(※3)個人情報の保護に関する法律についてのガイドライン(通則編)(平成28年11月30日個人情報保護委員会告示第6号)
現行法では、法(個人情報保護法16条【18条】、(1)個人情報保護法17条【19条】)違反の場合の利用停止等(利用停止または消去)および(2)法違反の場合の第三者提供の停止が認められています(個人情報保護法30条【35条】1項、3項)。
改正法ではこれら(1・2)に加えて、個人情報保護法30条【35条】5項の要件を満たす場合の利用停止等または第三者提供の停止が追加されます。具体的には、(3)利用する必要がなくなった場合、(4)当該本人が識別される保有個人データにかかる個人情報保護法22条の2【26条】1項本文に規定する事態が生じた場合、及び、(5)当該本人の正当な利益が害されるおそれがある場合です。
個人情報保護法23条【27条】1項または個人情報保護法24条【28条】の規定に違反して本人の同意なく第三者提供されている場合
〇個人情報保護法30条【35条】5項の要件を満たす場合の利用停止等または第三者提供の停止(改正で追加)
※上記3の場合は、当該保有個人データの利用停止等または第三者提供の停止に多額の費用を要する場合その他の利用停止等の停止を行うことが困難な場合であって、本人の権利利益を保護するため必要なこれに代わるべき措置をとるときは利用停止等または第三者提供の停止に応じなくてよい。
「消去」とは、保有個人データを保有個人データとして使えなくすることであり、当該データを削除することのほか、当該データから特定の個人を識別できないようにすることなどを含みます。
個人情報取扱事業者は、本人から、当該本人が識別される保有個人データが、個人情報保護法16条【18条】の規定に違反して本人の同意なく目的外利用がされているもしくは個人情報保護法16条の2【19条】の規定に違反して不適正な利用が行われている、または個人情報保護法17条【20条】の規定に違反して偽りその他不正の手段により個人情報が取得されもしくは本人の同意なく要配慮個人情報が取得されたものであるという理由によって、利用停止等の請求を受けた場合であって、その請求に理由があることが判明したときは、原則として、遅滞なく、利用停止等を行わなければなりません。
法違反である旨の指摘が正しくない場合は、利用停止等を行う必要はありません。
個人情報取扱事業者は、本人から、当該本人が識別される保有個人データが、個人情報保護法23条【27条】1項または個人情報保護法24条【28条】の規定に違反して本人の同意なく第三者に提供されているという理由によって、当該保有個人データの第三者提供の停止の請求を受けた場合であって、その請求に理由があることが判明したときは、原則として、遅滞なく、第三者提供の停止を行わなければなりません。
法違反である旨の指摘が正しくない場合は、第三者提供を停止する必要はありません。
個人情報取扱事業者は、次の(i)から(iii)までのいずれかに該当する場合については、原則として、遅滞なく、利用停止等または第三者提供の停止を行わなければなりません。
個人情報取扱事業者は、本人から、当該本人が識別される保有個人データを当該個人情報取扱事業者が利用する必要がなくなったという理由によって、当該保有個人データの利用停止等または第三者提供の停止の請求を受けた場合であって、その請求に理由があることが判明したときは、原則として、遅滞なく、利用停止等または第三者提供の停止を行わなければなりません。
「当該個人情報取扱事業者が利用する必要がなくなった」とは、個人情報保護法19条【22条】と同様に、当該保有個人データについて利用する必要がなくなったとき、すなわち、利用目的が達成され当該目的との関係では当該保有個人データを保有する合理的な理由が存在しなくなった場合や利用目的が達成されなかったものの当該目的の前提となる事業自体が中止となった場合などをいいます。請求の対象となっている保有個人データにつき、複数の利用目的がある場合、全ての利用目的との関係で「利用する必要がなくなった」かどうかを判断する必要があります。
【採用面接で不採用とした応募者の個人データ】(令和3年9月に更新されたQ&A 9-20)
会社の採用面接で不採用にした応募者から、当該会社に提出された履歴書の返却が求められた場合、個人情報保護法では、本人からの請求による保有個人データの削除(法29条【34条】)、保有個人データの利用の停止又は消去(法30条【35条】)に関する規定は定められていますが、履歴書などの受け取った書類を返還する義務は規定されていません。そのため、個人情報保護法上、提出された履歴書を返却する義務はありません。
他方、応募者本人から、履歴書に記載された当該本人の情報について、保有個人データに該当する場合に、再応募への対応などのための合理的な期間が経過した後、利用する必要がなくなった場合に該当するとして利用停止等の請求を受けたときには、当該請求に応じる義務があると考えられます(法30条【35条】6項)。
なお、法19条【22条】では、個人データの消去についての努力義務が明記されていますので、個人情報取扱事業者は、個人データを利用する必要がなくなったときは、当該個人データを遅滞なく消去するよう努めなければなりません。
【退職した社員の個人データ】(令和3年9月に追加されたQ&A 9-22)
退職した社員から、法30条【35条】5項に基づき、利用する必要がなくなった場合に該当するとして保有個人データの消去を求められた場合、退職した社員の個人データについて、取得時に特定した利用目的の範囲内で利用することは可能ですが、当該利用目的が達成されたときには、利用する必要がなくなった場合に該当し、当該請求に応じる義務があると考えられます(法30条【35条】6項)。
個人情報取扱事業者は、本人から、当該本人が識別される保有個人データにかかる個人情報保護法22 条の2【26条】第1項本文に規定する事態が生じたという理由によって、当該保有個人データの利用停止等または第三者提供の停止の請求を受けた場合であって、その請求に理由があることが判明したときは、原則として、遅滞なく、利用停止等または第三者への提供の停止を行わなければなりません。
「当該本人が識別される保有個人データにかかる個人情報保護法22条の2【26条】第1項本文に規定する事態が生じた」とは、個人情報保護法22条の2【26条】第1項本文に定める漏えい等事案が生じたことをいいます。
個人情報取扱事業者は、本人から、当該本人が識別される保有個人データの取扱いにより当該本人の権利または正当な利益が害されるおそれがあるという理由によって、当該保有個人データの利用停止等または第三者提供の停止の請求を受けた場合であって、その請求に理由があることが判明したときは、原則として、遅滞なく、利用停止等または第三者への提供の停止を行わなければなりません。
「本人の権利または正当な利益が害されるおそれがある場合」とは、法目的に照らして保護に値する正当な利益が存在し、それが侵害されるおそれがある場合をいいます。
「正当」かどうかは、相手方である個人情報取扱事業者との関係で決まるものであり、個人情報取扱事業者に本人の権利利益の保護の必要性を上回る特別な事情がない限りは、個人情報取扱事業者は請求に応じる必要があります。本人の権利利益の保護の必要性を上回る特別な事情があるかどうかを判断するにあたっては、例えば、以下のような事情を考慮することになります。
このうち、「法令を順守するために当該保有個人データを取り扱う事情」としては、例えば、当該保有個人データにつき法令上保管が義務付けられている場合などが考えられますが、保管が義務付けられていない保有個人データについて、将来の行政調査などのために保管することは通常考慮されないと考えられます(令和3年9月に追加されたQ&A 9-24)。
「おそれ」は、一般人の認識を基準として、客観的に判断します。
以下の事例は個人情報の保護に関する法律についてのガイドライン(通則編)(令和3年10月29日 令和4年4月1日施行)に掲載されており、実務上の参考となる点も多いため、紹介します。
【本人の権利または正当な利益が害されるおそれがあるとして利用停止等または第三者提供の停止が認められると考えられる事例(通則編ガイドライン3-8-5-3)】
ダイレクトメールについては、事例1)の場合のほか、「ダイレクトメールを送付するために個人情報取扱事業者が保有していた情報について、当該個人情報取扱事業者がダイレクトメールの送付を停止した後、本人が消去を請求した場合」が「当該本人の権利または正当な利益が害されるおそれがある場合」に該当するものと考えられます。
なお、個人情報取扱事業者は、個人情報の取扱いに関する苦情の適切かつ迅速な処理に努めなければならないとされているため(法35条【40条】第1項)、利用停止等の請求に理由がない場合であっても、顧客からのダイレクトメールの停止などの要求を苦情として扱ったうえで、適切かつ迅速に処理するよう努めなければなりません(令和3年9月に更新されたQ&A 9-21)。
【本人の権利又は正当な利益が害されるおそれがないとして利用停止等又は第三者提供の停止が認められないと考えられる事例(通則編ガイドライン3-8-5-3)】
事例4)の信用情報については、将来本人から融資などの申込みがあった場合に備えて一定期間保有しておく必要があることから、本人が今後一切融資を申し込むつもりがないと述べていることをもって、「現に審査に必要」ではないといえず、利用停止等又は第三者提供の停止の請求に応じる必要はないと考えられます(令和3年9月に追加されたQ&A 9-23)。
上記(1)の1から3までのいずれか(利用停止等・第三者提供の停止の請求の要件)に該当する場合、個人情報取扱事業者は、本人の権利利益の侵害を防止するために必要な限度で、遅滞なく、当該保有個人データの利用停止等または第三者への提供の停止を行わなければなりません。
【本人からの請求に対し、本人の権利利益の侵害を防止するために必要な限度での対応として考えられる事例(通則編ガイドライン3-8-5-3)】
個人情報取扱事業者は、上記(1)のか(1)ら(3)までのいずれか(利用停止等・第三者提供の停止の請求の要件)に該当する場合であっても、当該保有個人データの利用停止等または第三者への提供の停止に多額の費用を要する場合その他の利用停止等または第三者への提供の停止を行うことが困難な場合であって、本人の権利利益を保護するため必要なこれに代わるべき措置をとるときは、利用停止等または第三者提供の停止に応じなくてもよいことになります。
「困難な場合」については、利用停止等または第三者提供の停止に多額の費用を要する場合のほか、個人情報取扱事業者が正当な事業活動において保有個人データを必要とする場合についても該当し得ます。
「困難な場合」には、金銭的なコスト以外にも、例えば、個人情報取扱事業者が正当な事業活動において保有個人データを必要とする場合も該当し得ます(ガイドラインパブコメ回答(概要)42番)。
代替措置については、事案に応じてさまざまですが、生じている本人の権利利益の侵害のおそれに対応するものであり、本人の権利利益の保護に資するものである必要があります。
【本人の権利利益を保護するため必要なこれに代わるべき措置として考えられる事例(通則編ガイドライン3-8-5-3)】
個人情報取扱事業者は、上記により、利用停止等を行ったときもしくは利用停止等を行わない旨の決定をしたとき、または、第三者提供の停止を行ったときもしくは第三者提供を停止しない旨の決定をしたときは、遅滞なく、その旨を本人に通知しなければなりません。
なお、消費者など、本人の権利利益保護の観点からは、事業活動の特性、規模および実態を考慮して、保有個人データについて本人から求めがあった場合には、自主的に利用停止等または第三者提供の停止に応じるなど、本人からの求めにより一層対応していくことが望ましいです。
© BUSINESS LAWYERS
Special
PR注目記事ランキング