「保有個人データ」の取り扱いは、個人情報保護法改正でどう変わる？：短期保有データの扱いにも変化（5/5 ページ）

個人情報保護法の改正で、「保有個人データ」の取り扱いはどう変わるのか？　改正のポイントと、詳しい既定の内容を解説します。

[BUSINESS LAWYERS]

4.保有個人データの開示項目の充実

　個人情報取扱事業者は、保有個人データに関し、次に掲げる事項について、本人の知り得る状態（本人の求めに応じて遅滞なく回答する場合を含む。）に置かなければなりません（個人情報保護法27条【32条】1項各号、個人情報保護法施行令8条【10条】各号）。

　令和2年改正法により、保有個人データの開示項目として、以下の事項が追加されます。

• （i）当該個人情報取扱事業者が法人である場合にその代表者の氏名（下記1）
• （ii）個人情報保護法20条【23条】の規定により保有個人データの安全管理のために講じた措置（本人の知り得る状態（本人の求めに応じて遅滞なく回答する場合を含む）に置くことにより当該保有個人データの安全管理に支障を及ぼすおそれがあるものを除く）（下記4）

• 1.当該個人情報取扱事業者の氏名または名称および住所ならびに法人にあっては、その代表者の氏名（個人情報保護法27条【32条】1項1号）
• 2.全ての保有個人データの利用目的（個人情報保護法18条【21条】4項1号から3号までに該当する場合を除く）（個人情報保護法27条【32条】1項2号）
• 3.個人情報保護法27条【32条】2項の規定による求めまたは個人情報保護法28条【33条】1項、個人情報保護法29条【34条】1項（同条5項において準用する場合を含む）、個人情報保護法29条【34条】1項もしくは個人情報保護法30条【35条】1項、もしくは3項もしくは5項の規定による請求に応じる手続（個人情報保護法33条【38条】2項の規定により手数料の額を定めたときは、その手数料の額を含む。）（個人情報保護法28条【33条】1項3号）次項の規定による求めまたは次条第1項、第29条第1項もしくは第30条1項もしくは3項の規定による請求に応じる手続（33条2項の規定により手数料の額を定めたときは、その手数料の額を含む）（個人情報保護法27条【32条】1項3号）
• 4.個人情報保護法20条の規定により保有個人データの安全管理のために講じた措置（本人の知り得る状態（本人の求めに応じて遅滞なく回答する場合を含む）に置くことにより当該保有個人データの安全管理に支障を及ぼすおそれがあるものを除く）（個人情報保護法27条【32条】1項4号、個人情報保護法施行令8条【10条】1号）（※改正により追加）
• 5.当該個人情報取扱事業者が行う保有個人データの取扱いに関する苦情の申出先（同条2号）
• 6.当該個人情報取扱事業者が認定個人情報保護団体の対象事業者である場合にあっては、当該認定個人情報保護団体（同条3号）
• 7.団体の名称及び苦情の解決の申出先（同条4号）

4-1.令和2年個人情報保護法改正改正によって追加された保有個人データの開示項目（1）保有個人データの安全管理のために講じた措置とは

　個人情報取扱事業者は、個人情報保護法20条【23条】の規定により保有個人データの安全管理のために講じた措置の内容を本人の知り得る状態に置かなければなりません。

　ただし、当該保有個人データの安全管理に支障を及ぼすおそれがあるものについては、その必要はありません。

　当該安全管理のために講じた措置は、事業の規模および性質、保有個人データの取扱状況（取り扱う保有個人データの性質および量を含む）、保有個人データを記録した媒体などに起因するリスクに応じて、必要かつ適切な内容としなければなりません。このため、当該措置の内容は個人情報取扱事業者によって異なり、本人の知り得る状態に置く安全管理のために講じた措置の内容についても個人情報取扱事業者によって異なります。

　従業者の監督（法21条【24条】）・委託先の監督（法22条【25条】）は、法20条【23条】の安全管理措置の一環として、従業者および委託先に対する監督義務を明記するものであり、従業者および委託先に対する監督は、法20条【23条】の安全管理措置の一部を成します。このため、従業者および委託先に対する監督についても、法20条【23条】の規定により保有個人データの安全管理のために講じた措置として、本人の知り得る状態に置く必要があります。

　なお、本人の知り得る状態については、本人の求めに応じて遅滞なく回答する場合を含むため、講じた措置の概要や一部をWebサイトに掲載し、残りを本人の求めに応じて遅滞なく回答を行うといった対応も可能ですが、例えば、「個人情報の保護に関する法律についてのガイドライン（通則編）」に沿って安全管理措置を実施しているといった内容の掲載や回答のみでは適切ではありません。

　本人の知り得る状態に置く必要があるのは「保有個人データ」の安全管理のために講じた措置ですが、これに代えて、「個人データ」の安全管理のために講じた措置について本人の知り得る状態に置くことは妨げられません。

　下記事例も含め、掲げられている事例の内容の全てを本人の知り得る状態に置かなければならないわけではなく、また、本人の知り得る状態に置かなければならないものは事例の内容に限られません。個人情報取扱事業者は、「保有個人データの安全管理のために講じた措置」について、「本人の知り得る状態」に置く必要がありますが、「本人の知り得る状態」は、「本人の求めに応じて遅滞なく回答する場合」を含みます。

　例えば、Webサイトにおいて、安全管理措置の概要及び問合せ窓口を掲載し、本人からの問合せがあれば、安全管理措置の具体的な内容を遅滞なく回答する体制を構築している場合には、保有個人データの安全管理のために講じた措置について、「本人の知り得る状態（本人の求めに応じて遅滞なく回答する場合を含む）」に置いたこととなります（令和3年9月に追加されたQ&A 9-3）。

　本人の適切な理解と関与を促す観点から、事業の規模および性質、保有個人データの取扱状況などに応じて、下記事例以上に詳細な内容の掲載や回答とすることは、より望ましい対応です。

【安全管理のために講じた措置として本人の知り得る状態に置く内容の事例（通則編ガイドライン3-8-1）】

（基本方針の策定）

• 事例）個人データの適正な取扱いの確保のため、「関係法令・ガイドラインなどの順守」「質問及び苦情処理の窓口」などについての基本方針を策定

（個人データの取扱いにかかる規律の整備）

• 事例）取得、利用、保存、提供、削除・廃棄などの段階ごとに、取扱方法、責任者・担当者及びその任務などについて個人データの取扱規定を策定

（組織的安全管理措置）

• 事例1）個人データの取扱いに関する責任者を設置するとともに、個人データを取り扱う従業者及び当該従業者が取り扱う個人データの範囲を明確化し、法や取扱規定に違反している事実又は兆候を把握した場合の責任者への報告連絡体制を整備
• 事例2）個人データの取扱状況について、定期的に自己点検を実施するとともに、他部署や外部の者による監査を実施

（人的安全管理措置）

• 事例1）個人データの取扱いに関する留意事項について、従業者に定期的な研修を実施
• 事例2）個人データについての秘密保持に関する事項を就業規則に記載

（物理的安全管理措置）

• 事例1）個人データを取り扱う区域において、従業者の入退室管理及び持ち込む機器などの制限を行うとともに、権限を有しない者による個人データの閲覧を防止する措置を実施
• 事例2）個人データを取り扱う機器、電子媒体及び書類などの盗難又は紛失などを防止するための措置を講じるとともに、事業所内の移動を含め、当該機器、電子媒体などを持ち運ぶ場合、容易に個人データが判明しないよう措置を実施

（技術的安全管理措置）

• 事例1）アクセス制御を実施して、担当者及び取り扱う個人情報データベースなどの範囲を限定
• 事例2）個人データを取り扱う情報システムを外部からの不正アクセス又は不正ソフトウェアから保護する仕組みを導入

（外的環境の把握）

• 事例）個人データを保管しているA国における個人情報の保護に関する制度を把握した上で安全管理措置を実施（※4）

（※4）外国（本邦の域外にある国又は地域）の名称については、必ずしも正式名称を求めるものではありませんが、本人が合理的に認識できると考えられる形で情報提供を行う必要があります。また、本人の適切な理解と関与を促す観点から、保有個人データを取り扱っている外国の制度についても、本人の知り得る状態に置くといった対応が望ましいです。

（※4）「外的環境の把握」については令和3年9月に追加されたQ&A（令和4年4月1日施行）において、下記4-2の通り、いくつかの重要なQ&Aが示されています。

【本人の知り得る状態に置くことにより支障を及ぼすおそれがあるものの事例（通則編ガイドライン3-8-1）】（※5）

• 事例1）個人データが記録された機器などの廃棄方法、盗難防止のための管理方法
• 事例2）個人データ管理区域の入退室管理方法
• 事例3）アクセス制御の範囲、アクセス者の認証手法など
• 事例4）不正アクセス防止措置の内容など

　（※5）例えば、上記の【安全管理のために講じた措置として本人の知り得る状態に置く内容の事例】にあるような、「盗難または紛失などを防止するための措置を講じる」「外部からの不正アクセスまたは不正ソフトウェアから保護する仕組みを導入」といった内容のみでは、本人の知り得る状態に置くことにより保有個人データの安全管理に支障を及ぼすおそれがあるとはいえませんが、その具体的な方法や内容については、本人の知り得る状態に置くことにより保有個人データの安全管理に支障を及ぼすおそれがあると考えられます。しかしながら、何をもって安全管理に支障を及ぼすおそれがあるかについては、取り扱われる個人情報の内容、個人情報の取扱いの態様などによってさまざまであり、事業の規模及び性質、保有個人データの取扱状況などに応じて判断されます。

【中小規模事業者における安全管理のために講じた措置として本人の知り得る状態に置く内容の事例（通則編ガイドライン3-8-1）】

（基本方針の策定）

• 事例）個人データの適正な取扱いの確保のため、「関係法令・ガイドライン等の順守」「質問及び苦情処理の窓口」などについての基本方針を策定（【安全管理のために講じた措置として本人の知り得る状態に置く内容の事例】と同様）

（個人データの取扱いにかかる規律の整備）

• 事例）個人データの取得、利用、保存などを行う場合の基本的な取扱方法を整備

（組織的安全管理措置）

• 事例1）整備した取扱方法に従って個人データが取り扱われていることを責任者が確認
• 事例2）従業者から責任者に対する報告連絡体制を整備

（人的安全管理措置）

• 事例1）個人データの取扱いに関する留意事項について、従業者に定期的な研修を実施（【安全管理のために講じた措置として本人の知り得る状態に置く内容の事例】と同様）
• 事例2）個人データについての秘密保持に関する事項を就業規則に記載（【安全管理のために講じた措置として本人の知り得る状態に置く内容の事例】と同様）

（物理的安全管理措置）

• 事例1）個人データを取り扱うことのできる従業者及び本人以外が容易に個人データを閲覧できないような措置を実施
• 事例2）個人データを取り扱う機器、電子媒体及び書類などの盗難又は紛失などを防止するための措置を講じるとともに、事業所内の移動を含め、当該機器、電子媒体などを持ち運ぶ場合、容易に個人データが判明しないよう措置を実施（【安全管理のために講じた措置として本人の知り得る状態に置く内容の事例】と同様）

（技術的安全管理措置）

• 事例1）個人データを取り扱うことのできる機器及び当該機器を取り扱う従業者を明確化し、個人データへの不要なアクセスを防止
• 事例2）個人データを取り扱う機器を外部からの不正アクセス又は不正ソフトウェアから保護する仕組みを導入

（外的環境の把握）

• 事例）個人データを保管しているA国における個人情報の保護に関する制度を把握した上で安全管理措置を実施（【安全管理のために講じた措置として本人の知り得る状態に置く内容の事例】と同様）

^外的環境の把握

4-2.「外的環境の把握」について

　上記4-1の通り、「安全管理のために講じた措置として本人の知り得る状態に置く内容の事例」（通則編ガイドライン3-8-1）の1つとして「外的環境の把握」が掲げられています。

　また、安全管理措置の1つとして、「外的環境の把握」について、「個人情報取扱事業者が、外国において個人データを取り扱う場合、当該外国の個人情報の保護に関する制度などを把握した上で、個人データの安全管理のために必要かつ適切な措置を講じなければならない」（通則編ガイドライン7-7）とされています。

（1）「外国において個人データを取り扱う場合」（Q&A 10-22）

　「外的環境の把握」が安全管理措置の1つとして求められるのは、個人情報取扱事業者が「外国において個人データを取り扱う場合」です（通則編ガイドライン10-7）。

　例えば、以下に掲げるような場合は、「外国において個人データを取り扱う場合」に該当するため、個人情報取扱事業者は、当該外国の個人情報の保護に関する制度などを把握した上で、安全管理措置を講じる必要があります。

• 個人情報取扱事業者が、外国にある支店・営業所に個人データを取り扱わせる場合（下記（2）参照）
• 個人情報取扱事業者が、外国にある第三者に個人データの取扱いを委託する場合
• 外国にある個人情報取扱事業者が、国内にある者に対する物品又は役務の提供に関連して、国内にある者を本人とする個人データを取り扱う場合（法75条【166条】参照）

（2）外国にある支店や営業所に個人データを取り扱わせる場合（Q&A 10-23）

　個人情報取扱事業者は、外国にある支店や営業所に個人データを取り扱わせる場合、外国において個人データを取り扱うこととなるため、支店などが所在する外国の個人情報の保護に関する制度などを把握した上で、安全管理措置を講じる必要があります。

　また、外国に支店などを設置していない場合であっても、外国にある従業者に個人データを取り扱わせる場合、本人が被る権利利益の侵害の大きさを考慮し、その個人データの取扱状況（個人データを取り扱う期間、取り扱う個人データの性質及び量を含む）などに起因するリスクに応じて、従業者が所在する外国の制度などを把握すべき場合もあると考えられます。例えば、外国に居住してテレワークをしている従業者に個人データを取り扱う業務を担当させる場合には、当該従業者の所在する外国の制度なども把握して安全管理措置を講じる必要があると考えられます。他方、外国に出張中の従業者に一時的にのみ個人データを取り扱わせる場合には、必ずしも、安全管理措置を講じるにあたって、外国の制度などを把握する必要まではないと考えられます。

　以上は、外国にある支店などや従業者が、日本国内に所在するサーバに保存されている個人データにアクセスして、これを取り扱う場合においても同様とされています（これはLINE問題で海外の現地法人の従業員が国内サーバにアクセスできたことを意識したものと考えられます）。

　そして、外国の制度などを把握して安全管理措置を講じる場合には、「保有個人データの安全管理のために講じた措置」として、支店などや従業者が所在する外国の名称を明らかにし、当該外国の制度などを把握した上で講じた措置の内容を本人の知り得る状態に置く必要があります。

（3）個人情報取扱事業者が、外国にある第三者に個人データの取扱いを委託する場合（Q&A 10-24）

　外国にある第三者に個人データの取扱いを委託する場合、委託元は、委託先を通じて外国において個人データを取り扱うこととなるため、委託先が所在する外国の個人情報の保護に関する制度などを把握した上で、委託先の監督その他の安全管理措置を講じる必要があります。また、委託先が外国にある第三者に個人データの取扱いを再委託する場合、委託元は、委託先及び再委託先を通じて外国において個人データを取り扱うこととなるため、再委託先が所在する外国の制度なども把握した上で、安全管理措置を講じる必要があります。以上は、委託先や再委託先が、日本国内に所在するサーバに保存されている個人データにアクセスして、これを取り扱う場合においても同様です（これはLINE問題で海外の現地法人の従業員が国内サーバにアクセスできたことを意識したものと考えられます）。

　そして、かかる場合には、「保有個人データの安全管理のために講じた措置」として、委託先・再委託先が所在する外国の名称を明らかにし、当該外国の制度などを把握した上で講じた措置の内容を本人の知り得る状態に置く必要があります。

　なお、委託元は、個人データの取扱いの委託に伴って委託先に個人データを提供する場合において、委託先が「外国にある第三者」（法24条【28条】第1項）に該当するときは、原則として委託先が所在する外国の名称などを本人に情報提供した上で、本人の同意を取得する必要があります（法24条【28条】第1項・第2項）。かかる場合においても、委託元は、上記の通り、安全管理措置を講じる必要があり、また、保有個人データの安全管理のために講じた措置を本人の知り得る状態に置く必要があります。

海外サーバ事業者に関する情報提供

　我が国の個人情報保護法では、（クラウド）サーバの運営事業者が、当該サーバに保存された個人データを取り扱わないこととされている場合には、外国にある第三者への提供（法24条【28条】）に該当しないこととされています（Q&A 12−4）。

　「当該サーバに保存された個人データを取り扱わないこととなっている場合」とは、契約条項によって当該事業者がサーバに保存された個人データを取り扱わない旨が定められており、適切にアクセス制御を行っている場合などが考えられます（Q12−3）。

　この点、EUのGDPRでは、クラウドサーバの運営事業者も処理者（Processor）に該当し、EU域外の海外のクラウドサーバ運営事業者への提供も越境データ移転として扱われるのに対し、日本の個人情報保護法では、越境データ移転に関する規制は適用がなく、ほぼまったく無規制であり、国際的な個人情報保護規制においても「ループホール」（抜け穴）に該当しかねません。

　また、LINE問題のように、海外の個人情報保護規制において、越境データ移転の際に問題となるデータローカライゼーション（個人データの国内保存義務）、ガバメントアクセス（外国政府による無制限の情報へのアクセス）がある場合には、クラウドサーバであったとしても個人への情報提供が必要となり得ます。

　そこで、通則編ガイドラインやQ&Aからは明確ではありませんが、海外サーバ事業者を利用する場合には、「外的環境の把握」として安全管理措置を講じて置くのが妥当であると考えられます。

5.本人が予測できる程度の利用目的の具体例

　令和2年改正法とは直接関係ありませんが、通則編ガイドラインの改正により、本人が予測できる程度の利用目的の具体例が示されました（通則編ガイドライン3-1-1（※6）、Q&A 2-1）。

　利用目的を「できる限り」特定する（法15条【17条】1項）とは、個人情報取扱事業者において、個人情報をどのような目的で利用するかについて明確な認識を持つことができ、また、本人において、自らの個人情報がどのような事業の用に供され、どのような目的で利用されるのかについて一般的かつ合理的に予測・想定できる程度に、利用目的を特定することをいいます。

　このため、特定される利用目的は、具体的で本人にとって分かりやすいものであることが望ましく、例えば、単に「お客さまのサービスの向上」などのような抽象的、一般的な内容を利用目的とすることは、できる限り具体的に特定したことにはならないと解されます。

　また、一連の個人情報の取扱いの中で、本人が合理的に予測・想定できないような個人情報の取扱いを行う場合には、かかる取扱いを行うことを含めて、利用目的を特定する必要があります。例えば、いわゆる「プロファイリング」といった、本人に関する行動・関心などの情報を分析する処理を行う場合には、分析結果をどのような目的で利用するかのみならず、前提として、かかる分析処理を行うことを含めて、利用目的を特定する必要があります。具体的には、以下のような事例においては、分析処理を行うことを含めて、利用目的を特定する必要があります。

【本人から得た情報から、行動・関心等の情報を分析する場合に具体的に利用目的を特定している事例（通則編ガイドライン3-1-1）】

• 事例1）「取得した閲覧履歴や購買履歴などの情報を分析して、趣味・嗜好に応じた新商品・サービスに関する広告のために利用いたします」
• 事例2）「取得した行動履歴等の情報を分析し、信用スコアを算出した上で、当該スコアを第三者へ提供いたします」

　なお、個人情報の取扱内容などに変更がない中で、本人が一般的かつ合理的に予測・想定できる程度に利用目的を特定し直した場合、利用目的の変更には該当しません。この場合、特定し直した利用目的については、個人情報保護法27条【32条】1項 の規定に基づいて、本人の知り得る状態（本人の求めに応じて遅滞なく回答する場合を含む）に置かなければなりません（ガイドラインパブコメ回答（概要）32番）。

渡邉雅之弁護士 弁護士法人三宅法律事務所

東京大学法学部卒、日特建設株式会社、株式会社広済堂ホールディングス、株式会社代々木アニメーション学院の社外取締役就任。

BUSINESS LAWYERSについて

BUSINESS LAWYERSは、“企業法務の実務に役立つ情報を提供する”オンラインメディアです。特にIT分野では、個人情報などのデータの取り扱いに関する情報や、開発・DXプロジェクトにおける留意点をはじめ、主に法的観点による解説コンテンツを発信。独自のネットワークを駆使したインタビュー記事や、企業法務の第一線で活躍する弁護士による実務解説記事などを掲載しています。その他の記事はこちら。