<ポイント>
◆利用の必要がなくなった場合などに保有個人データの利用停止・消去の請求、第三者への提供の停止請求ができるようになった
◆事業者は必要な限度で、また代替措置で対応も可能
保有個人データ(連載第3回の「保有個人データ」に関する改正について https://www.eiko.gr.jp/lawcat/3-5/参照)については、以前から事業者に対する利用停止や消去の請求、第三者への提供の停止請求に関する規定がありましたが、この点について改正がありました。
改正前は、利用停止・消去請求は目的外使用や不正取得のときのみが対象で、第三者提供の停止は第三者提供時の義務違反の場合のみでした。
しかし、これでは個人の権利利益保護に不十分との意見がありました。そこで、上記に加え、(1)不適正利用時(利用停止・消去のみ)、(2)保有個人データを利用する必要がなくなった場合、(3)重大漏洩など規則が定めた事例の場合、(4)保有個人データの取扱いにより本人の権利利益が害されるおそれのある場合(保護に値しない不当な利益の場合やおそれが主観的なものにすぎない場合は不可)にも拡充されました。
ただ、上記の(2)から(4)を理由として利用停止・消去、第三者提供の停止の請求があった場合、事業者としては本人の権利利益の侵害を防止するために必要な限度で対応すればよいとされています。たとえば、個人保有データ全ての消去請求に対して、一部の利用停止により対応する場合が考えられます。
また、同様の場合で利用停止などをするのが困難な場合、本人の権利利益を守るために必要な代替措置をとることを条件に請求に応じなくていい場合もあります(ただし、請求に応じない、請求と異なる措置をとるとした場合はその旨の通知をする義務がありますが、理由説明は努力義務にとどまります)。
たとえば、すでに市販されている名簿の刷り直しや回収に多額の費用がかかる場合で次回の増刷時に訂正を約束する場合などが考えられます。
上記のとおり一定の場合には保有個人データの消去を請求できることになりましたが、2018年に適用が開始されたEUの一般データ保護規則(一般にGDPRと呼ばれているので本稿でもそれにならいます)には、すでに同様の権利が規定されています。
GDPRでは「消去権(忘れられる権利)」として規定されており、保有個人データを利用する必要がなくなった場合やデータ取り扱いの同意を撤回した場合など6つの場合があります。
この権利は、適用除外はあるものの、上記の必要な限度での対応や代替措置の規定はなく、個人データを保有する事業者は、原則として、要件を満たす場合には消去しなければなりません。その意味でGDPRの規定は我が国の改正法よりも厳しいものといえると思います。また、これに違反すると多額の制裁金が課せられます。
今回の法改正では「消去権(忘れられる権利)」の明文化はされませんでしたが、今後の法改正によりGDPRと同様に消去義務が広く認められる方向にむかう可能性はあります。
法改正により、事業者が上記の請求を想定して対応するため、実務的には、現在の社内規定等が改正法に対応できているかを確認し、保有する個人情報の利用の必要性の有無の観点では利用目的との関連で必要性が無くなったものは削除するなどするべきでしょうし、保管するべき期間も検討すべきです。
保管期間が過ぎたら自動で削除するなどのシステム構築も可能なら導入すべきです。社内のリスク管理担当(漏洩等あれば報告義務対象で、利用停止等請求にもつながりうる)と開示等対応担当の連携も整えておくべきでしょう。