Q&A改正個人情報保護法⑥「保有個人データ」の対応強化

あたらしい法律の情報


Q「保有個人データ」に関しては①短期保存データの保有個人データ化、②開示請求のデジタル化、③利用停止請求権等の要件の緩和がなされるそうですが、どのような改正が具体的になされますか。

第1.保有個人データとは?

「個人データ」とは、「個人情報データベース等」(下記(3)参照)を構成する個人情報をいいます(保護法2条4項)。
 「保有個人データ」とは、「個人データ」のうち、「個人情報取扱事業者」が、開示、内容の訂正、追加又は削除、利用の停止、消去及び第三者への提供の停止を行うことのできる権限を有する個人データ(6月以内に消去することとなるもの等を除く。)をいいます(保護法2条5項)。
 「個人データ」のうち、「保有個人データ」であるものは例えば以下のものです。
・自社の事業活動に用いている顧客情報
・事業として第三者に提供している個人情報
・従業者等の人事管理情報

 「保有個人データ」に該当しない「個人データ」としては例えば以下のものです。
・委託を受けて、入力、編集、加工等のみを行っているもの

 「個人データ」(「保有個人データ」を含む。)に該当する場合、「個人情報取扱事業者」には以下の義務等が課されます。
・データ内容の正確性の確保(保護法19条)
・安全管理措置(同法20条)
・従業者の監督(同法21条)
・委託先の監督(同法22条)
・第三者提供の制限(同法23条)
・外国にある第三者への提供の制限(同法24条)
・労務の確認・記録義務(同法25条・26条)

 「保有個人データ」に該当する場合、「個人情報取扱事業者」には以下の義務等が課されます。
・保有個人データに関する事項の公表(保護法24条)
・開示(同法25条)
・訂正等(同法26条)
・利用停止等・第三者提供の停止(同法27条)
・理由の説明(同法28条)
・開示等の求めに応じる手続(同法29条)
・手数料(同法30条)

第2.6月以内に消去することとなる個人データの保有個人データ化(法2条7項)

1 現行個人情報保護法
 現行法上、開示等の対象となる保有個人データについては、1年以内の政令で定める期間以内に消去することとなるものが除外されており(個人情報保護法2条7項)、政令で定める期間については、同法施行令5条の規定により「6月」とされている。
すなわち、現行法上、6月以内に消去することとなる個人データは、「保有個人データ」の定義から除かれており、個人情報取扱事業者は、開示や利用停止等の請求に応ずる義務がない。
立法当時このように定められた背景は、短期間で消去される個人データについては、データベースに蓄積されて取り扱われる時間が限られており、個人の権利利益を侵害する危険性が低く、また、本人の請求を受けて開示等が行われるまでに消去される可能性も高いことから、個人情報取扱事業者に請求に対応するコストを負担させることの不利益が、本人に開示等を請求する権利を認めることの利益を上回るものと考えられたためである。

2 情報化社会の進展による状況の変化
 しかしながら、情報化社会の進展により、短期間で消去される個人データであっても、その間に漏えい等が発生し、瞬時に拡散する危険が現実のものとなっている。このように、短期間で消去される個人データについても、個人の権利利益を侵害する危険性が低いとは限らない。
また、既に消去されていれば、請求に応じる必要もないことから、個人情報取扱事業者に請求に対応するコストを負担させることの不利益が、本人に開示等を請求する権利を認めることの利益を上回るとはいえないものと考えられる。
なお、現在でも、プライバシーマークにおいて審査基準の根拠とされている「JIS Q 15001 個人情報保護マネジメントシステム-要求事項」においては、6か月以内に消去する個人情報も含め、開示等の求めに原則応じることとされており、事業者において自主的に個人情報保護法の水準を超えた対応が行われている。
3 改正法
改正法では、「保有個人データ」の定義から、「一年以内の政令で定める期間以内に消去することとなるもの以外のもの」との部分が削除されることにより、6月以内に削除するものも「保有個人データ」に該当することとされた。
本規定の改正は、公布の日から起算して2年を超えない範囲内で政令で定める日に施行される(改正法附則1条本文)。

第3.保有個人データの開示請求のデジタル化(法28条)
1 現行法 
現行法では、本人への開示方法は、書面の交付による方法(開示の請求を行った者が同意した方法があるときは、当該方法)とされている(法28条2項、同法施行令9条)。

2 改正の背景
(1) 開示請求のデジタル化の必要性
開示の提供形式について、現行個人情報保護法では、「書面の交付による方法」を原則としつつ、「開示の請求を行った者が同意した方法があるときは、当該方法」とされている(同法施行令9条)。
開示請求の対象となる保有個人データについては、情報技術の進展により、膨大な情報を含む場合があるところ、当該保有個人データを印字した書面を交付された本人にとっては、検索も困難であり、その内容を十分に認識することができないおそれがある。
特に、当該保有個人データが音声や動画である場合は、その内容を書面上に再現すること自体が困難である。このように、書面による開示では、当該保有個人データの取扱状況を十分に明らかにすることができず、これを前提に訂正等並びに利用停止等及び第三者提供の停止の請求を行うことが困難なケースがある。また、開示された個人データを本人が利用する場面で、電磁的形式である方が利便性が高い場合も少なくない。
(2) GDPRのデータポータビリティの権利
EUのGDPRにおいても、事業者は、本人の求めに応じて、保有する個人データを提供する義務が課せられているが、特定の条件を満たす場合には、本人が他の用途で利用しやすい電子的形式で、本人又は本人が望む他の事業者に、個人情報を提供する義務が課されており「データポータビリティの権利」と称されている(GDPR第20条)。なお、本人が望む他の事業者に直接個人情報を提供させることができるのは、技術的に実行可能な場合に限定されている。
(3) デジタル手続法の成立
 2019年通常国会で「民間手続における情報通信技術の活用の促進等を謳った情報通信技術の活用による行政手続等に係る関係者の利便性の向上並びに行政運営の簡素化及び効率化を図るための行政手続等における情報通信の技術の利用に関する法律等の一部を改正する法律」(いわゆる「デジタル手続法」)が成立したこと等を踏まえ、個人情報保護法における開示の際の電磁的形式による提供についても、利用者の利便を考慮しつつ、明確化をすべきであると考えられる。

3.改正法
(1)開示請求の方法(法28条1項)(改正)
本人は、個人情報取扱事業者に対し、当該本人が識別される保有個人データの電磁的記録の提供による方法その他の個人情報保護委員会規則で定める方法による開示を請求することができることとされた(下線部分は改正法による追加部分)。

(2)開示方法(法28条2項)
 現行法では、保有個人データの開示は書面の交付による方法が原則である(法28条2項、同法施行令9条)が、改正法では、当該本人が請求した方法(当該方法による開示に多額の費用を要する場合その他の当該方法による開示が困難である場合にあっては、書面の交付による方法)により遅滞なく、当該保有個人データを開示することとされた。

(3)施行期日
本規定の改正は、公布の日から起算して2年を超えない範囲内で政令で定める日に施行される(改正法附則1条本文)。

第4.利用停止、消去、第三者提供の停止の請求に係る要件の緩和
1 利用停止等を巡る状況
個人情報保護法上、利用停止等(利用の停止又は消去)についての個人の権利行使には一定の制約が課されている。
「利用停止・消去の請求」に応じる義務を課されているのは、①個人情報を目的外利用したとき(同法16条違反)や、②不正の手段により取得した場合(同法17条違反)に限られている(同法30条1項)。
「第三者提供の停止の請求」に応じる義務が課されるのは、「法の規定に違反して第三者提供されている場合」(同法23条1項、24条1項違反)に限られている(同法30条3項)。
この点については、個人情報保護委員会への相談ダイヤルに寄せられる意見や、タウンミーティングにおける議論でも、消費者からは、自分の個人情報を事業者が利用停止又は消去等を行わないことへの強い不満が見られるところである。

2 JIS Q 15001個人情報保護マネジメントシステム-要求事項
日本において比較的多くの事業者が活用している民間の取組であるプライバシーマークにおいて審査基準の根拠とされている「JIS Q 15001個人情報保護マネジメントシステム-要求事項」においては、本人の保有個人データの利用停止、消去又は第三者提供の停止の請求を受けた場合は、原則として応じる義務があることとされており、自主的に個人情報保護法の水準を超えた対応が行われている。

3 GDPRにおける消去権(忘れられる権利)・プロファイリングに係る権利
EUのGDPR(EU一般データ保護規則)については、旧来の「EUデータ保護指令」の下では規定のなかった、消去権(忘れられる権利)、プロファイリングに係る規定が新たに設けられており、概要は次のとおりである。
消去権(忘れられる権利)については、本人は、一定の場合に、事業者に対して、当該本人に関する個人データを不当に遅滞なく消去させる権利が認められている(GDPR17条)。もっとも、表現の自由及び情報伝達の自由の権利の行使に取扱いが必要な場合等、適用の例外も規定されている。

また、プロファイリングについては、大きく分けて、異議を申し立てる権利(GDPR21条)と、自動的な意思決定に服さない権利(GDPR22条)が規定されている。
異議を申し立てる権利は、「公共の利益又は公的権限の行使のために行われる業務の遂行」又は「正当な利益の追求」を法的根拠とする、プロファイリングそのものを含む個人データの取扱いに対して、異議を申し立てる権利(GDPR第21条第1項)であり、この権利を行使された事業者は、本人の利益を超越する、個人データの取扱いに係る正当化根拠等を示せない限り、プロファイリングそのものを含む個人データの取扱いを止めなければならないとされている。

4 中間整理における意見
 「個人情報保護法いわゆる3年ごと見直しに係る検討の中間整理」[1](以下「中間整理」という。)の意見募集では、多岐にわたる意見が寄せられた。利用停止や消去の義務化を求める意見や、利用停止等に関して個人の権利の範囲を広げる方向について検討することは十分に可能でないかとの意見があった。一方で、経済界からは、「現行制度の下での自主的対応で十分である」、「EUのGDPRも参考にしつつ、保護と利活用のバランスを考慮した範囲にするなど慎重に検討すべき」、「請求権行使の例外規定を設ける必要がある」、「利用停止と消去・削除については切り分けて検討すべき」、「諸外国の実態を踏まえるべき」等様々な意見のほか、利用停止等に関して個人の権利の範囲を広げる方向性や、個人が自らの個人情報にコントロールを有することについて、支持する意見もあった。

5 改正条文
(1)利用停止等・第三者提供の停止の請求ができる場合の追加(法30条5項)(新設)
本人は、個人情報取扱事業者に対し、①当該本人が識別される保有個人データを当該個人情報取扱事業者が利用する必要がなくなった場合、②当該本人が識別される保有個人データに係る第22条の2第1項本文に規定する事態(個人データの漏えい等)が生じた場合、③その他当該本人が識別される保有個人データの取扱いにより当該本人の権利又は正当な利益が害されるおそれがある場合には、当該保有個人データの利用停止等又は第三者への提供の停止を請求することができる。
(2)利用停止等・第三者提供の停止・代替措置(法30条6項)(新設)
 個人情報取扱事業者は、前項の規定による請求を受けた場合であって、その請求に理由があることが判明したときは、本人の権利利益の侵害を防止するために必要な限度で、遅滞なく、当該保有個人データの利用停止等又は第三者への提供の停止を行わなければならない。
ただし、個人情報取扱事業者は、当該保有個人データの利用停止等又は第三者への提供の停止に多額の費用を要する場合その他の利用停止等又は第三者への提供の停止を行うことが困難な場合であって、本人の権利利益を保護するため必要なこれに代わるべき措置をとるときは、利用停止等又は第三者提供の停止に応じなくてもよい。

〇利用停止・消去の請求ができる場合(下線部分の場合が改正で追加)
①個人情報を目的外利用した場合(法16条違反)(法30条1項)
②不正の手段により取得した場合(法17条違反)(法30条1項)
③当該本人が識別される保有個人データを当該個人情報取扱事業者が利用する必要がなくなった場合(法30条5項)
④当該本人が識別される保有個人データに係る法22条の2第1項本文に規定する事態(個人データの漏えい等)が生じた場合(法30条5項)
⑤その他当該本人が識別される保有個人データの取扱いにより当該本人の権利又は正当な利益が害されるおそれがある場合(法30条5項)

※③から⑤の場合は、当該保有個人データの利用停止等又は第三者への提供の停止に多額の費用を要する場合その他の利用停止等又は第三者への提供の停止を行うことが困難な場合であって、本人の権利利益を保護するため必要なこれに代わるべき措置をとるときは利用停止・消去に応じなくてよい。


〇第三者提供の停止の請求ができる場合(下線部分の場合が改正で追加)
①「法の規定に違反して第三者提供されている場合」(法23条1項、24条1項違反)(法30条3項)
②当該本人が識別される保有個人データを当該個人情報取扱事業者が利用する必要がなくなった場合(法30条5項)
③当該本人が識別される保有個人データに係る法22条の2第1項本文に規定する事態(個人データの漏えい等)が生じた場合(法30条5項)
④その他当該本人が識別される保有個人データの取扱いにより当該本人の権利又は正当な利益が害されるおそれがある場合(法30条5項)

※②から④の場合は、当該保有個人データの利用停止等又は第三者への提供の停止に多額の費用を要する場合その他の利用停止等又は第三者への提供の停止を行うことが困難な場合であって、本人の権利利益を保護するため必要なこれに代わるべき措置をとるときは利用停止・消去に応じなくてよい。
(3)施行期日
本規定の改正は、公布の日から起算して2年を超えない範囲内で政令で定める日に施行される(改正法附則1条本文)。

第5.事業者への実務上の影響
 改正法により、事業者が特に影響を受けるのは、保有個人データの開示請求のデジタル化であろう。個人が預金取引履歴の開示など求めてきた場合、電磁的方法で提供できるようにしなければならない。
 また、事業者の顧客情報について「利用する必要がなくなった」ことを理由として利用停止・消去の請求がなされた場合、事業の運営上必要なことを金融機関の側で立証できるように整理しておかなければならなくなる。


この記事が気に入ったらサポートをしてみませんか?