• Home
  • 個人情報保護法上の、保有個人データ本人開示の際の手続等

個人情報保護法上の、保有個人データ本人開示の際の手続等

保有個人データの本人開示の手続

個人情報保護法(*1)32条は、個人情報取扱事業者(*2)が本人への保有個人データの開示等をするに際し、その手続を受け付けるための方法を定めることができる旨規定しています(この手続の具体的な定め方については、法律の他、施行令に規定があります。

)。

あくまで定めることが「できる」との規定ですが、この規定をしていない場合、個人情報取扱事業者は法律に従い、本人らからの不ぞろいな請求にそれぞれ答えなければならず、かえって負担となります。また、この開示等の請求に答えるための手間や費用の負担を、すべて個人情報取扱事業者が負わなければならないことになる可能性もあります。このため、予め手続きを定めておくことが望ましいといえます。

 

*1 ここでの個人情報保護法は、改正個人情報保護法(平成29年5月30日施行)を指します。以下、単に法と言います。

*2 法2条5項。個人情報データベース等を事業の用に供している者のうち、国や地方公共団体等を除く者をいいます。

手続の対象及び定められる事項

個人情報取扱事業者は、以下の本人からの請求について、これを受け付ける手続を定めることができるものとされています(法32条1項)。

①保有個人データの利用目的の通知の求め(法27条2項)

②保有個人データの開示の請求(法28条1項)

③保有個人データの内容が真実でない場合の訂正・追加・削除の請求(法29条1項)

④個人情報が本人の同意なしに利用目的の達成に必要な範囲を超えて利用され、又は偽りその他不正の手段により取得された場合の保有個人データの利用の停止、消去の請求(法30条1項)

⑤個人データが法の定めに反して第三者へ提供された場合の保有個人データの第三者への提供の禁止の請求(30条3項)

(法は、①ないし⑤をまとめて「開示等の請求等」と定義しています。)

そして、この開示等の請求等については、以下の事項を定めることができるものとされています。

ⅰ.開示等の請求等の申出先(法32条1項、政令(*4)10条1項)

→担当窓口名、郵送先住所、受付電話番号、受付FAX番号、メールアドレス等

ⅱ.開示等の請求等に際して提出すべき書面(電磁的記録を含む。)の様式その他の開示等の請求等の方式(法32条1項、政令10条2項)

→申請書等の書式のほか、郵送、FAX、電子メールでの受付、など

ⅲ.開示等の請求等をする者が本人又は代理人(*5)であることの確認の方法(法32条1項、政令10条3項)

→本人については運転免許証、保険証等の提示、代理人については委任状の提示など

ⅳ.保有個人データの利用目的の通知の請求又は開示の請求があった場合の手数料(*7)の徴収方法(法32条1項、政令10条4項)

→窓口での現金支払い、普通為替・定額小為替の同封、銀行振込など

 

なお、これらの手続につき定める場合には、この手続方法につき本人の知り得る状態(*6)に置くことが求められます(法27条1項3号)。

 

*4 個人情報の保護に関する法律施行令

*5 この代理人とは、1.未成年者又は成年後見人の法定代理人又は2.開示等の請求等をすることにつき本人が委任した代理人を指します。前者は、未成年者の親、未成年後見人、または成年後見人、補佐人、補助人を指し、後者は士業の者を含む、本人が自らの意思で選んだ代理人を指します。

*6 「本人の知り得る状態」には、本人の求めに応じて遅滞なく回答する場合も含まれます(法27条1項柱書)。「本人の知り得る状態」の具体例としては、ホームページへの掲載、パンフレットの配布、問い合わせ窓口の設置又は電子商取引に関しては商品紹介ページへの問い合わせメールアドレスの表示等が挙げられます。

*7 手数料の額については、「実費を勘案して合理的であると認められる範囲内において、その手数料の額を定めなければならない。」との規定があります(法33条2項)。ガイドライン等にも具体的な目安は示されていないのですが、実費とその他を合わせて考えると、数百円から千円前後となるものと考えられます。なお、手数料をとることができるものとされているのは開示等の請求等すべての場合でなく、利用目的の通知の求め及び開示の請求を受けた場合だけであることに注意が必要です。

おわりに

平成29年5月30日施行の改正個人情報保護法では、いわゆる「5000件要件」(*3)が撤廃され、個人情報データベースを扱うあらゆる事業者が個人情報保護法上の義務に服する可能性を有することになりました。インターネットを通じたサービスを提供する事業者にとっても、これは例外ではありません。この機会に個人情報について自サービスにとって最も適切な取扱方法を検討し、無理のない手続を準備しておくことが重要だと考えます。

 

*3 改正前の個人情報保護法における、保有する個人情報が5000件過去6か月のいずれの時点においても5000件以下である者については個人情報取扱事業者としないとの要件をいいます。

参考

個人情報保護委員会「個人情報の保護に関する法律についてのガイドライン(通則編)」http://www.ppc.go.jp/files/pdf/guidelines01.pdf(平成28年11月)