さんだん會計事務所

顧客から『保有個人データ』についての請求を受けた場合の対処法

24.08.27
ビジネス【企業法務】
dummy

企業が保有している個人データのことを『保有個人データ』と呼び、事業のために保有個人データを取り扱う企業のことを『個人情報取扱事業者』と呼びます。
多くの企業が該当する個人情報取扱事業者は、本人から保有個人データの開示や訂正、利用停止などの請求を受けた場合、それらに応じる義務があります。
もし、適切な対応ができていないと、思わぬトラブルに発展してしまうかもしれません。
個人情報取扱事業者に向けて、保有個人データの基礎と本人から請求を受けた場合の対応について解説します。

dummy

個人情報データベースを構成する個人データ

2022年4月から全面的に施行された改正個人情報保護法において、保有個人データの利用停止や消去などの請求権が拡充されました。
個人情報保護法では、保有個人データの開示や訂正、利用停止を請求できる権利を定めており、個人情報取扱事業者が本人から請求を受けた場合、これに応じる必要があります。
請求に関して、改正前は個人情報取扱事業者が個人データを不正取得した場合などに限られていましたが、改正後は事業の中止や変更などで保有個人データが不要になった場合や、漏えいや利益の侵害のおそれがあるケースなどでも請求できるようになりました。

保有個人データとは、個人情報取扱事業者が保有する個人データのことですが、そもそも個人データは個人情報を検索するために使われる『個人情報データベース』を構成する要素の一つです。
たとえば、五十音順になっている顧客名簿や、電子メールソフトで管理しているユーザーのメールアドレスのリスト、表計算ファイルに記録された名刺情報なども個人情報データベースに該当します。
一方、分類や整理がされていない名刺の束やアンケートはがきの戻りのように、まとめられていないユーザー情報などは、個人情報データベースではありません。

この個人情報データベースは、マーケティングや販売予測、商品開発など、さまざまな用途で活用されます。
では、データベースを構成する保有個人データの開示などの請求を受けるのは、どのような場面が考えられるのでしょうか。

たとえばA社という企業に登録していた個人情報が、自分が登録していない別のB社という企業の事業に使われている可能性がある場合などです。
もしB社で使われているのであれば、A社やB社に対して、「調査」を目的に開示請求を行うことができます。
開示請求の対象となるのは、本人から直接取得した保有個人データだけに限りません。
B社のように、他社から取得した保有個人データであっても、開示請求に対応する必要があります。

ただし、本人だと識別できないデータや、開示によって本人や第三者の生命・身体または財産に危害が及ぶおそれがあるもの、その個人データの存在が明らかになることにより国の安全が害されるようなものは、保有個人データには該当せず、請求に応じなくてもよいとされています。
ほかにも、本人や第三者の権利を侵害するおそれのある場合や、業務の実施に著しい支障が出る場合、ほかの法令に違反する場合などは、本人にその旨を通知したうえで、保有個人データの全部もしくは一部について開示しないことが可能です。

保有個人データの請求を受けた場合

開示請求などをはじめとした保有個人データに関する請求は、本人か委任を受けた代理人によって行われます。
もし、個人情報取扱事業者が本人や代理人から請求を受けた場合、どのように対応すればよいのでしょうか。

個人情報取扱事業者は、請求の申出先や方法などを定めることができるため、請求を受け付ける連絡先や担当、請求に際して必要な様式や本人または代理人を確認する方法などを決めて、自社サイトなどに掲載しておきましょう。
通常は、請求を受けた際に、運転免許証やマイナンバーカード、パスポートなどの本人確認書類によって、請求が本人からのものであることを確認する必要があります。
電話やメールなどではなりすましの可能性もあるため、身分証明書のコピーを送付してもらう、画像データをメールやフォームなどから送付してもらうなどの方法が有効です。

代理人からの請求であれば、まず本人からの委任であることを確認し、代理人本人の本人確認書類も提出してもらう必要があります。
一部の法令に基づく例外を除き、本人や代理人の同意を得ずに保有個人データを第三者へ開示、提供することなどは個人情報保護法で禁じられています。
求められても応じないようにしましょう。

本人確認が済んだら、あらかじめ定めた方法で請求に応じます。
開示であれば確実に本人だけに開示できるよう、本人限定受取書留郵便などを使用するといった方法があります。

保有個人データの請求にあたり、事前に方法や手順などを定めた規定を作成し、社内で共有すると同時に自社サイトなどで公表しておくとよいでしょう。
請求を受けてから慌てて対応するのではなく、いつ請求されてもいいように日頃から備えておくことが大切です。


※本記事の記載内容は、2024年8月現在の法令・情報等に基づいています。