1. 本人から自分の保有個人データを全て開示しろといわれたら全部開示しなければならない。

2. 開示の求めの対象は、顧客データベースに格納されているデータに限定されている。

3. 個人情報取扱事業者は本人に対して、開示範囲を特定するよう求めることができる。

【答え】


1. ×

2. ×

3. ○


【解説】

開示の求め(法第25条第1項)

個人情報取扱事業者は、本人から、自己が識別される「保有個人データ」の開示(存在しないときにはその旨を知らせることを含む。)を求められたときは、本人に対し、政令で定める方法により、遅滞なく、当該保有個人データを開示しなければなりません(法第25条第1項本文)。

しかし、自分の保有個人データ全ての開示を求められるわけではありません。一定程度特定する必要がありますし、不開示事由に該当するものは除かれることになります。


1.「開示の求め」の主体

「開示の求め」ができる者は、その「保有個人データ」の「本人」またはその「代理人」(法第29条第3項)です。


2.開示義務者

「開示の求め」に応じる義務がある者は、その「保有個人データ」を取り扱っている「個人情報取扱事業者」です。


3.開示の求めの対象となる情報(保有個人データ)

開示を求めてきた本人の「保有個人データ」が開示対象となります。「保有個人データ」に該当しない個人データ及び個人情報やその他の情報は、義務の対象から除かれます。当然ながら、他人の「保有個人データ」も対象外です。

開示範囲を決める要件は次の3つです。


(1)保有個人データであること

(2)開示を求める本人が識別できる範囲であること

(3)不開示事由に該当しないこと


(1)「保有個人データ」であること

開示対象の範囲は、「個人情報データベース等」を構成する情報(法第2条第2項、施行令第1条)に限定されます。顧客データベースだけでなく、業務用の携帯電話のアドレス帳、業務用パソコン内の表計算ソフトの文書、各種名簿類が「個人情報データベース等」に該当しますので、それらを構成する本人の個人情報が対象となります。


(2)開示を求める「本人が識別できる」範囲の情報であること

上述した「個人情報データベース等」において、開示を求める本人の氏名等をキーワードとして、検索可能な範囲が対象となります。


(3)不開示事由に該当しないこと

開示することにより次のいずれかに該当する場合は、その全部又は一部を開示しないことができます(法第25条第1項但書)。これを不開示事由ということもあります。


1. 本人又は第三者の生命、身体、財産その他の権利利益を害するおそれがある場合(法第25条第1項第1号)は開示してはいけません。

具体的には、次のような事例があります。

事例) 医療機関等において、病名等を開示することにより、本人の心身状況を悪化させるおそれがある場合

2. 個人情報取扱事業者の業務の適正な実施に著しい支障を及ぼすおそれがある場合(法第25条第1項第2号)は開示しないことができます。

具体的には、次のような事例があります。

事例1) 試験実施機関において、採点情報のすべてを開示することにより、試験制度の維持に著しい支障を及ぼすおそれがある場合 事例2) 同一の本人から複雑な対応を要する同一内容について繰り返し開示の求めがあり、事実上問い合わせ窓口が占有されることによって他の問い合わせ対応業務が立ち行かなくなる等、業務上著しい支障を及ぼすおそれがある場合

3. 他の法令に違反することとなる場合(法第25条第1項第3号)には、開示してはいけません。

例えば、次のような事例があります。

事例) 金融機関が「組織的な犯罪の処罰及び犯罪収益の規制等に関する法律」第54条第1項に基づいて、主務大臣に取引の届出を行っていたときに、当該届出を行ったことが記録されている保有個人データを開示することが同条第2項の規定に違反する場合


4.開示の求めの手続

開示を求めるための手続は、法第29条が定めています。


(1)開示等の求めを受け付ける方法(法第29条第1項)

個人情報取扱事業者は、保有個人データの「開示等の求め」があった場合は、申請書の様式、窓口の特定、郵送等の受付を認めるか否かといった「その求めを受け付ける方法」を定めることができます。

また、その求めを受け付ける方法を定めた場合には、「本人の知りうる状態(本人の求めに応じて遅滞なく回答する場合を含む。)」に置いておく必要があります。自社のホームページへ掲載する方法が一般的です。


(2)保有個人データを特定するに足りる事項の提示の求め(法第29条第2項)

個人情報取扱事業者は、円滑に開示等の手続が行えるよう、その対象となる保有個人データを特定するに足りる事項の提示を求めることができます。

全ての保有個人データの開示を求められても対応が困難ですから、さらに対象を特定してもらえるということです。

この場合において、個人情報取扱事業者は、本人が容易かつ的確に開示等の求めをすることができるよう、当該保有個人データの特定に資する情報の提供その他本人の利便性を考慮した適切な措置をとらなければなりません。本人の開示範囲を特定してもらうにしても、本人にしてみれば相手方事業者のデータの管理状況がどうなっているかわかりませんから、特定しようにも適切な表現がみつからないのが実情です。したがって、事業者の側も、いわばメニューを用意するなど一定の配慮が必要だということをいっているわけです。


(3)本人の代理人であることを確認する手続(法第29条第3項)

開示等の求めは、代理人によってすることができることから、個人情報取扱事業者は、本人の代理人であることを確認する手続について定める必要があります。


(4)本人の負担に関する配慮義務(法第29条第4項)

個人情報取扱事業者は、開示等の求めに応じる手続を定めるに当たっては、多数の書類を求めることや、受付窓口を不便な場所に限定すること等、本人に過重な負担を課するものとならないよう配慮しなければなりません。



5.開示の求めの効果

個人情報取扱事業者は、本人に対し、遅滞なく、当該保有個人データを開示しなければなりません。また、本人が識別される保有個人データが存在しないときは、存在しないことを本人に知らせなければなりません(本条第1項本文括弧書き)。

開示の方法は、政令で定める方法によるものとされています。政令は、書面の交付による方法を原則としていますが、開示の求めを行った者が同意した方法(例えばメールに添付する等の方法)があるときは、その方法によることも認めています。


【監修者】
鈴木 正朝(すずき・まさとも)

新潟大学法科大学院 教授
1962年4月生まれ。
中央大学大学院法学研究科博士前期課程修了 修士(法学)、情報セキュリティ大学院大学博士後期課程修了 博士(情報学)。専門は情報法。
ニフティ(株)を経て、現職。この間,山口大学,京都女子大学等の非常勤講師、(独)メディア教育開発センター客員教授を兼任。学外活動として、情報ネットワーク法学会理事、経済産業分野個人情報保護ガイドラインやJISQ15001の作成やプライバシーマーク制度の創設にかかわる。
主著は『個人情報保護法とコンプライアンス・プログラム』(商事法務)岡村久道弁護士との共著『これだけは知っておきたい個人情報保護』(日本経済新聞社)は、 2005年のベストセラーとなる。その他著書論文多数。

ホームページ:http://www.rompal.com/

鈴木氏執筆の過去掲載コラムはこちら
『どんと来い、個人情報保護法』

[イラスト]

加藤 豪(かとう ごう)

大阪府出身。ユーモアを含んだ勢いとコントラストの強いカラーのイラスト、人の心理をテーマにしたちょっとシュールな4コマ漫画、短編等を制作しています。

■ホームページ : http://www.occn.zaq.ne.jp/kato5/