先々回の個人情報に関する義務、先回の個人データに関する義務に引き続き、今回は、保有個人データに関する義務について解説します。
1 保有個人データに関する義務
保有個人データに関するルールをまとめると、以下のようになります。
- 保有個人データに関する事項の公表等(個人情報保護法27条)
- 開示(個人情報保護法28条)
- 訂正等(個人情報保護法29条)
- 利用停止等(個人情報保護法30条)
- 理由の説明(個人情報保護法31条)
- 開示等の請求等に応じる手続(個人情報保護法32条)
- 手数料(個人情報保護法33条)
- 事前の請求(個人情報保護法34条)
今回のコラムでは、これらのルールを詳しく解説します。
2 保有個人データに関する事項の公表(個人情報保護法27条1項)
個人情報取扱事業者は、保有個人データについて、以下の事項を本人の知り得る状態(本人の求めに応じて遅滞なく回答する場合を含みます。)に置かなければなりません。
- 個人情報取扱事業者の氏名又は名称
- (一定の場合を除き)全ての保有個人データの利用目的
- 本人からの求めや請求に応じる手続(手数料の額を定めたときは、手数料の額も)
- 保有個人データの取扱いに関する苦情の申出先
- 認定個人情報保護団体の対象事業者である場合は、その認定個人情報保護団体の名称及び苦情の解決の申出先
3 本人からの求め・請求への対応(個人情報保護法27条2項、3項、28条〜34条)
(1) 利用目的の通知の求めへの対応
個人情報取扱事業者は、本人から、その本人が識別される(=その本人がわかる)保有個人データの利用目的の通知を求められたときは、一定の場合を除き、遅滞なく通知しないといけません(個人情報保護法27条2項)。
(2) 開示、訂正等、利用停止等、第三者提供の停止の各請求への対応
また、本人は、個人情報取扱事業者に対し、その本人が識別される(=その本人がわかる)保有個人データについて、以下の事項を請求できることになっています(28条1項、29条1項、30条1項、3項)。そのため、個人情報取扱事業者は、本人から以下の事項について請求があったときは、一定の場合を除き、その請求された事項に遅滞なく対応しないといけません。
- 保有個人データの開示
- (保有個人データの内容が事実でないとき)保有個人データの内容の訂正、追加又は削除
- (保有個人データが個人情報保護法16条に違反して取り扱われているとき又は17条に違反して取得されたものであるとき)保有個人データの利用の停止又は消去
- (保有個人データが個人情報保護法23条1項又は24条に違反して第三者に提供されているとき)保有個人データの第三者への提供の停止
(3) 理由の説明
上記(1)の求め又は(2)の請求については、対応を行ったとき、行わなかったときのいずれであっても、本人に対する通知(開示する場合については、書面の交付等)を遅滞なく行うことが必要です(個人情報保護法27条2項、3項、28条3項、29条3項、30条5項。なお、開示する場合について28条2項参照。)。
その際、本人から求められ、又は請求された事項について、対応しない旨を通知する場合等は、本人に対し、その理由を説明するよう努めなければといけません(個人情報保護法31条)。
(4) 開示等の請求等に応じる手続、手数料
個人情報取扱事業者は、上記(1)の求め又は(2)の請求(以下、これらを総称して「開示等の請求等」といいます。)を受け付ける方法として、以下の事項を定めることができます(個人情報保護法32条1項)。
- 開示等の請求等の申出先
- 開示等の請求等の方式(例えば、提出しなければならない書面の様式など)
- 開示等の請求等をする者が本人又はその代理人であることの確認の方法
- (利用目的の通知又は開示について手数料を徴収する場合)手数料の徴収方法
上記のうち、本人又はその代理人であることの確認方法は、なりすまし等による別人からの請求に応じて保有個人データを開示等してしまうような事態を防止するためにも、特に重要であるといえます。
なお、利用目的の通知の求め又は開示の請求については、その対応に関して手数料を徴収することができますが、手数料の額は、実費を勘案して合理的であると認められる範囲内で定めなければなりません(個人情報保護法33条)。
(5) 事前の請求
上記(2)の請求については、本人から訴訟が提起されることもあり得ますが、いきなり訴訟が提起されることはありません。本人が訴訟を提起するためには、その訴えの被告となるべき者(個人情報取扱事業者だと思ってください。)に対して、あらかじめ、上記(2)の請求を行った上で、その請求が到達した日から2週間を経過したことか、訴えの被告となるべき者が請求を拒んだことが必要です(個人情報保護法34条1項)。
4 おわりに
今回で、個人情報取扱事業者の主要な義務の解説が一通り終わりました。個人情報、個人データ、保有個人データのそれぞれについて、概念やルールを改めて確認してみてください。
次回は、個人情報取扱事業者の監督体制等について解説する予定です。
当該コンテンツは、担当コンサルタントの分析・調査に基づき作成されております。
公開日