第5回:個人情報~情報の開示請求等の範囲の拡大

個人情報取扱事業者の保有する個人データを本人に開示するという仕組みは、OECD8原則のうち個人参加の原則に対応するものです。個人データの開示は、利用目的等の通知、公表等の仕組みと相まって、個人の情報の訂正や利用停止等の権利行使につながり、個人情報の取扱いの透明性を高めるものです。個人情報保護法では、平成27年の改正で、個人情報取扱事業者が保有する個人データについて、情報主体からの請求が認められることが明確になりました。これにより、個人情報取扱事業者は、個人からの開示請求に適切に応じることが必要になりました。しかし、個人情報保護委員会が開設している「相談ダイヤル」には事業者の開示内容や開示方法、開示に対して消極的であるなどの不満が多く寄せられていました。

また、個人情報の開示方法は、「原則として書面」(施行規則9条)とされており、個人情報委員会が令和2年3月に公表した「個人情報の適正な取扱いに関する実態調査(令和元年度)報告書」によれば、保有データ数が多いほどデータは電磁的記録で保存されているものの、保有データ数にかかわらず、9割前後の事業者が書面で開示しています。しかし、膨大な情報を印字した書面で交付されても、検索が困難であり、その内容を十分に認識することができないおそれがありました。また、保有個人データが音声や動画である場合は、その内容を書面上に再現すること自体が困難であるという問題もありました。

これらの理由により、個人データの開示に関して大きな改正が行われました。

― 開示対象範囲が拡大されました

2020年6月に成立した改正個人情報保護法案では、今までより、開示請求できる情報の範囲が拡大し、従来は、開示の対象外とされていた6カ月以内に消去する個人データが開示対象になりました。短期間で消去される個人データは、利用する期間が限られており、個人の権利利益を侵害する危険性が低く、開示請求等が行われるまでに消去されてしまう可能性が高いことから、あえて個人情報取扱事業者に開示請求等のコストを負担させることを避けていました。

しかし、ICTの活用が進み、採用に応募した記録、スマートフォンなどを使ったクイズやキャンペーンへの応募、お試しサービスの会員登録などが容易になり、短期間で膨大なデジタルデータが収集されるようになりました。これらのデータは短期間とはいえ、サーバ等に保存されます。保存期間中に不正アクセスなどにより漏洩等が発生すれば、保存期間の長短にかかわらず、たちまち拡散する危険があることに変わりがありません。すぐに消去される予定の個人データであっても、いったん漏洩が起きれば、インターネット上のどこかのサーバに記録され、長期間他人の目にさらされてしまうことにもなりかねません。そこで、短期保有情報であっても、個人の権利利益を侵害する危険性が低いとは限らないことから、開示対象の保有個人データに含めるとともに、安全管理措置を講じることが求められるようになりました。

―開示方法はデジタル開示が原則に

現在の開示方法は、書面によることが原則で、「開示の請求を行った者が同意した方法があるときは、当該方法」とされています。 しかし、書面では開示が難しい画像、音声、電磁的記録が存在すること、及び今年の通常国会でいわゆる「デジタル手続法」が成立したことなどを踏まえ、開示請求で得た保有個人データの利用等における本人の利便性向上の観点から、本人が、電磁的記録の提供を含め、開示方法を指示できるようになりました。また、開示請求を受けた個人情報取扱事業者には、原則として、本人が指示した方法により開示することを義務付けることになりました。

ただし、紙で保存している事業者も多く存在しており、全て電磁的記録として提供しなければならないのではなく、当該方法による開示に多額の費用を要する場合その他の当該方法による開示が困難な場合は、書面の交付による開示を認めることとし、その旨を本人に対し通知することを義務付けることとなっています。

―第三者提供記録の開示を義務化

今回の改正で、本人は、事業者に対して、事業者が個人情報保護法上作成を義務付けられている下記の第三者提供記録の開示を請求することができるようになります(法28条5項)。

 ① 個人データを第三者提供したときに事業者が作成する記録(法 25 条 1 項)

 ② 個人データの第三者提供を受けたときに事業者が作成する確認記録(法 26 条 3 項)

現行法では、事業者は第三者提供を行ったり、受けたりしたときに所定の記録を作成する義務を負っていますが、この記録を本人に開示をするという前提にはなっていませんでした。しかし、今後、第三者提供関係の記録が開示請求の対象となることで、事業者は開示対象の記録と内部で使用する記録を分離するなど、開示対象を明確にして作成しておく必要があります。

―開示における留意点と検討すべき事項

開示対象の個人データの拡大については、プライバシーマーク取得事業者など、6か月以内に消去する個人情報も含め、開示等の求めに原則応じることとしている業者を除き、新たに開示請求に対応する必要があります。短期間で消去するデータとして安全管理措置を軽減していた場合には、その見直しが必要になります。

保有個人データの開示は、単にデジタル化されたデータを事業者の任意のフォーマットで提供できるだけでなく、本人が様々な方法を指定してくることを考慮する必要があります。例えば電子メールでの提供、特定のフォーマット化したファイルに記録しての提供など様々な請求を受ける可能性があります。多額の費用や時間を要する提供、セキュリティ上問題のある提供など、例外要件を充足するものは拒むことができますが、トラブルも予想されます。開示の手順や対応可能な方法を検討するとともに、どのような提供方法が推奨されるか、例示するなどして開示請求者の理解を求めるなどの対応が必要でしょう。

また、デジタルによる開示請求が原則となったことで、通話記録やATMなどの監視カメラの画像データの開示請求が増加することが考えられます。通話記録の中には、業務上支障のあるデータが含まれている可能性もあります。どのような内容であれば、該当部分を消去等して提供できるのか、全てを開示の対象外とする例外適用できるのか、などの検討が必要です。

最後に、第三者提供記録の公表についてですが、第三者提供記録の作成義務は、単にデータ提供に係る契約書を作成すること等により履行している例も多いと思われます。そうすると、法的記録内容をどのようなフォーマットに落として、開示に応じるべきかの検討が必要です。

これらの検討事項は、ガイドライン等で明らかにされることが予想されますので、今後のガイドライン等の内容を注視して実務の対応マニュアルを整備していく必要があると言えます。

本内容の引用・転載を禁止します。