令和4年5月17日
8.個人情報保護法について⑦
前回に続いて、個人情報取扱事業者にどんな義務が課されているのかについて、公表の場面から見ていきます。
(4)公表等の場面
① 公表
個人事業取扱事業者は、保有個人データについて、次のⅰ)~ⅴ)の事項を本人の知り得る状態(本人の求めに応じて遅滞なく回答する場合を含む)に置かなければならなりません。
ⅰ)個人情報取扱事業者の氏名又は名称、住所(法人の場合はその代表者の氏名)
※令和2年改正により下線部が追加
ⅱ)すべての保有個人データの利用目的
ⅲ)本人から利用目的の通知や保有個人データの開示、訂正等を求められた際の手続
ⅳ)保有個人データの取扱いに関する苦情の申し出先
ⅴ)認定個人情報保護団体の対象事業者である場合は、当該認定個人情報保護団体の名称及び苦情の解決の申し出先
ア かかる公表義務は個人情報の取扱いに関する透明性を確保するという趣旨に基づきます。個人情報取扱事業者は、保有個人データについて、本人から開示、訂正、利用停止等の請求がある場合に、これに応じなければならない義務がありますが、その手続きを実効的なものにするために、誰に対してどのような手続きができるかを本人に対して明らかにし、本人が保有個人データに適切に関与することを可能にしておくことが重要になるのです。
イ 対象は保有個人データを取り扱う個人情報取扱事業者ですので、例えば、委託を受け、個人データの入出力や加工等の業務のみを行っている個人情報取扱事業者は対象になりません。
なお、従前は、6か月以内に消去されることとなる短期保存データは保有個人データの対象外とされていましたが、令和2年の改正(令和4年4月1日施行)により、対象に含まれるようになっていますので注意が必要です(以下の利用目的の通知や開示等でも同様です)。
ウ 本人の知り得る状態に置くとは、本人が常識的な範囲・程度の努力をすれば知りたい情報にアクセスできる状態に置くことですので、例えば1回限りの報道機関への公表等だけでは該当しません。プライバシーポリシー等と一体的にインターネットのホームページへの常時掲載や、問い合わせ窓口を設け、問い合わせがあれば口頭又は文書で回答できるような体制を構築しておくといった対応が有効でしょう。
エ 公表が必要な上記項目のうち、ⅲ)は、例えば、求めを受け付ける場所、方法、本人確認の方法等の手続きが考えられます。また、利用目的の通知や開示を求められた場合、その実施にあたって手数料を徴収することもできますが、その場合は手数料の額も公表の対象となります。
② 利用目的の通知
個人情報取扱事業者は、本人から、当該本人が識別される保有個人データの利用目的の通知を求められたときは、本人に対し、遅滞なく利用目的を通知しなければなりません。個人情報取扱事業者によっては、利用目的が複数掲げられている場合があり、当該本人にかかる保有個人自データがどの目的で利用されているか分からない場合が想定されますので、本人から要求があればどの目的で利用しているかを伝えなければいけないということです。
ア ただし、公表されている利用目的から明らかな場合や、本人に利用目的を知られることにより支障が生じるとして公表等すべき事項から除外されているものについては、例外とされています。後者は、利用目的の通知や公表により、①本人又は第三者の生命、身体、財産その他の権利利益を害するおそれがある場合(病院が一定の個人情報を通知すると患者の病名が明らかになり治療に支障が生じたり、本人に重大な精神的苦痛を与えることとなる場合など)、②当該個人情報取扱事業者の権利又は正当な利益を害するおそれがある場合(個人情報の利用目的が知られることにより個人情報取扱事業者が開発中の新商品・新サービスの内容や営業ノウハウなど企業秘密に関する事項が明らかになってしまう場合など)が該当します。
なお、上記の例外事由に該当するなどと判断して利用目的を通知しない決定をしたときは、同様に遅滞なくその旨を本人に通知しなければなりません。
イ 通知の方法は特に規定されていませんが、確実に本人に知らせる必要があり、口頭のみによる通知は避けた方が無難です。
(5)開示等の場面
① 開示
本人は個人情報取扱事業者に対し当該本人が識別される保有個人データの開示を請求できるところ、請求を受けた個人情報取扱事業者は、本人に対し、遅滞なく、当該保有個人データを開示しなければなりません。
ア 開示の例外として、①本人又は第三者の生命、身体、財産その他の権利利益を害するおそれがある場合、②当該個人情報取扱事業者の業務の適正な実施に著しい支障を及ぼすおそれがある場合、③他の法令に違反することとなる場合が挙げられています。①及び②は、上記で述べた利用目的の通知の例外と同様ですが、③は、例えば、当該保有個人データと秘密漏示罪(刑法第134条)における他人の秘密と一体となっている場合や、電話の相手方が発信電話番号を秘匿して発信した場合に、電話会社が相手方の発信電話番号を含む通話記録を開示することが電気通信事業法違反となる場合などが該当します。
なお、上記の例外事由に該当すると判断し開示しない旨を決定したとき又は当該保有個人データが存在しないときは、本人に遅滞なくその旨を通知する必要があります。
イ 令和2年改正(令和4年4月1日施行)により、従前は原則として書面の交付とされていた保有個人データの開示方法について、電磁的記録の提供を含め、本人 が指示できるようになりました。
また、個人データの授受に関する第三者提供記録についても、本人が開示請求できるようになっています。
② 訂正
本人は、個人情報取扱事業者に対し、当該本人が識別される保有個人データの内容が事実でないときは、当該保有個人データの訂正、追加又は削除(以下「訂正等」)を請求できるところ、請求を受けた個人情報取扱事業者は、利用目的の達成に必要な範囲内において遅滞なく調査を行った上で、当該保有個人データの内容の訂正等を行わなければなりません。
また、訂正等を行ったとき、又は訂正等を行わない旨を決定したときは、本人に対して、遅滞なくその旨(訂正を行ったときはその内容を含む)を通知しなければなりません。なお、訂正等を行わないとすることができる場合とは、データの内容に誤りがあると判断できない場合、内容に誤りはあるが利用目的の達成に必要な範囲内といえない場合、データがそもそも存在しない場合などです。
なお、内容が事実でないときに限定していますので、判断や意見など見解の相違についての是正までは求められていません。
③ 利用停止等
本人は、個人情報取扱事業者に対し、当該本人が識別される保有個人データが利用目的外で利用されている又は不正な手段等で取得されたものである場合や、個人の権利又は正当な利益が害されるおそれがある場合、当該保有個人データの利用の停止または消去(以下「利用停止等」)を求めることができるところ、請求を受けた当該個人情報取扱事業者は、その請求に理由があることが判明したときは、違反を是正するために必要な限度で、遅滞なく、当該保有個人データの利用停止等を行わなければなりません。
また、第三者提供に関する義務に違反している場合(第三者提供の場面についてはこちらをご覧ください)にも、本人は、当該保有個人データの第三者提供の停止を請求することができ、その場合も同様に、その請求に理由があることが判明したときは、遅滞なく、当該保有個人データの利用停止等を行わなければなりません。
なお、令和2年改正(令和4年4月1日施行)により、不正取得等の一部の法違反の場合に加えて、個人の権利又は正当な利益が害されるおそれがある場合にも利用停止等を請求できると要件が拡充されました。個人の権利又は正当な利益が害される恐れがある場合とは、例えば、DMの送付先に送付停止依頼をしたにもかかわらず送付がされる場合や、退職したにもかかわらず退職先の会社のHPに自分がまだ従業員であるかのような記載がされている場合などが挙げられます。
④ 理由の通知
個人情報取扱事業者は、本人からの利用目的の通知、開示、訂正等及び利用停止等について、本人からの求めによる措置をとらない旨を通知する場合は、本人に対して、その理由を説明するよう努めなければなりません。
保有個人データに関する本人の関与の仕組みのイメージは以下の通りです。
<個人情報保護委員会の資料を一部修正>
top