【2022年4月施行】改正個人情報保護法、開示請求のポイント

以前解説したこちらの記事では、2022年4月に全面施行される改正個人情報保護法(以下、改正法)の6つのポイントについて解説しました。今回はその中から、実務に大きく影響する開示請求について詳しく見ていきましょう。

開示請求の基本

個人情報保護法では、「本人は、個人情報取扱事業者に対し、当該本人が識別される保有個人データの開示を請求することができる」と規定され、本人または法定代理人がその請求を行うことができる仕組みとなっています。

企業においては、保有している個人情報について本人から開示を請求された場合には、例外を除いて、対応しなければなりません。

【例外の事例】

  • 一 本人又は第三者の生命、身体、財産その他の権利利益を害するおそれがある場合
  • 二 当該個人情報取扱事業者の業務の適正な実施に著しい支障を及ぼすおそれがある場合
  • 三 他の法令に違反することとなる場合

開示請求、訂正等請求、利用停止等請求、第三者提供停止請求対応

ここからは、改正法の開示請求に関する事項を確認していきましょう。

開示請求の方法の追加と本人による指定が可能に

改正法では、情報を提供している本人が個人情報取扱事業者に対して情報開示を請求できる方法を本人が指定できるようになりました。電磁的記録での開示請求も追加されています。

現行法 改正法
開示方法 書面による交付のみ

本人が請求した方法に準ずる。電磁的記録も可。

 

請求に対する要件が緩和

個人情報を提供する本人の権利強化を目的に、これまでの要件に新たな項目が追加されています。

現行法 改正法

本人は, 以下のいずれかの場合、事業者に自己の個人データの利用停止または消去(以下「利用停止等」という)を請求することができる。

  • ・事業者が当該個人データを, 本人の同意なく当初利用目的範囲外で利用している場合
  • ・事業者が当該個人データを偽りその他不正手段により取得した場合

現行法に以下の要件を追加。

・本人は、下記のような本人の権利又は正当な利益が害されるおそれがある場合、自己の個人データの利用停止等または第三者への提供の停止を請求することができる。

  • (a) 事業者が当該個人データを利用する必要がなくなった場合
  • (b) 当該個人データについて漏えい・滅失・毀損等であって規則で定めるもの(漏えい等)が生じた場合
  • (c) その他当該個人データの取扱いにより本人の権利または利益が害されるおそれがある場合

・本人は、事業者が自己の個人データを違法もしくは不当な行為を助長または誘発するおそれがある方法により利用している場合、その利用停止等を請求できる。

利用停止請求は現行法でもありますが、この際に全てのケースを想定した対応フローを予め整備しておくことをおすすめします。

第三者提供に関する提供・受領時の記録開示義務化

改正法では、現行法のグレーゾーンであった個人情報の第三者提供に関するトレーサビリティ(個人情報伝達の流通経路を明白にすること)が保証されることになりました。

現行法 改正法
第三者提供時 特に明記なし 本人が個人情報提供・受領の記録の開示を請求することができる

また、開示請求することで以下の状態になり得る場合は請求対象外となります。

  • ・本人、第三者の生命、身体、財産に危害が及ぶ。
  • ・違法、不当な行為を助長、誘発する。
  • ・国の安全が破壊され、他国、国際機関との信頼関係が損なわれ、他国や国際機関との交渉上不利益を講ずる
  • ・犯罪の予防対策、捜査その他公共の安全秩序の維持に影響が及ぶ。

企業は第三者からの個人情報受領・提供の際の記録を残しておかなければなりません。自社の記録業務を今一度見直してみましょう。

漏えい時の個人情報保護委員会への報告と本人通知の義務

個人情報漏えい時の個人情報保護委員会への報告義務が追加されました。

現行法 改正法
情報漏えい時の報告 不要 個人情報保護委員会と本人への報告が義務

以下の①~④の場合が、報告義務の対象となります。

  • ① 要配慮個人情報が含まれる個人データの漏えい、滅失若しくは毀損が発生し、又は発生したおそれがある事態
  • ② 不正に利用されることにより財産的被害が生じるおそれがある個人データの漏えい等が発生し、又は発生したおそれがある事態
  • ③ 不正の目的をもって行われたおそれがある個人データの漏えい等が発生し、又は発生したおそれがある事態
  • ④ 個人データに係る本人の数が千人を超える漏えい等が発生し、又は発生したおそれがある事態

①〜④いずれの場合も、高度な暗号化その他の個人の権利利益を保護するために必要な措置を講じたものを除く

つまり、個人情報が漏えい・滅失・毀損した場合、もしくはそのおそれがある場合です。具体的には、以下のような事例が対象になります。

  • 事例 1)従業員の健康診断等の結果を含む個人データが漏えいした
  • 事例 2)送金や決済機能のあるウェブサービスのログインIDとパスワードの組み合わせを含む個人データが漏えいした
  • 事例 3)ランサムウェア等により個人データが暗号化され、復元できなくなった

また、報告義務対象でない事案であっても任意の報告ができます。判断に迷ったら、早めの報告を行っておきましょう。

・個人情報保護委員会への報告

速報と確報の二段階に分けて行います。

  • 速報:その時点で把握している全ての事項を速やかに(事態を知った時点から概ね3~5日)に行う
  • 確報:原則30日以内

・本人への通知

漏えいがあった場合、基本的には速やかに通知を行わなければなりませんが、本人への通知が困難な場合は、代替措置による対応が認められています。

本人への通知に該当する事例としては以下が挙げられています。

【本人への通知の方法の事例】

  • 事例 1)文書を郵便等で送付することにより知らせること。
  • 事例 2)電子メールを送信することにより知らせること。

【(本人への通知が困難な場合の)代替措置に該当する事例】

  • 事例 1)事案の公表(※2)
  • 事例 2)問合せ窓口を用意してその連絡先を公表し、本人が自らの個人データが対象となっているか否かを確認できるようにすること
  • (※1)代替措置として事案の公表を行わない場合であっても、当該事態の内容等に応じて、二次被害の防止、類似事案の発生防止等の観点から、公表を行うことが望ましい。
  • (※2)公表すべき内容は、個別の事案ごとに判断されるが、本人へ通知すべき内容を基本とする。

企業を守る、個人情報保護法に強い専門の教育・コンサルティングサービス

個人情報保護対策は法律を伴う専門的な知識が求められるため、外部からコンサルタントを起用するといったケースがよく見られます。法的に安全に自社を守るためにもおすすめの方法です。そこで今回は、個人情報保護法やプライバシーポリシーなど情報セキュリティ分野のプロが在籍する「日本パープル」のサービス<Coach MAMORU(コーチマモル)>をご紹介します。

専門コンサルタントが、企業の抱える情報セキュリティ課題に対して柔軟にカスタマイズした形で教育・コンサルティングするサービス。日本パープルは情報セキュリティ分野のリーディングカンパニーとして知られています。

【資料ダウンロード】改正個人情報保護法対応チェックリスト

改正個人情報保護法の対応において、何をどのように進めていけば良いのか迷われている担当者も多いのではないでしょうか。日本パープルは、対応項目を確認するチェックリストを用意しています。こちらよりダウンロードしてみてください。

迅速かつ正確な対応を行うにはマニュアル整備が重要

改正個人情報保護法は個人の権利強化を重要な目的としており、これまで以上に開示請求に応じる機会が増えることになると予想されます。どのような場合に誰に何を開示すべきか社内でマニュアルを再整備し、改正法施行後の対応に備えましょう。

改正個人情報保護法関連記事

第1回目 「2022年4月施行の改正個人情報保護法、6つのポイントとは?

第2回目 「改正個人情報保護法、6つのポイントを徹底解説

第3回目 「【2022年4月施行/改正個人情報保護法】プライバシーポリシー改訂のポイント

第4回目 「【2022年4月施行】改正個人情報保護法、開示請求のポイント

 

トランクルーム、レンタル倉庫をお探しなら | 配送してくれる保管サービス、ストックマモル(Stock MAMORU)