今回は、個人情報保護法を勉強しようということで、保有個人データに関する義務について見てみたいと思います。
ではさっそく。なお、引用部分の太字、下線、改行などは管理人によるものです。
メモ
カテゴリー「会社法務」では、インハウスとしての法務経験からピックアップした、管理人の独学や経験の記録を綴っています。
ネット上の読み物としてざっくばらんに書いており、感覚的な理解を掴むことを目指していますが、書籍などを理解する際の一助になれば幸いです。
「保有個人データ」に関する義務
個人情報保護法は、個人に関する情報を、「個人情報」、「個人データ」、「保有個人データ」に分類し、この分類に従って段階的な義務を課している(以下の表参照)。
本記事で見てみる義務は、このうち黄色ハイライトの部分にあたる。
| 個人情報 | 個人データ | 保有個人データ | 要配慮個人情報 | |
| 個人情報に関する義務 (法17条~法21条、法40条) |
〇 | 〇 | 〇 | 一部厳格化 |
| 個人データに関する義務 (法22条~法30条) |
〇 | 〇 | 一部厳格化 | |
| 保有個人データに関する義務 (法32条~法39条) |
〇 | (左記と同様) |
ざっくりいうと、「保有個人データ」に関する義務としては、保有個人データに関する事項の公表、保有個人データの利用目的の通知、保有個人データの開示、保有個人データの訂正・追加・削除、保有個人データの利用停止・消去、保有個人データの第三者提供の停止、理由の説明等がある。
以下、順に見てみる。
保有個人データに関する事項の公表(法32条1項)
個人情報取扱事業者は、保有個人データに関する公表事項として、
- 個人情報取扱事業者の氏名又は名称及び住所等
- 全ての保有個人データの利用目的(利用目的の通知・公表等に関する適用除外の場合を除く)
- 保有個人データに関する本人からの請求に応じる手続(利用目的の通知の求め、開示請求、訂正請求、利用停止・消去請求、第三者提供停止請求)
※手数料の額を定めたときは、その手数料の額を含む - 必要な事項として政令(施行令10条)で定めるもの
- 保有個人データの安全管理のために講じた措置
- 取扱いに関する苦情の申出先
- (認定個人情報保護団体の対象事業者である場合)認定個人情報保護団体の名称及び苦情の解決の申出先
について、本人の知り得る状態に置かなければならない(法32条1項)。知り得る状態には、本人の求めに応じて遅滞なく回答する場合も含まれる。
条文も確認してみる。
▽法32条1項
(保有個人データに関する事項の公表等)
第三十二条 個人情報取扱事業者は、保有個人データに関し、次に掲げる事項について、本人の知り得る状態(本人の求めに応じて遅滞なく回答する場合を含む。)に置かなければならない。
一 当該個人情報取扱事業者の氏名又は名称及び住所並びに法人にあっては、その代表者の氏名
二 全ての保有個人データの利用目的(第二十一条第四項【=利用目的の通知・公表等の適用除外の場合】第一号から第三号までに該当する場合を除く。)
三 次項の規定による求め又は次条第一項(同条第五項において準用する場合を含む。)、第三十四条第一項若しくは第三十五条第一項、第三項若しくは第五項の規定による請求に応じる手続(第三十八条第二項の規定により手数料の額を定めたときは、その手数料の額を含む。)
四 前三号に掲げるもののほか、保有個人データの適正な取扱いの確保に関し必要な事項として政令で定めるもの
↓ 施行令10条
(保有個人データの適正な取扱いの確保に関し必要な事項)
第十条 法第三十二条第一項第四号の政令で定めるものは、次に掲げるものとする。
一 法第二十三条の規定により保有個人データの安全管理のために講じた措置(本人の知り得る状態(本人の求めに応じて遅滞なく回答する場合を含む。)に置くことにより当該保有個人データの安全管理に支障を及ぼすおそれがあるものを除く。)
二 当該個人情報取扱事業者が行う保有個人データの取扱いに関する苦情の申出先
三 当該個人情報取扱事業者が認定個人情報保護団体の対象事業者である場合にあっては、当該認定個人情報保護団体の名称及び苦情の解決の申出先
保有個人データに関する請求と措置
保有個人データの利用目的の通知(法32条2項・3項)
個人情報取扱事業者は、本人から求めがあったときは、保有個人データの利用目的の通知をしなければならない(法32条2項)。
ただし、利用目的の通知が不要な場合として、
- 本人又は第三者の生命、身体、財産その他の権利利益を害するおそれがある場合(2号→法21条4項1号)
- 個人情報取扱事業者の権利又は正当な利益を害するおそれがある場合(2号→法21条4項2号)
- 国の機関又は地方公共団体が法令の定める事務を遂行することに対して協力する必要がある場合(2号→法21条4項3号)
- 保有個人データに関する事項の公表により利用目的が明らかな場合(1号)
が定められている。
▽法32条2項(※【 】は管理人注)
2 個人情報取扱事業者は、本人から、当該本人が識別される保有個人データの利用目的の通知を求められたときは、本人に対し、遅滞なく、これを通知しなければならない。ただし、次の各号のいずれかに該当する場合は、この限りでない。
一 前項の規定により当該本人が識別される保有個人データの利用目的が明らかな場合
二 第二十一条第四項【=利用目的の通知・公表等についての適用除外の場合】第一号から第三号までに該当する場合
通知しないことを決定した場合も、通知しない旨の通知をしなければならない(3項)。
3 個人情報取扱事業者は、前項の規定に基づき求められた保有個人データの利用目的を通知しない旨の決定をしたときは、本人に対し、遅滞なく、その旨を通知しなければならない。
保有個人データの開示(法33条)
開示義務
個人情報取扱事業者は、本人からの請求(法33条1項)を受けたときは、保有個人データを開示しなければならない(2項)。
ただし、開示が不要な場合として、
- 本人又は第三者の生命、身体、財産その他の権利利益を害するおそれがある場合
ex)医療機関等において、病名等を患者に開示することにより、患者本人の心身状況を悪化させるおそれがある場合 - 個人情報取扱事業者の業務の適正な実施に著しい支障を及ぼすおそれがある場合
ex)同一の本人から複雑な対応を要する同一内容について繰り返し開示の請求があり、事実上問合せ窓口が占有されることによって他の問合せ対応業務が立ち行かなくなる等、業務上著しい支障を及ぼすおそれがある場合 - 他の法令に違反することとなる場合
ex)刑法134条(秘密漏示罪)や電気通信事業法4条(通信の秘密の保護)に違反することとなる場合
が定められている(具体例は通則ガイドライン3-8-2参照)。
(開示)
第三十三条 本人は、個人情報取扱事業者に対し、当該本人が識別される保有個人データの電磁的記録の提供による方法その他の個人情報保護委員会規則で定める方法による開示を請求することができる。
2 個人情報取扱事業者は、前項の規定による請求を受けたときは、本人に対し、同項の規定により当該本人が請求した方法(当該方法による開示に多額の費用を要する場合その他の当該方法による開示が困難である場合にあっては、書面の交付による方法)により、遅滞なく、当該保有個人データを開示しなければならない。ただし、開示することにより次の各号のいずれかに該当する場合は、その全部又は一部を開示しないことができる。
一 本人又は第三者の生命、身体、財産その他の権利利益を害するおそれがある場合
二 当該個人情報取扱事業者の業務の適正な実施に著しい支障を及ぼすおそれがある場合
三 他の法令に違反することとなる場合
開示しないことを決定した場合、該当する保有個人データが存在しない場合、開示が困難である場合も、同様に、その旨の通知をしなければならない(3項)。
3 個人情報取扱事業者は、第一項の規定による請求に係る保有個人データの全部若しくは一部について開示しない旨の決定をしたとき、当該保有個人データが存在しないとき、又は同項の規定により本人が請求した方法による開示が困難であるときは、本人に対し、遅滞なく、その旨を通知しなければならない。
開示方法
開示方法は、①電磁的記録の提供による方法、②書面の交付による方法、③その他個人情報取扱事業者の定める方法、とされており(規則30条)、本人が開示請求時に指定することができる(1項2項の傍点部分参照)。
ただし、多額の費用を要する場合などその方法による開示が困難な場合には、書面の交付による方法による(2項括弧書き)。
▽施行規則30条
(本人が請求することができる開示の方法)
第三十条 法第三十三条第一項(同条第五項において準用する場合を含む。)の個人情報保護委員会規則で定める方法は、電磁的記録の提供による方法、書面の交付による方法その他当該個人情報取扱事業者の定める方法とする。
開示対象
開示対象には、第三者提供時に作成される、提供者側の提供記録(法29条)と、受領者側の確認記録(法30条)も含まれる(5項)。
5 第一項から第三項までの規定は、当該本人が識別される個人データに係る第二十九条第一項及び第三十条第三項の記録(その存否が明らかになることにより公益その他の利益が害されるものとして政令で定めるものを除く。第三十七条第二項において「第三者提供記録」という。)について準用する。
他の法令に定めがある場合
なお、他の法令の規定に開示の定めがある場合は、その法令の規定が適用される(4項)。
4 他の法令の規定により、本人に対し第二項本文に規定する方法に相当する方法により当該本人が識別される保有個人データの全部又は一部を開示することとされている場合には、当該全部又は一部の保有個人データについては、第一項及び第二項の規定は、適用しない。
保有個人データの訂正・追加・削除(法34条)
個人情報取扱事業者は、本人からの請求(法34条1項)を受けたときは、保有個人データを訂正、追加、削除しなければならない(2項)。
ただ、開示請求の場合とは異なり、保有個人データの内容が事実でないという誤りに対応することが義務の中身であり、誤りがない場合に訂正等の義務はない(どのように対応するかは各事業者の判断となる)。
そのため、事業者は、誤りがあるかどうかの調査も行う必要がある。
(訂正等)
第三十四条 本人は、個人情報取扱事業者に対し、当該本人が識別される保有個人データの内容が事実でないときは、当該保有個人データの内容の訂正、追加又は削除(以下この条において「訂正等」という。)を請求することができる。
2 個人情報取扱事業者は、前項の規定による請求を受けた場合には、その内容の訂正等に関して他の法令の規定により特別の手続が定められている場合を除き、利用目的の達成に必要な範囲内において、遅滞なく必要な調査を行い、その結果に基づき、当該保有個人データの内容の訂正等を行わなければならない。
訂正等を行ったときは、訂正等の内容も合わせて通知する。また、訂正等を行わないことを決定したときも、同様に、その旨の通知をしなければならない(3項)。
3 個人情報取扱事業者は、第一項の規定による請求に係る保有個人データの内容の全部若しくは一部について訂正等を行ったとき、又は訂正等を行わない旨の決定をしたときは、本人に対し、遅滞なく、その旨(訂正等を行ったときは、その内容を含む。)を通知しなければならない。
保有個人データの利用停止・消去(法35条1項2項、5項~7項)
個人情報取扱事業者は、本人からの請求(法35条1項)を受けたときは、保有個人データの利用停止又は消去を行わなければならない(2項本文、6項本文)。
ただ、開示請求の場合とは異なり、法規制の違反などがある場合、つまり、
- 目的外利用の禁止に違反している場合(法18条違反)【1項】
- 不適正な利用の禁止に違反している場合(法19条違反)【1項】
- 個人情報の不正な手段による取得の場合(法20条違反)【1項】
- 利用する必要がなくなった場合【5項】
- 漏洩等事案(法26条1項本文参照)など本人の権利又は正当な利益が害されるおそれがある場合【5項】
のいずれかの請求理由がある場合に限られる。これらがない場合に利用停止等の義務はない(どのように対応するかは各事業者の判断となる)。
そのため、事業者は、請求に理由があるかの確認も行う必要がある。
また、請求に理由があるときでも、多額の費用を要する場合など利用停止等を行うことが困難な場合には、本人の権利利益を保護するため必要な代替措置をとることで足りるとされている(2項但書、6項但書)。
(利用停止等)
第三十五条 本人は、個人情報取扱事業者に対し、当該本人が識別される保有個人データが第十八条若しくは第十九条の規定に違反して取り扱われているとき、又は第二十条の規定に違反して取得されたものであるときは、当該保有個人データの利用の停止又は消去(以下この条において「利用停止等」という。)を請求することができる。
2 個人情報取扱事業者は、前項の規定による請求を受けた場合であって、その請求に理由があることが判明したときは、違反を是正するために必要な限度で、遅滞なく、当該保有個人データの利用停止等を行わなければならない。ただし、当該保有個人データの利用停止等に多額の費用を要する場合その他の利用停止等を行うことが困難な場合であって、本人の権利利益を保護するため必要なこれに代わるべき措置をとるときは、この限りでない。
3~4 (略)
5 本人は、個人情報取扱事業者に対し、当該本人が識別される保有個人データを当該個人情報取扱事業者が利用する必要がなくなった場合、当該本人が識別される保有個人データに係る第二十六条第一項本文に規定する事態が生じた場合その他当該本人が識別される保有個人データの取扱いにより当該本人の権利又は正当な利益が害されるおそれがある場合には、当該保有個人データの利用停止等又は第三者への提供の停止を請求することができる。
6 個人情報取扱事業者は、前項の規定による請求を受けた場合であって、その請求に理由があることが判明したときは、本人の権利利益の侵害を防止するために必要な限度で、遅滞なく、当該保有個人データの利用停止等又は第三者への提供の停止を行わなければならない。ただし、当該保有個人データの利用停止等又は第三者への提供の停止に多額の費用を要する場合その他の利用停止等又は第三者への提供の停止を行うことが困難な場合であって、本人の権利利益を保護するため必要なこれに代わるべき措置をとるときは、この限りでない。
利用停止等を行ったときは、その旨を通知する。また、利用停止等を行わないことを決定したときも、同様に、その旨の通知をしなければならない(7項)。
7 個人情報取扱事業者は、第一項若しくは第五項の規定による請求に係る保有個人データの全部若しくは一部について利用停止等を行ったとき若しくは利用停止等を行わない旨の決定をしたとき…(略)…は、本人に対し、遅滞なく、その旨を通知しなければならない。
保有個人データの第三者提供の停止(法35条3項4項、5項~7項)
個人情報取扱事業者は、本人からの請求(法35条3項)を受けたときは、保有個人データの第三者提供を停止しなければならない(4項本文、6項本文)。
これも、法規制の違反などがある場合、すわなち、
- 第三者提供の制限に違反している場合(法27条1項違反)【3項】
- 外国にある第三者への提供の制限に違反している場合(法28条違反)【3項】
- 利用する必要がなくなった場合【5項】
- 漏洩等事案(法26条1項本文参照)など本人の権利又は正当な利益が害されるおそれがある場合【5項】
のいずれかの請求理由がある場合に限られる。これらがない場合に提供停止等の義務はない(どのように対応するかは各事業者の判断となる)。
そのため、事業者は、請求に理由があるかの確認も行う必要がある。
また、請求に理由があるときでも、多額の費用を要する場合など提供停止等を行うことが困難な場合には、本人の権利利益を保護するため必要な代替措置をとることで足りるとされている(4項但書、6項但書)。
3 本人は、個人情報取扱事業者に対し、当該本人が識別される保有個人データが第二十七条第一項又は第二十八条の規定に違反して第三者に提供されているときは、当該保有個人データの第三者への提供の停止を請求することができる。
4 個人情報取扱事業者は、前項の規定による請求を受けた場合であって、その請求に理由があることが判明したときは、遅滞なく、当該保有個人データの第三者への提供を停止しなければならない。ただし、当該保有個人データの第三者への提供の停止に多額の費用を要する場合その他の第三者への提供を停止することが困難な場合であって、本人の権利利益を保護するため必要なこれに代わるべき措置をとるときは、この限りでない。
5 本人は、個人情報取扱事業者に対し、当該本人が識別される保有個人データを当該個人情報取扱事業者が利用する必要がなくなった場合、当該本人が識別される保有個人データに係る第二十六条第一項本文に規定する事態が生じた場合その他当該本人が識別される保有個人データの取扱いにより当該本人の権利又は正当な利益が害されるおそれがある場合には、当該保有個人データの利用停止等又は第三者への提供の停止を請求することができる。
6 個人情報取扱事業者は、前項の規定による請求を受けた場合であって、その請求に理由があることが判明したときは、本人の権利利益の侵害を防止するために必要な限度で、遅滞なく、当該保有個人データの利用停止等又は第三者への提供の停止を行わなければならない。ただし、当該保有個人データの利用停止等又は第三者への提供の停止に多額の費用を要する場合その他の利用停止等又は第三者への提供の停止を行うことが困難な場合であって、本人の権利利益を保護するため必要なこれに代わるべき措置をとるときは、この限りでない。
第三者提供の停止等を行ったときは、その旨を通知する。また、提供停止等を行わないことを決定したときも、同様に、その旨の通知をしなければならない(7項)。
7 個人情報取扱事業者は、…(略)…第三項若しくは第五項の規定による請求に係る保有個人データの全部若しくは一部について第三者への提供を停止したとき若しくは第三者への提供を停止しない旨の決定をしたときは、本人に対し、遅滞なく、その旨を通知しなければならない。
理由の説明(法36条)
個人情報取扱事業者は、努力義務であるが、本人から請求を受けた措置をとらないことや、請求と異なる措置をとることを本人に通知する場合は、その理由を説明するように努めることとされている(法36条)。
(理由の説明)
第三十六条 個人情報取扱事業者は、第三十二条第三項、第三十三条第三項(同条第五項において準用する場合を含む。)、第三十四条第三項又は前条第七項の規定により、本人から求められ、又は請求された措置の全部又は一部について、その措置をとらない旨を通知する場合又はその措置と異なる措置をとる旨を通知する場合には、本人に対し、その理由を説明するよう努めなければならない。
保有個人データに関する請求の手続
請求に応じる手続の定め(法37条)
個人情報取扱事業者は、開示等の請求を受け付ける方法を定めることができる(法37条1項)。具体的には、
- 申出先
- 提出すべき書面の様式など請求の方式
- 本人確認方法(代理人の確認を含む)
- 手数料の徴収方法
を定めることができ、その場合、本人はこれらの方法に従って請求を行う必要がある。
また、これらの受付方法を定めたときは、公表しておく必要がある(前述の法32条1項の3号参照)。
▽法37条1項
(開示等の請求等に応じる手続)
第三十七条 個人情報取扱事業者は、第三十二条第二項の規定による求め又は第三十三条第一項(同条第五項において準用する場合を含む。次条第一項及び第三十九条において同じ。)、第三十四条第一項若しくは第三十五条第一項、第三項若しくは第五項の規定による請求(以下この条及び第五十四条第一項において「開示等の請求等」という。)に関し、政令で定めるところにより、その求め又は請求を受け付ける方法を定めることができる。この場合において、本人は、当該方法に従って、開示等の請求等を行わなければならない。
▽施行令12条
(開示等の請求等を受け付ける方法)
第十二条 法第三十七条第一項の規定により個人情報取扱事業者が開示等の請求等を受け付ける方法として定めることができる事項は、次に掲げるとおりとする。
一 開示等の請求等の申出先
二 開示等の請求等に際して提出すべき書面(電磁的記録を含む。第三十五条第一項及び第四十条第三項において同じ。)の様式その他の開示等の請求等の方式
三 開示等の請求等をする者が本人又は次条に規定する代理人であることの確認の方法
四 法第三十八条第一項の手数料の徴収方法
また、個人情報取扱事業者は、請求の対象となる保有個人データや、提供記録・確認記録を特定するに足りる事項の提示を求めることができる(2項)。
2 個人情報取扱事業者は、本人に対し、開示等の請求等に関し、その対象となる保有個人データ又は第三者提供記録を特定するに足りる事項の提示を求めることができる。この場合において、個人情報取扱事業者は、本人が容易かつ的確に開示等の請求等をすることができるよう、当該保有個人データ又は当該第三者提供記録の特定に資する情報の提供その他本人の利便を考慮した適切な措置をとらなければならない。
3 開示等の請求等は、政令で定めるところにより、代理人によってすることができる。
4 個人情報取扱事業者は、前三項の規定に基づき開示等の請求等に応じる手続を定めるに当たっては、本人に過重な負担を課するものとならないよう配慮しなければならない。
手数料の徴収(法38条)
個人情報取扱事業者は、利用目的の通知措置と開示措置の実施に関しては、手数料を徴収することができる(法38条1項)。手数料の額は、実費を勘案して合理的な範囲内に限られる(2項)。
手数料の額は、公表しておく必要がある(前述の法32条1項3号の括弧書き参照)。
(手数料)
第三十八条 個人情報取扱事業者は、第三十二条第二項の規定による利用目的の通知を求められたとき又は第三十三条第一項の規定による開示の請求を受けたときは、当該措置の実施に関し、手数料を徴収することができる。
2 個人情報取扱事業者は、前項の規定により手数料を徴収する場合は、実費を勘案して合理的であると認められる範囲内において、その手数料の額を定めなければならない。
裁判上の訴えの事前請求(法39条)
本人は、保有個人データに関する開示請求、訂正・追加・削除請求、利用停止・消去請求、第三者提供の停止請求に係る裁判上の訴えを提起しようとする場合は、事前にこれらの請求を行い、その請求が個人情報取扱事業者に到達した日から2週間後でなければ、提訴することができないとされている。
▽法39条(※【 】は管理人注)
(事前の請求)
第三十九条 本人は、第三十三条第一項【開示請求】、第三十四条第一項【訂正・追加・削除請求】又は第三十五条第一項、第三項若しくは第五項【利用停止・消去請求、第三者提供の停止請求】の規定による請求に係る訴えを提起しようとするときは、その訴えの被告となるべき者に対し、あらかじめ、当該請求を行い、かつ、その到達した日から二週間を経過した後でなければ、その訴えを提起することができない。ただし、当該訴えの被告となるべき者がその請求を拒んだときは、この限りでない。
2 前項の請求は、その請求が通常到達すべきであった時に、到達したものとみなす。
3 前二項の規定は、第三十三条第一項、第三十四条第一項又は第三十五条第一項、第三項若しくは第五項の規定による請求に係る仮処分命令の申立てについて準用する。
結び
今回は、個人情報保護法を勉強しようということで、保有個人データに関する義務について見てみました。
なお、「保有個人データ」とは何かについては、以下の関連記事に書いています。
-
-
個人情報保護法を勉強しよう|個人データ・保有個人データの定義
続きを見る
[注記]
本記事を含む一連の勉強記事は、過去の自分に向けて、①自分の独学や経験の記録を見せる、②感覚的な理解を伝えることを優先する、③細かく正確な理解は書物に譲る、ということをコンセプトにした読みものです。ベテランの方が見てなるほどと思うようなことは書かれていないほか、業務上必要であるときなど、正確な内容については別途ご確認ください。また、法改正をはじめとした最新の情報を反映しているとは限りませんので、ご注意ください。
個人情報保護法に関するその他の勉強記事
参考文献・主要法令等
参考文献
主要法令等
- 個人情報保護法(「個人情報の保護に関する法律」)
- 個人情報保護法施行令(「個人情報の保護に関する法律施行令」)
- 個人情報保護法施行規則(「個人情報の保護に関する法律施行規則」)
- 通則ガイドライン(「個人情報の保護に関する法律についてのガイドライン(通則編)」)
- 外国提供ガイドライン(「個人情報の保護に関する法律についてのガイドライン(外国にある第三者への提供編)」)
- 確認・記録ガイドライン(「個人情報の保護に関する法律についてのガイドライン(第三者提供時の確認・記録義務編)」)
- ガイドラインQ&A(「『個人情報の保護に関する法律についてのガイドライン』に関するQ&A」)
- 令和3年パブコメ(令和3年8月2日付「『個人情報の保護に関する法律についてのガイドライン(通則編、外国にある第三者への提供編、第三者提供時の確認・記録義務編及び匿名加工情報編)の一部を改正する告示』等に関する意見募集の結果について」)
- 金融ガイドライン(「金融分野における個人情報保護に関するガイドライン」)
- 電気通信ガイドライン(「電気通信事業における個人情報保護に関するガイドライン」)