プライバシーポリシーの作成や個人情報管理の運用でつまずきやすいのが「保有個人データ」です。
「個人情報」「個人データ」にも様々な義務がありますが、それらに加えて本人からの開示等(開示・訂正・利用停止など)への対応義務と直結するため、実務上、定義と判断基準を押さえる必要があります。
この記事では、保有個人データの意味から、対象外の例、事業者が準備しておくべき開示請求に関する事項まで、ガイドライン・Q&Aの考え方に沿って整理します。
保有個人データの定義
保有個人データとは、簡単に言うと以下の定義に該当するものです。
- 「個人データ」である
- 事業者が 開示・訂正・利用停止・消去・第三者提供停止など、いわゆる「開示等」に全部応じることができる権限を持っている
- 「その存在が明らかになることにより公益その他の利益が害されるものとして政令で定めるもの」を除いたもの
ポイントは、事業者が保有するすべての個人情報、個人データが該当するものではなく、「開示等に応じることができる権限を有するもの」が前提となります。
個人データとは、個人情報データベース等を構成する個人情報です
なお、「保有個人情報」という言葉は法律上は定義されていませんのでご注意ください。
保有個人データに該当するかの確認
特定の情報が「保有個人データ」に該当するかどうかは、次の3ステップで確認できます。
(1)個人データか?
まず、個人情報データベース等を構成する個人情報(=個人データ)かどうかを確認します。
例えば、個人情報を蓄積しているデータベースやアドレス帳などから、外部媒体に保存したり紙に出力した帳票などが個人データに該当し得ます。
(2)「開示等」全部に応じることができる権限があるか?
保有個人データの要件は、開示等(開示、訂正等、利用停止等、消去、第三者提供停止)すべてに応じることができる権限を持つことです。ここが「個人データ」と区別するための重要な点です。
なお、開示等の全部に応じることができる権限が必要か、一部でも権限があれば該当するのかについては法令上は明示されていませんが、個人情報保護法の立案担当者によれば「すべての権限を有している必要がある」と考えられています。
また、実務上迷いやすいのが、個人データの取扱いを第三者に委託した場合、委託先にとってはそれが保有個人データになるかどうか、という点です。
この点については、Q&A(1-56)によれば、特に定めがない限り委託元の保有個人データとなる考え方が示されています。
例外的に、委託元から委託先に対して“委託先自らの判断で開示等できる権限”を付与している場合は委託先にとっても保有個人データになり得ます。
そのため、個人データの取扱いを委託する場合は、委託先が開示等の権限を有するかどうかを契約等で明確にすることが大切です。
(3)政令で除外されるタイプに当たらないか?
前の2つのステップに該当する情報であっても、その存在が明らかになるだけで次のようなおそれがある類型は保有個人データから除外されます。
- 生命・身体・財産に危害が及ぶおそれ(政令5条1号)
- 違法・不当行為を助長/誘発するおそれ(政令5条2号)
- 国の安全・外交等に不利益のおそれ(政令5条3号)
- 犯罪の予防・捜査等、公共の安全と秩序の維持に支障のおそれ (政令5条4号)
ガイドライン(2-7)では、DV・虐待被害者支援の文脈、反社対策、不審者対策、捜査関係の取得データ等の例が挙げられています。
これらに該当する場合は保有個人データではありませんので、開示等の請求にも対応する義務はありません。
事業者が負う主な義務
保有個人データは、「本人が権利行使できるように、情報と手続を整備しておく」ことが重要です。法令上、個人情報取扱事業者(個人情報データベース等を事業の用に供している者)が対応する必要があるのは次の2つです。
(1)「本人の知り得る状態」に置く
個人情報取扱事業者は、保有個人データに関し、一定の事項を本人の知り得る状態(請求があれば遅滞なく回答する運用でも可)に置く必要があります(法32条1項)。
そのため、一般的にはプライバシーポリシーという形で公表しているケースが多いです。
公表が必要な事項は、次のとおりです。
- 個人情報取扱事業者名・住所・法人の場合は代表者名(法32条1項1号)
- すべての保有個人データの利用目的(※一定の場合を除く)(法32条1項2号)
- 開示等の請求手続(手数料を定めるならその金額も)(法32条1項3号)
- 安全管理措置の概要(※開示することで安全管理の支障があるものを除く)(法32条1項4号・政令10条1号)
- 苦情の申出先(法32条1項4号・政令10条2号)
- 認定個人情報保護団体の対象事業者なら、その名称・申出先(法32条1項4号・政令10条3号)
(2)開示請求など「開示等」に対応する
本人から請求が来た場合は、要件に沿って対応する必要があります。
「開示等」には、開示・訂正等・利用停止等のほか、第三者提供記録の開示請求も含まれるとされています。
開示請求対応の実務ポイント
個人情報取扱事業者は、本人から開示等の請求を受けたときは、一定の除外事由に該当する場合を除き、遅滞なくそれに対応する義務を負います。
受付方法の指定
個人情報取扱事業者は、開示等の請求を受ける方法(窓口や申請方法、提出すべき書面など)を指定することができ、それが指定されている場合は本人はそれに従う必要があります。
そのため、事業者側としても、対応の効率化のためにも事前に定めておくことをお勧めします。
※定めていない場合は、その都度本人との個別相談によって対応することになります
本人確認
本人確認方法も事業者が定められますが、手続を定めるにあたっては、本人に過重な負担を課さない配慮が必要で、本人確認のために必要以上に多くの情報を求めない必要があるとされています。
そのため、適切な本人確認と利便性とのバランスをとることが重要になってきます。
手数料
手数料については、Q&A(9-27)において「実費を予測して平均的単価を算出することが望ましい」一方で、業種やデータ種類で異なるため統一的相場の提示は困難としています。
また、手数料は実費を勘案して合理的な範囲で定める必要がある旨が示されています。
一般的には500円〜1,000円程度が多い印象を受けます。ただ定めていない事業者も多いように感じます。
事業者が今すぐ確認すべき点
以上のとおり、保有個人データに関しては個人情報取扱事業者に対する義務が定められていますので、次のような点について定期的に検討し、必要に応じてプライバシーポリシーの見直しなどを行うことが重要です。
- 自社が扱う「個人データ」の棚卸し(どのデータベースやSaaS等に何を保存しているか)
- 「保有個人データ」に当たる範囲の特定(開示等の権限、除外類型)
- プライバシーポリシーに「本人の知り得る状態」事項を反映(利用目的、手続、苦情窓口等)
- 開示等の受付方法(窓口・申請方法・本人確認・期限管理)
- 開示方法(PDF、メール、ダウンロードなど)を社内標準化
- 手数料を取るなら、実費根拠と周知
保有個人データに関するよくある質問
Q. 保有個人データと個人データは何が違いますか?
A. 個人データのうち、事業者が「開示等」全部に応じられる権限を持ち、政令で除外される類型を除いたものが保有個人データです。
Q. 委託先(クラウド運用会社)も保有個人データになりますか?
A. 特に定めがないなど委託先に“自らの判断で開示等できる権限”が付与されていない限り、委託元の保有個人データとなる考え方が示されています。
Q. PDFやメール添付で開示することは可能ですか?本人の希望形式に必ず従うのでしょうか?
A. 事業者は提供形式や手段を定めることができ、本人が指定した方法に必ず応じる必要はないとされています。(ただし可能な範囲で配慮が望ましい)
Q. 開示はいつまでに行う必要がありますか?
A. 「理由のない滞りなく」という趣旨で、検索・集約等に通常必要な期間も考慮しつつ合理的な期間内に開示すれば足りるとされています。
Q. 本人確認で、追加書類(印鑑登録証明書など)を求めることは可能ですか?
A. 本人確認方法を定めることは可能ですので、印鑑登録証明書などの提示を求めることは可能ですが、一方で本人に過重な負担を課さない配慮が必要ですので、必要以上に多くの情報を求めないことが重要です。
運用設計の重要性
保有個人データに関しては、条文上の定義を理解していても、先述の「事業者が今すぐ確認すべき点」として挙げた点が問題になりやすいです。
ここが曖昧なままだと、問い合わせが来るたびに個別対応となり、対応遅延・説明不足などのリスクが高まりますので、受付方法・本人確認・回答形式・委託先との役割分担を標準化しておくと、対応品質が安定し、社内負担も減らせます。
自社内だけでこういった点を策定し明文化するというのは困難な場合もありますので、必要に応じて専門家とともに対応を進めることも有効です。
