コラム

インターネットと個人情報

個人データの開示請求を受けた際の対応について

*本コラムは令和4年4月1日施行の改正個人情報保護法を前提にしています。

「保有個人データ」とは、「個人情報取扱事業者が、開示、内容の訂正、追加又は削除、利用の停止、消去及び第三者への提供の停止を行うことのできる権限を有する個人データであって、その存否が明らかになることにより公益その他の利益が害されるものとして政令で定めるもの以外のものをい」います(法第16条第4項)。
自社にあるデータベース化された個人情報全てが「個人データ」にあたりますが、その中には、発注元から委託を受けて使用している「個人データ」など、自社が保有しない個人データも含まれます。このような個人データは、その会社にとって、その内容を訂正したり、利用を停止するといったことを判断する立場にありません。
よって、個人データのうち、自社が保有する「保有個人データ」のみが、本人からの開示請求等の対象となります。

法第33条に「本人は、個人情報取扱事業者に対し、当該本人が識別される保有個人データの電磁的記録の提供による方法その他の個人情報保護委員会規則で定める方法による開示を請求することができる」と定められており、顧客から本人が識別される保有個人データの開示(存在しないときにはその旨を知らせることを含む。)を求められた場合、原則として、事業者は、本人に対し、遅滞なく(*)開示しなければなりません。

法第33条第2項 個人情報取扱事業者は、前項の規定による請求を受けたときは、本人に対し、同項の規定により当該本人が請求した方法(当該方法による開示に多額の費用を要する場合その他の当該方法による開示が困難である場合にあっては、書面の交付による方法)により、遅滞なく、当該保有個人データを開示しなければならない。ただし、開示することにより次の各号のいずれかに該当する場合は、その全部又は一部を開示しないことができる。
一 本人又は第三者の生命、身体、財産その他の権利利益を害するおそれがある場合
二 当該個人情報取扱事業者の業務の適正な実施に著しい支障を及ぼすおそれがある場合
三 他の法令に違反することとなる場合

*保有個人データの開示請求を受けた場合、「遅滞なく」これを開示する必要がありますが(法第33条第1項、同第2項)、「遅滞なく」とは、理由のない滞りを生じさせることなくという趣旨です。請求対象となるデータを検索・集約する等の一定の作業を要する場合には、当該作業を行うために通常必要と考える期間も考慮した上で、合理的な期間内に開示を行えば、「遅滞なく」開示したことになると考えられます(「個人情報の保護に関する法律についてのガイドライン」に関するQ&A(以下、略)Q9-12)

電磁的記録の提供による方法については、本人がファイル形式等を指定した場合であっても、事業者がファイル形式や記録媒体などの具体的な提供方法を定めることができ、本人からの指定に応じる必要はありません。もっとも、開示請求等で得た保有個人データの利用等における本人の利便性向上の観点から、できる限り本人の要望に沿った形で対応することが望ましいとされています(個人情報取扱事業者等に係るガイドライン(以下、「ガイドライン」といいます。)3-8-2、Q9-10)。

電磁的記録の提供による方法の事例として、ガイドライン3-8-2には以下があげられています。

事例1)電磁的記録をCD-ROM等の媒体に保存して、当該媒体を郵送する方法
事例2)電磁的記録を電子メールに添付して送信する方法
事例3)会員専用サイト等のウェブサイト上で電磁的記録をダウンロードしてもらう方法

その他事業者の定める方法の事例としては以下があげられています。

事例1)個人情報取扱事業者が指定した場所における音声データの視聴
事例2)個人情報取扱事業者が指定した場所における文書の閲覧

本人の保有個人データの開示請求は、当該本人が識別される保有個人データが対象となるので、家族の氏名等、本人以外の他の個人情報については、開示の対象にはなりません(Q9-8)。

PAGE TOP