令和4年6月7日
前回に続いて、個人情報取扱事業者にどんな義務が課されているのかについて、開示等の場面の続きから見ていきます。
(5)開示等の場面
⑤ 事前の請求
本人が開示、訂正、利用停止等を求める場合、事前に個人情報取扱事業者に請求を行い、その請求が到達した日から2週間を経過した場合、または、当該事業者がその請求を拒んだ場合に初めて裁判所に対して訴えの提起を行うことができます。
平成27年の改正前は、開示等の請求について、裁判所に訴えを提起することができる請求権か解釈上の疑義があったのですが、改正により、一定の手続きを踏むことで、裁判所による救済を求めることができる旨が明確になりました。
なお、事前の請求を受けた個人情報取扱事業者は、その対象となる保有個人データを特定するに足りる事項の提示を求めること、開示の請求等を受けたときは、手数料を徴収すること等ができます。
(6)その他の場面
① 苦情の処理
個人情報取扱事業者は、個人情報の取扱いに関する苦情の適切かつ迅速な処理を努めなければならず、また、そのために必要な体制の整備に努めなければなりません。必要な体制の整備とは、例えば、苦情処理の担当者やその処理手順を定めておくこと、苦情処理にあたる従業員の研修を行うことなどが考えられます。
なお、本人が苦情処理に関して第三者の関与を希望する場合、以下の仕組みを利用することもできます。
ⅰ)個人情報取扱事業者が認定個人情報保護団体の対象事業者となっている場合に、本人が当該認定個人情報保護団体に対して苦情の処理を申し出る
ⅱ)国や地方公共団体が設置する消費者相談窓口や関係機関等に苦情の処理を申し出る
ⅲ)個人の権利利益を具体的に侵害するような個人情報の取扱いが行われた場合に、人権関係機関等や司法手続に救済を求める
認定個人情報保護団体とは、個人情報の適正な取扱いの確保を目的として、個人情報保護団体の認定を受けた団体のことです(令和3年12月1日現在で41団体)。 消費者と対象事業者の間に立って苦情処理の仲立ちや、事故の発生時に対象事業者に代わり個人情報保護委員会に報告を行います。
なお、令和4年4月から個人情報を用いた業務実態の多様化やIT技術の進展を踏まえ、業界ごとではなく、企業の特定分野(例えば広報部門など)を対象とする団体を認定できるようになっています。
② 監督
ア 報告及び立入検査
個人情報保護委員会は、必要な限度において、個人情報取扱事業者等に対して、個人情報等の取扱いに関し、必要な報告や資料の提出を求め、またはその職員に当該事業者等の事務所その他必要な場所に立ち入らせ、個人情報等の取扱い等に関し質問させたり、帳簿書類その他を検査させることができます。
報告の対象は、そのきっかけとなる問題次第で内容は異なりますが、個人データの取扱いの実態や管理体制、社内の責任体制、開示等に応じる手続きの仕組み等が考えられます。また、報告や資料の徴収を求められることに不服がある場合は、行政不服審査法に基づく審査請求や行政事件訴訟によりその処分の取消を求めることができます。
なお、報告や徴収、質問等に応じなかったり、虚偽の報告や資料の提出等を行った場合には罰則(50万円以下の罰金)が科されることがあります。
イ 指導及び助言
個人情報保護委員会は、必要な限度において、個人情報取扱事業者等に対して、個人情報の取扱いに関し必要な指導及び助言をすることができます。
なお、これに従わない場合の不利益はなく、指導及び助言の趣旨・内容・責任者を明示するよう当該事業者が書面の交付を求めることができます。
ウ 勧告及び命令
個人情報保護委員会は、個人情報取扱事業者が一定の義務に違反した場合、必要があると認めるときは、当該事業者に対し、当該違反行為の中止その他違反を是正するために必要な措置をとるべき旨を勧告することができます。そして、当該事業者がその勧告に係る措置をとらず、個人の重大な権利利益の侵害が切迫していると認めるときは、勧告に係る措置をとるべきことを命じることができます。
また、利用目的や適正な取得、第三者提供などの規定に違反した一定の場合で、個人の重大な権利利益を害する事実があるため緊急に措置をとる必要があると認めるときは、当該違反行為の中止その他違反を是正するために必要な措置をとるべきことを命じることができます。
なお、個人情報保護委員会の命令に個人情報取扱事業者等が違反した場合には、個人情報保護委員会は、その旨を公表することができ、加えて、当該命令に違反した者には、罰則(1年以下の懲役又は100万円以下の罰金)が科される可能性があります。
③ 罰則
個人情報取扱事業者には、個人情報保護法の規定に違反する場合には、前記以外にも様々な罰則が科せられています。
例えば、個人情報取扱事業者若しくはその従業者又はこれらであった者が、その業務に関して取り扱った個人情報データベース等を自己若しくは第三者の不正な利益を図る目的で提供し、または盗用したときは、1年以下の懲役又は50万円以下の罰金が科される可能性があります。さらに、法人等の代表者や従業者等がその法人等の業務に関して、罰則の対象となる行為を行った場合には、両罰規定により、行為者に加え、その法人等にも罰金刑が科される可能性があります。
特に、令和2年改正により、令和2年12月12日から下表のとおり罰則が強化されています。
懲役刑 | 罰金刑 | ||||
従前 | 改正後 | 従前 | 改正後 | ||
個人情報保護委員会からの命令への違反 | 行為者 | 6月以下 | 1年以下 | 30万円以下 | 100万円以下 |
法人等 | ― | ― | 30万円以下 | 1億円以下 | |
個人情報データベース等の不正提供等 | 行為者 | 1年以下 | 1年以下 | 50万円以下 | 50万円以下 |
法人等 | ― | ― | 50万円以下 | 1億円以下 | |
個人情報保護委員会への虚偽報告等 | 行為者 | ― | ― | 30万円以下 | 50万円以下 |
法人等 | ― | ― | 30万円以下 | 50万円以下 |