「保有個人データ」の取り扱いは、個人情報保護法改正でどう変わる?:短期保有データの扱いにも変化(2/5 ページ)
個人情報保護法の改正で、「保有個人データ」の取り扱いはどう変わるのか? 改正のポイントと、詳しい既定の内容を解説します。
2.保有個人データの開示請求のデジタル化(個人情報保護法28条【33条】)
2-1.改正前の個人情報保護法における規定
現行法では、本人への開示方法は、書面の交付による方法(開示の請求を行った者が同意した方法があるときは、当該方法)とされています(個人情報保護法28条【33条】2項、個人情報保護法施行令9条【11条】)。
2-2.改正の背景
(1)開示請求のデジタル化の必要性
開示の提供形式について、令和2年改正法の施行前の個人情報保護法では、「書面の交付による方法」を原則としつつ、「開示の請求を行った者が同意した方法があるときは、当該方法」とされています(個人情報保護法施行令9条【11条】)。
開示請求の対象となる保有個人データについては、情報技術の進展により、膨大な情報を含む場合があるところ、当該保有個人データを印字した書面を交付された本人にとっては、検索も困難であり、その内容を十分に認識することができないおそれがあります。
特に、当該保有個人データが音声や動画である場合は、その内容を書面上に再現すること自体が困難です。このように、書面による開示では、当該保有個人データの取扱状況を十分に明らかにすることができず、これを前提に訂正などならびに利用停止等および第三者提供の停止の請求を行うことが困難なケースがあります。また、開示された個人データを本人が利用する場面で、電磁的形式である方が利便性が高い場合も少なくありません。
(2)GDPRのデータポータビリティの権利
EUのGDPRにおいても、事業者は、本人の求めに応じて、保有する個人データを提供する義務が課せられていますが、特定の条件を満たす場合には、本人が他の用途で利用しやすい電子的形式で、本人または本人が望む他の事業者に、個人情報を提供する義務が課されており「データポータビリティの権利」と称されています(GDPR第20条)。なお、本人が望む他の事業者に直接個人情報を提供させることができるのは、技術的に実行可能な場合に限定されています。
(3)デジタル手続法の成立
2019年通常国会で民間手続における情報通信技術の活用の促進などをうたった「情報通信技術の活用による行政手続等に係る関係者の利便性の向上並びに行政運営の簡素化及び効率化を図るための行政手続等における情報通信の技術の利用に関する法律等の一部を改正する法律」(いわゆる「デジタル手続法」)が成立したことなどを踏まえ、個人情報保護法における開示の際の電磁的形式による提供についても、利用者の利便を考慮しつつ、明確化をすべきであると考えられます。
2-3.令和2年個人情報保護法改正ではどのような規定が設けられたか
(1)開示請求の方法(個人情報保護法28条【33条】1項、個人情報保護法施行規則18条の6【30条】)(改正)
本人は、個人情報取扱事業者に対し、(1)電磁的記録の提供による方法、(2)書面の交付による方法、(3)その他当該個人情報取扱事業者が定める方法により開示を請求することができることとされました。
(2)開示方法(個人情報保護法28条【33条】2項)
現行法では、保有個人データの開示は書面の交付による方法が原則です(個人情報保護法28条【33条】2項、個人情報保護法施行令9条【11条】)が、改正法では、当該本人が請求した方法(当該方法による開示に多額の費用を要する場合その他の当該方法による開示が困難である場合にあっては、書面の交付による方法)により遅滞なく、当該保有個人データを開示することとされました。
【本人が保有個人データの電磁的記録の提供による方法による開示を請求した場合】(令和3年9月に追加されたQ&A 9-10/※2)
(※2)「個人情報の保護に関する法律についてのガイドライン」及び「個人データの漏えい等の事案が発生した場合等の対応について」に関するQ&A」(平成 29 年2月 16 日個人情報保護委員会)
個人情報取扱事業者は、本人が保有個人データの電磁的記録の提供による方法による開示を請求した場合には、当該方法による開示が困難である場合を除き、電磁的記録の提供による方法(本人が請求した方法)でこれを開示する必要があります。
この場合、個人情報取扱事業者は、電磁的記録のファイル形式(PDF形式、Word形式など)や、電磁的記録の提供方法(電磁的記録を記録媒体に保存してこれを郵送する、電磁的記録を電子メールに添付して送信する、Webサイト上で電磁的記録をダウンロードさせるなど)を定めることができ、本人がファイル形式などを指定した場合であっても、これに応じる必要はありません。
このため、個人情報取扱事業者は、本人が指定したファイル形式などによる開示が困難な場合には、個人情報取扱事業者において対応可能なファイル形式などで開示すれば足ります。もっとも、本人の利便性向上の観点から、できる限り本人の要望に沿った形で対応することが望ましいと考えられます。
【「遅滞なく」開示の意義】(令和3年9月に追加されたQ&A 9-12)
「遅滞なく」とは理由のない滞りを生じさせることなくという趣旨です。請求対象となるデータを検索・集約するなどの一定の作業を要する場合には、当該作業を行うために通常必要と考えられる期間も考慮した上で、合理的な期間内に開示を行えば、「遅滞なく」開示したこととなると考えられます。
【開示請求を受けた場合の手数料】(令和3年9月に更新されたQ&A 9-29)
本人から保有個人データの開示の請求を受けた個人情報取扱事業者は、開示の実施に関し手数料を徴収することが認められています(法33条【38条】第1項)。しかし、その手数料の額は、実費を勘案して合理的であると認められる範囲内で定めなければなりません(同条第2項)。
関連記事
- 法改正に伴うCookie対応、BtoB企業はどこまで必要? 英語ページで変えるべき? 専門家に聞くQ&A
2022年4月に迫る個人情報保護法の改正に備え、自社のCookie対応などをどこまでするべきか迷っている担当者は少なくないだろう。「BtoB企業はどこまで対応すべきか?」「英語ページと日本語ページで対応を分けるべきなのか?」などの疑問に、弁護士・ニューヨーク州弁護士の石川智也氏が回答した。 - Cookie規制って結局、何が変わるの? 2022年の改正個人情報保護法、注目すべきポイントを解説
Google ChromeなどのCookie廃止、2022年の改正個人情報保護法──Web広告やデジタルマーケティングを巡る状況は大きく変化しています。世界的な潮流から国内の影響までを解説します。 - 幹部候補か、“万年ヒラ”か キャリアの分かれ目「30代以降の配置」を、人事はどう決めている?
「育成」の観点から異動配置させる20代が過ぎると、多くの企業は「幹部候補の優秀人材」と「それ以外」の社員を選別します。人事は、そうした異動配置をどのように決めているのでしょうか。年代層別の異動配置のロジックをみていきます。 - 「優秀だが、差別的な人」が面接に来たら? アマゾン・ジャパン人事が本人に伝える“一言”
多様性を重視するアマゾン・ジャパンの面接に「極めてだが優秀だが、差別的な人」が来た場合、どのような対応を取るのか。人事部の責任者である上田セシリアさんに聞いた。 - 「優秀でも残念でもない、普通社員」の異動に、人事が関心を持たない──何が起きるのか
社員の異動を考える際、人事部が真っ先に関心を持つのは「優秀社員」と「残念社員」。その間にいる大多数の「普通社員」は後回しにされがちという実態がある。しかし、この層への取り組みを疎かにすると、ある懸念が生まれる。
© BUSINESS LAWYERS