[個人情報保護法]
第6回:本人対応の場面、その他

2021/01/26

著者:光和総合法律事務所 弁護士 渡邊涼介
企業法務
取引基本契約書の条項を解説

1.本人対応の場面

(1)全体イメージ

全体イメージ

本人対応の場面に関する主な規定として、次のものがある。

保有個人データの利用目的や企業の名称等を継続的にホームページへ掲載するなど本人が知ることができる状態に置き、本人の求めに応じて、その本人の保有個人データの利用目的を通知しなければならない(個人情報保護法(以下「法」という。)27条)。同手続きは、個人情報の取扱いの透明性を高めるとともに、訂正、利用停止等の請求の前提として、個人情報に対する適切な本人からの関与の仕組みを構成するものである。

本人は、企業に対して、自分の個人情報の開示を請求できる。企業は、その個人情報が保有個人データである場合には、本人又は第三者の生命、身体、財産その他の権利利益を害するおそれがある場合等の一定の場合を除き、原則として本人からの開示請求に応じる必要がある(法28条)。

企業は、本人からの請求があった場合、保有個人データの内容に誤りがある場合には、訂正・削除をする必要がある(法29条)。企業が法16条、16条の2、17条、23条1項、24条の規定に違反している場合には保有個人データの利用の停止・消去等をする必要がある(法30条)。企業が、上記27条~30条による本人からの請求に応じない決定をしたときは、本人にその理由を説明するよう努める必要がある(法31条)。

※本人対応の場面のイメージ

本人対応の場面のイメージ

(2)令和2年個人情報保護法改正

令和2年個人情報保護法改正では、次のように、個人の権利が拡大された。また、6カ月以内に消去される短期保存データも保有個人データに含まれることとされており(改正法2条7項)(第1回参照)、保有個人データとなる範囲自体も広がることに注意が必要である。

  • ア 保有個人データの開示について
    • 保有個人データの開示方法について、電磁的記録の提供を含め、本人が指示できるようにする(改正法28条1項)。
    • 保有個人データの開示対象に、個人データの授受に関する第三者提供記録(法25条1項及び26条3項の記録)を含むことを明示する(改正法28条5項)。
  • イ 保有個人データの利用停止等について
    • 利用停止又は消去について、不正取得等の一部の個人情報保護法違反の場合の他に、個人の権利または正当な利益が害されるおそれがある場合も請求できるものとする(改正法30条5項)。

保有個人データの利用停止等については、どのような場合が「個人の権利または正当な利益が害されるおそれがある場合」にあたるのかが明らかでないと、請求する個人の負担が重くなるため、個人情報保護委員会のガイドライン等で具体例を適切に例示されることが望ましい。国会の答弁では、「頻繁にダイレクトメールが本人の意思に反して送られてくる場合」や「情報が漏えいしたといったような状況」が考えられるとされている。

2.認定個人情報保護団体について

認定個人情報保護団体とは、事業者の個人情報の適切な取扱いの確保を目的とする、国の認定を受けた民間団体をいう(法47条)。例えば、全般の事業分野を対象にする団体として、一般財団法人日本情報経済社会推進協会(JIPDEC)、電気通信事業分野を対象とする団体として、一般財団法人日本データ通信協会がある。

※認定個人情報保護団体のイメージ

認定個人情報保護団体のイメージ

従前は、認定個人情報保護団体の対象事業者となるには、会社単位で加入する必要があったが、令和2年個人情報保護法改正では、業種横断的に特定の事業を対象に活動する団体による専門性を生かした個人情報の保護のための取組も望まれていたことを理由に、認定個人情報保護団体制度について、現行制度に加え、企業の特定分野(部門)を対象とする団体を認定できることとされた(改正法47条2項)。例えば、A社の広報部門といった単位で認定することが想定されている。

3.執行関係

個人情報保護委員会は、個人情報、匿名加工情報の適正な取扱いに向けた取組みを行っており、個人情報保護法に違反する、又は違反するおそれがある場合、必要に応じて報告を求め、立入検査を行うことができる 。さらに、実態に応じて、必要な指導・助言や勧告・命令を行うことができる(40条~42条)。個人情報保護委員会の命令に従わなければ、罰則の適用もあり得る。

※個人情報保護法に基づく執行の流れ

個人情報保護法に基づく執行の流れ

令和2年個人情報保護法改正では、委員会による命令違反・委員会に対する虚偽報告等の法定刑を引き上げるほか(改正法83条、85条)、データベース等不正提供罪、委員会による命令違反の罰⾦について、法⼈の罰⾦刑の最⾼額が引き上げられた(改正法87条)。

また、⽇本国内にある者に係る個⼈情報等を取り扱う外国事業者を、罰則によって担保された報告徴収(法40条)・命令(法42条2項~4項)の対象とすることとされた(改正法75条)。

4.令和2年個人情報保護法改正への対応

令和2年個人情報保護法改正に関する今後のスケジュールとしては、2021年1月頃に、政令案、委員会規則案が公表され、意見募集の後、同年4月頃に公布される予定である。また、ガイドライン案についても、同年5月頃に公表され、意見募集の後、Q&Aとともに、同年7月頃に公表される予定である。そして、令和2年個人情報保護法改正は、2022年6月までに、完全施行されることとなっている。

現時点では、内容に不明確なところがあるが、ガイドラインやQ&Aが確定された後に、施行に向けた準備を行うのでは施行までに対応が間に合わない可能性があるため、現時点から準備を進めていくことが重要である。

※今後の予定

改正法の円滑な施行に向けたロードマップ(案)

個人情報・マイナンバー関連書式

  • 著者プロフィール

渡邊涼介

平成19年弁護士登録(第一東京弁護士会)、総務省総合通信基盤局電気通信事業部専門職(平成26年~平成29年)
令和元年から同2年まで、内閣サイバーセキュリティセンター(NISC)サイバーセキュリティ関連法令の調査検討等を目的としたサブワーキンググループにおけるタスクフォース構成員
主な著作として、「データ利活用とプライバシー・個人情報保護 最新の実務問題に関する解決事例108」(青林書院、2020)、「企業における個人情報・プライバシー情報の利活用と管理」(青林書院、2018)がある。

この著者の関連記事