条等で保障される。
データ主体アクセス要求 (DSAR) はどのように機能しますか?
データ主体アクセス要求 (DSAR) は、本人が GDPR 第 15 条、英国 DPA 2018、CCPA 第 1798.110 条、LGPD 第 18 条等に基づくアクセス権を行使するための手続きです。管理者は、個人データを処理しているかを回答し、コピーを提供するとともに、処理目的、提供先、保存期間、取得元、自動化された意思決定、国際移転の有無などを開示する必要があります。期限は通常、GDPR で 1 か月、CCPA で 45 日、初回は無償です。実務では、申請者の本人確認、構造化・非構造化システムの検索、第三者情報の墨消し、判断の記録、複雑な事案での期限延長などを行います。繰り返し・明らかに不当・過度な請求は拒否や妥当な手数料の対象になり得ます。
データ主体アクセス要求 (DSAR) からどのように防御しますか?
データ主体アクセス要求 (DSAR) に対する防御は通常、上記の定義で述べたとおり、技術的統制と運用上の実践を組み合わせます。
データ主体アクセス要求 (DSAR) の別名は何ですか?
一般的な別名: DSAR, 本人アクセス要求, アクセス権の行使。
● 関連用語
- privacy№ 932
忘れられる権利
GDPR 第 17 条で保障される、処理を続ける優越的な法的理由がない場合に、本人が自身の個人データの削除を求めることができる権利。
- compliance№ 440
GDPR
EU 域内および EEA に所在する個人の個人データ処理を規律する欧州連合の一般データ保護規則。
- privacy№ 818
個人を特定できる情報 (PII)
氏名、識別子、生体情報など、単独で、あるいは他の情報と組み合わせることで特定の個人を識別できるあらゆるデータ。
- privacy№ 210
同意管理
プライバシー法令に沿って、個人データ処理と Cookie 設置に対するユーザーの許可を取得・記録・更新・適用するためのプロセスとツール。
- privacy№ 284
データ保管期間
データのカテゴリごとに、どれだけの期間保管し、いつ安全に削除・アーカイブ・匿名化するかを定めるポリシーと統制。
- privacy№ 856
プライバシー・バイ・デザイン
システム・プロセス・初期設定に対し、設計の最初期段階からプライバシー観点を組み込む工学・ガバナンスのアプローチ。