「保有個人データ」の取り扱いは、個人情報保護法改正でどう変わる?:短期保有データの扱いにも変化(1/5 ページ)
個人情報保護法の改正で、「保有個人データ」の取り扱いはどう変わるのか? 改正のポイントと、詳しい既定の内容を解説します。
本記事は、BUSINESS LAWYERS「令和2年改正個人情報保護法で「保有個人データ」の扱いはどう変わったか」(渡邉雅之弁護士/2022年1月26日掲載)を、ITmedia ビジネスオンライン編集部で一部編集の上、転載したものです。
Q: 令和2年改正個人情報保護法では「保有個人データ」に関してどのような改正がなされましたか。
A:【改正のポイント】
ポイント(1)6カ月以内に消去する短期保存データも保有個人データと扱われることになりました。
本人の開示などの請求対象となる「保有個人データ」について、保存期間により限定しないこととされ、現在除外されている6カ月以内に消去する短期保存データも「保有個人データ」に含められることになります。
ポイント(2)保有個人データの開示請求は電磁的記録の提供その他の本人の意向による方法によることになりました。
本人が、電磁的記録の提供を含め、開示方法を指示できるようにされ、請求を受けた個人情報取扱事業者は、原則として、本人が指示した方法により開示するよう義務付けられます。ただし、当該方法による開示に多額の費用を要する場合その他の当該方法による開示が困難である場合にあっては、書面の交付による方法による開示を認めることとし、その旨を本人に対し通知することが義務付けられます。
ポイント(3)保有個人データ利用停止請求権・第三者提供の制限の要件が緩和されました。
個人の権利利益の侵害がある場合を念頭に、保有個人データの利用停止・消去の請求、第三者提供の停止の請求にかかる要件が緩和され、個人の権利の範囲を広げられます。ただし、事業者の負担軽減などの観点から、利用停止・消去または第三者提供の停止を行うことが困難な場合であって、本人の権利利益を保護するため必要なこれに代わる措置を取る場合は、請求に応じないことを例外的に許容します。
ポイント(4)保有個人データの開示項目として、安全管理措置に関する項目が追加されて充実化が求められることになりました。
編注
本記事の「現行法」は「個人情報の保護に関する法律等の一部を改正する法律」(令和2年法律第44号、以下「令和2年改正法」といいます)に基づく改正前の個人情報保護法を指します。
本稿内において【 】によって示している条番号は、「デジタル社会の形成を図るための関係法律の整備に関する法律」(令和3年法律第37号、以下「令和3年改正法」といいます。)施行後の条番号です。令和3年改正法の第一弾改正が令和2年改正法と同日の令和4年(2022年)4月1日に施行されるため、同日以降の条文番号は実際には【 】によって示されている条文番号となります。
1.6カ月以内に消去することとなる個人データの保有個人データ化(個人情報保護法2条7項)
1-1.改正前の個人情報保護法における規定
令和2年改正法の施行前においては、「保有個人データ」については、1年以内の政令で定める期間以内に消去することとなるものが除外されており(個人情報保護法2条7項【16条4項】)、政令で定める期間については、同法施行令5条の規定により「6月」とされています。
すなわち、現行法上、6カ月以内に消去することとなる個人データは、「保有個人データ」の定義から除かれており、個人情報取扱事業者は、開示や利用停止等の請求に応ずる義務がありません。
立法当時このように定められた背景は、短期間で消去される個人データについては、データベースに蓄積されて取り扱われる時間が限られており、個人の権利利益を侵害する危険性が低く、また、本人の請求を受けて開示などが行われるまでに消去される可能性も高いことから、個人情報取扱事業者に請求に対応するコストを負担させることの不利益が、本人に開示などを請求する権利を認めることの利益を上回るものと考えられたためです。
1-2.改正の背景 情報化社会の進展による状況の変化
しかしながら、情報化社会の進展により、短期間で消去される個人データであっても、その間に漏えい等が発生し、瞬時に拡散する危険が現実のものとなっています。このように、短期間で消去される個人データについても、個人の権利利益を侵害する危険性が低いとは限りません。
また、すでに消去されていれば、請求に応じる必要もないことから、個人情報取扱事業者に請求に対応するコストを負担させることの不利益が、本人に開示などを請求する権利を認めることの利益を上回るとはいえないものと考えられます。
なお、現在でも、プライバシーマークにおいて審査基準の根拠とされている「JIS Q 15001 個人情報保護マネジメントシステム−要求事項」においては、6カ月以内に消去する個人情報も含め、開示などの求めに原則応じることとされており、事業者において自主的に個人情報保護法の水準を超えた対応が行われています。
JIS Q 15001における関係規定の概要
(付属書A:A.3.4.4.1、付属書B:B.3.4.4.1)
- 保有個人データには該当しない場合でも、本人からの開示等(※1)の求めに応じることができる権限を有する個人情報については、保有個人データと同様に取り扱う。
- 上記本人からの開示等の求めに応じることができる権限を有する個人情報には、政令で定める期間(6カ月)以内に消去する個人データが含まれる。
(※1)利用目的の通知、開示、内容の訂正、追加または削除、利用の停止、消去および第三者への提供の停止の請求など
1-3.令和2年個人情報保護法改正ではどのような規定が設けられたか
令和2年改正法では、「保有個人データ」の定義から、「一年以内の政令で定める期間以内に消去することとなるもの以外のもの」との部分が削除されることにより、6カ月以内に削除するものも「保有個人データ」に該当することとされました。
関連記事
法改正に伴うCookie対応、BtoB企業はどこまで必要? 英語ページで変えるべき? 専門家に聞くQ&A
2022年4月に迫る個人情報保護法の改正に備え、自社のCookie対応などをどこまでするべきか迷っている担当者は少なくないだろう。「BtoB企業はどこまで対応すべきか?」「英語ページと日本語ページで対応を分けるべきなのか?」などの疑問に、弁護士・ニューヨーク州弁護士の石川智也氏が回答した。
Cookie規制って結局、何が変わるの? 2022年の改正個人情報保護法、注目すべきポイントを解説
Google ChromeなどのCookie廃止、2022年の改正個人情報保護法──Web広告やデジタルマーケティングを巡る状況は大きく変化しています。世界的な潮流から国内の影響までを解説します。
幹部候補か、“万年ヒラ”か キャリアの分かれ目「30代以降の配置」を、人事はどう決めている?
「育成」の観点から異動配置させる20代が過ぎると、多くの企業は「幹部候補の優秀人材」と「それ以外」の社員を選別します。人事は、そうした異動配置をどのように決めているのでしょうか。年代層別の異動配置のロジックをみていきます。
「優秀だが、差別的な人」が面接に来たら? アマゾン・ジャパン人事が本人に伝える“一言”
多様性を重視するアマゾン・ジャパンの面接に「極めてだが優秀だが、差別的な人」が来た場合、どのような対応を取るのか。人事部の責任者である上田セシリアさんに聞いた。
「優秀でも残念でもない、普通社員」の異動に、人事が関心を持たない──何が起きるのか
社員の異動を考える際、人事部が真っ先に関心を持つのは「優秀社員」と「残念社員」。その間にいる大多数の「普通社員」は後回しにされがちという実態がある。しかし、この層への取り組みを疎かにすると、ある懸念が生まれる。
© BUSINESS LAWYERS