「個人情報保護法⑥」

本日、ブログを担当するシステム開発課の鈴木です。

前回は「個人データと保有個人データとは」について記載しました。
今回は「保有個人データに対する法律」について記載します。

　保有個人データについては、個人情報取扱事業者が、開示・内容の訂正・追加または削除、
利用の停止、消去および第三者への提供の停止のすべてを行える権限を有しますが、
経済産業省のガイドラインでは、上記例外以外にも「受託して処理しているものは除く」としています。
第三者が収集した個人情報を、業務委託され処理するために保有しているものは、
保有個人データとは見なしませんので、情報主体に対し、開示・訂正などをすることはできません。

　保有個人データについては、開示などを行うことができる権利があるのと同時に、
法第二十四条から第三十条において、さまざまな義務が規定されています。

　第二十四条（保有個人データに関する事項の公表等）
　第二十五条（開示）
　第二十六条（訂正等）
　第二十七条（利用停止等）
　第二十八条（理由の説明）
　第二十九条（開示等の求めに応じる手続）
　第三十条（手数料）

　・以下の事項を本人の知り得る状態に置かなければならない。
　　１．個人情報取扱事業者の氏名または名称
　　２．利用目的
　　３．開示などの手続きの方法と、それに伴う手数料
　・本人から開示請求があった場合、遅延なく開示しなければならない。
　・本人から訂正要求があった場合、誤りがあった場合には応じなければならない。
　・本人から利用目的外の利用や同意のない第三者提供について利用停止を求められた場合、
　　応じなければならない。

「本人の知り得る状態」とは、経済産業省のガイドラインで以下のように解説しています。
　ウェブ画面への掲載、パンフレットの配布、本人の求めに応じて遅滞なく回答を行うこと等、
　本人が知ろうとすれば、知ることができる状態に置くことをいい、
　常にその時点での正確な内容を本人の知り得る状態に置かなければならない。

　個人情報を収集する場面などで、本人が目にすることができる状態にあるか、
または問い合わせがあった際にきちんと回答できればよいということです。

　利用目的については、すべての個人情報を取得する際に、通知または公表しなければならないとされています。
そして、保有個人データについてのみ、開示などの請求に応じる義務があるとしています。
開示などの請求に応じるためには、保有個人データを整理し、検索する仕組みづくりをしておく必要があります。
以下の項目などを事前に決定しておくといいでしょう。

　・開示などの請求に際し、どのように本人確認をするのか？
　・帳票などを用意するのか？
　・社内手続きはどうするのか？

　また、手数料の徴収について、法で以下のように認めています。
　第三十条　（手数料）
　　１　個人情報取扱事業者は、第二十四条第二項の規定による利用目的の通知又は
　　　　第二十五条第一項の規定による開示を求められたときは、当該措置の実施に関し、
　　　　手数料を徴収することができる。
　　２　個人情報取扱事業者は、前項の規定により手数料を徴収する場合は、
　　　　実費を勘案して合理的であると認められる範囲内において、その手数料の額を定めなければなら
　　　　ない。

　利用目的の通知と開示について手数料を徴収することができます。
これについては、顧客サービスの一部としてすべて無料の決定をしている企業もありますし、
電話や電子メールの場合は無料、郵送の場合は有料という企業もあります。

　特に郵送の場合は、切手代などの実費が掛かることが明確であり、
社内手続きを考慮すると人件費そのほかも当然掛かっているわけですが、
価格については各企業の判断に任されています。
ちなみに、有料の場合300?1000円前後のところが多いようです。
なお、手数料を設定した場合は、必ず開示手続きの方法とともに本人の知り得る状態にしておく必要があります。

　この保有個人データについての規定を見ても、個人情報保護法とは
「本人が自己の個人情報がどのように扱われるのかを知り、コントロールする権利を持つ」という法律であるといえます。

次回は「個人情報取得時における利用目的」について記載したいと思います。