あなたも個人情報取扱事業者?改正個人情報保護法の概要

2018.10.05 弁護士コラム

平成29年5月30日に改正個人情報保護法が施行されました。

といっても、あまりピンと来ない方も多いのではないでしょうか。

改正前の個人情報保護法では、5000人を超える個人情報を保有する事業者のみが個人情報保護法の適用対象でした。

しかし、改正個人情報保護法では、同条項が削除されたため、保有している個人情報が5000人以下の事業者であっても、適用の対象になります。

このように説明しても、まだピンと来ない方もいらっしゃることでしょう。

それは、「事業者」を個人事業主や会社などの営利を目的とした者と考えているからかもしれません。

しかし、この「事業者」とは、営利目的があるか否か、個人か法人か、法人格を有する会社か法人格を有さない任意団体であるかを問いません。

つまり、個人事業主や会社だけでなく、NPO法人、同窓会、自治会、マンション管理組合、PTAなども、個人情報を取り扱う場合にはすべて個人情報保護法の適用対象となります。

このように考えると、これまで意識していなかった場面であっても、あなたが何らかの役割をもって活動している場合には個人情報保護法の適用対象となっていると考えられます。

この記事では、個人情報保護法の改正点だけでなく、その全体像をできる限りわかりやすく説明したいと考えています。

そして、あなた自身が個人情報取扱事業者であるという場合にはその注意点を認識していただくとともに、あなたの個人情報がどのような取り扱いを受けることになるのかについても理解していただければと思います。

個人情報・個人データ・保有個人データについて

個人情報とは

最初に、個人情報とは何かを明らかにしておきたいと思います。

個人情報とは、改正個人情報保護法では、生存する個人に関する情報であって、次のいずれかに該当するものをいうとされています(第2条第1項)。

  1. 当該情報に含まれる氏名、生年月日その他の記述等(文書、図画若しくは電磁的記録(電磁的方式(電子的方式、磁気的方式その他人の知覚によっては認識することができない方式をいう。次項第2号において同じ。)で作られる記録をいう。第18条第2項において同じ。)に記載され、若しくは記録され、又は音声、動作その他の方法を用いて表された一切の事項(個人識別符号を除く。)をいう。以下同じ。)により特定の個人を識別することができるもの(他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。)
  2. 個人識別符号が含まれるもの

わかりにくいと思いますので、簡単に説明します。

あなた自身で考えると、あなたの氏名は個人情報です。

私でいうならば、「岩熊豊和」という氏名は私の個人情報であるということになります。

その他にも、例えば生年月日や連絡先(住所・電話番号・メールアドレスなど)も個人情報です。

このあたりについてはあなた自身も想像できると思います。

その他にも、例えば勤務先の名称だけでは個人情報とはいえませんが、その他の情報と容易に照合でき、それにより特定の個人を識別することができるものは私の個人情報ということになります。

私を例にすると、「岩熊法律事務所」という法律事務所の名称は個人情報ではありませんが、「岩熊法律事務所を経営している弁護士」という情報は私にとっての個人情報だということになります。

その他にも、

  • 特定の個人と結びついた通称・雅号・屋号・芸名
  • 病院のカルテに記載された診療情報
  • 電話・携帯電話の通話記録
  • 防犯カメラに記録された映像や音声で本人と特定される場合

なども個人情報にあたります。

また、今回の改正により、個人情報には個人識別符号が含まれることが明記されました。

個人識別符号とは、改正個人情報保護法によれば次のように定義されています(第2条第2項)。

  1. 特定の個人の身体の一部の特徴を電子計算機の用に供するために変換した文字、番号、記号その他の符号であって、当該特定の個人を識別することができるもの
  2. 個人に提供される役務の利用若しくは個人に販売される商品の購入に関し割り当てられ、又は個人に発行されるカードその他の書類に記載され、若しくは電磁的方式により記録された文字、番号、記号その他の符号であって、その利用者若しくは購入者又は発行を受ける者ごとに異なるものとなるように割り当てられ、又は記載され、若しくは記録されることにより、特定の利用者若しくは購入者又は発行を受ける者を識別することができるもの

わかりやすくいうと、1号に該当するのはDNAの塩基配列、指紋、手指の静脈など、2号に該当するのはパスポートの番号、基礎年金番号、運転免許証番号、住民票コード、個人番号(いわゆるマイナンバー)、健康保険の被保険者証の記号・番号及び保険者番号などを指します。

このように考えると、あなた自身の属性だけでなく、あなたの日常生活における行動であってもそれが他の情報と組み合わさることによって、第三者から「それは〇〇さんのことだ」とわかってしまうことはすべて個人情報であるということになります。

死者に関する情報は「生存する個人」ではありませんので個人情報には該当しませんが、同時に、遺族などの生存する個人に関する情報でもある場合には、当該生存する個人に関する情報となります。

「生存する個人」には日本国民に限られず、外国人も含まれます。

法人その他の団体は「個人」に該当しないため、法人等の団体そのものに関する情報は含まれません(ただし、役員、従業員等に関する情報は個人情報にあたります。)

個人データと個人情報データベース等について

私たちは誰もが自分自身を識別することができる数多くの情報を持っていますし、その情報は日々増えていっています。

いつ、どこで、何をしたかという行動自体が個人情報に当たるといえるからです。

このような数限りない個人情報のうちの一部を、私たちは日常生活を送る中で、第三者に提供しています。

そして、提供を受けた第三者は提供された個人情報を利用しやすいように整理していることがあります。

これを改正個人情報保護法では「個人情報データベース等」といいます(第2条第4項)。

この法律において「個人情報データベース等」とは、個人情報を含む情報の集合物であって、次に掲げるもの(利用方法からみて個人の権利利益を害するおそれが少ないものとして政令で定めるものを除く。)をいう。

一 特定の個人情報を電子計算機を用いて検索することができるように体系的に構成したもの

二 前号に掲げるもののほか、特定の個人情報を容易に検索することができるように体系的に構成したものとして政令で定めるもの

例えば、あなたがある店舗の会員に入会したいと考えた場合、店舗から差し出された入会申込書に住所・氏名・生年月日・連絡先などの個人情報を記載して提出したとします。

提出を受けた店舗では、入会申込書に記載された住所・氏名・生年月日・連絡先などの個人情報をパソコンの会員管理ソフトに入力する場合もあるでしょうし、入会申込書そのものを五十音順で並べてファイルにしている場合もあるでしょう。

このようなパソコン内の会員のデータベースや会員名簿ファイルが「個人情報データベース等」です。

そして、その個人情報データベース等を構成する個人情報(上の例でいうと、住所・氏名・生年月日・連絡先など)を個人データといいます(第2条第6項)。

つまり、個人データは、あなたの数多くの個人情報のうち、第三者に対して提供し、その第三者が個人情報データベース等にしたものに含まれているものをいうことになります。

逆にいうと、個人情報データベース等に記載されていない事柄(上の例でいうと、勤務先の名称や役職などの入会申込書に記載する必要がない事柄)は、あなたの個人情報ではあるものの、個人データではないということになります。

保有個人データについて

保有個人データとは、改正個人情報保護法では

個人情報取扱事業者が、開示、内容の訂正、追加又は削除、利用の停止、消去及び第三者への提供の停止を行うことのできる権限を有する個人データであって、その存否が明らかになることにより公益その他の利益が害されるものとして政令で定めるもの又は1年以内の政令で定める期間以内に消去することとなるもの以外のもの

と定義されています(第2条第7項)。

わかりにくいと思われますので、ここでは同窓会を例にしてみます。

あなたのもとに、同窓会事務局から「同窓会出席に関するアンケート」が届いたとします。

あなたがそのアンケートに記載する必要がある氏名・住所・連絡先・出欠の回答は、あなたの個人情報です。

あなたがそのアンケートの必要事項に記入して送付するという行為は、あなたの個人情報を提供するということを意味します。

このアンケートを同窓会事務局が集計するためにエクセルなどのソフトを使って名簿としてまとめたとします。

その名簿は「個人情報データベース等」にあたり、そのデータベースに記載されている情報(氏名・住所・連絡先・出欠)は個人データということになります。

もっとも、同窓会が開催された場合、同窓会の名簿には氏名・住所・連絡先のデータはそのまま残されていますが、出欠の回答については必要なくなるわけですから消去することになります。

このように、個人データの中でもそのまま個人情報データベース等に残されているデータは保有個人データということになります。

その反面、出欠の回答については消去されるわけですから、保有個人データではないということになります。

また、個人情報データベース等には、個人情報として提供されたもののほかに、本人の評価に関する事項(例えば、本人からのクレームがあった事実やそれに対する対処の内容など)が記載されていることがあります。

この内容については、たとえ本人から開示を求められたり削除を求められたりしても応じないでしょう。

このような開示や削除要求などには応じない情報については保有個人データではないということになります。

個人情報・個人データ・保有個人データに区別する理由

以上から、「個人情報≧個人データ≧保有個人データ」という関係が見えてくると思います。

では、改正個人情報保護法はなぜこのように「個人情報」「個人データ」「保有個人データ」と分けているのでしょうか。

それは、それぞれに応じて個人情報取扱事業者がとるべき対処の方法が異なるからです。

以下では、「個人情報」「個人データ」「保有個人データ」の違いを意識しながら読み進めていただければと思います。

個人情報取扱事業者とは

個人情報取扱事業者とは、改正個人情報保護法では「個人情報データベース等を事業の用に供している者」と定義されています(第2条第5項)。

改正前の個人情報保護法では、この個人情報取扱事業者に当たらない者として、

「その取り扱う個人情報の量及び利用方法からみて個人の権利利益を害するおそれが少ないものとして政令で定める者」

というものがありました。

そして、「政令で定める者」とは

「その事業の用に供する個人情報データベース等を構成する個人情報によって識別される特定の個人の数の合計が過去6月以内のいずれの日においても5000を超えない者とする。」

とされていました。

今回の法改正により、この条項が削除されたことから、冒頭に述べたように、個人情報データベース等を構成する人数に関わらず、個人情報データベース等を事業の用に供している者はすべて個人情報取扱事業者に該当することになります。

したがって、個人事業主や会社だけでなく

  • 野球・ソフトボール・サッカーなどのスポーツクラブを運営している個人や団体
  • 同窓会・自治会・PTAなどの任意団体

であっても、会員や顧客、所属選手などの氏名・住所・連絡先などが記載された名簿をファイルやデータベースなどで保有しており、その名簿に記載された情報を利用している場合にはすべて個人情報取扱事業者に該当することになります。

私たちが日常生活で経験することが多いダイレクトメールを例にします。

気に入った店舗の会員になる際に、入会申込書に氏名・住所・連絡先などを記載してその店舗に提出します。

その店舗は、入会申込書に記載された氏名・住所・連絡先などを自社で準備しているデータベースに入力することで「個人情報データベース」が完成します。

その個人情報データベースに記載のある氏名・住所などの個人データを利用して、新商品の案内やダイレクトメールを発送します。

このような場合には、個人情報データベースを自らの事業の用に供したといえることから、この店舗は個人情報取扱事業者に該当するということになります。

これに対して、例えば、年賀状や暑中見舞いなどを個人的に送るために、友人・知人などの送り先をデータベース化しているという場合には、あくまでも個人的な利用に止まるため、個人情報取扱事業者にはあたりません。

ただし、同じ年賀状や暑中見舞いなどであっても、それが仕事上の名称などを用いて事業の関係者に送付するといる場合には個人情報取扱事業者にあたります。

私を例にすると、プライベートな友人・知人に対して「岩熊豊和」として年賀状などを送る場合には個人情報取扱事業者にはあたりませんが、過去・現在の依頼者などに「弁護士岩熊豊和」として年賀状などを送る場合には個人情報取扱事業者にあたることになります。

個人情報取扱事業者の義務

では、個人情報取扱事業者にあたる場合には、どのような義務があるでしょうか。

以下では、

  • 個人情報の取得
  • 個人情報の管理
  • 個人情報の第三者への提供
  • 本人からの個人情報の開示請求

にわけて説明することにします。

個人情報の取得に関する個人情報取扱事業者の義務

利用目的の特定

個人情報取扱事業者は、個人情報を取り扱うに当たっては、その利用の目的(以下「利用目的」という。)をできる限り特定しなければなりません(第15条第1項)。

この「できる限り特定」というのは、例えば「当社の事業活動に用いるため個人情報を利用します」という程度では特定できているとはいえず、「商品の発送、関連するアフターサービス、新商品・サービスに関する情報のお知らせのために利用します。」というように、利用目的を具体的に特定する必要があります。

また、あらかじめ個人情報を第三者に提供することを想定している場合があります。

例えば、同窓会名簿やPTAの役員名簿などです。

このような場合でも「会員名簿を作成し、名簿に掲載される会員に対して配布するため」と利用目的でその旨を特定しなければなりません。

利用目的の変更

個人情報取扱事業者は、利用目的を変更する場合には、変更前の利用目的と関連性を有すると合理的に認められる範囲を超えて行ってはならりません(第15条第2項)。

例えば、氏名・住所・連絡先(メールアドレス)といった個人情報を「新商品・サービスに関する情報を郵送するため」と利用目的を特定して取得していたとします。

それが「新商品・サービスに関する情報をメールで送付する」という場合には、利用目的の変更となります。

もっとも、このような変更であれば「合理的に認められる範囲」といえるでしょう。

しかし、上記の利用目的で個人情報を特定していたにもかかわらず「新商品のモニター募集の案内文書を郵送する」という場合には、合理的に認められる範囲を超えてしまうということになります。

適正な取得

個人情報取扱事業者は、偽りその他不正の手段により個人情報を取得してはなりません(第17条第1項)。

要配慮個人情報の取得

個人情報取扱事業者は、あらかじめ本人の同意を得ないで、要配慮個人情報を取得してはなりません(第17条第2項)。

ここにいう「要配慮個人情報」とは、本人の人種、信条、社会的身分、病歴、犯罪の経歴、犯罪により害を被った事実その他本人に対する不当な差別、偏見その他の不利益が生じないようにその取扱いに特に配慮を要するものとして政令で定める記述等が含まれる個人情報をいいます。

例えば、スポーツチームを運営する個人や団体が、遠征先での選手の食事に配慮するために、信仰している宗教やアレルギーなどを事前に知っておきたいと考えたとしても、それが「信条」や「病歴」に該当することから、事前に本人の同意を得る必要があります。

取得に際しての利用目的の通知等

個人情報取扱事業者は

  • 個人情報を取得した場合は、あらかじめその利用目的を公表している場合を除き、速やかに、その利用目的を、本人に通知し、又は公表しなければならない。
  • 個人情報取扱事業者は、前項の規定にかかわらず、本人との間で契約を締結することに伴って契約書その他の書面(電磁的記録を含む。)に記載された当該本人の個人情報を取得する場合その他本人から直接書面に記載された当該本人の個人情報を取得する場合は、あらかじめ、本人に対し、その利用目的を明示しなければならない。
  • 個人情報取扱事業者は、利用目的を変更した場合は、変更された利用目的について、本人に通知し、又は公表しなければならない。

とされています(第18条)。

個人情報を取得した場合とは、例えば電話帳や卒業生名簿から個人情報を取得した場合や、第三者からの情報提供により個人情報を取得した場合などをいいます。

本人に通知とは、口頭での説明やFAX・メールなどの方法で本人に直接知らせることをいいます。

公表とは、ホームページへの掲載やパンフレットの配布などの方法をいいます。

同窓会を例にすると、「同窓会名簿を作成して同窓会の開催を知らせるため」と利用目的を特定して個人情報を取得するにあたり、すでに住所・連絡先などが判明している場合には、本人に対して利用目的をあらかじめ通知した上で氏名・住所・連絡先などの個人情報を取得することになります。

他方、連絡先などが判明していない場合でも、電話帳やインターネットで検索した場合や、他の同窓会メンバーからの情報提供により住所・連絡先などの個人情報を取得した場合には、その本人に対して「同窓会名簿に作成して同窓会の開催を知らせるため」という利用目的を通知したり、ホームページ上で公表したりする必要があります。

次に、「書面に記載された当該本人の個人情報を取得する場合」とは、申込書や契約書に記載された個人情報を本人から直接取得する場合やアンケートに記載された個人情報を直接本人から取得する場合をいいます。

この場合には、あらかじめ、本人に対し、その利用目的を明示しなければなりません。

また、利用目的を変更する場合には、その旨を本人に通知したり、公表したりする必要があります。

個人情報の管理に関する個人情報取扱事業者の義務

データ内容の正確性の確保等

個人情報取扱事業者は、利用目的の達成に必要な範囲内において、個人データを正確かつ最新の内容に保つとともに、利用する必要がなくなったときは、当該個人データを遅滞なく消去するよう努めなければなりません(第19条) 。

この場合、保有する個人データを一律にまたは常に最新化する必要はなく、それぞれの利用目的に応じて、その必要な範囲内で正確性・最新性を確保すれば足りるものとされています。

安全管理措置

個人情報取扱事業者は、その取り扱う個人データの漏えい、滅失又はき損の防止その他の個人データの安全管理のために必要かつ適切な措置を講じなければなりません(第20条) 。

この「必要かつ適切な措置」には、組織的、人的、物理的及び技術的な安全管理措置があるとされています。

組織的安全管理措置

組織的安全管理措置とは、安全管理について従業者の責任と権限を明確に定め、安全管理に対する規程や手順書を整備運用し、その実施状況を確認することをいいます。

人的安全管理措置

人的安全管理措置とは、従業者(「個人情報取扱事業者の組織内にあって直接間接に事業者の指揮監督を受けて事業者の業務に従事している者をいい、雇用関係にある従業員(正社員、契約社員、嘱託社員、パート社員、アルバイト社員等)のみならず、取締役、執行役、理事、監査役、監事、派遣社員等も含まれる。)に対する、業務上秘密と指定された個人データの非開示契約の締結や教育・訓練等を行うことをいいます。

物理的安全管理措置

物理的安全管理措置とは、入退館(室)の管理、個人データの盗難の防止等の措置をいいます。

技術的安全管理措置

技術的安全管理措置とは、個人データ及びそれを取り扱う情報システムへのアクセス制御、不正ソフトウェア対策、情報システムの監視等、個人データに対する技術的な安全管理措置をいいます。

従業者の監督

個人情報取扱事業者は、その従業者に個人データを取り扱わせるにあたっては、当該個人データの安全管理が図られるよう、当該従業者に対する必要かつ適切な監督を行わなければなりません(第21条)。

この場合の「従業者」とは、個人情報取扱事業者の組織内にあって直接間接に事業者の指揮監督を受けて事業者の業務に従事している者をいい、雇用関係にある従業員(正社員、契約社員、嘱託社員、パート社員、アルバイト社員等)のみならず、取締役、執行役、理事、監査役、監事、派遣社員等も含まれます。

委託先の監督

個人情報取扱事業者は、個人データの取扱いの全部又は一部を委託する場合は、その取扱いを委託された個人データの安全管理が図られるよう、委託を受けた者に対する必要かつ適切な監督を行わなければなりません(第22条)。

「必要かつ適切な監督」には、委託先を適切に選定すること、委託先に安全管理措置を遵守させるために必要な契約を締結すること、委託先における委託された個人データの取扱状況を把握することが含まれます。

なお、優越的地位にある者が委託元の場合、委託元は、委託先との責任分担を無視して、本人からの損害賠償請求にかかる責務を一方的に委託先に課したり、委託先からの報告や監査において過度な負担を強いるなど、委託先に不当な負担を課すことがあってはならないとされています。

第三者への提供に関する個人情報取扱事業者の義務

第三者提供の制限

個人情報取扱事業者は、あらかじめ本人の同意を得ないで、個人データを第三者に提供してはなりません(第23条第1項)。

本人の同意を得るにあたっては、当該本人に当該個人情報の利用目的を通知し、または公表した上で、当該本人から口頭、書面などにより当該個人情報の取扱いについて承諾する旨の意思表示を受けることが望ましいといえます。

第三者への個人データの提供に当たる例としては、幼稚園や学校から保護者への緊急連絡網の連絡名簿を配付する場合や、会社の取引先から自社の従業員の個人情報の照会があった場合などが考えられます。

オプトアウトとは

個人情報取扱事業者は、一定の要件が満たされた場合、本人の同意なしに、個人データを第三者に提供できるが、本人からの拒否があればそれ以後は第三者に提供することはできないという制度をオプトアウトといいます(第23条第2項)。

わかりやすい例でいうと、住宅地図業者がこれにあたります。

住宅地図業者は、各戸の表札を調べて住宅地図を作り、これを不特定多数の消費者に販売することを事業目的にしています。

この場合、住宅地図には氏名や住所が記載され、これを不特定多数の消費者に提供しているわけですから、「個人データの第三者への提供」にあたります。

もっとも、住宅地図業者の場合、常に本人の同意を必要とすることになれば事業は成り立ち得ません。

このような場合に利用できる制度がオプトアウトということになります。

本人の求めに応じて当該本人が識別される個人データの第三者への提供を停止することとしている場合であって、次に掲げる事項について、あらかじめ、本人に通知し、または本人が容易に知り得る状態に置くとともに、個人情報保護委員会に届け出たときは、本人の事前の同意がなくても、個人データを第三者に提供することができます。

  • 第三者への提供を利用目的とすること
  • 第三者に提供される個人データの項目
  • 第三者への提供の方法
  • 本人の求めに応じて当該本人が識別される個人データの第三者への提供を停止すること。
  • 本人の求めを受け付ける方法

第三者に該当しない場合

次に掲げる場合において、当該個人データの提供を受ける者は、第三者に該当しないものとされています(第23条第5項)。

個人情報取扱事業者が利用目的の達成に必要な範囲内において個人データの取扱いの全部又は一部を委託することに伴って当該個人データが提供される場合

個人データの取扱いに関する業務の全部又は一部を委託する場合は、第三者に該当しません。

例えば、データベースへの打ち込みなどの情報処理を委託するために個人データを渡す場合がこれに当たります。

この場合、個人情報取扱事業者には、委託先に対する監督責任が課されます(第22条)。

合併その他の事由による事業の承継に伴って個人データが提供される場合

合併、分社化、営業譲渡等により事業が承継され個人データが移転される場合は、第三者に該当しません。

この場合、事業の承継後も、個人データが譲渡される前の利用目的の範囲内で利用しなければなりません。

特定の者との間で共同して利用される個人データが当該特定の者に提供される場合

例えば、グループ企業でイベントを開催する場合に、各子会社から親会社に顧客情報を集めた上で展示会の案内を発送するときには共同利用となります。

これに対し、自社でイベントを開催する場合に、案内状を発送するために発送代行事業者に顧客情報を提供するときには、共同利用者の範囲に含まれるグループ企業内の事業者への提供であったとしても、委託であって、共同利用とはなりません。

共同利用については

  • 共同して利用される個人データの項目
  • 共同して利用する者の範囲
  • 利用する者の利用目的
  • 当該個人データの管理について責任を有する者の氏名又は名称

について、あらかじめ、本人に通知し、または本人が容易に知り得る状態に置いておく必要があります。

第三者から個人データの提供を受ける場合

個人情報取扱事業者は、第三者から個人データの提供を受けるに際しては、次に掲げる事項の確認を行わなければなりません(第25条)。

  • 当該第三者の氏名又は名称及び住所並びに法人にあっては、その代表者(法人でない団体で代表者又は管理人の定めのあるものにあっては、その代表者又は管理人)の氏名
  • 当該第三者による当該個人データの取得の経緯

より具体的に説明すると、本人から提供された個人情報をデータベース化して個人情報データベース等を作成した個人情報取扱事業者が、そのデータベース上の個人データを第三者に提供する場合、これを受け取る第三者も個人情報取扱事業者に該当することになります。

したがって、個人データを受領する場合には、誰から、どのような経緯で受領したことが明らかにできるようにすることで、本人の個人情報を追跡することができることになります。

本人からの個人情報の開示請求に関する個人情報取扱事業者の義務

保有個人データに関する事項の公表

個人情報取扱事業者は、保有個人データに関し、次に掲げる事項について、本人の知り得る状態に置かなければなりません(第27条第1項)。

  • 当該個人情報取扱事業者の氏名又は名称
  • 全ての保有個人データの利用目的
  • 保有個人データの利用目的の通知及び保有個人データの開示に係る手数料の額(定めた場合に限る)並びに開示等の求め手続
  • 保有個人データの取扱いに関する苦情及び問い合わせの申出先

保有個人データの利用目的の通知

個人情報取扱事業者は、本人から、当該本人が識別される保有個人データの利用目的の通知を求められたときは、本人に対し、遅滞なく、これを通知しなければなりません(第27条第2項)。

ただし、

  • 当該本人が識別される保有個人データの利用目的が明らかな場合
  • 利用目的を本人に通知しまたは公表することにより本人または第三者の生命、身体、財産その他の権利利益を害するおそれがある場合
  • 利用目的を本人に通知しまたは公表することにより当該個人情報取扱事業者の権利又は正当な利益を害するおそれがある場合
  • 国の機関または地方公共団体が法令の定める事務を遂行することに対して協力する必要がある場合であって、利用目的を本人に通知しまたは公表することにより当該事務の遂行に支障を及ぼすおそれがある場合

には、保有個人データの利用目的を通知しない旨を決定することができます。

この場合には、個人情報取扱事業者は、本人に対し、遅滞なく、その旨を通知しなければなりません(第27条第3項)。

保有個人データの開示請求

本人は、個人情報取扱事業者に対し、当該本人が識別される保有個人データの開示を請求することができます(第28条第1項)。

これに対し、個人情報取扱事業者は、本人に対し、遅滞なく、当該保有個人データを開示しなければなりません(第28条第2項)。

ただし、開示することにより次の各号のいずれかに該当する場合は、その全部又は一部を開示しないことができます。

  • 本人又は第三者の生命、身体、財産その他の権利利益を害するおそれがある場合
  • 当該個人情報取扱事業者の業務の適正な実施に著しい支障を及ぼすおそれがある場合
  • 他の法令に違反することとなる場合

個人情報取扱事業者は、保有個人データの全部または一部について開示しない旨の決定をしたときや、当該保有個人データが存在しないときは、本人に対し、遅滞なく、その旨を通知しなければなりません(第28条第3項)。

保有個人データの訂正・削除請求

本人は、個人情報取扱事業者に対し、当該本人が識別される保有個人データの内容が事実でないときは、当該保有個人データの内容の訂正、追加又は削除を請求することができます(第29条第1項)。

個人情報取扱事業者は、利用目的の達成に必要な範囲内において、遅滞なく必要な調査を行い、その結果に基づき、当該保有個人データの内容の訂正等を行わなければなりません(第29条第2項)。

ただし、訂正等の対象が事実でなく評価に関する情報である場合には、訂正等を行う必要はありません。

個人情報取扱事業者は、保有個人データの内容の全部もしくは一部について訂正・削除を行ったとき、または訂正・削除を行わない旨の決定をしたときは、本人に対し、遅滞なく、その旨(訂正等を行ったときは、その内容を含む。)を通知しなければなりません(第29条第3項)。

保有個人データの利用停止・消去請求

本人は、個人情報取扱事業者に対し、当該本人が識別される保有個人データが、特定された利用目的の達成に必要な範囲を超えて取り扱われているとき、または偽りその他不正の手段により個人情報を取得されたものやあらかじめ本人の同意を得ないで要配慮個人情報を取得したものであるときは、当該保有個人データの利用の停止又は消去を請求することができます(第30条第1項)。

個人情報取扱事業者は、その請求に理由があることが判明したときは、違反を是正するために必要な限度で、遅滞なく、当該保有個人データの利用停止等を行わなければなりません(第30条第2項)。

ただし、当該保有個人データの利用停止等に多額の費用を要する場合その他の利用停止等を行うことが困難な場合であって、本人の権利利益を保護するため必要なこれに代わるべき措置をとるときは、この限りではありません(第30条第2項)。

個人情報取扱事業者は、保有個人データの全部もしくは一部について利用停止等を行ったとき、または利用停止等を行わない旨の決定をしたときは、本人に対し、遅滞なく、その旨を通知しなければなりません(第30条第5項)。

第三者への提供停止請求

本人は、個人情報取扱事業者に対し、当該本人が識別される保有個人データが、あらかじめ本人の同意を得ないで第三者に提供されているときは、当該保有個人データの第三者への提供の停止を請求することができます(第30条第3項)。

個人情報取扱事業者は、その請求に理由があることが判明したときは、遅滞なく、当該保有個人データの第三者への提供を停止しなければなりません(第30条第4項)。

ただし、当該保有個人データの第三者への提供の停止に多額の費用を要する場合その他の第三者への提供を停止することが困難な場合であって、本人の権利利益を保護するため必要なこれに代わるべき措置をとるときは、この限りではありません(第30条第4項)。

個人情報取扱事業者は、保有個人データの全部もしくは一部について第三者への提供を停止したとき、または第三者への提供を停止しない旨の決定をしたときは、本人に対し、遅滞なく、その旨を通知しなければなりません(第30条第5項)。

開示等の請求等に応じる手続

個人情報取扱事業者は、保有個人データの利用目的の通知、保有個人データの開示請求、保有個人データの訂正・削除請求、保有個人データの利用停止・消去請求、第三者への提供停止請求に関して、請求を受け付ける方法を定めることができます(第32条)。

この場合において、本人は、当該方法に従って、開示等の請求等を行わなければなりません。

具体的には、

  • 開示等の請求の受付先
  • 開示等の請求に際して提出すべき書面の様式、その他の開示等の求めの受付方法(郵送、FAXで受け付ける等)
  • 開示等の求めをする者が本人又はその代理人であることの確認の方法(本人の場合には運転免許証・健康保険の被保険者証・写真付き住民基本台帳カードなどの提示、代理人の場合には代理人についての運転免許証・健康保険の被保険者証等の提示や代理を示す旨の委任状など)

を定めることができます。

また、個人情報取扱事業者は、利用目的の通知を求められたとき、または保有個人データの開示請求を受けたときは、当該措置の実施に関し、手数料を徴収することができます(第33条) 。

この場合は、実費を勘案して合理的であると認められる範囲内において、その手数料の額を定めなければなりません。

最後に

以上が改正個人情報保護法の概要です。

このほかにも

  • 匿名加工情報
  • 認定個人情報保護団体
  • 個人情報保護委員会

などの重要な事項もありますが、今回の記事では触れていません。

これまで個人情報取扱事業者とされていなかった事業者であっても、平成29年5月30日以降は個人情報取扱事業者として個人情報保護法の適用を受けることになります。

このことは、あなた自身が個人情報取扱事業者となるかもしれないことだけでなく、あなたの個人情報を既に取得している事業者や今後あなたの個人情報を取得することになる事業者がすべて個人情報取扱事業者となることを意味します。

そこで、今回の記事は、おそらく意識してこなかったであろう「個人情報保護法とは何か」について、知っておいていただきたい最低限の内容を挙げることにしました。

今後、より踏み込んだ内容を知っていただく必要があると考えた場合には、改めて記事を書きたいと思います。

Contact

お問合わせ

お電話でのお問い合わせはこちら

092-409-9367

受付 9:30~18:00 (月〜金)
定休日 土日祝

フォームでのお問い合わせはこちら

Contact Us

Top