企業は個人情報開示請求にどう対応するべきか 手順と注意点を解説

法律 2021.01.26
企業は個人情報開示請求にどう対応するべきか 手順と注意点を解説

個人情報開示請求は、個人情報保護法で認められている個人の権利です。そのため、個人情報を保有している事業者は、原則として本人の開示請求に対応しなければなりません。

本記事では、個人情報開示請求の概要、請求時に事業者がおこなうべき対応を説明します。

1. 個人情報開示請求がおこなわれる理由・ケース

個人情報開示請求は、個人が事業者に対して「保有個人情報開示請求書」を作成し、自身の情報を開示するよう求めることです。

個人情報開示請求がおこなわれる目的は開示請求先との関係によりさまざまですが、例えば以下のような目的が想定されます。

  • 掲載内容に誤りがないか確認したい
  • 情報が望まない形で利用されていないか確認したい
  • 情報が不当に第三者へ提供されていないか確認したい

個人情報の開示を本人、または代理人から請求されたとき、事業者は請求に対応しなければなりません。

2.個人情報開示請求に対応する必要はあるの?

個人情報保護法の第28条には以下の文言があります。

"本人は、個人情報取扱事業者に対し、当該本人が識別される保有個人データの開示を請求することができる。個人情報取扱事業者は、前項の規定による請求を受けたときは、本人に対し、政令で定める方法により、遅滞なく、当該保有個人データを開示しなければならない。"

引用:e-gov「個人情報の保護に関する法律

保有個人データの持ち主が事業者に対して開示請求をおこなったときには、事業者は速やかに情報を開示しなければなりません。請求には法的拘束力があり、原則として請求への対応は必須となります。

ただし、開示することで下記のようなリスクが生じる場合、情報の全部または一部を開示しない対応を取ることも可能です。

  • 本人又は第三者の生命、身体、財産その他の権利利益を害するおそれがある場合
  • 当該個人情報取扱事業者の業務の適正な実施に著しい支障を及ぼすおそれがある場合
  • 他の法令に違反することとなる場合

引用:e-gov「個人情報の保護に関する法律

なお、情報の全部または一部を開示しない場合、あるいは開示請求された情報が存在しない場合は、その旨を本人に対して速やかに通知しなければなりません。

3.開示する個人情報の範囲について

開示請求の対象となる個人情報は、本人が識別される保有個人データ、個人データの授受に関する第三者提供記録です。保有個人データは、個人情報取扱事業者が以下の対応を実施できる個人データを指します。

  • 開示
  • 内容の訂正
  • 追加・削除
  • 利用の停止
  • 消去
  • 第三者への提供の停止

個人情報取扱事業者と個人データ、その他の関連用語の定義は次のとおりです。

項目

概要

個人情報取扱事業者

個人情報データベース等を事業に継続利用する事業者

※国の機関・地方公共団体・独立行政法人等を除く

個人データ

個人情報データベース等を構成する個人情報

個人情報データベース等

特定の個人情報を容易に検索できるよう体系的にまとめられたもの

なお、個人情報保護法の改正前は6ヵ月以内に消去する「短期保存データ」を保有個人データに含めませんでしたが、改正後は保有個人データに含まれることとなり開示請求の対象となります。

上記を含む、個人情報保護法に登場する用語は、以下の記事で詳しく解説しています。本記事とあわせてご参照ください。

>>【2020年改正案対応】個人情報保護のガイドライン概要

4. 個人情報を開示する手順・注意点

個人からの開示請求に対応するために、事業者はまず「開示請求書」のフォーマットを作成し、開示請求のための専用ページを用意します。フォーマットを作成する場合、開示請求にあたり必要となる以下項目のほか、事業内容に応じて必要となる項目を追加してください。

項目

各項目の目的

開示等の対象となる本人の情報

氏名・住所・連絡先等を記述する

開示請求する保有個人情報

どのような個人情報の開示を請求するのか、具体的に記述する

開示請求の代理人の情報

本人が開示請求を代理人に委託したとき、代理人の情報を記述する

情報開示の実施方法

希望がある場合、開示の実施方法・日時等を記述する

手数料

定められた手数料分の収入印紙を貼付する

本人確認

運転免許証や健康保険被保険者証など、本人確認のための証明を添付する

訂正・利用停止等の請求

訂正の場合は訂正項目を記述し、利用停止の場合は請求の事由・事由に該当する事実を記述する

上記のような開示請求書のフォーマットを作成しない場合、当メディアの「プライバシーポリシー」にあるような、請求手続きに必要となる手順・連絡先を明記したページの公開をおこないます。

個人が開示を請求できるよう窓口を整えたあと、実際に請求されたときに事業者が取る行動は以下のとおりです。

  1. 開示請求のあった個人情報の検索を実施
  2. 請求者による開示請求書を受理したのち、原則30日以内に個人情報の開示決定を実施
  3. 開示決定通知書を請求者へ送付(該当情報がない、開示できない場合は不開示決定通知書を送付)
  4. 指定された開示方法に則り、個人情報を開示

なお、前述したとおりすべての請求に対応する必要はなく、下記に該当するケース、および本人や代理人であることを証明できない者への対応は必須ではありません。

  • 本人又は第三者の生命、身体、財産その他の権利利益を害するおそれがある場合
  • 当該個人情報取扱事業者の業務の適正な実施に著しい支障を及ぼすおそれがある場合
  • 利用停止請求に関して多額の費用がかかる場合
    (本人の権利権益を保護するために必要な措置をとることが条件)
  • 他の法令に違反することとなる場合

引用:e-gov「個人情報の保護に関する法律」

また第3章で触れたとおり、個人データの授受に関する第三者提供記録も開示請求の対象となったため、事業者は第三者提供をおこなった際に「データの提供日・当該第三者の名称・その他の個人情報保護委員会規則で定める事項」の記録が求められる点にも注意すべきでしょう。

5. まとめ

個人情報開示請求への対応は個人情報保護法により義務付けられており、事業者は原則として請求に応じなければなりません。適切に対応できるよう個人に請求方法を明示し、事業者自身も開示すべきケース・すべきではないケースの両方を把握しておきましょう。

ぜひ本記事の内容を参考にしながら、個人情報開示に対応するための準備に取り組んでください。