改正個人情報保護法（第3回）－開示請求に備えよう！－

2022年 12月 23日

「開示請求」という言葉が新聞やテレビで日常的に使われるようになってどれくらい経つでしょう。この「開示請求」という言葉が日常的に使用されるようになったということは、現在個人情報を保有している企業にとって、いつそのような請求がされるか分からない時代に入ったとも言えるでしょう。

1．保有個人データの開示

個人情報取扱事業者は、本人から保有データの開示、内容の訂正、追加または削除、利用の停止、消去、第三者への提供停止などの請求を受けたときは、原則としてこうした請求に対応しなければなりません。

保有する個人データの本人への開示方法については、これまでは原則として「書面で」とされてきましたが、令和4年4月1日に施行された改正個人情報保護法では、ウェブサイト上でダウンロードしてもらうなど、電磁的記録（CD-ROM等の媒体の郵送、電子メールによる送信、ウェブサイトでのダウンロード等）の提供を含めて、本人が指定できるようになりました。

また今回の改正で、保存期間にかかわらず、6か月以内に消去する保有個人データも開示、利用停止・消去の対象となり、個人データの第三者提供記録の開示請求も提供元と提供先のそれぞれに対して可能になっています。

2．個人データの利用停止・消去等の請求

これまで個人情報取扱事業者に対して、利用停止や消去ができるのは目的外使用や不正取得された場合に限られ、第三者提供の停止ができるのは第三者提供義務違反があった場合だけでした。

しかし、今回の改正個人情報保護法からは、利用停止や消去ができるのは一部の個人情報保護法違反の場合に加えて、以下のような個人の権利または正当な利益が害されるおそれがある場合にも拡充されています。

1. 個人データを利用する必要がなくなった場合
2. 個人情報保護委員会への報告義務のある、重大な漏えい等の事案が発生した場合
3. 本人の権利または正当な利益が害されるおそれがある場合

つまり個人情報取扱事業者は、保有する個人データの利用停止や消去をしなければならないケースが増えたということです。

3．公表等事項の充実

これまで個人情報取扱事業者は、以下の1〜5について、ホームページでの公表や事業所での掲示などによって、本人が知りうる状態に置いておく必要がありました。また、それを行わない場合は、これらに対する問い合わせに対して、日頃から遅滞なく答えられるようにしておくことが求められていました。

1. 個人情報取扱事業者の氏名または名称および住所（法人にあってはその代表者の氏名）
2. すべての保有個人データの利用目的
3. 保有個人データの利用目的の通知または開示等の請求手続（手数料を定める場合はその金額）
4. 保有個人データの安全管理のために講じた措置
   （ただし、本人の知り得る状態におくことで安全管理に支障を及ぼすおそれがあるものを除く）
   
5. 保有個人データの取り扱いに関する苦情の申し出先
   （認定個人情報保護団体に加盟している場合は、その団体の名称及び苦情解決の申し出先を含む）
   

今回施行された改正個人情報保護法では、安全管理のために講じた措置（公表等により支障を及ぼす恐れがあるものを除く）を、公表等する義務がある事項として追加しています。

例えば「個人データの適正な取り扱いを確保するため、関係法令・ガイドライン等の順守等についての基本方針を策定した」とか「個人データを保管しているA国における個人情報の保護に関する制度を把握した上で安全管理措置を実施する」といったことなどがそれに該当します。

また、本稿の 第1回・第2回 でも挙げた「利用目的の特定」や「外国にある第三者への個人データ提供時の情報提供」など、今回の改正で新たに加わった点についての記載は十分であるかどうか確認しておきましょう。

消費者との信頼関係を築き、社会から事業に対する信頼性を高めるためにも、個人情報保護を推進する考えや方針（プライバシーポリシー、プライバシーステートメント等）を明らかにし、それをホームページに載せ、店舗や事務所内の目に付く所に掲示するなどしておくことはとても重要なことです。

企業においては、改正法の下で開示請求がなされる場合に備えて、電磁的記録の提供による方法が実現できるよう、技術的・組織的な体制を整備する必要があるでしょう。

また、6か月以内に消去することとなるものであることを理由として請求の対象外であるとしていた事業者においては、社内規程やマニュアル等の見直し、開示請求等への対応体制を見直す必要があります。