＊本コラムは令和４年４月１日施行の改正個人情報保護法を前提にしています（２０２２年５月１９日追記）。

保有個人データの本人開示の手続
個人情報保護法（以下、「法」といいます。）３２条は、個人情報取扱事業者が本人への保有個人データの開示等をするに際し、その手続を受け付けるための方法を定めることができる旨規定しています（この手続の具体的な定め方については、法律の他、施行令に規定があります。）。
あくまで定めることが「できる」との規定ですが、この規定をしていない場合、個人情報取扱事業者は法律に従い、本人らからの不ぞろいな請求にそれぞれ答えなければならず、かえって負担となります。また、この開示等の請求に答えるための手間や費用の負担を、すべて個人情報取扱事業者が負わなければならないことになる可能性もあります。このため、予め手続きを定めておくことが望ましいといえます。

手続の対象及び定められる事項
個人情報取扱事業者は、以下の本人からの請求について、これを受け付ける手続を定めることができるものとされています（法３２条１項）。

（法は、①ないし⑤をまとめて「開示等の請求等」と定義しています。）

そして、この開示等の請求等については、以下の事項を定めることができるものとされています（個人情報の保護に関する法律についてのガイドライン（通則編）（以下、「ガイドライン」といいます。）３－８－７参照）。

なお、これらの手続につき定める場合には、この手続方法につき本人の知り得る状態に置くことが求められます。（「本人の知り得る状態」には、本人の求めに応じて遅滞なく回答する場合も含まれます。具体例としては、ホームページへの掲載、パンフレットの配布、問い合わせ窓口の設置又は電子商取引に関しては商品紹介ページへの問い合わせメールアドレスの表示等が挙げられます。）

代理人とは、
１．未成年者又は成年後見人の法定代理人
２．開示等の請求等をすることにつき本人が委任した代理人
を指します。

本人以外の者でも、上記に掲げる代理人から請求があった場合には開示が認められますが、その場合であっても、その代理人が本当に権限を有しているかの確認方法についてあらかじめ定めておくことが必要となります。
その場合、事業の性質、保有個人データの取扱状況、開示等の請求等の受付方法等に応じて、適切なものでなければならず、本人確認のために事業者が保有している個人データに比して必要以上に多くの情報を求めないようにするなど、本人に過重な負担を課するものとならないよう配慮しなくてはなりません。
代理人による来所や送付等の場合にあっては、確認書類として、本人及び代理人についての書類等（運転免許証、健康保険の被保険者証、マイナンバーカード等）のほか、代理人について、代理権を与える旨の委任状（親権者が未成年者の法定代理人であることを示す場合は、本人及び代理人が共に記載され、その続柄が示された戸籍謄抄本、住民票の写し。また、成年後見人が成年被後見人の法定代理人であることを示す場合は、登記事項証明書）が考えられます。

おわりに
平成２９年５月３０日施行の改正個人情報保護法では、いわゆる「５０００件要件」（＊）が撤廃され、個人情報データベースを扱うあらゆる事業者が個人情報保護法上の義務に服する可能性を有することになりました。インターネットを通じたサービスを提供する事業者にとっても、これは例外ではありません。この機会に個人情報について自サービスにとって最も適切な取扱方法を検討し、無理のない手続を準備しておくことが重要だと考えます。

＊「５０００件要件」：改正前の個人情報保護法における、保有する個人情報が５０００件過去６か月のいずれの時点においても５０００件以下である者については個人情報取扱事業者としないとの要件をいいます。

「個人データの開示請求を受けた際の対応について」の記事はこちら