本記事の「現行法」は「個人情報の保護に関する法律等の一部を改正する法律」(令和2年法律第44号、以下「令和2年改正法」といいます。)に基づく改正前の個人情報保護法を指します。
本稿内において【 】によって示している条番号は、「デジタル社会の形成を図るための関係法律の整備に関する法律」(令和3年法律第37号、以下「令和3年改正法」といいます。)施行後の条番号です。令和3年改正法の第一弾改正が令和2年改正法と同日の令和4年(2022年)4月1日に施行されるため、同日以降の条文番号は実際には【 】によって示されている条文番号となります。
6か月以内に消去することとなる個人データの保有個人データ化(個人情報保護法2条7項)
改正前の個人情報保護法における規定
令和2年改正法の施行前においては、「保有個人データ」については、1年以内の政令で定める期間以内に消去することとなるものが除外されており(個人情報保護法2条7項【16条4項】)、政令で定める期間については、同法施行令5条の規定により「6月」とされています。
すなわち、現行法上、6か月以内に消去することとなる個人データは、「保有個人データ」の定義から除かれており、個人情報取扱事業者は、開示や利用停止等の請求に応ずる義務がありません。
立法当時このように定められた背景は、短期間で消去される個人データについては、データベースに蓄積されて取り扱われる時間が限られており、個人の権利利益を侵害する危険性が低く、また、本人の請求を受けて開示等が行われるまでに消去される可能性も高いことから、個人情報取扱事業者に請求に対応するコストを負担させることの不利益が、本人に開示等を請求する権利を認めることの利益を上回るものと考えられたためです。
改正の背景 情報化社会の進展による状況の変化
しかしながら、情報化社会の進展により、短期間で消去される個人データであっても、その間に漏えい等が発生し、瞬時に拡散する危険が現実のものとなっています。このように、短期間で消去される個人データについても、個人の権利利益を侵害する危険性が低いとは限りません。
また、すでに消去されていれば、請求に応じる必要もないことから、個人情報取扱事業者に請求に対応するコストを負担させることの不利益が、本人に開示等を請求する権利を認めることの利益を上回るとはいえないものと考えられます。
なお、現在でも、プライバシーマークにおいて審査基準の根拠とされている「JIS Q 15001 個人情報保護マネジメントシステム-要求事項」においては、6か月以内に消去する個人情報も含め、開示等の求めに原則応じることとされており、事業者において自主的に個人情報保護法の水準を超えた対応が行われています。
(付属書A:A.3.4.4.1、付属書B:B.3.4.4.1 )
- 保有個人データには該当しない場合でも、本人からの開示等(※)の求めに応じることができる権限を有する個人情報については、保有個人データと同様に取り扱う。
- 上記本人からの開示等の求めに応じることができる権限を有する個人情報には、政令で定める期間(6か月)以内に消去する個人データが含まれる。
令和2年個人情報保護法改正ではどのような規定が設けられたか
令和2年改正法では、「保有個人データ」の定義から、「一年以内の政令で定める期間以内に消去することとなるもの以外のもの」との部分が削除されることにより、6か月以内に削除するものも「保有個人データ」に該当することとされました。
保有個人データの開示請求のデジタル化(個人情報保護法28条【33条】)
改正前の個人情報保護法における規定
現行法では、本人への開示方法は、書面の交付による方法(開示の請求を行った者が同意した方法があるときは、当該方法)とされています(個人情報保護法28条【33条】2項、個人情報保護法施行令9条【11条】)。
改正の背景
(1)開示請求のデジタル化の必要性
開示の提供形式について、令和2年改正法の施行前の個人情報保護法では、「書面の交付による方法」を原則としつつ、「開示の請求を行った者が同意した方法があるときは、当該方法」とされています(個人情報保護法施行令9条【11条】)。
開示請求の対象となる保有個人データについては、情報技術の進展により、膨大な情報を含む場合があるところ、当該保有個人データを印字した書面を交付された本人にとっては、検索も困難であり、その内容を十分に認識することができないおそれがあります。
特に、当該保有個人データが音声や動画である場合は、その内容を書面上に再現すること自体が困難です。このように、書面による開示では、当該保有個人データの取扱状況を十分に明らかにすることができず、これを前提に訂正等ならびに利用停止等および第三者提供の停止の請求を行うことが困難なケースがあります。また、開示された個人データを本人が利用する場面で、電磁的形式である方が利便性が高い場合も少なくありません。
(2)GDPRのデータポータビリティの権利
EUのGDPRにおいても、事業者は、本人の求めに応じて、保有する個人データを提供する義務が課せられていますが、特定の条件を満たす場合には、本人が他の用途で利用しやすい電子的形式で、本人または本人が望む他の事業者に、個人情報を提供する義務が課されており「データポータビリティの権利」と称されています(GDPR第20条)。なお、本人が望む他の事業者に直接個人情報を提供させることができるのは、技術的に実行可能な場合に限定されています。
(3)デジタル手続法の成立
2019年通常国会で民間手続における情報通信技術の活用の促進等を謳った「情報通信技術の活用による行政手続等に係る関係者の利便性の向上並びに行政運営の簡素化及び効率化を図るための行政手続等における情報通信の技術の利用に関する法律等の一部を改正する法律」(いわゆる「デジタル手続法」)が成立したこと等を踏まえ、個人情報保護法における開示の際の電磁的形式による提供についても、利用者の利便を考慮しつつ、明確化をすべきであると考えられます。
令和2年個人情報保護法改正ではどのような規定が設けられたか
(1)開示請求の方法(個人情報保護法28条【33条】1項、個人情報保護法施行規則18条の6【30条】)(改正)
本人は、個人情報取扱事業者に対し、①電磁的記録の提供による方法、②書面の交付による方法、③その他当該個人情報取扱事業者が定める方法により開示を請求することができることとされました。
(2)開示方法(個人情報保護法28条【33条】2項)
現行法では、保有個人データの開示は書面の交付による方法が原則です(個人情報保護法28条【33条】2項、個人情報保護法施行令9条【11条】)が、改正法では、当該本人が請求した方法(当該方法による開示に多額の費用を要する場合その他の当該方法による開示が困難である場合にあっては、書面の交付による方法)により遅滞なく、当該保有個人データを開示することとされました。
【本人が保有個人データの電磁的記録の提供による方法による開示を請求した場合】(令和3年9月に追加されたQ&A 9-10)
個人情報取扱事業者は、本人が保有個人データの電磁的記録の提供による方法による開示を請求した場合には、当該方法による開示が困難である場合を除き、電磁的記録の提供による方法(本人が請求した方法)でこれを開示する必要があります。
この場合、個人情報取扱事業者は、電磁的記録のファイル形式(PDF形式、Word形式等)や、電磁的記録の提供方法(電磁的記録を記録媒体に保存してこれを郵送する、電磁的記録を電子メールに添付して送信する、ウェブサイト上で電磁的記録をダウンロードさせる等)を定めることができ、本人がファイル形式等を指定した場合であっても、これに応じる必要はありません。
このため、個人情報取扱事業者は、本人が指定したファイル形式等による開示が困難な場合には、個人情報取扱事業者において対応可能なファイル形式等で開示すれば足ります。もっとも、本人の利便性向上の観点から、できる限り本人の要望に沿った形で対応することが望ましいと考えられます。
【「遅滞なく」開示の意義】(令和3年9月に追加されたQ&A 9-12)
「遅滞なく」とは理由のない滞りを生じさせることなくという趣旨です。請求対象となるデータを検索・集約する等の一定の作業を要する場合には、当該作業を行うために通常必要と考えられる期間も考慮した上で、合理的な期間内に開示を行えば、「遅滞なく」開示したこととなると考えられます。
【開示請求を受けた場合の手数料】(令和3年9月に更新されたQ&A 9-29)
本人から保有個人データの開示の請求を受けた個人情報取扱事業者は、開示の実施に関し手数料を徴収することが認められています(法33条【38条】第1項)。しかし、その手数料の額は、実費を勘案して合理的であると認められる範囲内で定めなければなりません(同条第2項)。
利用停止、消去、第三者提供の停止の請求に係る要件の緩和
利用停止等を巡る改正前の状況
個人情報保護法上、利用停止等(利用の停止または消去)についての個人の権利行使には一定の制約が課されています。
「利用停止・消去の請求」に応じる義務を課されているのは、①個人情報を目的外利用したとき(個人情報保護法16条【18条】違反)や、②不正の手段により取得した場合(個人情報保護法17条【20条】違反)に限られています(個人情報保護法30条【35条】1項)。
また、「第三者提供の停止の請求」に応じる義務が課されるのは、「法の規定に違反して第三者提供されている場合」(個人情報保護法23条【27条】1項、24条【28条】1項違反)に限られています(個人情報保護法30条【35条】3項)。
この点については、個人情報保護委員会への相談ダイヤルに寄せられる意見や、タウンミーティングにおける議論でも、消費者からは、自分の個人情報を事業者が利用停止または消去等を行わないことへの強い不満が見られるところです。
JIS Q 15001 個人情報保護マネジメントシステム-要求事項で求められていた対応
日本において比較的多くの事業者が活用している民間の取組であるプライバシーマークにおいて審査基準の根拠とされている「JIS Q 15001 個人情報保護マネジメントシステム-要求事項」においては、本人の保有個人データの利用停止、消去または第三者提供の停止の請求を受けた場合は、原則として応じる義務があることとされており、自主的に個人情報保護法の水準を超えた対応が行われています。
GDPRにおける消去権(忘れられる権利)・プロファイリングに係る権利
EUのGDPR(EU一般データ保護規則)については、旧来の「EUデータ保護指令」の下では規定のなかった、消去権(忘れられる権利)、プロファイリングにかかる規定が新たに設けられており、概要は次のとおりです。
消去権(忘れられる権利)については、本人は、一定の場合に、事業者に対して、当該本人に関する個人データを不当に遅滞なく消去させる権利が認められています(GDPR17条)。
- 個人データの収集や取扱いの目的に関して、当該個人データが必要なくなった場合
- 本人が個人データの取扱いについての同意を撤回し、かつ、当該取扱いに関して他の法的根拠がない場合
- 本人が、第21条第1項に基づいて個人データの取扱いに対して異議を申し立て、かつ、取扱いに関して優先する他の法的根拠がない場合、または、ダイレクトマーケティングを目的とした取扱いに対して異議を申し立てる場合
- 個人データが不法に取り扱われた場合
- 個人データがEU法またはEU加盟国の国内法の義務の遵守のために消去されなければならない場合
我が国では、最高裁平成29年1月31日決定・民集71巻1号63頁は、過去に児童買春で逮捕歴のある男性が、インターネット検索サイトであるグーグルの検索結果から、検索結果に表示される自分の逮捕歴に関する情報の削除を求めた仮処分命令申立事件において、最高裁は、「忘れられる権利」に言及することなく、プライバシーに属する事実を公表されない法的利益と検索結果を提供する理由等の諸般の事情を比較衡量し、検索結果の削除を認めない決定を下しました。
また、GDPRにおいて、プロファイリングについては、大きく分けて、異議を申し立てる権利(GDPR21条)と、自動的な意思決定に服さない権利(GDPR22条)が規定されています。
異議を申し立てる権利は、「公共の利益または公的権限の行使のために行われる業務の遂行」または「正当な利益の追求」を法的根拠とする、プロファイリングそのものを含む個人データの取扱いに対して、異議を申し立てる権利(GDPR21条1項)であり、この権利を行使された事業者は、本人の利益を超越する、個人データの取扱いに係る正当化根拠等を示せない限り、プロファイリングそのものを含む個人データの取扱いを止めなければならないとされています。
なお、「正当な利益の追求」によらず、「本人同意」を法的根拠としたとしても、同意が撤回されれば削除権の対象となります(GDPR17条1項(b))。なお、ダイレクトマーケティングを目的とする個人データの取扱いに関しては、事業者の事情(取扱いに係る正当な根拠の有無)にかかわらず、この権利の行使の対象となります(GDPR21条2項)。
また、自動的な意思決定に服さない権利(GDPR22条)については、プロファイリングを含むもっぱら(solely)自動的な個人データの取扱いに基づく意思決定に服さない権利とされ、プロファイリングそのものではなく、意思決定に服さない権利が規定されています。なお、本人との契約の締結または履行に必要な場合等は対象外であり、また、人が介在すればこの権利の対象とはならないとされています。
令和2年改正法ではどのような規定が設けられたか
(1)利用停止等・第三者提供の停止の請求の要件(通則編ガイドライン 3-8-5-1)
現行法では、法(個人情報保護法16条【18条】、①個人情報保護法17条【19条】)違反の場合の利用停止等(利用停止または消去)および②法違反の場合の第三者提供の停止が認められています(個人情報保護法30条【35条】1項、3項)。
改正法ではこれら(①・②)に加えて、個人情報保護法30条【35条】5項の要件を満たす場合の利用停止等または第三者提供の停止が追加されます。具体的には、③利用する必要がなくなった場合、④当該本人が識別される保有個人データに係る個人情報保護法22条の2【26条】1項本文に規定する事態が生じた場合、および、⑤当該本人の正当な利益が害されるおそれがある場合です。
- 法違反の場合の利用停止等(個人情報保護法30条【35条】1項)
- 個人情報を目的外利用した場合(個人情報保護法16条【18条】違反)
- 不正の手段により取得した場合(個人情報保護法17条【19条】違反)
- 法違反の場合の第三者提供の停止(個人情報保護法30条【35条】3項)
個人情報保護法23条【27条】1項または個人情報保護法24条【28条】の規定に違反して本人の同意なく第三者提供されている場合 - 個人情報保護法30条【35条】5項の要件を満たす場合の利用停止等または第三者提供の停止(改正で追加)
- 利用する必要がなくなった場合
- 当該本人が識別される保有個人データに係る法22条の2第1項本文に規定する事態が生じた場合
- 当該本人の正当な利益が害されるおそれがある場合
「消去」とは、保有個人データを保有個人データとして使えなくすることであり、当該データを削除することのほか、当該データから特定の個人を識別できないようにすること等を含みます。
- 法違反の場合の利用停止等
個人情報取扱事業者は、本人から、当該本人が識別される保有個人データが、個人情報保護法16条【18条】の規定に違反して本人の同意なく目的外利用がされているもしくは個人情報保護法16条の2【19条】の規定に違反して不適正な利用が行われている、または個人情報保護法17条【20条】の規定に違反して偽りその他不正の手段により個人情報が取得されもしくは本人の同意なく要配慮個人情報が取得されたものであるという理由によって、利用停止等の請求を受けた場合であって、その請求に理由があることが判明したときは、原則として、遅滞なく、利用停止等を行わなければなりません。
法違反である旨の指摘が正しくない場合は、利用停止等を行う必要はありません。 - 法違反の場合の第三者提供の停止
個人情報取扱事業者は、本人から、当該本人が識別される保有個人データが、個人情報保護法23条【27条】1項または個人情報保護法24条【28条】の規定に違反して本人の同意なく第三者に提供されているという理由によって、当該保有個人データの第三者提供の停止の請求を受けた場合であって、その請求に理由があることが判明したときは、原則として、遅滞なく、第三者提供の停止を行わなければなりません。
法違反である旨の指摘が正しくない場合は、第三者提供を停止する必要はありません。 - 個人情報保護法30条【35条】5項の要件を満たす場合の利用停止等または第三者提供の停止
個人情報取扱事業者は、次のⅰからⅲまでのいずれかに該当する場合については、原則として、遅滞なく、利用停止等または第三者提供の停止を行わなければなりません。
ⅰ 利用する必要がなくなった場合
ⅱ 当該本人が識別される保有個人データに係る個人情報保護法22条の2【26条】第1項本文に規定する事態が生じた場合
ⅲ 当該本人の正当な利益が害されるおそれがある場合
ⅰ 利用する必要がなくなった場合
個人情報取扱事業者は、本人から、当該本人が識別される保有個人データを当該個人情報取扱事業者が利用する必要がなくなったという理由によって、当該保有個人データの利用停止等または第三者提供の停止の請求を受けた場合であって、その請求に理由があることが判明したときは、原則として、遅滞なく、利用停止等または第三者提供の停止を行わなければなりません。
「当該個人情報取扱事業者が利用する必要がなくなった」とは、個人情報保護法19条【22条】と同様に、当該保有個人データについて利用する必要がなくなったとき、すなわち、利用目的が達成され当該目的との関係では当該保有個人データを保有する合理的な理由が存在しなくなった場合や利用目的が達成されなかったものの当該目的の前提となる事業自体が中止となった場合等をいいます。請求の対象となっている保有個人データにつき、複数の利用目的がある場合、すべての利用目的との関係で「利用する必要がなくなった」かどうかを判断する必要があります。
【採用面接で不採用とした応募者の個人データ】(令和3年9月に更新されたQ&A 9-20)
会社の採用面接で不採用にした応募者から、当該会社に提出された履歴書の返却が求められた場合、個人情報保護法では、本人からの請求による保有個人データの削除(法29条【34条】)、保有個人データの利用の停止又は消去(法30条【35条】)に関する規定は定められていますが、履歴書等の受け取った書類を返還する義務は規定されていません。そのため、個人情報保護法上、提出された履歴書を返却する義務はありません。
他方、応募者本人から、履歴書に記載された当該本人の情報について、保有個人データに該当する場合に、再応募への対応等のための合理的な期間が経過した後、利用する必要がなくなった場合に該当するとして利用停止等の請求を受けたときには、当該請求に応じる義務があると考えられます(法30条【35条】6項)。
なお、法19条【22条】では、個人データの消去についての努力義務が明記されていますので、個人情報取扱事業者は、個人データを利用する必要がなくなったときは、当該個人データを遅滞なく消去するよう努めなければなりません。
【退職した社員の個人データ】(令和3年9月に追加されたQ&A 9-22)
退職した社員から、法30条【35条】5項に基づき、利用する必要がなくなった場合に該当するとして保有個人データの消去を求められた場合、退職した社員の個人データについて、取得時に特定した利用目的の範囲内で利用することは可能ですが、当該利用目的が達成されたときには、利用する必要がなくなった場合に該当し、当該請求に応じる義務があると考えられます(法30条【35条】6項)。
ⅱ 当該本人が識別される保有個人データに係る個人情報保護法22条の2【26条】第1項本文に規定する事態(個人データの漏えい等)が生じた場合
個人情報取扱事業者は、本人から、当該本人が識別される保有個人データに係る個人情報保護法22 条の2【26条】第1項本文に規定する事態が生じたという理由によって、当該保有個人データの利用停止等または第三者提供の停止の請求を受けた場合であって、その請求に理由があることが判明したときは、原則として、遅滞なく、利用停止等または第三者への提供の停止を行わなければなりません。
「当該本人が識別される保有個人データに係る個人情報保護法22条の2【26条】第1項本文に規定する事態が生じた」とは、個人情報保護法22条の2【26条】第1項本文に定める漏えい等事案が生じたことをいいます。
ⅲ 当該本人の権利または正当な利益が害されるおそれがある場合
個人情報取扱事業者は、本人から、当該本人が識別される保有個人データの取扱いにより当該本人の権利または正当な利益が害されるおそれがあるという理由によって、当該保有個人データの利用停止等または第三者提供の停止の請求を受けた場合であって、その請求に理由があることが判明したときは、原則として、遅滞なく、利用停止等または第三者への提供の停止を行わなければなりません。
「本人の権利または正当な利益が害されるおそれがある場合」とは、法目的に照らして保護に値する正当な利益が存在し、それが侵害されるおそれがある場合をいいます。
「正当」かどうかは、相手方である個人情報取扱事業者との関係で決まるものであり、個人情報取扱事業者に本人の権利利益の保護の必要性を上回る特別な事情がない限りは、個人情報取扱事業者は請求に応じる必要があります。本人の権利利益の保護の必要性を上回る特別な事情があるかどうかを判断するにあたっては、たとえば、以下のような事情を考慮することになります。
- 本人または第三者の生命、身体、財産その他の権利利益を保護するために当該保有個人データを取り扱う事情
- 法令を遵守するために当該保有個人データを取り扱う事情
- 契約に係る義務を履行するために当該保有個人データを取り扱う事情
- 違法または不当な行為を防止するために当該保有個人データを取り扱う事情
- 法的主張、権利行使または防御のために当該保有個人データを取り扱う事情
このうち、「法令を遵守するために当該保有個人データを取り扱う事情」としては、たとえば、当該保有個人データにつき法令上保管が義務付けられている場合等が考えられますが、保管が義務付けられていない保有個人データについて、将来の行政調査等のために保管することは通常考慮されないと考えられます(令和3年9月に追加されたQ&A 9-24)。
「おそれ」は、一般人の認識を基準として、客観的に判断します。
以下の事例は個人情報の保護に関する法律についてのガイドライン(通則編)(令和3年10月29日 令和4年4月1日施行)に掲載されており、実務上の参考となる点も多いため、紹介します。
【本人の権利または正当な利益が害されるおそれがあるとして利用停止等または第三者提供の停止が認められると考えられる事例(通則編ガイドライン3-8-5-3)】
事例1)ダイレクトメールの送付を受けた本人が、送付の停止を求める意思を表示したにもかかわらず、個人情報取扱事業者がダイレクトメールを繰り返し送付していることから、本人が利用停止等を請求する場合
事例2)電話勧誘を受けた本人が、電話勧誘の停止を求める意思を表示したにもかかわらず、個人情報取扱事業者が本人に対する電話勧誘を繰り返し行っていることから、本人が利用停止等を請求する場合
事例3)個人情報取扱事業者が、安全管理措置を十分に講じておらず、本人を識別する保有個人データが漏えい等するおそれがあることから、本人が利用停止等を請求する場合
事例4)個人情報取扱事業者が、法23条【27条】1項に違反して第三者提供を行っており、本人を識別する保有個人データについても本人の同意なく提供されるおそれがあることから、本人が利用停止等を請求する場合
事例5)個人情報取扱事業者が、退職した従業員の情報を現在も自社の従業員であるようにホームページ等に掲載し、これによって本人に不利益が生じていることから、本人が利用停止等を請求する場合
ダイレクトメールについては、事例1)の場合のほか、「ダイレクトメールを送付するために個人情報取扱事業者が保有していた情報について、当該個人情報取扱事業者がダイレクトメールの送付を停止した後、本人が消去を請求した場合」が「当該本人の権利または正当な利益が害されるおそれがある場合」に該当するものと考えられます。
なお、個人情報取扱事業者は、個人情報の取扱いに関する苦情の適切かつ迅速な処理に努めなければならないとされているため(法35条【40条】第1項)、利用停止等の請求に理由がない場合であっても、顧客からのダイレクトメールの停止等の要求を苦情として扱ったうえで、適切かつ迅速に処理するよう努めなければなりません(令和3年9月に更新されたQ&A 9-21)。
【本人の権利又は正当な利益が害されるおそれがないとして利用停止等又は第三者提供の停止が認められないと考えられる事例(通則編ガイドライン3-8-5-3)】
事例1)電話の加入者が、電話料金の支払いを免れるため、電話会社に対して課金に必要な情報の利用停止等を請求する場合
事例2)インターネット上で匿名の投稿を行った者が、発信者情報開示請求による発信者の特定やその後の損害賠償請求を免れるため、プロバイダに対してその保有する接続認証ログ等の利用停止等を請求する場合
事例3)過去に利用規約に違反したことを理由としてサービスの強制退会処分を受けた者が、再度当該サービスを利用するため、当該サービスを提供する個人情報取扱事業者に対して強制退会処分を受けたことを含むユーザー情報の利用停止等を請求する場合
事例4)過去の信用情報に基づく融資審査により新たな融資を受けることが困難になった者が、新規の借入れを受けるため、当該信用情報を保有している個人情報取扱事業者に対して現に審査に必要な信用情報の利用停止等又は第三者提供の停止を請求する場合
事例4)の信用情報については、将来本人から融資等の申込みがあった場合に備えて一定期間保有しておく必要があることから、本人が今後一切融資を申し込むつもりがないと述べていることをもって、「現に審査に必要」ではないといえず、利用停止等又は第三者提供の停止の請求に応じる必要はないと考えられます(令和3年9月に追加されたQ&A 9-23)。
(2)本人の権利利益の侵害を防止するために必要な限度(改正法30条【35条】6項、通則編ガイドライン3-8-5-2)
上記(1)の①から③までのいずれか(利用停止等・第三者提供の停止の請求の要件)に該当する場合、個人情報取扱事業者は、本人の権利利益の侵害を防止するために必要な限度で、遅滞なく、当該保有個人データの利用停止等または第三者への提供の停止を行わなければなりません。
【本人からの請求に対し、本人の権利利益の侵害を防止するために必要な限度での対応として考えられる事例(通則編ガイドライン3-8-5-3)】
事例1)本人から保有個人データの全てについて、利用停止等が請求された場合に、一部の保有個人データの利用停止等によって、生じている本人の権利利益の侵害のおそれを防止できるものとして、一部の保有個人データに限定して対応を行う場合
事例 2)法23条【27条】1項に違反して第三者提供が行われているとして保有個人データの消去を請求された場合に、利用停止又は第三者提供の停止による対応によって、生じている本人の権利利益の侵害のおそれを防止できるものとして、利用停止又は第三者提供の停止による対応を行う場合
(3)本人の権利履歴を保護するため必要なこれに代わるべき措置(法30条【35条】6項、通則編ガイドライン3-8-5-3)
個人情報取扱事業者は、上記(1)の①から③までのいずれか(利用停止等・第三者提供の停止の請求の要件)に該当する場合であっても、当該保有個人データの利用停止等または第三者への提供の停止に多額の費用を要する場合その他の利用停止等または第三者への提供の停止を行うことが困難な場合であって、本人の権利利益を保護するため必要なこれに代わるべき措置をとるときは、利用停止等または第三者提供の停止に応じなくてもよいことになります。
「困難な場合」については、利用停止等または第三者提供の停止に多額の費用を要する場合のほか、個人情報取扱事業者が正当な事業活動において保有個人データを必要とする場合についても該当し得ます。
「困難な場合」には、金銭的なコスト以外にも、たとえば、個人情報取扱事業者が正当な事業活動において保有個人データを必要とする場合も該当し得ます(ガイドラインパブコメ回答(概要)42番)。
代替措置については、事案に応じて様々ですが、生じている本人の権利利益の侵害のおそれに対応するものであり、本人の権利利益の保護に資するものである必要があります。
【本人の権利利益を保護するため必要なこれに代わるべき措置として考えられる事例(通則編ガイドライン3-8-5-3)】
事例1)既に市販されている名簿の刷り直し及び回収作業に多額の費用を要するとして、名簿の増刷時の訂正を約束する場合や必要に応じて金銭の支払いをする場合
事例2)個人情報保護委員会への報告の対象となる重大な漏えい等が発生した場合において、当該本人との契約が存続しているため、利用停止等が困難であるとして、以後漏えい等の事態が生じることがないよう、必要かつ適切な再発防止策を講じる場合
事例3)他の法令の規定により保存が義務付けられている保有個人データを直ちに消去する代わりに、当該法令の規定による保存期間の終了後に消去することを約束する場合
個人情報取扱事業者は、上記により、利用停止等を行ったときもしくは利用停止等を行わない旨の決定をしたとき、または、第三者提供の停止を行ったときもしくは第三者提供を停止しない旨の決定をしたときは、遅滞なく、その旨を本人に通知しなければなりません。
なお、消費者等、本人の権利利益保護の観点からは、事業活動の特性、規模および実態を考慮して、保有個人データについて本人から求めがあった場合には、自主的に利用停止等または第三者提供の停止に応じる等、本人からの求めにより一層対応していくことが望ましいです。
保有個人データの開示項目の充実
個人情報取扱事業者は、保有個人データに関し、次に掲げる事項について、本人の知り得る状態(本人の求めに応じて遅滞なく回答する場合を含む。)に置かなければなりません(個人情報保護法27条【32条】1項各号、個人情報保護法施行令8条【10条】各号)。
令和2年改正法により、保有個人データの開示項目として、以下の事項が追加されます。
( i )当該個人情報取扱事業者が法人である場合にその代表者の氏名(下記①)
( ii )個人情報保護法20条【23条】の規定により保有個人データの安全管理のために講じた措置(本人の知り得る状態(本人の求めに応じて遅滞なく回答する場合を含む)に置くことにより当該保有個人データの安全管理に支障を及ぼすおそれがあるものを除く)(下記④)
- 当該個人情報取扱事業者の氏名または名称および住所ならびに法人にあっては、その代表者の氏名(個人情報保護法27条【32条】1項1号)
- 全ての保有個人データの利用目的(個人情報保護法18条【21条】4項1号から3号までに該当する場合を除く)(個人情報保護法27条【32条】1項2号)
- 個人情報保護法27条【32条】2項の規定による求めまたは個人情報保護法28条【33条】1項、個人情報保護法29条【34条】1項(同条5項において準用する場合を含む)、個人情報保護法29条【34条】1項もしくは個人情報保護法30条【35条】1項、もしくは3項もしくは5項の規定による請求に応じる手続(個人情報保護法33条【38条】2項の規定により手数料の額を定めたときは、その手数料の額を含む。)(個人情報保護法28条【33条】1項3号)次項の規定による求めまたは次条第1項、第29条第1項もしくは第30条1項もしくは3項の規定による請求に応じる手続(33条2項の規定により手数料の額を定めたときは、その手数料の額を含む)(個人情報保護法27条【32条】1項3号)
- 個人情報保護法20条の規定により保有個人データの安全管理のために講じた措置(本人の知り得る状態(本人の求めに応じて遅滞なく回答する場合を含む)に置くことにより当該保有個人データの安全管理に支障を及ぼすおそれがあるものを除く)(個人情報保護法27条【32条】1項4号、個人情報保護法施行令8条【10条】1号)(※改正により追加)
- 当該個人情報取扱事業者が行う保有個人データの取扱いに関する苦情の申出先(同条2号)
- 当該個人情報取扱事業者が認定個人情報保護団体の対象事業者である場合にあっては、当該認定個人情報保護団体(同条3号)
- 団体の名称及び苦情の解決の申出先(同条4号)
令和2年個人情報保護法改正改正によって追加された保有個人データの開示項目①保有個人データの安全管理のために講じた措置とは
個人情報取扱事業者は、個人情報保護法20条【23条】の規定により保有個人データの安全管理のために講じた措置の内容を本人の知り得る状態に置かなければなりません。
ただし、当該保有個人データの安全管理に支障を及ぼすおそれがあるものについては、その必要はありません。
当該安全管理のために講じた措置は、事業の規模および性質、保有個人データの取扱状況(取り扱う保有個人データの性質および量を含む)、保有個人データを記録した媒体等に起因するリスクに応じて、必要かつ適切な内容としなければなりません。このため、当該措置の内容は個人情報取扱事業者によって異なり、本人の知り得る状態に置く安全管理のために講じた措置の内容についても個人情報取扱事業者によって異なります。
従業者の監督(法21条【24条】)・委託先の監督(法22条【25条】)は、法20条【23条】の安全管理措置の一環として、従業者および委託先に対する監督義務を明記するものであり、従業者および委託先に対する監督は、法20条【23条】の安全管理措置の一部を成します。このため、従業者および委託先に対する監督についても、法20条【23条】の規定により保有個人データの安全管理のために講じた措置として、本人の知り得る状態に置く必要があります。
なお、本人の知り得る状態については、本人の求めに応じて遅滞なく回答する場合を含むため、講じた措置の概要や一部をホームページに掲載し、残りを本人の求めに応じて遅滞なく回答を行うといった対応も可能ですが、たとえば、「個人情報の保護に関する法律についてのガイドライン(通則編)」に沿って安全管理措置を実施しているといった内容の掲載や回答のみでは適切ではありません。
本人の知り得る状態に置く必要があるのは「保有個人データ」の安全管理のために講じた措置ですが、これに代えて、「個人データ」の安全管理のために講じた措置について本人の知り得る状態に置くことは妨げられません。
下記事例も含め、掲げられている事例の内容のすべてを本人の知り得る状態に置かなければならないわけではなく、また、本人の知り得る状態に置かなければならないものは事例の内容に限られません。個人情報取扱事業者は、「保有個人データの安全管理のために講じた措置」について、「本人の知り得る状態」に置く必要がありますが、「本人の知り得る状態」は、「本人の求めに応じて遅滞なく回答する場合」を含みます。
たとえば、ホームページにおいて、安全管理措置の概要及び問合せ窓口を掲載し、本人からの問合せがあれば、安全管理措置の具体的な内容を遅滞なく回答する体制を構築している場合には、保有個人データの安全管理のために講じた措置について、「本人の知り得る状態(本人の求めに応じて遅滞なく回答する場合を含む)」に置いたこととなります(令和3年9月に追加されたQ&A 9-3)。
本人の適切な理解と関与を促す観点から、事業の規模および性質、保有個人データの取扱状況等に応じて、下記事例以上に詳細な内容の掲載や回答とすることは、より望ましい対応です。
【安全管理のために講じた措置として本人の知り得る状態に置く内容の事例(通則編ガイドライン3-8-1)】
(基本方針の策定)
事例)個人データの適正な取扱いの確保のため、「関係法令・ガイドライン等の遵守」、「質問及び苦情処理の窓口」等についての基本方針を策定
(個人データの取扱いに係る規律の整備)
事例)取得、利用、保存、提供、削除・廃棄等の段階ごとに、取扱方法、責任者・担当者及びその任務等について個人データの取扱規程を策定
(組織的安全管理措置)
事例1)個人データの取扱いに関する責任者を設置するとともに、個人データを取り扱う従業者及び当該従業者が取り扱う個人データの範囲を明確化し、法や取扱規程に違反している事実又は兆候を把握した場合の責任者への報告連絡体制を整備
事例2)個人データの取扱状況について、定期的に自己点検を実施するとともに、他部署や外部の者による監査を実施
(人的安全管理措置)
事例1)個人データの取扱いに関する留意事項について、従業者に定期的な研修を実施
事例2)個人データについての秘密保持に関する事項を就業規則に記載
(物理的安全管理措置)
事例1)個人データを取り扱う区域において、従業者の入退室管理及び持ち込む機器等の制限を行うとともに、権限を有しない者による個人データの閲覧を防止する措置を実施
事例2)個人データを取り扱う機器、電子媒体及び書類等の盗難又は紛失等を防止するための措置を講じるとともに、事業所内の移動を含め、当該機器、電子媒体等を持ち運ぶ場合、容易に個人データが判明しないよう措置を実施
(技術的安全管理措置)
事例1)アクセス制御を実施して、担当者及び取り扱う個人情報データベース等の範囲を限定
事例2)個人データを取り扱う情報システムを外部からの不正アクセス又は不正ソフトウェアから保護する仕組みを導入
(外的環境の把握)
事例)個人データを保管しているA国における個人情報の保護に関する制度を把握した上で安全管理措置を実施(※)
(※)外国(本邦の域外にある国又は地域)の名称については、必ずしも正式名称を求めるものではありませんが、本人が合理的に認識できると考えられる形で情報提供を行う必要があります。また、本人の適切な理解と関与を促す観点から、保有個人データを取り扱っている外国の制度についても、本人の知り得る状態に置くといった対応が望ましいです。
※「外的環境の把握」については令和3年9月に追加されたQ&A(令和4年4月1日施行)において、下記4-2のとおり、いくつかの重要なQ&Aが示されています。
【本人の知り得る状態に置くことにより支障を及ぼすおそれがあるものの事例(通則編ガイドライン3-8-1)】(※)
事例1)個人データが記録された機器等の廃棄方法、盗難防止のための管理方法
事例2)個人データ管理区域の入退室管理方法
事例3)アクセス制御の範囲、アクセス者の認証手法等
事例4)不正アクセス防止措置の内容等
(※)たとえば、上記の【安全管理のために講じた措置として本人の知り得る状態に置く内容の事例】にあるような、「盗難または紛失等を防止するための措置を講じる」、「外部からの不正アクセスまたは不正ソフトウェアから保護する仕組みを導入」といった内容のみでは、本人の知り得る状態に置くことにより保有個人データの安全管理に支障を及ぼすおそれがあるとはいえませんが、その具体的な方法や内容については、本人の知り得る状態に置くことにより保有個人データの安全管理に支障を及ぼすおそれがあると考えられます。しかしながら、何をもって安全管理に支障を及ぼすおそれがあるかについては、取り扱われる個人情報の内容、個人情報の取扱いの態様等によって様々であり、事業の規模及び性質、保有個人データの取扱状況等に応じて判断されます。
【中小規模事業者における安全管理のために講じた措置として本人の知り得る状態に置く内容の事例(通則編ガイドライン3-8-1)】
(基本方針の策定)
事例)個人データの適正な取扱いの確保のため、「関係法令・ガイドライン等の遵守」、「質問及び苦情処理の窓口」等についての基本方針を策定(【安全管理のために講じた措置として本人の知り得る状態に置く内容の事例】と同様)
(個人データの取扱いに係る規律の整備)
事例)個人データの取得、利用、保存等を行う場合の基本的な取扱方法を整備
(組織的安全管理措置)
事例1)整備した取扱方法に従って個人データが取り扱われていることを責任者が確認
事例2)従業者から責任者に対する報告連絡体制を整備
(人的安全管理措置)
事例1)個人データの取扱いに関する留意事項について、従業者に定期的な研修を実施(【安全管理のために講じた措置として本人の知り得る状態に置く内容の事例】と同様)
事例2)個人データについての秘密保持に関する事項を就業規則に記載(【安全管理のために講じた措置として本人の知り得る状態に置く内容の事例】と同様)
(物理的安全管理措置)
事例1)個人データを取り扱うことのできる従業者及び本人以外が容易に個人データを閲覧できないような措置を実施
事例2)個人データを取り扱う機器、電子媒体及び書類等の盗難又は紛失等を防止するための措置を講じるとともに、事業所内の移動を含め、当該機器、電子媒体等を持ち運ぶ場合、容易に個人データが判明しないよう措置を実施(【安全管理のために講じた措置として本人の知り得る状態に置く内容の事例】と同様)
(技術的安全管理措置)
事例1)個人データを取り扱うことのできる機器及び当該機器を取り扱う従業者を明確化し、個人データへの不要なアクセスを防止
事例2)個人データを取り扱う機器を外部からの不正アクセス又は不正ソフトウェアから保護する仕組みを導入
(外的環境の把握)
事例)個人データを保管しているA国における個人情報の保護に関する制度を把握した上で安全管理措置を実施(【安全管理のために講じた措置として本人の知り得る状態に置く内容の事例】と同様)
「外的環境の把握」について
上記4-1のとおり、「安全管理のために講じた措置として本人の知り得る状態に置く内容の事例」(通則編ガイドライン3-8-1)の1つとして「外的環境の把握」が掲げられています。
また、安全管理措置の1つとして、「外的環境の把握」について、「個人情報取扱事業者が、外国において個人データを取り扱う場合、当該外国の個人情報の保護に関する制度等を把握した上で、個人データの安全管理のために必要かつ適切な措置を講じなければならない。」(通則編ガイドライン7-7)とされています。
(1)「外国において個人データを取り扱う場合」(Q&A 10-22)
「外的環境の把握」が安全管理措置の1つとして求められるのは、個人情報取扱事業者が「外国において個人データを取り扱う場合」です(通則編ガイドライン10-7)。
たとえば、以下に掲げるような場合は、「外国において個人データを取り扱う場合」に該当するため、個人情報取扱事業者は、当該外国の個人情報の保護に関する制度等を把握した上で、安全管理措置を講じる必要があります。
- 個人情報取扱事業者が、外国にある支店・営業所に個人データを取り扱わせる場合(下記(2)参照)
- 個人情報取扱事業者が、外国にある第三者に個人データの取扱いを委託する場合
- 外国にある個人情報取扱事業者が、国内にある者に対する物品又は役務の提供に関連して、国内にある者を本人とする個人データを取り扱う場合(法75条【166条】参照)
(2)外国にある支店や営業所に個人データを取り扱わせる場合(Q&A 10-23)
個人情報取扱事業者は、外国にある支店や営業所に個人データを取り扱わせる場合、外国において個人データを取り扱うこととなるため、支店等が所在する外国の個人情報の保護に関する制度等を把握した上で、安全管理措置を講じる必要があります。
また、外国に支店等を設置していない場合であっても、外国にある従業者に個人データを取り扱わせる場合、本人が被る権利利益の侵害の大きさを考慮し、その個人データの取扱状況(個人データを取り扱う期間、取り扱う個人データの性質及び量を含む)等に起因するリスクに応じて、従業者が所在する外国の制度等を把握すべき場合もあると考えられます。たとえば、外国に居住してテレワークをしている従業者に個人データを取り扱う業務を担当させる場合には、当該従業者の所在する外国の制度等も把握して安全管理措置を講じる必要があると考えられます。他方、外国に出張中の従業者に一時的にのみ個人データを取り扱わせる場合には、必ずしも、安全管理措置を講じるにあたって、外国の制度等を把握する必要まではないと考えられます。
以上は、外国にある支店等や従業者が、日本国内に所在するサーバに保存されている個人データにアクセスして、これを取り扱う場合においても同様とされています(これはLINE問題で海外の現地法人の従業員が国内サーバにアクセスできたことを意識したものと考えられます)。
そして、外国の制度等を把握して安全管理措置を講じる場合には、「保有個人データの安全管理のために講じた措置」として、支店等や従業者が所在する外国の名称を明らかにし、当該外国の制度等を把握した上で講じた措置の内容を本人の知り得る状態に置く必要があります。
(3)個人情報取扱事業者が、外国にある第三者に個人データの取扱いを委託する場合(Q&A 10-24)
外国にある第三者に個人データの取扱いを委託する場合、委託元は、委託先を通じて外国において個人データを取り扱うこととなるため、委託先が所在する外国の個人情報の保護に関する制度等を把握した上で、委託先の監督その他の安全管理措置を講じる必要があります。また、委託先が外国にある第三者に個人データの取扱いを再委託する場合、委託元は、委託先及び再委託先を通じて外国において個人データを取り扱うこととなるため、再委託先が所在する外国の制度等も把握した上で、安全管理措置を講じる必要があります。以上は、委託先や再委託先が、日本国内に所在するサーバに保存されている個人データにアクセスして、これを取り扱う場合においても同様です(これはLINE問題で海外の現地法人の従業員が国内サーバにアクセスできたことを意識したものと考えられます)。
そして、かかる場合には、「保有個人データの安全管理のために講じた措置」として、委託先・再委託先が所在する外国の名称を明らかにし、当該外国の制度等を把握した上で講じた措置の内容を本人の知り得る状態に置く必要があります。
なお、委託元は、個人データの取扱いの委託に伴って委託先に個人データを提供する場合において、委託先が「外国にある第三者」(法24条【28条】第1項)に該当するときは、原則として委託先が所在する外国の名称等を本人に情報提供した上で、本人の同意を取得する必要があります(法24条【28条】第1項・第2項)。かかる場合においても、委託元は、上記のとおり、安全管理措置を講じる必要があり、また、保有個人データの安全管理のために講じた措置を本人の知り得る状態に置く必要があります。
海外サーバ事業者に関する情報提供
我が国の個人情報保護法では、(クラウド)サーバの運営事業者が、当該サーバに保存された個人データを取り扱わないこととされている場合には、外国にある第三者への提供(法24条【28条】)に該当しないこととされています(Q&A 12−4)。
「当該サーバに保存された個人データを取り扱わないこととなっている場合」とは、契約条項によって当該事業者がサーバに保存された個人データを取り扱わない旨が定められており、適切にアクセス制御を行っている場合等が考えられます(Q12−3)。
この点、EUのGDPRでは、クラウドサーバの運営事業者も処理者(Processor)に該当し、EU域外の海外のクラウドサーバ運営事業者への提供も越境データ移転として扱われるのに対し、日本の個人情報保護法では、越境データ移転に関する規制は適用がなく、ほぼまったく無規制であり、国際的な個人情報保護規制においても「ループホール」(抜け穴)に該当しかねません。
また、LINE問題のように、海外の個人情報保護規制において、越境データ移転の際に問題となるデータローカライゼーション(個人データの国内保存義務)、ガバメントアクセス(外国政府による無制限の情報へのアクセス)がある場合には、クラウドサーバであったとしても個人への情報提供が必要となり得ます。
そこで、通則編ガイドラインやQ&Aからは明確ではありませんが、海外サーバ事業者を利用する場合には、「外的環境の把握」として安全管理措置を講じて置くのが妥当であると考えられます。
本人が予測できる程度の利用目的の具体例
令和2年改正法とは直接関係ありませんが、通則編ガイドラインの改正により、本人が予測できる程度の利用目的の具体例が示されました(通則編ガイドライン3-1-1(※1)、Q&A 2-1)。
利用目的を「できる限り」特定する(法15条【17条】1項)とは、個人情報取扱事業者において、個人情報をどのような目的で利用するかについて明確な認識を持つことができ、また、本人において、自らの個人情報がどのような事業の用に供され、どのような目的で利用されるのかについて一般的かつ合理的に予測・想定できる程度に、利用目的を特定することをいいます。
このため、特定される利用目的は、具体的で本人にとってわかりやすいものであることが望ましく、たとえば、単に「お客様のサービスの向上」等のような抽象的、一般的な内容を利用目的とすることは、できる限り具体的に特定したことにはならないと解されます。
また、一連の個人情報の取扱いの中で、本人が合理的に予測・想定できないような個人情報の取扱いを行う場合には、かかる取扱いを行うことを含めて、利用目的を特定する必要があります。たとえば、いわゆる「プロファイリング」といった、本人に関する行動・関心等の情報を分析する処理を行う場合には、分析結果をどのような目的で利用するかのみならず、前提として、かかる分析処理を行うことを含めて、利用目的を特定する必要があります。具体的には、以下のような事例においては、分析処理を行うことを含めて、利用目的を特定する必要があります。
【本人から得た情報から、行動・関心等の情報を分析する場合に具体的に利用目的を特定している事例(通則編ガイドライン3-1-1)】
事例1)「取得した閲覧履歴や購買履歴等の情報を分析して、趣味・嗜好に応じた新商品・サービスに関する広告のために利用いたします。」
事例2)「取得した行動履歴等の情報を分析し、信用スコアを算出した上で、当該スコアを第三者へ提供いたします。」
なお、個人情報の取扱内容等に変更がない中で、本人が一般的かつ合理的に予測・想定できる程度に利用目的を特定し直した場合、利用目的の変更には該当しません。この場合、特定し直した利用目的については、個人情報保護法27条【32条】1項 の規定に基づいて、本人の知り得る状態(本人の求めに応じて遅滞なく回答する場合を含む)に置かなければなりません(ガイドラインパブコメ回答(概要)32番)。
からの記事と詳細 ( 令和2年改正個人情報保護法で「保有個人データ」の扱いはどう変わったか - BUSINESS LAWYERS(ビジネスロイヤーズ) )
https://ift.tt/34dW4Gx
No comments:
Post a Comment