ぼちぼち改正個人情報保護法を読む-2条(定義:保有個人データ・本人)

保有個人データとは、個人情報取扱事業者が、開示、内容の訂正、追加又は削除、利用の停止、消去及び第三者への提供の停止を行うことのできる権限を有する個人データをいいます。
「本人」とは、個人情報によって識別される特定の個人をいいます。
改正による変更はありません。

保有個人データと本人の概念は、開示、訂正、利用停止などに関係する概念ですので、一緒にまとめて理解しておく必要があります。

保有個人データとは

条文

条文は改正による変更はありません。

(定義)
第2条
7 この法律において「保有個人データ」とは、個人情報取扱事業者が、開示、内容の訂正、追加又は削除、利用の停止、消去及び第三者への提供の停止を行うことのできる権限を有する個人データであって、その存否が明らかになることにより公益その他の利益が害されるものとして政令で定めるもの又は1年以内の政令で定める期間以内に消去することとなるもの以外のものをいう。

保有個人データとは?

「保有個人データ」とは、個人情報取扱事業者が、開示、内容の訂正、追加又は削除、利用の停止、消去及び第三者への提供の停止(法28条~30条)を行うことのできる権限を有する個人データをいいます。

保有個人データと個人情報、個人情報データベース等との関係および保有個人データと個人情報取扱事業者の義務との対応は、次の図を参考にしてください。

保有個人データから除外されるもの

次の①と②の2種類の個人データが除外されています。
実務的には、下記の個人データは、本人から開示、内容の訂正、追加又は削除、利用の停止、消去及び第三者への提供の停止の請求があったとしても、存否を明らかにしたり、請求に応じたりする義務はないことを意味しています。

①その存否が明らかになることにより公益その他の利益が害されるもので、以下の4つに該当するもの(法2条7項、個人情報保護法施行令4条)

一 当該個人データの存否が明らかになることにより、本人又は第三者の生命、身体又は財産に危害が及ぶおそれがあるもの

 

これには、たとえば、家庭内暴力、児童虐待の被害者の支援団体が保有している、加害者(配偶者または親権者)および被害者(配偶者または子)を本人とする個人データがあたると説明されています(「個人情報の保護に関する法律についてのガイドライン(通則編)」18頁)。

二 当該個人データの存否が明らかになることにより、違法又は不当な行為を助長し、又は誘発するおそれがあるもの

 

これには、たとえば、暴力団などによる不当要求の被害を防止するために事業者が保有している、そうした要求を行った人物の個人データがあたると説明されています(「個人情報の保護に関する法律についてのガイドライン(通則編)」18頁)。

三 当該個人データの存否が明らかになることにより、国の安全が害されるおそれ、他国若しくは国際機関との信頼関係が損なわれるおそれ又は他国若しくは国際機関との交渉上不利益を被るおそれがあるもの

 

これには、たとえば、防衛に関連する兵器・設備・機器・ソフトウェアなどの設計または開発を行った担当者名が記録された個人データや、警備会社が保有している要人の訪問先や行動予定等の個人データがあたると説明されています(「個人情報の保護に関する法律についてのガイドライン(通則編)」18頁)。

四 当該個人データの存否が明らかになることにより、犯罪の予防、鎮圧又は捜査その他の公共の安全と秩序の維持に支障が及ぶおそれがあるもの

 

これには、たとえば、警察から捜査関係事項照会等がなされることにより初めて取得した個人データ、警察から契約者情報等について捜査関係事項照会等を受けた事業者が、その対応の過程で作成した照会受理簿・回答発信簿、照会対象者リスト等の個人データ、犯罪による収益の移転防止に関する法律に基づく疑わしい取引の届出の有無および届出に際して新たに作成した個人データ、振り込め詐欺に利用された口座に関する情報に含まれる個人データがあたると説明されています(「個人情報の保護に関する法律についてのガイドライン(通則編)」18頁)。

②6か月以内に消去することとなるもの(法2条7項、個人情報保護法施行令5条)

たとえば、鉄道に乗車する際に利用する記名式のカードに記録された乗車・降車の履歴や、電話の通話履歴(どの番号にどのくらいの時間かけたかなど)について、6か月以内に消去されていれば、履歴の開示請求をしても、「保有個人データ」から除外されているために、開示を受けることはできません。

本人とは

条文

改正による変更はありません。

(定義)
第2条
8 この法律において個人情報について「本人」とは、個人情報によって識別される特定の個人をいう。

 

「本人」とは、個人情報によって識別される特定の個人をいいます。

開示・訂正・利用停止等の請求者

本人は、自身が識別される保有個人データの開示、訂正、利用停止等の請求を、個人情報取扱事業者に対して行う主体となります。改正により、本人に請求権があることが明確になりました。

開示 本人が識別される保有個人データの開示を請求 28条1項
訂正等 本人が識別される保有個人データの内容が事実でないときは、当該保有個人データの内容の訂正、追加または削除 29条1項
利用停止等

 

本人が識別される保有個人データが、利用目的の制限(16条)に違反して取り扱われているとき、または適正な取得(17条)に違反して取得されたものであるときは、当該保有個人データの利用の停止または消去を請求

当該本人が識別される保有個人データが第三者提供の制限の規定(23条1項)または外国にある第三者への提供の制限の規定(24条)に違反して第三者に提供されているときは、当該保有個人データの第三者への提供の停止を請求

30条1項

 

 

30条3項

 

本人の同意・本人に通知・本人の知りうる状態に置く

個人情報保護法の条文は、「本人」という言葉があちらこちらで出てきます。本人が前述した開示・訂正・利用停止等を請求する主体になる場合以外に、本人は「同意」「通知」「知りうる状態に置く」ことの対象にもなっています。

これを個人情報取扱事業者から見れば、条文上で「本人の同意」「本人に通知」「本人の知りうる状態に置く」ことなどが要求されている場合には、事業者はそれらの義務を果たさなければなりません。
ここでまとめて、3つの場合を整理します。

本人の同意

「本人の同意」とは、個人情報取扱事業者による個人情報の取扱いに承諾する意思表示をいいます。
個人情報保護委員会の「個人情報の保護に関する法律についてのガイドライン(通則編)」では、本人の同意を得ている事例をあげています(24頁)。口頭であるか書面であるかを問わず、紙媒体であるか電磁的な記録であるかを問いません。個人情報の取扱いに関する書面などに確認欄を作り、本人にチェックをさせる方法もあります。インターネット上の取引の場合には、ウエブサイト上の本人同意のボタンが設置されています。これをクリックすることも本人の同意に含まれます。

事前の「本人の同意」を要する場合 条文
利用目的の制限 個人情報の利用目的の達成に必要な範囲を超えて個人情報を取り扱う場合 16条1項
利用目的の制限 合併その他の事由により事業を承継した場合、承継前における個人情報の利用目的の達成に必要な範囲を超えて個人情報を取り扱う場合 16条2項
適正な取得 要配慮個人情報を取得する場合 17条2項
第三者提供の制限 個人データを第三者提供に提供する場合 23条1項
外国にある第三者への提供の制限 外国にある第三者に個人データを提供する場合 24条

本人に通知

「本人に通知」とは、本人に直接知らせることをいいます。具体的な方法として、個人情報保護委員会の「個人情報の保護に関する法律についてのガイドライン(通則編)」は、ちらし等の文書を直接渡すこと、口頭または自動応答装置などで知らせること、電子メール、FAXなどにより送信したり、文書を郵便などで送付することをあげています(23頁)。

本人に通知が必要な場合 条文
取得に際しての利用目的の通知等 個人情報を取得した場合であらかじめその利用目的を公表していない場合(公表でも可) 18条1項
取得に際しての利用目的の通知等 個人情報の利用目的の変更をした場合(公表でも可) 18条3項
第三者提供の制限 オプトアウトによる個人データの第三者提供(本人が容易に知りうる状態に置くことも可) 23条2項
第三者提供の制限 オプトアウトによる個人データの第三者提供で、掲げる事項(個人データの項目、提供方法、本人の求めを受け付ける方法)に変更がある場合(本人が容易に知りうる状態に置くことも可) 23条3項
共同利用 個人データの共同利用の場合(本人が容易に知りうる状態に置くことも可) 23条5項3号
共同利用 個人データの共同利用の場合で、通知事項に変更がある場合(本人が容易に知りうる状態に置くことも可) 23条6項
保有個人データに関する事項の公表等 本人から、当該本人が識別される保有個人データの利用目的の通知を求められたとき 27条2項
保有個人データに関する事項の公表等 た保有個人データの利用目的を通知しない旨の決定をしたとき 27条3項
開示 保有個人データの全部又は一部について開示しない旨の決定をしたとき又は当該保有個人データが存在しないとき 28条3項
訂正等 保有個人データの内容の全部若しくは一部について訂正等を行ったとき、又は訂正等を行わない旨の決定をしたとき 29条3項
利用停止等 保有個人データの全部若しくは一部について利用停止等を行ったとき若しくは利用停止等を行わない旨の決定をしたとき、 30条5項

本人が容易に知りうる状態

「本人が容易に知りうる状態」とは、事業所の窓口への書面の掲示・備付け、ウエブサイトへの掲載、ウエブサイトにリンク先を表示するなどして、継続的な方法によって、本人が知ろうとすれば簡単に知ることができる状態をいいます(個人情報保護委員会の「個人情報の保護に関する法律についてのガイドライン(通則編)」49頁)。

本人が容易に知りうる状態に置くことが必要な場合 条文
第三者提供の制限 オプトアウトによる個人データの第三者提供(本人に通知も可) 23条2項
第三者提供の制限 オプトアウトによる個人データの第三者提供で、掲げる事項(個人データの項目、提供方法、本人の求めを受け付ける方法)に変更がある場合(本人に通知も可) 23条3項
共同利用 個人データの共同利用の場合(本人に通知も可) 23条5項3号
共同利用 個人データの共同利用の場合で、通知事項に変更がある場合(本人に通知も可) 23条6項
保有個人データに関する事項の公表等 保有個人データに関し、個人情報取扱事業者の氏名または名称、個人データの利用目的、開示・訂正・利用停止等の請求に応じる手続き、手数料を知らせる場合 27条1項

 

保有個人データと本人の定義、さらにそれらが関係する条文について、理解が進んだでしょうか。次の記事は、匿名加工情報と匿名加工情報取扱事業者について説明します。

 

*本投稿は、拙著『個人情報保護法 逐条分析と展望』青林書院2003年)に加筆修正したものです。

弁護士(第二東京弁護士会・NY) Gerogetown University Law Center LLM修了 早稲田大学法学部卒業 情報法の分野に特に関心を寄せています。このサイトでは、情報法に関する情報を発信しています。5月末までは改正された個人情報保護法の記事を集中してUPする予定です。 私の詳しいプロフィールは、サイドバーのLinkedInをクリックしてご覧ください。