1. ホーム /
  2. 成長段階に応じたサポート /
  3. コンプライアンス /
  4. 個人情報保護法とは?対象・罰則を具体例で解説|法改正対応 /
  5. 保有個人データ【個人情報保護法改正】|企業のとるべき対応を解説

保有個人データ【個人情報保護法改正】|企業のとるべき対応を解説

  
監修者
弁護士 宮崎晃

弁護士法人デイライト法律事務所 代表弁護士

保有資格 / 弁護士・MBA・税理士・エンジェル投資家

保有個人データとは?

個人情報保護法のルールでは、「個人情報」のサブカテゴリに「個人データ」があり、さらに「個人データ」のサブカテゴリとして「保有個人データ」がある、という形になっています。

「個人データ」とは、多くの個人情報が集まって検索できるデータベースの形(あるいは索引をつけて紙ベースでまとめられている形)になっているものがある場合に、そのデータベースに含まれているひとつひとつの個人情報のことをいいます。

そして、「保有個人データ」とは、「個人データ」のうち、自社がコントロールする権限を持っているものをいいます。

「個人データ」や「保有個人データ」については、こちらの記事に詳しい説明を掲載していますので、ぜひご覧ください。

あわせて読みたい
「個人データ」や「保有個人データ」について

 

 

保有個人データを対象とした民間企業の義務

個人情報保護法は、個人情報の取扱いについて民間企業の義務をたくさん定めています。

このような民間企業の義務のうち、いくつかのものは、保有個人データを対象とした義務です。

保有個人データを対象とした民間企業の義務のうち、代表的なものは、①個人情報保護法に定められた一定の事項を公表する義務②本人から要求されたときは、一定の条件のもとでその本人の個人データを開示、修正、消去などする義務、などがあります。

 

 

個人情報保護法の改正で保有個人データのルールにも変更が

2020年の個人情報保護法の改正では、まず「保有個人データ」に該当する個人データの対象が拡大されました。

さらに、上記①の義務も②の義務も、どちらにもルール変更がありました。

特に①に関するルール変更は、民間企業のプライバシーポリシーの内容にも影響があります。

ここからは、保有個人データに関する個人情報保護法の改正の内容を解説します。

 

 

保有個人データの範囲が拡大

6月以内に消去することとなる個人データの保有個人データ化(個人情報保護法2条7項)

2020年の個人情報保護法の改正では、まず、「保有個人データ」の範囲が拡大されました。

あわせて読みたい
個人情報保護法の改正|要点・施行日・罰則などを弁護士が解説

上記で解説しましたように、「保有個人データ」とは、「個人データ」のうち、自社がコントロールする権限(変更したり、削除したり、修正したり、提供したりする権限)を持っているもののことをいいます。

2020年の改正より前の個人情報保護法では、自社がコントロールする権限を持っている個人データであっても、取得してから6か月以内に消去することになるデータは、「保有個人データ」から除外されていました。

しかし、2020年の個人情報保護法の改正では、いつ消去することになるかにかかわらず、自社がコントロールする権限を持っている個人データはすべて「保有個人データ」に該当することになりました。

つまり、短い期間だけ保有してすぐに消去するような個人データ(例えば、1日だけ保有してすぐに消去するような個人データなど)も、すべて「保有個人データ」に該当することになります。

改正前のルール

自社がコントロールする権限を持っている個人データは「保有個人情報」に該当する。ただし、6か月以内に消去することになるものは「保有個人データ」には該当しない(個人情報保護法2条7項)

改正後のルール

自社がコントロールする権限を持っている個人データはすべて「保有個人情報」に該当する(6か月以内に消去するかどうかは関係ない。6か月以内に消去するものでも「保有個人データ」には該当することになる。)
(改正後の個人情報保護法2条7項)

 

 

公表しなければならない事項の追加

2020年の改正より前から、個人情報保護法のルールでは、「保有個人データ」を取り扱う民間企業に、一定の事項を世間に対して公表しておかなければならない、という義務があります(個人情報保護法27条1項)。

さまざまな民間企業がプライバシーポリシーを作成し、ウェブサイト上で公表しているのは、この義務があるからです(※14)

※14 民間企業の多くがプライバシーポリシーを作成して公表しているのは、一般に、この義務を遵守するためと、利用目的の公表(個人情報保護法18条1項)をするため、という2つの目的があります。

2020年の個人情報保護法の改正では、「保有個人データ」を持っている民間企業が公表しておかなければならない事項が増えました。

改正前のルール

「保有個人データ」を取り扱う民間企業(個人情報取扱事業者)は、次の事項を公表しなければならない。

  • (1) 自社の名称
  • (2) 保有個人データの利用目的
  • (3) 本人からの個人データの取扱いに関する要求に応じる手続
  • (4) 個人データの取扱いに関する苦情の窓口の情報など。

((1)から(3)までは個人情報保護法27条1項、(4)は個人情報保護法施行令8条)

※この記事では法律で定める事項のうち一部だけを記載しています。より正確な要件は個人情報保護法の条文をご参照ください。

改正後のルール

「保有個人データ」を取り扱う民間企業(個人情報取扱事業者)は、次の事項を公表しなければならない。

上記(1)から(4)までの事項だけでなく、さらに、

  • (5) 自社の住所と代表者の氏名
  • (6) 本人からの第三者提供の記録の開示請求に応じる手続
  • (7) 本人からの利用停止・第三者提供の停止の要求に応じる手続((3)の拡張)

 

 

公表義務について民間企業のとるべき対応

一般に、民間企業は、この公表義務を遵守するため、「プライバシーポリシー」の中に必要な事項を記載して公表していることが多いです。

したがって、民間企業は、2020年の個人情報保護法に対応するため、プライバシーポリシーを改定して、2020年の個人情報保護法で追加された事項をつけ加えなければなりません。

プライバシーポリシーをどのように改定したらよいか困ったときは、個人情報保護法に詳しい弁護士に依頼することもできます。

 

 

本人から請求できる事項の拡大

「保有個人データ」を持っている民間企業(個人情報取扱事業者)は、個人データの本人から、個人データの取扱いについて請求があったときは、それに応じる義務があります。

本人からの請求に応じる義務についてはこちらをご覧ください。

あわせて読みたい
本人からの請求に応じる義務について

2020年の個人情報保護法の改正では、個人データの本人が、民間企業(個人情報取扱事業者)に対して請求できる事項が増えました。

改正前のルール
  • 利用停止・消去の請求
    個人は、企業(個人情報取扱事業者)に対して、①個人データが不正取得された、②個人データを利用目的の範囲を超えて利用した、のように企業側に一定の法律違反があった場合にだけ、その利用停止・消去などを請求することができる。
  • 第三者提供の停止の請求
    個人は、企業(個人情報取扱事業者)に対して、企業側に第三者提供に関する義務の違反があった場合にだけ、その利用停止・消去などを請求することができる。
  • 開示の方法
    企業が保有個人データを個人の請求に応じて開示するときは、原則として書面(紙)を渡す方法で行う。
  • 第三者提供記録の開示
    個人は、自分の個人データが第三者に提供された際の記録の開示を求めることはできない。
改正後のルール
  • 利用停止・消去の請求・第三者提供の停止の請求
    改正前のルールに加えて、個人は、企業(個人情報取扱事業者)に対して、企業が不適正な利用の禁止の義務に違反した場合や、本人の権利や利益が害される恐れがある場合にも、利用停止・消去の請求・第三者提供の停止の請求ができるようになった。
  • 開示の方法
    企業が保有個人データを個人の請求に応じて開示するときは、個人が開示の方法を指定できる。書面(紙)だけでなくデータでの開示を指定することも可能。
  • 第三者提供記録の開示
    個人は、自分の個人データが第三者に提供された際の記録の開示を求めることができる。

 

 

個人からの請求について民間企業のとるべき対応

改正後の個人情報保護法のルールで認められることになる個人からの請求について、対応できる社内体制を整える必要があります。

まずは、現行の社内ルールや社内体制で改正後のルールに対応可能か、それとも新たなルールや体制の整備が必要かを確認しましょう。

少し複雑な内容ですので、個人情報保護法に詳しい弁護士に相談することもよい方法です。

 

 

企業の相談は初回無料