1 保有個人データについて所定の情報は本人の知り得る状態に

会社が保有する個人データのことを「保有個人データ」といいます。正確な定義は、

個人情報取扱事業者(会社)が、開示、内容の訂正、追加または削除、利用の停止、消去、第三者への提供の停止を行うことのできる権限を有するもの

です。

保有個人データについては、次の1から5までの情報を本人の知り得る状態に置かなければなりません(本人の求めに応じて遅滞なく回答する場合を含む)。

  1. 個人情報取扱事業者の氏名または名称および住所(法人にあっては、その代表者名)
  2. 保有個人データの利用目的
  3. 利用目的の通知の求めまたは開示等の請求に応じる手続きおよび手数料の額
  4. 保有個人データの安全管理のために講じた措置
  5. 保有個人データの取扱いに関する苦情の申出先

実務上は、講じた措置の概要や一部をホームページに掲載し、残りを本人の求めに応じて遅滞なく回答を行うといった対応が可能です。とはいえ、「個人情報の保護に関する法律についてのガイドライン(通則編)」に沿って安全管理措置を実施しているといった内容の掲載や回答のみでは適切ではないとされており、具体的にどういった措置を講じているのかを掲載したり、回答したりする必要があります。

2 保有個人データの開示等の請求等への対応

本人(または代理人)から

  • 保有個人データの「利用目的の通知」の求め
  • 保有個人データの「開示」「第三者提供記録の開示」「内容の訂正・追加・削除」「利用の停止」「消去」「第三者への提供の停止」の請求

があった場合、原則としてその求めや請求に沿って対応しなければなりません。

これらの開示等の請求を受け付ける方法として次の(1)から(4)までの事項を定めることができる(ガイドライン3-8-7参照)ので、実務的にも、あらかじめ定めておくほうがよいでしょう。

画像1

なお、本人(または代理人)の請求等に対して、確認・調査を行った結果、そもそも当該保有個人データが存在しないことや、第三者提供をしていないこともあり得ます。また、請求された措置をとらない決定をすることもあり得ます。例えば次のような場合です。

画像2

請求された措置をとらない、またはその措置と異なる措置をとる場合は、その旨を遅滞なく本人に通知しなければならないのですが、注意が必要なのは、その理由も説明することが求められるということです。あくまで努力義務ではありますが、実務上、事態をこじらせないために、本人が納得のいくように理由を説明することが大切です。

以上(2024年12月更新)

pj60354
画像:mayucolor-Adobe Stock