保有個人データとは?個人情報保護法上の定義やルールを解説
IT・情報セキュリティ 更新「保有個人データ」とはどのようなものですか。また、個人情報保護法の「個人情報」「個人データ」との関係や、取り扱うにあたっての規制について教えてください。
「保有個人データ」とは、個人データのうち、個人情報取扱事業者が、開示、内容の訂正、追加または削除、利用の停止、消去および第三者への提供の停止を行うことのできる権限を有するものをいいます。ただし、その存否が明らかになることにより公益その他の利益が害されるものとして施行令5条で定めるものは、保有個人データの定義から除外されます(個人情報保護法16条4項)。
なお、「個人データ」とは、個人情報データベース等を構成する個人情報であり、たとえば、個人情報データベース等から外部記録媒体に保存された個人情報や個人情報データベース等から紙面に出力された帳票等に印字された個人情報などがこれに該当します。
保有個人データに関して個人情報取扱事業者が負う義務としては、①保有個人データに関する事項の公表等、②開示、③訂正等、④利用停止等が挙げられます。
解説
目次
(本記事における略記)
| 略記 | 正式名称・参照情報 |
|---|---|
| 個人情報保護法または法 | 個人情報の保護に関する法律(平成15年法律第57号) |
| 令和2年改正 | 「個人情報の保護に関する法律等の一部を改正する法律」 ※令和4年4月1日に施行 |
| 施行令 | 個人情報の保護に関する法律施行令(平成15年政令第507号) |
| 施行規則 | 個人情報の保護に関する法律施行規則(平成28年個人情報保護委員会規則第3号) |
| 通則編ガイドライン | 個人情報保護員会「個人情報の保護に関する法律についてのガイドライン(通則編)」(平成28年11月30日、令和7年6月一部改正) |
| ガイドラインQ&A | 個人情報保護委員会「「個人情報の保護に関する法律についてのガイドライン」に関するQ&A」(平成29年2月16日、令和7年7月1日更新) |
| ガイドラインパブコメ回答 | 個人情報保護委員会「令和2年改正個人情報保護法ガイドライン(案)に関する意見募集結果(概要)」(令和3年8月2日) |
保有個人データとは
保有個人データの定義
「保有個人データ」とは、個人データのうち、個人情報取扱事業者が、開示、内容の訂正、追加または削除、利用の停止、消去および第三者への提供の停止を行うことのできる権限を有するものをいいます(法16条4項)。
この章において「保有個人データ」とは、個人情報取扱事業者が、開示、内容の訂正、追加又は削除、利用の停止、消去及び第三者への提供の停止を行うことのできる権限を有する個人データであって、その存否が明らかになることにより公益その他の利益が害されるものとして政令で定めるもの以外のものをいう。
保有個人データに該当する/しない具体例
(1)該当するもの
自社の事業活動に用いている顧客情報や従業員等の人事管理情報など、個人情報取扱事業者が自ら取得・作成した個人情報データベース等を構成する個人データは、一般的に、自らが開示、内容の訂正、追加または削除、利用の停止、消去および第三者への提供の停止を行うことのできる権限(以下、「開示等の権限」ともいいます)を有すると考えられますので、保有個人データに該当すると考えられます。
より踏み込んで、厳密な正確性を措いて大雑把に表現すれば、下記の(2)「該当しないもの」以外のほとんどの個人データが保有個人データに該当すると考えられます。
なお、以前の保有個人データの定義では、「1年以内の政令で定める期間(6か月)以内に消去することとなるもの」が除外されていましたが、令和2年改正でこの部分が削除され、2022(令和4)年4月1日以降は、6か月以内に消去する短期保存データも保有個人データと扱われることになりました。
(2)該当しないもの
一方で、委託(法27条5項1号)を受けて取り扱っている個人データは、通常、本人に対する開示等の権限を有しているのは委託元であるため、委託先にとっては保有個人データに該当しません(ガイドラインQ&A1-56)。
このほか、保有個人データの定義は、個人情報および個人データに該当することが前提とされているため、個人情報や個人データの定義に該当しない情報も、保有個人データには該当しません。
また、個人データに該当し、かつ、開示等の権限を有している情報であっても、「その存否が明らかになることにより公益その他の利益が害されるものとして政令で定めるもの」は、保有個人データには当たりません(法16条4項、施行令5条各号)。具体的には、次のような場合です(各事例は通則編ガイドライン2-7を参照)。
| 保有個人データから除外されるもの | 事例 |
|---|---|
| 当該個人データの存否が明らかになることにより、本人または第三者の生命、身体または財産に危害が及ぶおそれがあるもの (施行令5条1号) |
|
| 当該個人データの存否が明らかになることにより、違法または不当な行為を助長し、または誘発するおそれがあるもの (施行令5条2号) |
|
| 当該個人データの存否が明らかになることにより、国の安全が害されるおそれ、他国もしくは国際機関との信頼関係が損なわれるおそれまたは他国もしくは国際機関との交渉上不利益を被るおそれがあるもの (施行令5条3号) |
|
| 当該個人データの存否が明らかになることにより、犯罪の予防、鎮圧または捜査その他の公共の安全と秩序の維持に支障が及ぶおそれがあるもの (施行令5条4号) |
|
個人情報および個人データとの違い
保有個人データは、個人情報保護法上の「個人情報」および「個人データ」に内包される概念で、以下のようなイメージです。
(1)個人情報とは
「個人情報」とは、生存する「個人に関する情報」であって、当該情報に含まれる氏名、生年月日、その他の記述等により特定の個人を識別することができるもの(他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む)、または個人識別符号が含まれるものをいいます。
(2)個人データとは
「個人データ」とは、個人情報データベース等を構成する個人情報をいいます。
ここでいう「個人情報データベース等」とは、特定の個人情報をコンピュータを用いて検索することができるように体系的に構成した個人情報を含む情報の集合体、またはコンピュータを用いていない場合であっても、紙面で処理した個人情報を一定の規則(たとえば、五十音順、生年月日順など)に従って整理・分類し、特定の個人情報を容易に検索することができるよう、目次、索引、符号等を付し、他人によっても容易に検索可能な状態に置いているものをいいます。
個人情報取扱事業者の義務の概要
個人情報保護法は、個人情報を取り扱う民間事業者(個人情報取扱事業者)が遵守すべき義務等を定めています。
この個人情報取扱事業者の義務のうち、保有個人データに関するものとしては、主に以下の4つが挙げられます。
| 個人情報取扱事業者の義務 | 概要 | 個人情報保護法 の条文番号 |
|---|---|---|
① 保有個人データに関する事項の公表等 |
保有個人テータに関する所定の事項を、本人の知り得る状態に置かなければならない。 | 法32条1項 |
| 本人が利用目的の通知を請求した場合、どのような目的で利用されているのかについて、原則として、本人に通知しなければならない。 | 法32条2項 | |
| ② 開示 | 本人が保有個人データの開示を請求した場合、原則として、保有個人データを、本人に対し電磁的方法、書面または本人が同意した方法により、開示しなければならない。 | 法33条2項 |
| 本人が保有個人データの第三者提供記録の開示を請求した場合、原則として、保有個人データの第三者提供記録を、本人に対し電磁的方法、書面または本人が同意した方法により、開示しなければならない。 | 法33条5項 | |
| ③ 訂正等 | 本人が保有個人データの内容が事実でないとして当該データの内容の訂正、追加または削除(訂正等)を請求した場合で、原則として、利用目的の達成に必要な範囲内において、遅滞なく必要な調査を行い、その結果から事実でないと判明したときは、訂正等を行わなければならない。 | 法34条2項 |
| ④ 利用停止等 | 一定の法令違反がある場合、利用の必要がなくなった場合、漏えい等事案が発生した場合その他本人の権利利益が害されるおそれがある場合であって、本人が当該データの利用停止等または第三者提供の停止を請求し、当該請求に理由があると認められるときは、原則として、利用停止等または第三者提供の停止を行わなければならない。 | 法35条2項・4項・6項 |
上記①〜④の義務について、以下で詳しく解説していきます。
保有個人データに関する事項の公表等に関する義務
個人情報取扱事業者は、保有個人データに関する事項の公表を行わなければなりません(法32条1項)。また、本人より保有個人データの利用目的の通知を求められたときは、原則として、本人に対しこれを通知しなければなりません(同条2項)
保有個人データに関する事項の公表
(1)公表すべき事項
個人情報取扱事業者は、保有個人データに関し、次に掲げる事項について、本人の知り得る状態(本人の求めに応じて遅滞なく回答する場合を含む)に置かなければなりません(法32条1項)。
- 個人情報取扱事業者の氏名または名称および住所ならびに代表者の氏名(法人の場合)
- すべての保有個人データの利用目的
- 保有個人データの利用目的の通知の求めまたは開示等の請求に応じる手続および(手数料を定めた場合は)手数料の額
- 保有個人データの安全管理のために講じた措置(ただし、本人の知り得る状態に置くことにより当該保有個人データの安全管理に支障を及ぼすおそれがあるものを除く)
- 保有個人データの取扱いに関する苦情の申出先
- 認定個人情報保護団体の対象事業者である場合、当該団体の名称および苦情の解決の申出先
法32条1項に定める「本人の知り得る状態」には、「本人の求めに応じて遅滞なく回答する場合」が含まれます。そのため、保有個人テータに関する同項所定の事項につき、必ずしもホームページへ掲載しなければならないものではありません。たとえば、ホームページにおいて保有個人データに関する所定の事項の概要または一部を掲載し、本人からの問合せがあれば、それらの具体的な内容を遅滞なく回答する体制を構築しておくことなどでも足ります(通則編ガイドライン3-8-1、ガイドラインQ&A9-1・9-3)。
(2)保有個人データの安全管理のために講じた措置について
個人情報取扱事業者は、法23条の規定により保有個人データの安全管理のために講じた措置の内容を本人の知り得る状態(本人の求めに応じて遅滞なく回答する場合を含む)に置かなければなりません。
ただし、当該保有個人データの安全管理に支障を及ぼすおそれがあるものについては、その必要はありません(後述(3)参照)。
当該安全管理のために講じた措置は、事業の規模および性質、保有個人データの取扱状況(取り扱う保有個人データの性質および量を含む)、保有個人データを記録した媒体等に起因するリスクに応じて、必要かつ適切な内容としなければなりません。このため、当該措置の内容は個人情報取扱事業者によって異なり、本人の知り得る状態に置く安全管理のために講じた措置の内容についても個人情報取扱事業者によって異なります(通則編ガイドライン3-8-1④)。
従業者の監督(法24条)・委託先の監督(法25条)は、法23条の安全管理措置の一環として、従業者および委託先に対する監督義務を明記するものであり、従業者および委託先に対する監督は、法23条の安全管理措置の一部を成します。このため、従業者および委託先に対する監督についても、法23条の規定により保有個人データの安全管理のために講じた措置として、本人の知り得る状態に置く必要があります(ガイドラインQ&A9-4)。
なお、前述のとおり、本人の知り得る状態については、本人の求めに応じて遅滞なく回答する場合を含むため、講じた措置の概要や一部をホームページに掲載し、残りを本人の求めに応じて遅滞なく回答を行うといった対応も可能ですが、たとえば、「『個人情報の保護に関する法律についてのガイドライン(通則編)』に沿って安全管理措置を実施している」といった内容の掲載や回答のみでは適切ではありません(通則編ガイドライン3-8-1④)。
たとえば、ホームページにおいて、安全管理措置の概要および問合せ窓口を掲載し、本人からの問合せがあれば、安全管理措置の具体的な内容を遅滞なく回答する体制を構築している場合には、保有個人データの安全管理のために講じた措置について、「本人の知り得る状態(本人の求めに応じて遅滞なく回答する場合を含む)」に置いたこととなります(ガイドラインQ&A9-3)。
保有個人データの安全管理のために講じた措置として本人の知り得る状態に置くことが考えられる内容としては、次のような事例が考えられます。とはいえ、下記事例の内容のすべてを本人の知り得る状態に置かなければならないわけではなく、また、本人の知り得る状態に置かなければならないものは事例の内容に限られません。
(基本方針の策定)
事例)個人データの適正な取扱いの確保のため、「関係法令・ガイドライン等の遵守」、「質問及び苦情処理の窓口」等についての基本方針を策定
(個人データの取扱いに係る規律の整備)事例)取得、利用、保存、提供、削除・廃棄等の段階ごとに、取扱方法、責任者・担当者及びその任務等について個人データの取扱規程を策定
(組織的安全管理措置)事例1)個人データの取扱いに関する責任者を設置するとともに、個人データを取り扱う従業者及び当該従業者が取り扱う個人データの範囲を明確化し、法や取扱規程に違反している事実又は兆候を把握した場合の責任者への報告連絡体制を整備
事例2)個人データの取扱状況について、定期的に自己点検を実施するとともに、他部署や外部の者による監査を実施
(人的安全管理措置)事例1)個人データの取扱いに関する留意事項について、従業者に定期的な研修を実施
事例2)個人データについての秘密保持に関する事項を就業規則に記載
(物理的安全管理措置)事例1)個人データを取り扱う区域において、従業者の入退室管理及び持ち込む機器等の制限を行うとともに、権限を有しない者による個人データの閲覧を防止する措置を実施
事例2)個人データを取り扱う機器、電子媒体及び書類等の盗難又は紛失等を防止するための措置を講じるとともに、事業所内の移動を含め、当該機器、電子媒体等を持ち運ぶ場合、容易に個人データが判明しないよう措置を実施
(技術的安全管理措置)事例1)アクセス制御を実施して、担当者及び取り扱う個人情報データベース等の範囲を限定
事例2)個人データを取り扱う情報システムを外部からの不正アクセス又は不正ソフトウェアから保護する仕組みを導入
(外的環境の把握)事例)個人データを保管しているA国における個人情報の保護に関する制度を把握した上で安全管理措置を実施(※)
(※)外国(本邦の域外にある国又は地域)の名称については、必ずしも正式名称を求めるものではありませんが、本人が合理的に認識できると考えられる形で情報提供を行う必要があります。また、本人の適切な理解と関与を促す観点から、保有個人データを取り扱っている外国の制度についても、本人の知り得る状態に置くといった対応が望ましいです。
(基本方針の策定)
事例)個人データの適正な取扱いの確保のため、「関係法令・ガイドライン等の遵守」、「質問及び苦情処理の窓口」等についての基本方針を策定(【安全管理のために講じた措置として本人の知り得る状態に置く内容の事例】と同様)
(個人データの取扱いに係る規律の整備)事例)個人データの取得、利用、保存等を行う場合の基本的な取扱方法を整備
(組織的安全管理措置)事例1)整備した取扱方法に従って個人データが取り扱われていることを責任者が確認
事例2)従業者から責任者に対する報告連絡体制を整備
(人的安全管理措置)事例1)個人データの取扱いに関する留意事項について、従業者に定期的な研修を実施(【安全管理のために講じた措置として本人の知り得る状態に置く内容の事例】と同様)
事例2)個人データについての秘密保持に関する事項を就業規則に記載(【安全管理のために講じた措置として本人の知り得る状態に置く内容の事例】と同様)
(物理的安全管理措置)事例1)個人データを取り扱うことのできる従業者及び本人以外が容易に個人データを閲覧できないような措置を実施
事例2)個人データを取り扱う機器、電子媒体及び書類等の盗難又は紛失等を防止するための措置を講じるとともに、事業所内の移動を含め、当該機器、電子媒体等を持ち運ぶ場合、容易に個人データが判明しないよう措置を実施(【安全管理のために講じた措置として本人の知り得る状態に置く内容の事例】と同様)
(技術的安全管理措置)事例1)個人データを取り扱うことのできる機器及び当該機器を取り扱う従業者を明確化し、個人データへの不要なアクセスを防止
事例2)個人データを取り扱う機器を外部からの不正アクセス又は不正ソフトウェアから保護する仕組みを導入
(外的環境の把握)事例)個人データを保管しているA国における個人情報の保護に関する制度を把握した上で安全管理措置を実施(【安全管理のために講じた措置として本人の知り得る状態に置く内容の事例】と同様)
本人の適切な理解と関与を促す観点から、事業の規模および性質、保有個人データの取扱状況等に応じて、上記事例(通則編ガイドライン3-8-1)以上に詳細な内容の掲載や回答とすることは、より望ましい対応です。
なお、「外的環境の把握」については、以下のとおりいくつか重要なQ&Aが示されています。
| 保有個人データの安全管理のために講じる措置 | 参照 | |
|---|---|---|
| 外国にある支店や営業所に個人データを取り扱わせる場合 | 支店等や従業者が所在する外国の名称を明らかにし、当該外国の制度等を把握した上で講じた措置の内容を本人の知り得る状態に置く必要がある。 | ガイドラインQ&A10-23 |
| 外国にある第三者に個人データの取扱いを委託する場合 | 委託先・再委託先が所在する外国の名称を明らかにし、当該外国の制度等を把握した上で講じた措置の内容を本人の知り得る状態に置く必要がある。 | ガイドラインQ&A10-24 |
| 外国にある第三者の提供するクラウドサービスを利用する場合 | クラウドサービス提供事業者が所在する外国の名称および個人データが保存されるサーバが所在する外国の名称を明らかにし、当該外国の制度等を把握した上で講じた措置の内容を本人の知り得る状態に置く必要がある。 他方、個人データが保存されるサーバが所在する国を特定できない場合には、サーバが所在する外国の名称に代えて、①サーバが所在する国を特定できない旨およびその理由、および、②本人に参考となるべき情報を本人の知り得る状態に置く必要がある。②本人に参考となるべき情報としては、たとえば、サーバが所在する外国の候補が具体的に定まっている場合における当該候補となる外国の名称等が考えられる。 |
ガイドラインQ&A10-25 |
(3)本人の知り得る状態に置くことにより支障を及ぼすおそれがあるものの事例
本人の知り得る状態に置くことにより支障を及ぼすおそれがあるものとして、通則編ガイドラインには以下の事例が掲載されています(通則編ガイドライン3-8-1)。
事例1)個人データが記録された機器等の廃棄方法、盗難防止のための管理方法
事例2)個人データ管理区域の入退室管理方法
事例3)アクセス制御の範囲、アクセス者の認証手法等
事例4)不正アクセス防止措置の内容等
(※9)例えば、【安全管理のために講じた措置として本人の知り得る状態に置く内容の事例】にあるような、「盗難又は紛失等を防止するための措置を講じる」、「外部からの不正アクセス又は不正ソフトウェアから保護する仕組みを導入」といった内容のみでは、本人の知り得る状態に置くことにより保有個人データの安全管理に支障を及ぼすおそれがあるとはいえないが、その具体的な方法や内容については、本人の知り得る状態に置くことにより保有個人データの安全管理に支障を及ぼすおそれがあると考えられる。しかしながら、何をもって安全管理に支障を及ぼすおそれがあるかについては、取り扱われる個人情報の内容、個人情報の取扱いの態様等によって様々であり、事業の規模及び性質、保有個人データの取扱状況等に応じて判断される。
利用目的の通知
個人情報取扱事業者は、本人から、当該本人が識別される保有個人データの利用目的の通知を求められたときは、本人に対し、遅滞なく、これを通知しなければなりません。一方で、以下のような場合は、利用目的の通知または公表を要しません(法32条2項)。
- 法32条1項の措置により、本人が識別される保有個人データの利用目的が明らかである場合
- 利用目的を本人に通知し、または公表することにより本人または第三者の生命、身体、財産その他の権利利益を害するおそれがある場合
- 利用目的を本人に通知し、または公表することにより当該個人情報取扱事業者の権利または利益が侵害されるおそれがある場合
- 国の機関等が法令の定める事務を実施する上で、民間企業等の協力を得る必要がある場合であり、協力する民間企業等が国の機関等から受け取った保有個人データの利用目的を本人に通知し、または公表することにより、当該事務の遂行に支障を及ぼすおそれがある場合
ここでいう「通知」とは、本人に直接知らしめることをいい、事業の性質および個人情報の取扱状況に応じ、内容が本人に認識される合理的かつ適切な方法によらなければならないとされています。
開示等に関する義務
本人から保有個人データまたは第三者提供記録の開示請求があった場合、個人情報取扱事業者は、原則として、本人に対し、電磁的記録の提供による方法、書面の交付その他の個人情報取扱事業者の定める方法のうち本人が請求した方法により開示しなければなりません(法33条1項・5項、施行規則30条)。
開示の対象となる情報
(1)保有個人データ
開示の対象となるのは、当該本人が識別される保有個人データです(法33条1項)。
一方で、保有個人データの不開示事由に該当する場合(法33条2項各号)、その全部または一部を開示しないことができます。具体的には、次のような場合です。
- 本人または第三者の生命、身体、財産その他の権利利益を害するおそれがある場合
- 当該個人情報取扱事業者の業務の適正な実施に著しい支障を及ぼすおそれがある場合
- 他の法令に違反することとなる場合
(2)第三者提供記録
第三者提供記録とは、法29条1項および法30条3項の記録のうち、その存否が明らかになることにより公益その他の利益が害されるものとして政令で定めるもの(施行令11条)を除いたものをいいます。具体的には、以下のような場合は、第三者提供記録から除かれます。
- 本人または第三者の生命、身体または財産に危害が及ぶおそれがあるもの
- 違法または不当な行為を助長し、または誘発するおそれがあるもの
- 国の安全が害されるおそれ、他国もしくは国際機関との信頼関係が損なわれるおそれまたは他国もしくは国際機関との交渉上不利益を被るおそれがあるもの
- 犯罪の予防、鎮圧または捜査その他の公共の安全と秩序の維持に支障が及ぶおそれがあるもの
一方で、第三者提供記録の不開示事由に該当する場合(法33条5項・2項各号)、その全部または一部を開示しないことができます。具体的には、個人データの開示の場合と同様です。
また、個人関連情報の第三者提供に関する記録(法31条3項、30条3項)は第三者提供記録に該当せず、開示対象となりません(ガイドラインQ&A9-14)
開示の方法
本人は、個人情報取扱事業者に対し、①電磁的記録の提供による方法、②書面の交付による方法、③その他当該個人情報取扱事業者が定める方法により開示を請求することができます(法33条1項・同5項、施行規則30条。通則編ガイドライン3-8-2も参照)1。
| 開示請求の方法 | 具体例 |
|---|---|
| ① 電磁的記録の提供による方法 |
|
| ② 書面の交付による方法 |
|
③ その他当該個人情報取扱事業者が定める方法 |
|
個人情報取扱事業者は、本人からの開示請求を受けた場合、原則として、上記①~③の方法のうち本人が指定した方法で、遅滞なく、開示しなければなりません。
一方で、本人が指定した方法による開示に多額の費用を要する場合その他の当該方法による開示が困難である場合にあっては、書面の交付による方法による開示が認められています(法33条2項)。
ここでいう「開示が困難である場合」の具体例としては、たとえば以下のようなものが挙げられます(通則編ガイドライン3-8-2)。
- 本人が電磁的記録の提供による開示を請求した場合であって、個人情報取扱事業者が当該開示請求に応じるために、大規模なシステム改修を行わなければならないような場合
- 本人が電磁的記録の提供による開示を請求した場合であって、書面で個人情報や帳簿等の管理を行っている小規模事業者が、電磁的記録の提供に対応することが困難な場合
この点について、個人情報保護法上は「書面の交付による方法」とされていますが、実務的な対応としては、本人が請求する方法による開示が困難な場合には、個人情報取扱事業者が対応できる方法への変更を求めることが望ましいと考えられます。
(1)電磁的記録の提供による方法の場合
本人が保有個人データの電磁的記録の提供による方法による開示を請求した場合の対応について、ガイドラインQ&A9-10には次のように記載されています(下線は筆者)。
この場合、個人情報取扱事業者は、電磁的記録のファイル形式(PDF形式、Word形式等)や、電磁的記録の提供方法(電磁的記録を記録媒体に保存してこれを郵送する、電磁的記録を電子メールに添付して送信する、ウェブサイト上で電磁的記録をダウンロードさせる等)を定めることができ、本人がファイル形式等を指定した場合であっても、これに応じる必要はありません。
このため、個人情報取扱事業者は、本人が指定したファイル形式等による開示が困難な場合には、個人情報取扱事業者において対応可能なファイル形式等で開示すれば足ります。もっとも、本人の利便性向上の観点から、できる限り本人の要望に沿った形で対応することが望ましいと考えられます。
(2)「遅滞なく」開示の意義
法33条2項が定める「遅滞なく」について、ガイドラインQ&A9-12には次のように記載されています(下線は筆者)。
(3)開示請求を受けた場合の手数料
保有個人データの開示の請求を受けた際の手数料について、ガイドラインQ&A9-29には次のように記載されています(下線は筆者)。
不開示決定等の本人通知義務
個人情報取扱事業者は、開示請求に係る保有個人データの全部もしくは一部について開示しない旨の決定をしたとき、当該保有個人データが存在しないとき、または本人が請求した方法による開示が困難であるときは、本人に対し、遅滞なく、その旨を通知しなければなりません(法33条3項)。第三者提供記録についても同様です(法33条5項・3項)。
これら不開示決定等の通知は個人情報保護法上の義務ですが、見落とされがちなため、特に注意する必要があります。
訂正等に関する義務
訂正等の要件
個人情報取扱事業者は、本人から保有個人データの内容が誤っている等として当該保有個人データの内容の訂正等の請求があった場合で、「保有個人データの内容が事実でないとき」に、訂正等を行う義務が生じます(法34条1項)。
訂正等の対象が事実ではなく評価に関する情報である場合には、訂正等を行う必要はありません。ただし、評価に関する保有個人データに評価の前提となっている事実も記載されており、それに誤りがある場合においては、その限りにおいて訂正等を行う義務が生じます(ガイドラインQ&A9-19)。
請求を受けた個人情報取扱事業者の対応
個人情報取扱事業者は、本人から、当該本人が識別される保有個人データに誤りがあり、事実でないという理由によって、訂正等の請求を受けた場合は、利用目的の達成に必要な範囲で遅滞なく必要な調査を行い、その結果に基づき、原則として、訂正等を行わなければなりません(法34条2項)。
一方で、利用目的からみて訂正等が必要ではない場合、保有個人データが誤りである旨の指摘が正しくない場合には、訂正等を行う必要はありません。
本人通知義務
個人情報取扱事業者は、訂正等の請求に係る保有個人データの内容の全部もしくは一部について訂正等を行ったとき、または訂正等を行わない旨の決定をしたときは、本人に対し、遅滞なく、その旨(訂正等を行ったときは、その内容を含む)を通知しなければなりません(法34条3項)。
訂正等を行った場合のみならず、訂正等を行わない旨の決定をしたときも、本人通知義務が生じる点に留意を要します。
利用停止等に関する義務
本人は、個人情報取扱事業者に対し、一定の場合に、当該本人が識別される保有個人データの利用の停止または消去(利用停止等)を請求することができます(法35条1項)。
ここでいう「消去」とは、保有個人データを保有個人データとして使えなくすることであり、当該データを削除することのほか、当該データから特定の個人を識別できないようにすること等を含みます。
利用停止等の要件
(1)法違反の場合の利用停止等
個人情報取扱事業者は、本人から、当該本人が識別される保有個人データについて、以下の理由によって利用停止等の請求を受けた場合であって、その請求に理由があることが判明したときは、原則として、遅滞なく、利用停止等を行わなければなりません。ただし、法違反である旨の指摘が正しくない場合は、利用停止等を行う必要はありません(法35条2項)。
- 法18条の規定に違反して本人の同意なく目的外利用がされている。もしくは法19条の規定に違反して不適正な利用が行われている
- 法20条の規定に違反して偽りその他不正の手段により個人情報が取得され、もしくは本人の同意なく要配慮個人情報が取得されたものである
(2)法違反の場合の第三者提供の停止
個人情報取扱事業者は、本人から、当該本人が識別される保有個人データについて、以下の理由によって当該保有個人データの第三者提供の停止の請求を受けた場合であって、その請求に理由があることが判明したときは、原則として、遅滞なく、第三者提供の停止を行わなければなりません(法35条4項)。
法違反である旨の指摘が正しくない場合は、第三者提供を停止する必要はありません。
- 個人情報保護法27条1項または個人情報保護法28条の規定に違反して本人の同意なく第三者に提供されている
(3)個人情報保護法35条5項の要件を満たす場合の利用停止等または第三者提供の停止
個人情報取扱事業者は、次の①〜③のいずれかに該当する場合については、原則として、遅滞なく、利用停止等または第三者提供の停止を行わなければなりません(法35条6項)。
- 利用する必要がなくなった場合
- 当該本人が識別される保有個人データに係る法26条1項本文に規定する事態(個人データの漏えい等)が生じた場合
- その他当該本人の権利または正当な利益が害されるおそれがある場合
- 利用する必要がなくなった場合
「当該個人情報取扱事業者が利用する必要がなくなった」とは、法22条と同様に、当該保有個人データについて利用する必要がなくなったとき、すなわち、利用目的が達成され当該目的との関係では当該保有個人データを保有する合理的な理由が存在しなくなった場合や利用目的が達成されなかったものの当該目的の前提となる事業自体が中止となった場合等をいいます。
請求の対象となっている保有個人データにつき、複数の利用目的がある場合、すべての利用目的との関係で「利用する必要がなくなった」かどうかを判断する必要があります(通則ガイドライン3-8-5-1※4)。
利用する必要がなくなったとして利用停止等または第三者提供の停止が認められるものとして、通則ガイドライン3-8-5-1では、次のような事例が示されています。 - 当該本人が識別される保有個人データに係る法26条第1項本文に規定する事態(個人データの漏えい等)が生じた場合
個人情報取扱事業者は、本人から、当該本人が識別される保有個人データに係る法26条1項本文に規定する事態が生じたという理由によって、当該保有個人データの利用停止等または第三者提供の停止の請求を受けた場合であって、その請求に理由があることが判明したときは、原則として、遅滞なく、利用停止等または第三者への提供の停止を行わなければなりません。
「当該本人が識別される保有個人データに係る法26条第1項本文に規定する事態が生じた」とは、法26条1項本文に定める漏えい等事案が生じたことをいいます。 - 当該本人の権利または正当な利益が害されるおそれがある場合
「本人の権利または正当な利益が害されるおそれがある場合」とは、法目的に照らして保護に値する正当な利益が存在し、それが侵害されるおそれがある場合をいいます。
ここでいう「おそれ」は、一般人の認識を基準として、客観的に判断します。 「正当」かどうかは、相手方である個人情報取扱事業者との関係で決まるものであり、個人情報取扱事業者に本人の権利利益の保護の必要性を上回る特別な事情がない限りは、個人情報取扱事業者は請求に応じる必要があります。本人の権利利益の保護の必要性を上回る特別な事情があるかどうかを判断するにあたっては、たとえば、以下のような事情を考慮することになります(通則ガイドライン3-8-5-1※5)。
事例1)ダイレクトメールを送付するために個人情報取扱事業者が保有していた情報について、当該個人情報取扱事業者がダイレクトメールの送付を停止した後、本人が消去を請求した場合
事例2)電話勧誘のために個人情報取扱事業者が保有していた情報について、当該個人情報取扱事業者が電話勧誘を停止した後、本人が消去を請求した場合
事例3)キャンペーンの懸賞品送付のために個人情報取扱事業者が保有していた当該キャンペーンの応募者の情報について、懸賞品の発送が終わり、不着対応等のための合理的な期間が経過した後に、本人が利用停止等を請求した場合
事例4)採用応募者のうち、採用に至らなかった応募者の情報について、再応募への対応等のための合理的な期間が経過した後に、本人が利用停止等を請求した場合
| 保有個人データ | 個人情報取扱事業者の義務等 | 参照 |
|---|---|---|
| 採用面接で不採用とした応募者の情報 | 個人情報保護法では、本人からの請求による保有個人データの削除(法34条)、保有個人データの利用の停止または消去(法35条)に関する規定は定められているが、履歴書等の受け取った書類を返還する義務は規定されていない。そのため、個人情報保護法上、提出された履歴書を返却する義務はない。 他方、応募者本人から、履歴書に記載された当該本人の情報について、保有個人データに該当する場合に、再応募への対応等のための合理的な期間が経過した後、利用する必要がなくなった場合に該当するとして利用停止等の請求を受けたときには、当該請求に応じる義務があると考えられる(法35条6項)。 なお、法22条では、個人データの消去についての努力義務が明記されているため、個人情報取扱事業者は、個人データを利用する必要がなくなったときは、当該個人データを遅滞なく消去するよう努めなければならない。 |
ガイドラインQ&A9-20 |
| 退職した社員の個人情報 | 退職した社員の個人情報についても、取得時に特定した利用目的の範囲内で利用することは可能だが、当該利用目的が達成されたときには、利用する必要がなくなった場合に該当し、当該請求に応じる義務があると考えられる(法35条6項)。 | ガイドラインQ&A9-22 |
(ア)本人又は第三者の生命、身体、財産その他の権利利益を保護するために当該保有個人データを取り扱う事情
(イ)法令を遵守するために当該保有個人データを取り扱う事情
(ウ)契約に係る義務を履行するために当該保有個人データを取り扱う事情
(エ)違法又は不当な行為を防止するために当該保有個人データを取り扱う事情
(オ)法的主張、権利行使又は防御のために当該保有個人データを取り扱う事情
通則編ガイドライン3-8-5-1に掲載されている以下の事例は、実務上参考となる点も多いと考えられます。
事例1)ダイレクトメールの送付を受けた本人が、送付の停止を求める意思を表示したにもかかわらず、個人情報取扱事業者がダイレクトメールを繰り返し送付していることから、本人が利用停止等を請求する場合
事例2)電話勧誘を受けた本人が、電話勧誘の停止を求める意思を表示したにもかかわらず、個人情報取扱事業者が本人に対する電話勧誘を繰り返し行っていることから、本人が利用停止等を請求する場合
事例3)個人情報取扱事業者が、安全管理措置を十分に講じておらず、本人を識別する保有個人データが漏えい等するおそれがあることから、本人が利用停止等を請求する場合
事例4)個人情報取扱事業者が、法第27条第1項に違反して第三者提供を行っており、本人を識別する保有個人データについても本人の同意なく提供されるおそれがあることから、本人が利用停止等を請求する場合
事例5)個人情報取扱事業者が、退職した従業員の情報を現在も自社の従業員であるようにホームページ等に掲載し、これによって本人に不利益が生じるおそれがあることから、本人が利用停止等を請求する場合
事例1)ダイレクトメールを送付するために個人情報取扱事業者が保有していた情報について、当該個人情報取扱事業者がダイレクトメールの送付を停止した後、本人が消去を請求した場合
事例1)電話の加入者が、電話料金の支払いを免れるため、電話会社に対して課金に必要な情報の利用停止等を請求する場合
事例2)インターネット上で匿名の投稿を行った者が、発信者情報開示請求による発信者の特定やその後の損害賠償請求を免れるため、プロバイダに対してその保有する接続認証ログ等の利用停止等を請求する場合
事例3)過去に利用規約に違反したことを理由としてサービスの強制退会処分を受けた者が、再度当該サービスを利用するため、当該サービスを提供する個人情報取扱事業者に対して強制退会処分を受けたことを含むユーザー情報の利用停止等を請求する場合
事例4)過去の信用情報に基づく融資審査により新たな融資を受けることが困難になった者が、新規の借入れを受けるため、当該信用情報を保有している個人情報取扱事業者に対して現に審査に必要な信用情報の利用停止等又は第三者提供の停止を請求する場合
請求を受けた個人情報取扱事業者の対応
上記6-1(3)の①〜③のいずれか(利用停止等・第三者提供の停止の請求の要件)に該当する場合、個人情報取扱事業者は、本人の権利利益の侵害を防止するために必要な限度で、遅滞なく、当該保有個人データの利用停止等または第三者への提供の停止を行わなければなりません。
(1)要件を満たす場合の対応の限度
法違反を理由とする利用停止等の場合、違反を是正するために必要な限度で、遅滞なく、当該保有個人データの利用停止等を行わなければなりません。また、法違反を原因とする第三者提供の停止の場合、遅滞なく、当該保有個人データの第三者提供を禁止する必要があります。一方で、多額の費用を要する場合その他の利用停止等または第三者提供の停止を行うことが困難な場合であって、本人の権利利益を保護するため必要なこれに代わるべき措置をとるときは、この限りではないとされています(法35条2項)。
なお、第三者提供の停止については、要件を満たすと判断された以降の新たな第三者提供を停止すればよく、すでに第三者に提供された個人データを回収する必要まではないと考えられます 2。
さらに、本人の権利または正当な利益が害されるおそれがある場合の利用停止については、本人の権利利益の侵害を防止するために必要な限度で、遅滞なく、当該保有個人データの利用停止等または第三者への提供の停止をすることで足り、必ずしも本人から請求された措置をすべて行う必要はありません。
このような場合として、通則編ガイドライン3-8-5-2では、以下のような事例が挙げられています。
事例1)本人から保有個人データの全てについて、利用停止等が請求された場合に、一部の保有個人データの利用停止等によって、生じている本人の権利利益の侵害のおそれを防止できるものとして、一部の保有個人データに限定して対応を行う場合
事例2)法第27条第1項に違反して第三者提供が行われているとして保有個人データの消去を請求された場合に、利用停止又は第三者提供の停止による対応によって、生じている本人の権利利益の侵害のおそれを防止できるものとして、利用停止又は第三者提供の停止による対応を行う場合
(2)本人の権利利益を保護するため必要なこれに代わるべき措置
個人情報取扱事業者は、上記6-1(3)の①〜③のいずれか(利用停止等・第三者提供の停止の請求の要件)に該当する場合であっても、当該保有個人データの利用停止等または第三者への提供の停止に多額の費用を要する場合その他の利用停止等または第三者への提供の停止を行うことが困難な場合であって、本人の権利利益を保護するため必要なこれに代わるべき措置をとるときは、利用停止等または第三者提供の停止に応じなくてもよいことになります(法35条6項)。
ここでいう「困難な場合」については、利用停止等または第三者提供の停止に多額の費用を要する場合のほか、個人情報取扱事業者が正当な事業活動において保有個人データを必要とする場合についても該当し得ます。
「困難な場合」には、金銭的なコスト以外にも、たとえば、個人情報取扱事業者が正当な事業活動において保有個人データを必要とする場合も該当し得ます(ガイドラインパブコメ回答42番)。
代替措置については、事案に応じて様々ですが、生じている本人の権利利益の侵害のおそれに対応するものであり、本人の権利利益の保護に資するものである必要があります。具体的には、以下のような事例が示されています(通則編ガイドライン3-8-5-3)。
事例1)既に市販されている名簿の刷り直し及び回収作業に多額の費用を要するとして、名簿の増刷時の訂正を約束する場合や必要に応じて金銭の支払いをする場合
事例2)個人情報保護委員会への報告の対象となる重大な漏えい等が発生した場合において、当該本人との契約が存続しているため、利用停止等が困難であるとして、以後漏えい等の事態が生じることがないよう、必要かつ適切な再発防止策を講じる場合
事例3)他の法令の規定により保存が義務付けられている保有個人データを直ちに消去する代わりに、当該法令の規定による保存期間の終了後に消去することを約束する場合
なお、消費者等、本人の権利利益保護の観点からは、事業活動の特性、規模および実態を考慮して、保有個人データについて本人から求めがあった場合には、自主的に利用停止等または第三者提供の停止に応じる等、本人からの求めによりいっそう対応していくことが望ましいです。
本人通知義務
個人情報取扱事業者は、請求に係る保有個人データの全部もしくは一部について利用停止等を行ったときもしくは利用停止等を行わない旨の決定をしたとき、または請求に係る保有個人データの全部もしくは一部について第三者への提供を停止したときもしくは第三者への提供を停止しない旨の決定をしたときは、本人に対し、遅滞なく、その旨を通知しなければなりません(法35条7項)。
利用停止等請求に応じる場合のみならず、応じない旨の決定をしたときも、本人通知義務が生じる点に留意を要します。
-
以前は、保有個人データの開示は書面の交付による方法が原則でしたが、令和2年改正により、当該本人が請求した方法(当該方法による開示に多額の費用を要する場合その他の当該方法による開示が困難である場合にあっては、書面の交付による方法)により、遅滞なく、当該保有個人データを開示することとされました。 ↩︎
-
個人情報保護員会「「個人情報の保護に関する法律についてのガイドライン(通則編)(案)」に関する意見募集結果」(平成28年11月30日)565番 ↩︎
弁護士法人三宅法律事務所
- コーポレート・M&A
- IT・情報セキュリティ
- 人事労務
- 危機管理・内部統制
- ファイナンス
- 国際取引・海外進出
- 訴訟・争訟
- 不動産
- 資源・エネルギー
- ベンチャー
弁護士法人三宅法律事務所
弁護士法人三宅法律事務所
弁護士法人三宅法律事務所