個人情報を開示する姿勢の変化

karasu

個人情報保護法では、企業がデータベースで管理している個人情報の開示を本人から求められた場合、遅滞なく開示することが求められている。「遅滞なく」の程度は難しいが、請求から2週間経過すれば訴訟を提起することができることは一つの基準となるだろう。

このように個人の権利として認められているものであるが、企業は長らくきちんとした対応を取ってこなかった。2019年の日経ビジネスの連載では、楽天が会員情報管理ページ記載の内容しか開示できないとしたり、ヤフーが個人への開示をしていないと回答したりという杜撰な対応が記されている。

それから3年、ガイドライン改正によって開示対象を個人が特定する必要が無いことが示され、さらに法改正によって電子データによる開示を指定できるようになったり、第三者に提供した場合の記録が義務付けられて開示を求められるようになったり、法律自体が中小企業にも適用されるようになったりといった変化があった。現在はどのような対応になっているか調査した。

Webでダウンロード可能となったヤフー、アマゾン

個人情報の開示方法として最もふさわしいのが、問い合わせをしなくてもダウンロードできる方式だろう。先述の記事では法律の誤解釈による回答をしていたヤフーだが、現在はワンクリックで請求でき、5分程度でダウンロード可能となる。パーソナルデータのダウンロードというページにアクセスするだけだ。

Yahoo! Japanのパーソナルデータ請求ページ

会員情報や閲覧履歴などのほか、広告クリック履歴や位置情報の履歴もダウンロードでき、さらに第三者提供/受領記録にも対応している。ファイルはtsv形式になっており、検索履歴であれば全サービスで入力したキーワードが時刻と共に記録されていることがわかる。また、位置情報は取得するたびに緯度と経度が保存されている。

Yahoo! Japanから開示された検索履歴
Yahoo! Japanから開示された位置情報履歴

さらに第三者提供記録も企業名、所在地、代表者名、提供項目、本人の同意方法という法に定められた項目をまとめて見ることができる。これを見ることで、MetaやGoogleなどの広告を配信する企業に多くの情報を提供していることや、PayPayには基本情報のほかに購買履歴なども提供していることなどがわかる。

Yahoo! Japanから開示された第三者提供記録

また、アマゾンにも「マイデータをリクエストする」というページがある。こちらは即日というわけではないが、Alexaなどを含むすべての保有個人データをcsvデータでダウンロードできる。

もちろん、法律の規定によって書面での開示を指定することも可能であるはずだ。ヤフーは該当サービスの問い合わせページからやり取りした後で書類を郵送という面倒な手順が必要となる上に1,000円の手数料がかかるが、可能であると案内している。

情報が錯綜しつつも対応された楽天

楽天も先述の記事で全データの開示を拒否している企業のひとつだ。今回フォームから問い合わせてみると、Wordに記入して郵送するように指示された。ところが、受領後に誤ったフォーマットを送っていたとメールがあり、結局はメールで記入後ファイルを送るという形になった。

現在のフォーマットではサービスにチェックを付けた上で開示内容を指定する形になっている。手数料は1サービスまで無料で2サービス目から300円と案内している。(今回は手続きの遅延を理由として請求されなかった)

楽天の開示請求書

このうち、楽天市場、楽天トラベル、楽天ペイ、楽天Edy、楽天ポイントカードについて全データを請求したところ、次のファイルが3ヵ月弱で開示された。楽天ポイントでは店名や金額のほか、購入した商品のJANコードなども含まれていることなどが確認できる。第三者提供記録は無いとのことだった。

楽天から開示されたファイル
電磁的記録を希望したところデータを保存したCDが郵送され、パスワードは電子メールで別送された

他の会社も時間かかりつつ対応

この他にもいくつかの会社に個人データ開示を請求してみたが、既に開示された会社は長くても3ヵ月以内で対応された。ANAでWebフォームから請求できるにも関わらず郵送を案内されるなどの情報の錯綜はみられたが、どの会社も開示自体はしっかりしている印象だった。

また、第三者提供記録はもともと個人ごとにデータベース登録されていないこともあって、どの会社も相当の時間がかかることが多い。JR東日本は「このSuicaは経費精算システムなどに登録されてますか?」と聞いてきたほどで、サービス利用履歴などを探してからそれに関連する提供記録を見つけるまで手作業でやっている会社が多いのであろう。

開示方法を電磁的記録と指定することが法律上認められているが、ファイル形式はIT企業などでダウンロードページを用意している会社はデータ管理上のものをそのまま利用している一方、ほとんどの会社はPDFファイルのみ対応しているものが多かった。また、MIXIはWebサイトから会員情報画面を開く方法を案内してきた(会員情報以外にも保有個人データはあるはずであり、そのことを書面で問い合わせたが、2カ月経過しても回答はない)。

この記事が気に入ったらサポートをしてみませんか?