個人情報保護法(以下「法」)では、「保有個人データの開示等の請求」が定められています。保有個人データの開示等の請求とは、本人が事業者に対して、事業者が保有している当該本人が識別される個人情報(以下「保有個人データ」)の開示や、訂正・追加・削除、利用停止・消去、第三者提供の停止を請求することです。
2020年6月の法改正で(施行は2022年予定)、開示等の請求ができる情報の範囲や、事業者に対して保有個人データの利用停止・消去などを請求できるケースが拡大されました。
そこで、この記事では、本人による保有個人データの開示等の請求について、基本的事項の理解と対策に役立つ知識を解説します。
1 保有個人データの開示等の請求の一覧
保有個人データの開示等の請求には、幾つかの類型があります。まずは一覧で確認してみましょう。
これらのうち、訴訟にまで発展しやすいのは、本人が事業者に保有個人データの開示を求める「開示請求」です。事業者は、開示請求を受けたときは、本人に対し、原則として遅滞なく当該保有個人データを開示しなければなりません(法第28条)。
本人は事業者が保有している自分の個人情報の内容を把握していないことが多いので、まず個人情報の開示を請求して、間違いがないか、不当に利用されていないか、違法に第三者に提供されていないかを確認することになります。このように開示請求は、他の請求をする前提となります。
以降では、「開示請求」を中心に解説することにします。
2 開示請求のポイント
1)本人以外の個人情報は開示しない
本人に開示するのは、「当該本人が識別される保有個人データ」です。ここでは「保有個人データ」の詳細は割愛しますが、「事業者が管理している個人情報」と考えておけば十分です。
さて、大切なのは「当該本人が識別される」という点です。本人の氏名、住所、購買履歴などの本人が識別される個人情報は開示の対象となりますが、家族の氏名など「他人が識別される」個人情報は対象外なので、開示しないことができます。家族であっても、本人以外の者による開示請求は、その者が正式な代理人でない限り、プライバシーや個人情報保護の見地から、応じるべきではありません。
2)取得元や取得方法の開示
保有個人データの開示請求は個人情報の開示を求めるものですから、個人情報ではない「個人情報の取得元や取得方法」は、開示の対象ではありません。
ただし現実には、消費者から「いったいどこから、どうやって私の個人情報を手に入れたの?」などの問い合わせを受けるケースは多いものです。これを拒否すると、クレームに発展する場合があるので注意が必要です。
個人情報保護委員会が公表しているガイドラインでも、消費者など本人の権利利益保護の観点から、当該保有個人データだけでなく、事業活動の特性、規模および実態を考慮して、個人情報の取得元または取得方法を、可能な限り具体的に明記し、本人からの求めに一層対応していくことが望ましいとしています。
多くの場合、取得元の具体的な名前や名称を明らかにしなくても、取得方法を知らせれば本人は納得するでしょう。そのため、求められたら取得方法の開示までは検討したほうがよさそうです。ただし、開示することで取得元に迷惑が掛かってしまう場合は、次の「開示を拒否できる場合」をご確認ください。
3)開示を拒否できる場合
次の場合には、開示請求を拒否できます(法第28条第2項但書)。
- 本人または第三者の生命、身体、財産その他の権利利益を害する恐れがある場合
- 当該個人情報取扱事業者の業務の適正な実施に著しい支障を及ぼす恐れがある場合
- 他の法令に違反することとなる場合
1.の典型例として、医療機関などで病名を開示することにより、本人の心身状況を悪化させる恐れがある場合が挙げられます(本人の生命、身体を害する恐れがある)。
【参考:平成29年8月31日東京高裁判決】
患者Xが病院に対し、友人Bが病院に持参したXの病状に関する資料について保有個人データ開示請求をしたのに対し、本件においては、Xが開示により新たな事実を認識することで、改めてBに対する悪感情が募り、Bの利益を害する行動に出る恐れがあるというほかないから、「第三者の生命、身体、財産その他の権利利益を害する恐れがある場合」に当たり、病院がXに開示しないことは相当であるとした。
2.の該当例は、多くあります。
- 試験実施機関において、採点情報の全てを開示することによって、試験制度の維持に著しい支障を及ぼす恐れがある場合
- 同一の本人から複雑な対応を要する同一内容について繰り返し開示の請求があり、事実上問い合わせ窓口が占有されることによって他の問い合わせ対応業務が立ち行かなくなるなど、業務上著しい支障を及ぼす恐れがある場合
- 反社会的勢力に関する保有個人データであって、当該反社会的勢力による業務妨害や従業者への危害を招く恐れがある場合
- 企業秘密が明らかになるような場合
- 与信審査内容など、本人に関する評価または判断の開示請求を受けた場合
【参考:平成27年5月21日東京高裁判決】
勤務先を懲戒解雇された元従業員が、勤務先に対し、保有個人データ開示請求として、懲戒解雇がされた経緯に関する元従業員の個人情報の開示を求めた。
判決は、懲戒解雇に関する資料には、使用者および関係者らの評価および判断が含まれているのが通常であるから、懲戒解雇に関する資料が本人に開示されることになれば、適正な評価と処分の決定に影響を及ぼしたり、本人に無用の反発を生じさせたりして、公正かつ円滑な人事の確保ができなくなり、当該本人を雇用していた勤務先の人事管理に係る「業務の適正な実施に著しい支障を及ぼす恐れがある」ことは明らかであり、勤務先はこれを開示しないことができるとした。
3.の該当例は、刑法第134条(秘密漏示罪)や電気通信事業法第4条(通信の秘密の保護)に違反する場合などが挙げられますが、実際に該当するケースは少ないでしょう。
3 開示請求への対応
本人からの開示請求に対する当該個人情報取扱事業者の対応は、次のいずれかになります。
1)開示する
2)開示しない旨を通知する(開示を拒否できる場合)
3)存在しない旨を通知する(本人が識別できる個人情報が存在しない場合)
1)開示する場合
請求に応じて開示する場合は、遅滞なく、保有個人データを開示しなければなりません(法第28条第2項本文)。
原則として、書面の交付によって開示します。具体的には、「回答書」などの書面に、開示する保有個人データの内容(保有している氏名・住所・電話番号・メールアドレスなどの情報)を記載して通知します。
本人が同意すれば、メールや電話による開示も認められます。そのため、本人が電話で開示請求をしてきた場合に電話で回答しても、本人が異議を述べなければ、開示として認められます。ただし、本人確認は慎重に行う必要があります。
2)開示しない場合
事業者は、請求に対して保有個人データの全部または一部について開示しない旨の決定をしたときは、本人に対し、遅滞なく、その旨を通知しなければなりません(法第28条第3項)。
開示しない旨を通知する場合は、開示しない理由を説明するよう努めます(法第31条)。努力義務なので、理由を説明しなくても違法ではありませんが、クレーム予防なども考慮して慎重に判断しましょう。
3)存在しない場合
開示請求された保有個人データが存在しないときも、本人に対し、遅滞なく、その旨を通知しなければなりません(法第28条第3項)。
4 対応の準備
開示請求に当たっての準備は重要です。開示請求は、請求が事業者に到達した日から2週間を経過したら訴訟提起ができるとされているので(法第34条)、スピード感を持って対応できるようにしておかなければなりません。
1)回答書の準備
開示請求に対しては、開示する場合、開示しない場合、存在しない場合のいずれにおいても、本人に対してその旨を通知しなければなりません。多くの場合は、書面回答になるはずなので、回答書のひな型を用意しておくとよいでしょう。例えば、次のようなひな型です。
○○様が識別される保有個人データを
□ 保有しております。
□ 保有しておりません。
(開示する場合)当社の保有個人データは以下の通りです。
[保有個人データの記載欄]
(開示しない場合)以下の理由により、ご請求の保有個人データについて開示しない旨を決定しました。
□ 本人または第三者の生命、身体、財産その他の権利利益を害する恐れがあるため
□ 当社の業務の適正な実施に著しい支障を及ぼす恐れがあるため
□ 他の法令に違反することとなるため
□ その他( )
2)開示請求を受け付ける方法の定めをする
事業者は、保有個人データの開示請求を受け付ける方法を定めることができます(法第32条)。そうすると、本人が決められた手続きに従わずに開示請求を行った場合、事業者は、開示を拒否することができます。反対に方法を定めていない場合、本人は、電話その他の自由な方法で開示請求をすることが認められ、事業者は、個別に本人と相談しながら対応しなければならなくなります。
事業者が定めることができる事項は、開示請求の申出先、提出すべき書面等の様式その他の開示請求の方式、開示請求をする者が本人または代理人であることの確認の方法です。
なお、開示請求を受け付ける方法を定めた場合は、その内容を「本人の知り得る状態(本人の求めに応じて遅滞なく回答する場合を含む)」に置かなければならないとされています(法第27条第1項第3号)。
多くの事業者は、プライバシーポリシー(個人情報保護方針)に記載して公表することで対応しています。
3)手数料の定めをする
事業者は、開示請求の実施に関して手数料を徴収することができます(法第33条)。手数料額を定めた場合、「本人の知り得る状態(本人の求めに応じて遅滞なく回答する場合を含む)」に置かなければならないとされています(法第27条第1項第3号)。
手数料額については、「実費を勘案して合理的であると認められる範囲内において定めなければならない」としか規定されていません(法第33条第2項)。個人情報保護委員会が公表しているQ&Aでも、「実費を予測して平均的単価を算出して定めることが望ましいと考えられます」「例えば、郵便で開示請求に応じる場合、配達証明付の書留料金を勘案するなど適切な金額をご検討ください」とするにとどまっています。
実際は、手数料を500円程度とする事業者が多いようです。
5 まとめ
以上、本人による保有個人データの開示請求を中心に解説しました。開示等の請求は2015年と2020年の個人情報保護法改正において重要な改正点となっており、事業者が保有する個人情報に対して本人が関与しやすくする流れが明確になっています。
この機会に、開示等の請求への対応準備ができているかを再確認し、不十分であれば早急に整備することをお勧めします。
連載
個人情報保護への対応
以下の記事もあわせてご覧ください。
- 第1回 個人情報保護法の改正。中小企業の対応は?
- 第2回 過去の失敗に学べ。個人情報保護で重要な組織と人の問題
- 第3回 4つの安全管理措置の概要と押さえておくべきポイント
- 第4回 個人情報の取り扱い実務に携わる従業者の監督
- 第5回 従業者の教育等。会社がやるべきこととは?
- 第6回 本人による保有個人データの開示等の請求への対応
以上
※上記内容は、本文中に特別な断りがない限り、2020年10月22日時点のものであり、将来変更される可能性があります。
※上記内容は、株式会社日本情報マートまたは執筆者が作成したものであり、りそな銀行の見解を示しているものではございません。上記内容に関するお問い合わせなどは、お手数ですが下記の電子メールアドレスあてにご連絡をお願いいたします。
【電子メールでのお問い合わせ先】
inquiry01@jim.jp
(株式会社日本情報マートが、皆様からのお問い合わせを承ります。なお、株式会社日本情報マートの会社概要は、ウェブサイト https://www.jim.jp/company/をご覧ください)
ご回答は平日午前10:00~18:00とさせていただいておりますので、ご了承ください。