企業は個人情報開示請求にどう対応するべきか 手順と注意点を解説

個人情報開示請求は、個人情報保護法で認められている個人の権利です。そのため、個人情報を保有している事業者は、原則として本人の開示請求に対応しなければなりません。

本記事では、個人情報開示請求の概要、請求時に事業者がおこなうべき対応を説明します。

1. 個人情報開示請求がおこなわれる理由・ケース

個人情報開示請求は、個人が事業者に対して「保有個人情報開示請求書」や「個人情報の開示等に関する申請書」など所定の書面を作成し、自身の情報を開示するよう求めることです。

個人情報開示請求がおこなわれる目的は開示請求先との関係によりさまざまですが、例えば以下のような目的が想定されます。

• 掲載内容に誤りがないか確認したい
• 情報が望まない形で利用されていないか確認したい
• 情報が不当に第三者へ提供されていないか確認したい

個人情報の開示を本人、または代理人から請求されたとき、事業者は請求に対応しなければなりません。

2．個人情報の開示請求をできるのは？

個人情報開示請求は無制限におこなえるものではありません。申請できる権利者は個人情報保護法によって定められています。

原則として本人のみ

前提として、個人情報開示請求ができるのは原則的にそのデータにまつわる本人のみです。

個人情報保護法第三十三条では、開示に関して以下の通り定められています。

第三十三条　本人は、個人情報取扱事業者に対し、当該本人が識別される保有個人データの電磁的記録の提供による方法その他の個人情報保護委員会規則で定める方法による開示を請求することができる。
２　個人情報取扱事業者は、前項の規定による請求を受けたときは、本人に対し、同項の規定により当該本人が請求した方法（当該方法による開示に多額の費用を要する場合その他の当該方法による開示が困難である場合にあっては、書面の交付による方法）により、遅滞なく、当該保有個人データを開示しなければならない。

引用：個人情報の保護に関する法律

通常は第三者の個人情報に対しては開示請求等はおこなえず、事業者としても本人以外の申し出に対応する義務はありません。

代理人による請求

例外的に許可されているのが代理人による請求です。個人情報保護法第32条第3項により、以下の通り明記されています。

（開示等の請求等に応じる手続）
第三十七条 ３　開示等の請求等は、政令で定めるところにより、代理人によってすることができる。

引用：個人情報の保護に関する法律

政令で定める具体的な代理人の要件は以下の通りです。

（開示等の請求等をすることができる代理人）
第十三条　法第三十七条第三項の規定により開示等の請求等をすることができる代理人は、次に掲げる代理人とする。
一　未成年者又は成年被後見人の法定代理人
二　開示等の請求等をすることにつき本人が委任した代理人
引用：個人情報の保護に関する法律施行令

事業者が代理人からの開示請求に対応する際には、上記のどちらかに該当する人物であることを必ず確認しましょう。該当人物の本人確認書類、戸籍謄本のような本人との関係が記載されている書類や委任状、印鑑証明書などの提出が想定されます。

3．個人情報開示請求に対応する必要はあるの？

冒頭で個人情報保護法の第三十三条をご紹介した通り、個人情報開示請求への対応は個人情報保護法で定められている義務です。ただし、開示することで下記のようなリスクが生じる場合、情報の全部または一部を開示しない対応を取ることも可能です。

• 一　本人又は第三者の生命、身体、財産その他の権利利益を害するおそれがある場合
• 二　当該個人情報取扱事業者の業務の適正な実施に著しい支障を及ぼすおそれがある場合
• 三　他の法令に違反することとなる場合

引用：e-gov「個人情報の保護に関する法律」

なお、情報の全部または一部を開示しない場合、あるいは開示請求された情報が存在しない場合は、その旨を本人に対して速やかに通知しなければなりません。

4．開示する個人情報の範囲について

開示請求の対象となる個人情報は、本人が識別される保有個人データ、個人データの授受に関する第三者提供記録です。保有個人データは、個人情報取扱事業者が以下の対応を実施できる個人データを指します。

• 開示
• 内容の訂正
• 追加・削除
• 利用の停止
• 消去
• 第三者への提供の停止

個人情報取扱事業者と個人データ、その他の関連用語の定義は次のとおりです。

項目	概要
個人情報取扱事業者	個人情報データベース等を事業に継続利用する事業者 ※国の機関・地方公共団体・独立行政法人等を除く
個人データ	個人情報データベース等を構成する個人情報
個人情報データベース等	特定の個人情報を容易に検索できるよう体系的にまとめられたもの

なお、個人情報保護法の改正前は6ヵ月以内に消去する「短期保存データ」を保有個人データに含めませんでしたが、改正後は保有個人データに含まれ開示請求の対象となります。

上記を含む、個人情報保護法に登場する用語は、以下の記事で詳しく解説しています。本記事とあわせてご参照ください。

＞＞【2022年】改正個人情報保護法ガイドラインの重要ポイントを解説

5. 個人情報を開示する手順・注意点

個人情報開示等の請求手順は、政令に基づく形で事業者が決定できると定められています。以下の法律では、所定の手続きを踏むよう本人に求められます。

（開示等の請求等に応じる手続）
第三十七条　個人情報取扱事業者は、第三十二条第二項の規定による求め又は第三十三条第一項（中略）に関し、政令で定めるところにより、その求め又は請求を受け付ける方法を定めることができる。この場合において、本人は、当該方法に従って、開示等の請求等を行わなければならない。 引用：個人情報の保護に関する法律

具体的な準備として、事業者はまず「開示請求書」のフォーマットを作成し、開示請求のための専用ページを用意しましょう。フォーマットの作成時には、開示請求にあたり必要となる以下項目のほか、事業内容に応じて必要となる項目を追加してください。

項目	各項目の目的
開示等の対象となる本人の情報	氏名・住所・連絡先等を記述する
開示請求する保有個人情報	どのような個人情報の開示を請求するのか、具体的に記述する
開示請求の代理人の情報	本人が開示請求を代理人に委託したとき、代理人の情報を記述する
情報開示の実施方法	希望がある場合、開示の実施方法・日時等を記述する
手数料	定められた手数料分の収入印紙を貼付する
本人確認	運転免許証や健康保険被保険者証など、本人確認のための証明を添付する
訂正・利用停止等の請求	訂正の場合は訂正項目を記述し、利用停止の場合は請求の事由・事由に該当する事実を記述する

上記のような開示請求書のフォーマットを作成しない場合、当メディアの「プライバシーポリシー」にあるような、請求手続きに必要となる手順・連絡先を明記したページの公開をおこないます。

個人が開示を請求できるよう窓口を整えたあと、実際に請求されたときに事業者が取る行動は以下のとおりです。

• STEP1:開示請求のあった個人情報の検索を実施
• STEP2:請求者による開示請求書を受理したのち、原則30日以内に個人情報の開示決定を実施
• STEP3:開示決定通知書を請求者へ送付（該当情報がない、開示できない場合は不開示決定通知書を送付）
• STEP4:指定された開示方法に則り、個人情報を開示

なお、上述の通りすべての請求に対応する必要はなく、下記に該当するケース、および本人や代理人であることを証明できない者への対応は必須ではありません。

• 本人又は第三者の生命、身体、財産その他の権利利益を害するおそれがある場合
• 当該個人情報取扱事業者の業務の適正な実施に著しい支障を及ぼすおそれがある場合
• 利用停止請求に関して多額の費用がかかる場合
  (本人の権利権益を保護するために必要な措置をとることが条件)
• 他の法令に違反することとなる場合

引用：e-gov「個人情報の保護に関する法律」

個人データの授受に関する第三者提供記録も開示請求の対象となったため、事業者は第三者提供をおこなった際に「データの提供日・当該第三者の名称・その他の個人情報保護委員会規則で定める事項」の記録が求められる点にも注意すべきでしょう。
第三者提供については、以下の記事で詳しく説明しております。

＞＞厳格化する個人情報の取り扱い、第三者提供の注意点

6. まとめ

個人情報開示請求への対応は個人情報保護法により義務付けられており、事業者は原則として請求に応じなければなりません。
申請を受けた際に慌てずに対応できるよう、あらかじめ請求方法をWebサイト等で明示し、事業者自身も開示すべきケース・すべきではないケースの両方を把握しておきましょう。

ぜひ本記事の内容を参考にしながら、個人情報開示に対応するための準備に取り組んでください。

公開日：2021年1月25日