「保有個人データ」の取り扱いは、個人情報保護法改正でどう変わる？：短期保有データの扱いにも変化（4/5 ページ）

個人情報保護法の改正で、「保有個人データ」の取り扱いはどう変わるのか？　改正のポイントと、詳しい既定の内容を解説します。

[BUSINESS LAWYERS]

3-4.令和2年改正法ではどのような規定が設けられたか

（1）利用停止等・第三者提供の停止の請求の要件（通則編ガイドライン3-8-5-1／※3）

（※3）個人情報の保護に関する法律についてのガイドライン（通則編）（平成28年11月30日個人情報保護委員会告示第６号）

　現行法では、法（個人情報保護法16条【18条】、（1）個人情報保護法17条【19条】）違反の場合の利用停止等（利用停止または消去）および（2）法違反の場合の第三者提供の停止が認められています（個人情報保護法30条【35条】1項、3項）。

　改正法ではこれら（1・2）に加えて、個人情報保護法30条【35条】5項の要件を満たす場合の利用停止等または第三者提供の停止が追加されます。具体的には、（3）利用する必要がなくなった場合、（4）当該本人が識別される保有個人データにかかる個人情報保護法22条の2【26条】1項本文に規定する事態が生じた場合、及び、（5）当該本人の正当な利益が害されるおそれがある場合です。

利用停止等（利用停止・消去）・第三者提供の停止の請求の要件

1.法違反の場合の利用停止等（個人情報保護法30条【35条】1項）

• （1）個人情報を目的外利用した場合（個人情報保護法16条【18条】違反）
• （2）不正の手段により取得した場合（個人情報保護法17条【19条】違反）

2.法違反の場合の第三者提供の停止（個人情報保護法30条【35条】3項）

個人情報保護法23条【27条】1項または個人情報保護法24条【28条】の規定に違反して本人の同意なく第三者提供されている場合

〇個人情報保護法30条【35条】5項の要件を満たす場合の利用停止等または第三者提供の停止（改正で追加）

• （1）利用する必要がなくなった場合
• （2）当該本人が識別される保有個人データに係る法22条の2第1項本文に規定する事態が生じた場合
• （3）当該本人の正当な利益が害されるおそれがある場合

※上記3の場合は、当該保有個人データの利用停止等または第三者提供の停止に多額の費用を要する場合その他の利用停止等の停止を行うことが困難な場合であって、本人の権利利益を保護するため必要なこれに代わるべき措置をとるときは利用停止等または第三者提供の停止に応じなくてよい。

　「消去」とは、保有個人データを保有個人データとして使えなくすることであり、当該データを削除することのほか、当該データから特定の個人を識別できないようにすることなどを含みます。

1.法違反の場合の利用停止等

　個人情報取扱事業者は、本人から、当該本人が識別される保有個人データが、個人情報保護法16条【18条】の規定に違反して本人の同意なく目的外利用がされているもしくは個人情報保護法16条の2【19条】の規定に違反して不適正な利用が行われている、または個人情報保護法17条【20条】の規定に違反して偽りその他不正の手段により個人情報が取得されもしくは本人の同意なく要配慮個人情報が取得されたものであるという理由によって、利用停止等の請求を受けた場合であって、その請求に理由があることが判明したときは、原則として、遅滞なく、利用停止等を行わなければなりません。

　法違反である旨の指摘が正しくない場合は、利用停止等を行う必要はありません。

2.法違反の場合の第三者提供の停止

　個人情報取扱事業者は、本人から、当該本人が識別される保有個人データが、個人情報保護法23条【27条】１項または個人情報保護法24条【28条】の規定に違反して本人の同意なく第三者に提供されているという理由によって、当該保有個人データの第三者提供の停止の請求を受けた場合であって、その請求に理由があることが判明したときは、原則として、遅滞なく、第三者提供の停止を行わなければなりません。

　法違反である旨の指摘が正しくない場合は、第三者提供を停止する必要はありません。

3.個人情報保護法30条【35条】5項の要件を満たす場合の利用停止等または第三者提供の停止

　個人情報取扱事業者は、次の（i）から（iii）までのいずれかに該当する場合については、原則として、遅滞なく、利用停止等または第三者提供の停止を行わなければなりません。

• （i）利用する必要がなくなった場合
• （ii）当該本人が識別される保有個人データに係る個人情報保護法22条の2【26条】第1項本文に規定する事態が生じた場合
• （iii）当該本人の正当な利益が害されるおそれがある場合

（i）利用する必要がなくなった場合

　個人情報取扱事業者は、本人から、当該本人が識別される保有個人データを当該個人情報取扱事業者が利用する必要がなくなったという理由によって、当該保有個人データの利用停止等または第三者提供の停止の請求を受けた場合であって、その請求に理由があることが判明したときは、原則として、遅滞なく、利用停止等または第三者提供の停止を行わなければなりません。

　「当該個人情報取扱事業者が利用する必要がなくなった」とは、個人情報保護法19条【22条】と同様に、当該保有個人データについて利用する必要がなくなったとき、すなわち、利用目的が達成され当該目的との関係では当該保有個人データを保有する合理的な理由が存在しなくなった場合や利用目的が達成されなかったものの当該目的の前提となる事業自体が中止となった場合などをいいます。請求の対象となっている保有個人データにつき、複数の利用目的がある場合、全ての利用目的との関係で「利用する必要がなくなった」かどうかを判断する必要があります。

【採用面接で不採用とした応募者の個人データ】（令和3年9月に更新されたQ&A 9-20）

　会社の採用面接で不採用にした応募者から、当該会社に提出された履歴書の返却が求められた場合、個人情報保護法では、本人からの請求による保有個人データの削除（法29条【34条】）、保有個人データの利用の停止又は消去（法30条【35条】）に関する規定は定められていますが、履歴書などの受け取った書類を返還する義務は規定されていません。そのため、個人情報保護法上、提出された履歴書を返却する義務はありません。

　他方、応募者本人から、履歴書に記載された当該本人の情報について、保有個人データに該当する場合に、再応募への対応などのための合理的な期間が経過した後、利用する必要がなくなった場合に該当するとして利用停止等の請求を受けたときには、当該請求に応じる義務があると考えられます（法30条【35条】6項）。

　なお、法19条【22条】では、個人データの消去についての努力義務が明記されていますので、個人情報取扱事業者は、個人データを利用する必要がなくなったときは、当該個人データを遅滞なく消去するよう努めなければなりません。

【退職した社員の個人データ】（令和3年9月に追加されたQ&A 9-22）

　退職した社員から、法30条【35条】5項に基づき、利用する必要がなくなった場合に該当するとして保有個人データの消去を求められた場合、退職した社員の個人データについて、取得時に特定した利用目的の範囲内で利用することは可能ですが、当該利用目的が達成されたときには、利用する必要がなくなった場合に該当し、当該請求に応じる義務があると考えられます（法30条【35条】6項）。

（ii）当該本人が識別される保有個人データにかかる個人情報保護法22条の2【26条】第1項本文に規定する事態（個人データの漏えい等）が生じた場合

　個人情報取扱事業者は、本人から、当該本人が識別される保有個人データにかかる個人情報保護法22 条の2【26条】第1項本文に規定する事態が生じたという理由によって、当該保有個人データの利用停止等または第三者提供の停止の請求を受けた場合であって、その請求に理由があることが判明したときは、原則として、遅滞なく、利用停止等または第三者への提供の停止を行わなければなりません。

　「当該本人が識別される保有個人データにかかる個人情報保護法22条の2【26条】第1項本文に規定する事態が生じた」とは、個人情報保護法22条の2【26条】第1項本文に定める漏えい等事案が生じたことをいいます。

（iii）当該本人の権利または正当な利益が害されるおそれがある場合

　個人情報取扱事業者は、本人から、当該本人が識別される保有個人データの取扱いにより当該本人の権利または正当な利益が害されるおそれがあるという理由によって、当該保有個人データの利用停止等または第三者提供の停止の請求を受けた場合であって、その請求に理由があることが判明したときは、原則として、遅滞なく、利用停止等または第三者への提供の停止を行わなければなりません。

　「本人の権利または正当な利益が害されるおそれがある場合」とは、法目的に照らして保護に値する正当な利益が存在し、それが侵害されるおそれがある場合をいいます。

　「正当」かどうかは、相手方である個人情報取扱事業者との関係で決まるものであり、個人情報取扱事業者に本人の権利利益の保護の必要性を上回る特別な事情がない限りは、個人情報取扱事業者は請求に応じる必要があります。本人の権利利益の保護の必要性を上回る特別な事情があるかどうかを判断するにあたっては、例えば、以下のような事情を考慮することになります。

• 本人または第三者の生命、身体、財産その他の権利利益を保護するために当該保有個人データを取り扱う事情
• 法令を順守するために当該保有個人データを取り扱う事情
• 契約にかかる義務を履行するために当該保有個人データを取り扱う事情
• 違法または不当な行為を防止するために当該保有個人データを取り扱う事情
• 法的主張、権利行使または防御のために当該保有個人データを取り扱う事情

　このうち、「法令を順守するために当該保有個人データを取り扱う事情」としては、例えば、当該保有個人データにつき法令上保管が義務付けられている場合などが考えられますが、保管が義務付けられていない保有個人データについて、将来の行政調査などのために保管することは通常考慮されないと考えられます（令和3年9月に追加されたQ&A 9-24）。

　「おそれ」は、一般人の認識を基準として、客観的に判断します。

　以下の事例は個人情報の保護に関する法律についてのガイドライン（通則編）（令和3年10月29日 令和4年4月1日施行）に掲載されており、実務上の参考となる点も多いため、紹介します。

【本人の権利または正当な利益が害されるおそれがあるとして利用停止等または第三者提供の停止が認められると考えられる事例（通則編ガイドライン3-8-5-3）】

• 事例1）ダイレクトメールの送付を受けた本人が、送付の停止を求める意思を表示したにもかかわらず、個人情報取扱事業者がダイレクトメールを繰り返し送付していることから、本人が利用停止を請求する場合
• 事例2）電話勧誘を受けた本人が、電話勧誘の停止を求める意思を表示したにもかかわらず、個人情報取扱事業者が本人に対する電話勧誘を繰り返し行っていることから、本人が利用停止等を請求する場合
• 事例3）個人情報取扱事業者が、安全管理措置を十分に講じておらず、本人を識別する保有個人データが漏えい等するおそれがあることから、本人が利用停止等を請求する場合
• 事例4）個人情報取扱事業者が、法23条【27条】1項に違反して第三者提供を行っており、本人を識別する保有個人データについても本人の同意なく提供されるおそれがあることから、本人が利用停止等を請求する場合
• 事例5）個人情報取扱事業者が、退職した従業員の情報を現在も自社の従業員であるようにWebサイトなどに掲載し、これによって本人に不利益が生じていることから、本人が利用停止等を請求する場合

　ダイレクトメールについては、事例1）の場合のほか、「ダイレクトメールを送付するために個人情報取扱事業者が保有していた情報について、当該個人情報取扱事業者がダイレクトメールの送付を停止した後、本人が消去を請求した場合」が「当該本人の権利または正当な利益が害されるおそれがある場合」に該当するものと考えられます。

　なお、個人情報取扱事業者は、個人情報の取扱いに関する苦情の適切かつ迅速な処理に努めなければならないとされているため（法35条【40条】第1項）、利用停止等の請求に理由がない場合であっても、顧客からのダイレクトメールの停止などの要求を苦情として扱ったうえで、適切かつ迅速に処理するよう努めなければなりません（令和3年9月に更新されたQ&A 9-21）。

【本人の権利又は正当な利益が害されるおそれがないとして利用停止等又は第三者提供の停止が認められないと考えられる事例（通則編ガイドライン3-8-5-3）】

• 事例1）電話の加入者が、電話料金の支払いを免れるため、電話会社に対して課金に必要な情報の利用停止等を請求する場合
• 事例2）インターネット上で匿名の投稿を行った者が、発信者情報開示請求による発信者の特定やその後の損害賠償請求を免れるため、プロバイダーに対してその保有する接続認証ログなどの利用停止等を請求する場合
• 事例3）過去に利用規約に違反したことを理由としてサービスの強制退会処分を受けた者が、再度当該サービスを利用するため、当該サービスを提供する個人情報取扱事業者に対して強制退会処分を受けたことを含むユーザー情報の利用停止等を請求する場合
• 事例4）過去の信用情報に基づく融資審査により新たな融資を受けることが困難になった者が、新規の借入れを受けるため、当該信用情報を保有している個人情報取扱事業者に対して現に審査に必要な信用情報の利用停止等又は第三者提供の停止を請求する場合

　事例4）の信用情報については、将来本人から融資などの申込みがあった場合に備えて一定期間保有しておく必要があることから、本人が今後一切融資を申し込むつもりがないと述べていることをもって、「現に審査に必要」ではないといえず、利用停止等又は第三者提供の停止の請求に応じる必要はないと考えられます（令和3年9月に追加されたQ&A 9-23）。

（2）本人の権利利益の侵害を防止するために必要な限度（改正法30条【35条】6項、通則編ガイドライン3-8-5-2）

　上記（1）の1から3までのいずれか（利用停止等・第三者提供の停止の請求の要件）に該当する場合、個人情報取扱事業者は、本人の権利利益の侵害を防止するために必要な限度で、遅滞なく、当該保有個人データの利用停止等または第三者への提供の停止を行わなければなりません。

【本人からの請求に対し、本人の権利利益の侵害を防止するために必要な限度での対応として考えられる事例（通則編ガイドライン3-8-5-3）】

• 事例1）本人から保有個人データの全てについて、利用停止等が請求された場合に、一部の保有個人データの利用停止等によって、生じている本人の権利利益の侵害のおそれを防止できるものとして、一部の保有個人データに限定して対応を行う場合
• 事例 2）法23条【27条】1項に違反して第三者提供が行われているとして保有個人データの消去を請求された場合に、利用停止又は第三者提供の停止による対応によって、生じている本人の権利利益の侵害のおそれを防止できるものとして、利用停止又は第三者提供の停止による対応を行う場合

（3）本人の権利履歴を保護するため必要なこれに代わるべき措置（法30条【35条】6項、通則編ガイドライン3-8-5-3）

　個人情報取扱事業者は、上記（1）のか（1）ら（3）までのいずれか（利用停止等・第三者提供の停止の請求の要件）に該当する場合であっても、当該保有個人データの利用停止等または第三者への提供の停止に多額の費用を要する場合その他の利用停止等または第三者への提供の停止を行うことが困難な場合であって、本人の権利利益を保護するため必要なこれに代わるべき措置をとるときは、利用停止等または第三者提供の停止に応じなくてもよいことになります。

　「困難な場合」については、利用停止等または第三者提供の停止に多額の費用を要する場合のほか、個人情報取扱事業者が正当な事業活動において保有個人データを必要とする場合についても該当し得ます。

　「困難な場合」には、金銭的なコスト以外にも、例えば、個人情報取扱事業者が正当な事業活動において保有個人データを必要とする場合も該当し得ます（ガイドラインパブコメ回答（概要）42番）。

　代替措置については、事案に応じてさまざまですが、生じている本人の権利利益の侵害のおそれに対応するものであり、本人の権利利益の保護に資するものである必要があります。

【本人の権利利益を保護するため必要なこれに代わるべき措置として考えられる事例（通則編ガイドライン3-8-5-3）】

• 事例1）既に市販されている名簿の刷り直し及び回収作業に多額の費用を要するとして、名簿の増刷時の訂正を約束する場合や必要に応じて金銭の支払いをする場合
• 事例2）個人情報保護委員会への報告の対象となる重大な漏えい等が発生した場合において、当該本人との契約が存続しているため、利用停止等が困難であるとして、以後漏えい等の事態が生じることがないよう、必要かつ適切な再発防止策を講じる場合
• 事例3）他の法令の規定により保存が義務付けられている保有個人データを直ちに消去する代わりに、当該法令の規定による保存期間の終了後に消去することを約束する場合

　個人情報取扱事業者は、上記により、利用停止等を行ったときもしくは利用停止等を行わない旨の決定をしたとき、または、第三者提供の停止を行ったときもしくは第三者提供を停止しない旨の決定をしたときは、遅滞なく、その旨を本人に通知しなければなりません。

　なお、消費者など、本人の権利利益保護の観点からは、事業活動の特性、規模および実態を考慮して、保有個人データについて本人から求めがあった場合には、自主的に利用停止等または第三者提供の停止に応じるなど、本人からの求めにより一層対応していくことが望ましいです。