個人情報法務

プライバシーポリシーの作り方|開示等の請求手続条項

著作者:pressfoto/出典:Freepik

今回は、プライバシーポリシーの作り方ということで、開示等の請求手続条項について見てみたいと思います。

ではさっそく。なお、引用部分の太字、下線、改行などは管理人によるものです。

メモ

 このカテゴリーでは、インハウスとしての法務経験からピックアップした、管理人の独学や経験の記録を綴っています。
 ネット上の読み物としてざっくばらんに書いており、感覚的な理解を掴むことを目指していますが、書籍などを理解する際の一助になれば幸いです。

開示等の請求手続条項の法的意味

開示等の請求手続条項の法的意味は、

保有データに関する開示等の請求を受け付ける手続手数料の徴収について定める場合、本人の知り得る状態に置かなければならないため、これらをプライバシーポリシーに記載する

という点になります。

開示等の請求手続を定める意味

受け付ける手続を定めることができる旨は、法37条1項に定めがあります。この場合、本人は、その手続に従って請求を行わなければならないとされています。

また、開示等の請求のうち、利用目的の通知請求と、開示請求については、手数料を徴収することができ(法38条1項)、その場合、手数料の額を定めておかなければなりません(2項)。

▽法37条1項(※【 】は管理人注)

(開示等の請求等に応じる手続)
第三十七条
 個人情報取扱事業者は、第三十二条第二項の規定による求め【=利用目的の通知請求】又は第三十三条第一項(同条第五項において準用する場合を含む。次条第一項及び第三十九条において同じ。)【=開示請求】、第三十四条第一項【=訂正・追加・削除請求】若しくは第三十五条第一項、第三項若しくは第五項【=利用停止・消去請求提供停止請求】の規定による請求(以下この条及び第五十四条第一項において「開示等の請求等」という。)に関し、政令で定めるところにより、その求め又は請求を受け付ける方法を定めることができるこの場合において、本人は、当該方法に従って、開示等の請求等を行わなければならない

定めることが「できる」なので、手続や手数料を定めるかどうか自体は義務ではなく任意ですが、望ましい手続の段取りや、実費分は徴収したいという想定があっても、定めていなければ、そのとおりにやってもらうことはできないことになります。

▽ガイドラインQ&A 9-25

 本人からの開示等の請求等に備えて、開示等の請求等を受け付ける方法をあらかじめ定めておく必要がありますか。

 個人情報保護法上、個人情報取扱事業者は、開示等の請求に応じる義務がありますが、その手続については各事業者において定めることができます(法第37条第1項)。
 開示等の請求等を受け付ける方法をあらかじめ定めている場合には、本人は当該方法に従って開示等の請求等をすることになります。
 一方、当該方法をあらかじめ定めていない場合には、本人は任意の方法により開示等の請求等をすることとなりますので、その事業者は、個別に相談しながら対応することとなります。

▽通則ガイドライン3-8-7

 なお、個人情報取扱事業者が、開示等の請求等を受け付ける方法を合理的な範囲で定めたときは、本人は、当該方法に従って開示等の請求等を行わなければならず当該方法に従わなかった場合は、個人情報取扱事業者は当該開示等の請求等を拒否することができる(※3)。
 …(略)…
(※3)開示等の請求等を受け付ける方法を定めない場合には、自由な申請を認めることとなるので注意が必要である。

本人の知り得る状態に置くこと

そして、これらを定めたら、本人の知り得る状態(本人の求めに応じて遅滞なく回答する場合を含む)に置かなければなりません(法32条1項3号)。

この知り得る状態に置くことを、プライバシーポリシーへの記載によって行っている、ということです。

▽法32条1項3号

(保有個人データに関する事項の公表等)
第三十二条
 個人情報取扱事業者は、保有個人データに関し、次に掲げる事項について、本人の知り得る状態(本人の求めに応じて遅滞なく回答する場合を含む。)に置かなければならない。
 次項の規定による求め又は次条第一項(同条第五項において準用する場合を含む。)、第三十四条第一項若しくは第三十五条第一項、第三項若しくは第五項の規定による請求に応じる手続(第三十八条第二項の規定により手数料の額を定めたときは、その手数料の額を含む。)

本人の知り得る状態」とは、本人が知ろうとすれば、知ることができる状態に置くことをいいます。

▽通則ガイドライン3-8-1

(※1)「本人の知り得る状態(本人の求めに応じて遅滞なく回答する場合を含む。)」とは、ホームページへの掲載、パンフレットの配布、本人の求めに応じて遅滞なく回答を行うこと等、本人が知ろうとすれば、知ることができる状態に置くことをいい、常にその時点での正確な内容を本人の知り得る状態に置かなければならない。必ずしもホームページへの掲載、又は事務所等の窓口等へ掲示すること等が継続的に行われることまでを必要とするものではないが、事業の性質及び個人情報の取扱状況に応じ、内容が本人に認識される合理的かつ適切な方法によらなければならない。

開示等の請求手続についていえば、請求を行おうとする本人がその手続を把握できるようにしておくことが重要であり、請求自体にせよ、回答への求めにせよ、簡単な操作によって行えることが望ましいとされています。

また、必ずホームページに記載しなければならないわけではなく、問合せ窓口を設けたうえで、問合せがあれば、口頭又は文書で回答できるよう体制を構築しておく、という対応も可能となっています。

▽通則ガイドライン3-8-7

「本人の知り得る状態(本人の求めに応じて遅滞なく回答する場合を含む。)」とは、本人が知ろうとすれば、知ることができる状態に置くことをいい、事業の性質及び個人情報の取扱状況に応じ、内容が本人に認識される合理的かつ適切な方法によらなければならないが、開示等の請求等を行おうとする本人がその手続を把握できるようにしておくことが重要であり、例えば、ホームページへの掲載による場合、本人が簡単な操作によって該当箇所へ到達でき、円滑に請求等を行えるようにしておくことが望ましい。また、「本人の求めに応じて遅滞なく回答する」ことによって対応する場合には、その前提として、少なくとも本人が簡単な操作によって求めを行うことができるようにすることが望ましい。

▽ガイドラインQ&A 9-1

 法第32条第1項第3号は、開示等の請求等に応じる手続を本人の知り得る状態に置かなければならないと定めていますが、必ずホームページに掲載しなければいけませんか。

 必ずしもホームページに掲載しなければならないわけではありません。開示等の請求等に応じる手続については、本人の知り得る状態に置かなければなりませんが、本人の求めに応じて遅滞なく回答する場合も含むとされています(法第32条第1項)。
 例えば、問合せ窓口を設け、問合せがあれば、口頭又は文書で回答できるよう体制を構築しておけば足ります(ガイドライン(通則編)3-8-1-⑴(※1)参照)。
 なお、問合せ窓口(保有個人データの取扱いに関する苦情の申出先。施行令第10条第2号)については、分かりやすくしておくことが望ましいと考えられます。

実際は、開示等の請求手続条項のところに、以下で見るような手続の記載項目を全て書ききっているものは比較的少なく、大まかな説明と、掲載している問合せ窓口への連絡に応じて案内する旨の記載にとどめているものが多いように思います(「本人の求めに応じて遅滞なく回答する」のパターン)。

開示等の請求手続条項の記載内容(法37条1項→施行令12条)

開示等の請求手続として定めることができる事項は、施行令12条に定めがあり、

  • 申出先(1号)
  • 提出すべき書面の様式など請求の方式(2号)
  • 本人確認方法(代理人の確認を含む)(3号)
  • 手数料の徴収方法(4号)

となっています。

条文も確認してみます。

▽施行令12条

(開示等の請求等を受け付ける方法)
第十二条
 法第三十七条第一項の規定により個人情報取扱事業者が開示等の請求等を受け付ける方法として定めることができる事項は、次に掲げるとおりとする。
 開示等の請求等の申出先
 開示等の請求等に際して提出すべき書面電磁的記録を含む。第三十五条第一項及び第四十条第三項において同じ。)の様式その他の開示等の請求等の方式
 開示等の請求等をする者が本人又は次条に規定する代理人であることの確認の方法
 法第三十八条第一項の手数料の徴収方法

申出先

申出先の記載としては、例えば、担当窓口名・係名、郵送先住所、受付電話番号、受付FAX番号、メールアドレス等が挙げられています(通則ガイドライン3-8-7)。

請求の方式

請求の方式としては、例えば、郵送、FAX、電子メールやウェブサイト等のオンラインで受け付ける等が挙げられています(通則ガイドライン3-8-7)。

本人確認方法

本人確認方法については、通則ガイドラインに以下のような詳しい例が挙げられています。

ただ、これらは例であり、事業の性質、保有個人データの取扱状況、開示等の請求等の受付方法等に応じて、適切なものでなければならず、本人確認のために事業者が保有している個人データに比して必要以上に多くの情報を求めないようにするなど、本人に過重な負担を課するものとならないよう配慮しなくてはならない、とされています。

▽通則ガイドライン3-8-7

事例1)来所の場合:運転免許証、健康保険の被保険者証、個人番号カード(マイナンバーカード)表面、旅券(パスポート)、在留カード、特別永住者証明、年金手帳、印鑑証明書と実印
事例2)オンラインの場合:あらかじめ本人が個人情報取扱事業者に対して登録済みのIDとパスワード、公的個人認証による電子署名
事例3)電話の場合:あらかじめ本人が個人情報取扱事業者に対して登録済みの登録情報(生年月日等)、コールバック
事例4)送付(郵送、FAX 等)の場合:運転免許証や健康保険の被保険者証等の公的証明書のコピーの送付を顧客等から受け、当該公的証明書のコピーに記載された顧客等の住所に宛てて文書を書留郵便により送付

▽ガイドラインQ&A 9-26

 開示等の請求等をする者が本人であることの確認の方法として、運転免許証の提示に加え、印鑑登録証明書の提示を求めることはできますか。

 個人情報保護法上、個人情報取扱事業者は、開示等の請求等をする者の本人確認方法も含め、本人からの開示等の請求等を受け付ける方法を定めることができるとされています(法第37条第1項)。
 ただし、個人情報取扱事業者は、開示等の請求等の手続を定めるに当たっては、本人に過重な負担を課するものとならないよう配慮しなければならないとされているため(法第37条第4項)、本人確認のために事業者が保有している個人データに比して必要以上に多くの情報を求めないようにする必要があります。

手数料の徴収方法

例えば、事業者の指定する口座への振込送金などが、手数料の徴収方法です。

対象を特定するに足りる事項の提示の求め(法37条2項)

開示等の対象となる個人データや提供記録を特定するに足りる事項の提示を、本人に求めることができるとされています(例えば、住所、ID、パスワード、会員番号等)。これは、事業者側の過剰な負担を回避するためです。

▽法37条2項

 個人情報取扱事業者は、本人に対し、開示等の請求等に関し、その対象となる保有個人データ又は第三者提供記録を特定するに足りる事項の提示を求めることができる。この場合において、個人情報取扱事業者は、本人が容易かつ的確に開示等の請求等をすることができるよう、当該保有個人データ又は当該第三者提供記録の特定に資する情報の提供その他本人の利便を考慮した適切な措置をとらなければならない。

▽通則ガイドライン3-8-7(※【 】は管理人注)

 個人情報取扱事業者は、円滑に開示等の手続が行えるよう、本人に対し、開示等の請求等の対象となる当該本人が識別される保有個人データ又は第三者提供記録の特定に必要な事項(住所、ID、パスワード、会員番号等)の提示を求めることができる【←前段のこと】。なお、その際には、本人が容易かつ的確に開示等の請求等をすることができるよう、当該保有個人データ又は第三者提供記録の特定に資する情報を提供するなど、本人の利便性を考慮しなければならない【←後段のこと】。

後段の意味がわかりにくいですが、事業者内部において、複数の事業所、部門、年度などによって保有が区分されているような場合に、そういった区分があることを本人が知らなければ特定は困難なので、事業者の方も、特定を行う本人側の利便性も考慮しながら適切に情報を提供しましょう、ということです。

本人が求めに応じて開示を請求する範囲を一部に特定した場合は、本人が特定した範囲で開示をすれば足ります。

ただし、注意点として、前段は、本人に対し、開示を請求する範囲を一部に限定する義務を課すものではないし、また、事業者に対し、本人が開示を請求する範囲を限定させる権利を認めるものでもない、とされています(以下のQ&Aのほか、通則ガイドライン3-8-7にも記載あり)。

▽ガイドラインQ&A 9-7

 「貴社が保有する私の情報全てを開示せよ」という請求があった場合には、どのように対応したらよいですか。

 同一の情報主体についても、様々な保有個人データを保有していることが多いため、法第37条第2項前段により、個人情報取扱事業者は、開示を請求している本人に対して、対象となる保有個人データを特定するに足りる事項の提示を求めることができます。したがって、本人が、この求めに応じて、開示を請求する範囲を一部に特定した場合には、本人が特定した範囲で開示をすれば足ります
 ただし、法第37条第2項後段により、個人情報取扱事業者は、本人が容易かつ的確に開示の請求をすることができるよう、当該保有個人データの特定に資する情報の提供その他本人の利便を考慮した適切な措置をとらなければなりません。
 なお、法第37条第2項前段は、本人に対し、開示を請求する保有個人データの範囲を一部に限定する義務を課すものではなく、また、個人情報取扱事業者に対し、本人が開示を請求する範囲を限定させる権利を認めるものでもありません。ただし、個人情報取扱事業者は、本人からの保有個人データの開示の請求を受けて、保有個人データを開示することにより、個人情報取扱事業者の業務の適正な実施に著しい支障を及ぼすおそれがある場合には、法第33条第2項第2号に該当し、当該保有個人データの全部又は一部を開示しないことができます。
(平成30年12月更新)

代理人による請求(法37条3項)

開示等の請求は、政令で定める一定の範囲で、代理人によって行うことができるとされています。

▽法37条3項

 開示等の請求等は、政令で定めるところにより、代理人によってすることができる。

  ↓ 施行令13条

(開示等の請求等をすることができる代理人)
第十三条
 法第三十七条第三項の規定により開示等の請求等をすることができる代理人は、次に掲げる代理人とする。
 未成年者又は成年被後見人法定代理人
 開示等の請求等をすることにつき本人が委任した代理人

代理人による請求の場合の、本人・代理人確認や代理権の確認方法についても(前述の施行令12条3号)、以下のように具体的な例が記載されています。

▽通則ガイドライン3-8-7

 なお、代理人による来所や送付等の場合にあっては、確認書類として、本人及び代理人についての次の事例に示す書類等のほか、代理人について、代理権を与える旨の委任状(親権者が未成年者の法定代理人であることを示す場合は、本人及び代理人が共に記載され、その続柄が示された戸籍謄抄本住民票の写し。また、成年後見人が成年被後見人の法定代理人であることを示す場合は、登記事項証明書)が考えられる。

簡単にまとめると、

【代理人による請求の場合】

  • 本人確認(本人につき前述の事例1~事例4のような確認方法)
  • 代理人の本人確認(代理人につき前述の事例1~事例4のような確認方法)
  • 代理人の代理権確認
    1. 未成年者の法定代理人の場合→戸籍謄抄本、住民票の写し
    2. 成年被後見人の法定代理人の場合→登記事項証明書
    3. 任意代理人の場合→代理権を与える旨の委任状

という感じになります。

過重負担への配慮義務(法37条4項)

これは、やたらと必要な書類を増やして手続を煩雑にしたり不便にしたりしないよう、本人側の過剰な負担を回避するためのものです。

 個人情報取扱事業者は、前三項の規定に基づき開示等の請求等に応じる手続を定めるに当たっては、本人に過重な負担を課するものとならないよう配慮しなければならない

▽通則ガイドライン3-8-7

 ただし、開示等の請求等を受け付ける方法を定めるに当たっては、当該手続が、事業の性質、保有個人データの取扱状況、開示等の請求等の受付方法等に応じて適切なものになるよう配慮するとともに、必要以上に煩雑な書類を書かせたり請求等を受け付ける窓口を他の業務を行う拠点とは別にいたずらに不便な場所に限定したりする等、本人に過重な負担を課するものとならないよう配慮しなければならない。

手数料の徴収(法38条)

手数料を徴収できるのは、利用目的の通知請求と、開示請求の場合に限られています。

訂正請求等は、保有個人データの内容が事実と異なっていたり、利用停止請求等は、法規制の違反などがあった場合であったりするので、手数料の徴収は定められていません。

(手数料)
第三十八条
 個人情報取扱事業者は、第三十二条第二項の規定による利用目的の通知を求められたとき又は第三十三条第一項の規定による開示の請求を受けたときは、当該措置の実施に関し、手数料を徴収することができる
 個人情報取扱事業者は、前項の規定により手数料を徴収する場合は、実費を勘案して合理的であると認められる範囲内において、その手数料の額を定めなければならない

手数料の額は、実費を勘案して合理的と認められる範囲内の額とされています。

▽ガイドラインQ&A 9-27、9-29

 開示等の手数料はいくらにすべきですか。

 手数料の額は、実費を予測して平均的単価を算出して定めることが望ましいと考えられます。
 この点、業種や保有個人データの種類を勘案する必要があるため、統一的な相場を示すことは困難です。例えば、郵便で開示の請求に応じる場合、配達証明付の書留料金を勘案するなど適切な金額をご検討ください。

 当社では、保有個人データの開示の請求を受けた際に手数料を徴収することとしましたが、手数料により利潤を得ることはできますか。

 本人から保有個人データの開示の請求を受けた個人情報取扱事業者は、開示の実施に関し手数料を徴収することが認められています(法第38条第1項)。しかし、その手数料の額は、実費を勘案して合理的であると認められる範囲内で定めなければなりません(同条第2項)。
(令和3年9月更新)

通知や開示を結果として行わなかった場合でも、手数料の返還義務はないとされています。

▽ガイドラインQ&A 9-28

 本人から開示の請求があり、開示手数料を徴収している場合、結果として開示しなかった場合でも、徴収した手数料は返さなくてもよいですか。

 手数料を定めた法第38条は、現に開示を行ったか否かにより特に区別していませんので、必ずしも返還する義務は生じません。

結び

今回は、プライバシーポリシーの作り方ということで、開示等の請求手続条項について見てみました。

[注記]
本記事を含む一連の勉強記事は、過去の自分に向けて、①自分の独学や経験の記録を見せる、②感覚的な理解を伝えることを優先する、③細かく正確な理解は書物に譲る、ということをコンセプトにした読みものです。ベテランの方が見てなるほどと思うようなことは書かれていないほか、業務上必要であるときなど、正確な内容については別途ご確認ください。また、法改正をはじめとした最新の情報を反映しているとは限りませんので、ご注意ください。

プライバシーポリシーに関するその他の記事

個人情報法務

2023/11/3

プライバシーポリシーの作り方|安全管理措置条項

個人情報法務

2023/10/24

プライバシーポリシーの作り方|利用目的条項

個人情報法務

2023/10/19

プライバシーポリシーの作り方|プラポリ作成の法的意味

個人情報法務

2023/10/30

プライバシーポリシーの作り方|共同利用条項

個人情報法務

2023/11/6

プライバシーポリシーの作り方|第三者提供条項

主要法令等・参考文献

主要法令等

リンクをクリックすると、e-Gov又は個人情報保護委員会HPの掲載ページに遷移します
  • 個人情報保護法(「個人情報の保護に関する法律」)
  • 個人情報保護法施行令(「個人情報の保護に関する法律施行令」)
  • 個人情報保護法施行規則(「個人情報の保護に関する法律施行規則」)
  • 通則ガイドライン(「個人情報の保護に関する法律についてのガイドライン(通則編)」)
  • 外国提供ガイドライン(「個人情報の保護に関する法律についてのガイドライン(外国にある第三者への提供編)」)
  • 確認・記録ガイドライン(「個人情報の保護に関する法律についてのガイドライン(第三者提供時の確認・記録義務編)」)
  • ガイドラインQ&A(「『個人情報の保護に関する法律についてのガイドライン』に関するQ&A」)
  • 令和3年パブコメ(令和3年8月2日付「『個人情報の保護に関する法律についてのガイドライン(通則編、外国にある第三者への提供編、第三者提供時の確認・記録義務編及び匿名加工情報編)の一部を改正する告示』等に関する意見募集の結果について」)
【特定分野ガイドライン】

-個人情報法務
-