準備は大丈夫!?個人情報保護法改正の解説(第3回) ~「保有個人データ」に関する改正について~
【関連カテゴリー】

<ポイント>
◆保有個人データの範囲拡大に備える必要がある
◆保有個人データに関する公表事項が追加された

本項では令和2年個人情報保護法改正(以下「本改正」といいます)における、「保有個人データ」の範囲の拡大・「保有個人データ」に関する公表事項追加について解説します。

まず、保有個人データに関する改正を理解するため、改正前の保有個人データについて整理します。
個人情報保護法においては、個人情報を含む情報の集合物であって、一定の方法で検索することができるように体系的に構成したものを「個人情報データベース等」といいます。例えば、昨今、多くの会社では従業員名簿や顧客名簿をPCで作成、保管していますが、これらは個人情報データベースに該当する可能性が高いです。このような個人情報データベース等を構成する個人情報を「個人データ」といいます。
そして、「保有個人データ」とは、個人データのうち、個人情報取扱事業者(個人情報データベース等を事業に利用する者)が本人またはその代理人から請求される開示、内容の訂正、追加又は削除、利用の停止、消去及び第三者への提供の停止の全て(以下「開示等」という。)に応じることができる権限を有する個人データのことをいいます。そのため、事業者が本人から直接取得した個人データは、基本的には保有個人データに該当することになります。他方、例えば、委託を受けて個人情報を預かっているだけの事業者の場合、その事業者にはその個人情報を委託者の許可なく開示等する権利がありません。よって、その個人情報は、個人データに該当することはあっても、保有個人データには該当しません。
ただし、改正前においては次に掲げる個人データは保有個人データには該当しないものとされていました。
(1)その存否が明らかになることにより、本人又は第三者の生命、身体又は財産に危害が及ぶおそれがあるもの等
(2)6ヶ月以内に消去することとなるもの(いわゆる短期保存データ)

個人情報取扱事業者は、保有個人データに関して一定の事項を本人の知り得る状態(本人の求めに応じて遅滞なく回答する場合を含む。)にする義務(公表等の義務)を負うほか、本人(ここでは保有個人データによって識別される特定の個人のこと)から保有個人データの開示、訂正、利用停止、第三者利用停止等の請求を受けた場合には一定の要件のもと対応する義務を負います。
なお、これまで短期間で消去していた個人データについて、開示等の請求に対応するためだけに保存しておく必要はありません。改正前と同じく、利用目的を達成した個人データについては遅滞なく消去するよう努めなければなりません。

本改正では上記(2)の除外事由が削除され、短期保存データについても保有個人データに該当するものとされました。
改正前個人情報保護法において短期保存データが保有個人データから除外されたのは、短期間で消去される個人データが本人の権利を侵害する危険性が低いと考えられていたからです。しかし、情報が瞬時に拡散される現代においては、短期間に消去される個人データであっても漏洩した場合等の危険性は非常に大きいといえます。このような考え方の変化により上記改正がなされました。
企業としては、改正後には短期保存データも保有個人データに該当することを認識し、上記の各義務を履行できよう準備しておく必要があります。

また、本改正により、保有個人データに関して公表等すべき事項が追加されました。企業としては追加された事項を確認し、公表等の対応ができるように準備しておく必要があります。
まず、個人情報取扱事業者は、その住所を、法人の場合にはその代表者の氏名も公表等しなければならなくなりました。これらの改正は本人から事業者への連絡をより取りやすくすることが目的です。
また、個人情報取扱事業者は、その取り扱う個人データの漏えい、滅失またはき損の防止その他の個人データの安全管理のために必要かつ適切な措置を講じる義務を負うところ、かかる義務に基づき講じた措置の内容についても公表等しなければならなくなりました。ただし、公表等により保有個人データの安全管理に支障を及ぼすおそれがある場合を除きます。