Emilio Administrative Law Office
これを読めばわかる!
保有個人データの正しい取り扱いとリスク管理
「保有個人データ」と聞いて、
すぐにその意味を説明できますか?
個人情報や個人データについては、前回のブログ「知らないと危ない!個人情報と個人データの違いと管理方法を分かりやすく解説」で詳しく解説し、保有個人データについても簡単に説明しました。
すでに個人情報保護法についてご存じの方も多いと思いますが、「保有個人データ」となると、少し難しく感じるかもしれません。
たとえば、こんな疑問を持ったことはありませんか?
「個人データと保有個人データの違いって何?」
「うちのお店で管理している顧客データは、保有個人データに該当する?」
「保有個人データを適�切に管理するには、どんなルールがあるの?」
この記事では、「保有個人データ」とは何かをわかりやすく解説し、事業者が守るべきルールや適切な管理方法について詳しく説明します!
そもそも「保有個人データ」とは?
保有個人データとは、「事業者が、開示・訂正・削除などの対応ができる個人データ」 のことを指します。
簡単に言えば、「事業者が管理していて、本人が請求すれば開示・変更できる個人データ」 ということです。
個人情報保護委員会「「個人情報の保護に関する法律についてのガイドライン」に関するQ&A」では、次のように定義されています。
「保有個人データ」とは、個人情報取扱事業者が開示等を行う権限を有する個人データであって、その存否が明らかになることにより公益その他の利益が害されるものとして政令で定められたもの以外のものと定義されています(法第16条第4項、政令第5条)
(「健康保険組合等における個人情報の適切な取扱いのためのガイダンス」 を補完する事例集(Q&A) 【総論(「用語の定義」等関係)問007】
事業者が、本人からの開示請求に対応できる個人データであり、保存期間に関係なく「保有個人データ」に該当します。なお、事業者が管理していないデータは保有個人データに該当しません。
ポイント!短期間で消去されるデータも、保有個人データになる!
以前は、6カ月未満で削除するデータは、保有個人データに該当しませんでした。例えば、短期キャンペーンの応募者リストや、予約システムの一時データなどは、短期間で削除されてしまうため、被害リスクも低く、また事業者の管理コストも考慮されていました。しかし、2022年施行の改正個人情報保護法では、6カ月以内に削除する短期保存データも「保有個人データ」に該当するように変更されました。
変更の理由は、情報化社会の発展が背景にあります。現在は、SNSなどにより、短期間に保有されるデータであっても、漏洩が起きた場合、瞬時に拡散されてしまうリスクがあります。この変更により、6カ月未満のデータも保有個人データとして管理しなければならなくなりました。
そのため、「どうせすぐ消去するから」と考えるのは危険です。 「6カ月未満のデータも開示請求に対応する義務がある」 という意識を持つ必要があります。
保有個人データに該当しないケースとは?
すべての個人データが「保有個人データ」に該当するわけではありません。
以下のようなデータは、保有個人データに該当しません。
② 事業者が開示・訂正できないデータ
例えば、クレジットカード会社が管理するカード番号で、事業者が直接アクセスできない場合は、保有個人データに該当しません。他社に完全委託しているデータ(広告代理店や外部データ管理会社が保持している場合)も同様です。
具体的な例で考えてみよう!
例えば、小さなオンラインショップを運営している場合、お客様の名前や住所、電話番号などの情報をリストにして管理していることが多いでしょう。こうしたデータは、事業者が自ら管理し、開示や訂正の請求に対応できるため、保有個人データに該当します。
一方で、店舗に設置した防犯カメラの映像はどうでしょうか?防犯目的で1週間だけ保存され、その後自動的に削除されます。このような短期間の保存であっても、保有個人データに該当します。たった1日ですぐ削除する情報であっても、同様です。
また、フリーランスのコンサルタントの方が、クライアントとの契約内容や相談内容を記録して長期間保存している場合、これも保有個人データに当たります。もしお客様から「自分の情報を開示してほしい」といった請求があれば、適切に対応する必要があります。
事業者が守るべきルールと管理ポイント
保有個人データには、一般的な個人データよりも 厳格な管理義務があります。具体的には、以下のポイントを守る必要があります。
①本人から保有個人データの開示などの請求に対応する
保有個人データに関する請求があった場合、適切に対応しなければなりません。具体的には、次のような請求が考えられます。
開示請求:(自分の情報を確認したい)
例:通販サイトの顧客が、過去の購入履歴を開示してほしいと依頼する。
訂正請求(情報が間違ってい��るので修正してほしい」
例:会員登録した名前の誤りを修正してほしいと依頼する。
利用停止請求:(もう自分の情報を使わないでください)
例:ある企業のメルマガが不要になり、配信停止を求める。
消去請求:(自分の情報を消してほしい)
例:退職した企業の公式サイトに掲載された、自分の社員プロフィール情報を削除するよう依頼する。
第三者提供の停止請求(自分の情報を他の会社などに提供しないでほしい)
例:クレジットカード会社が提携先に個人データを提供していたため、その停止を求める。
請求を受けた保有個人データがあること、または無いことが明らかになると、本人又は第三者の生命、身体又は財産に危害が及ぶ場合など、個人情報保護法が定めた例外規定に該当する場合は、開示を断ることができます。
②保有個人データを取り扱う場合の公表義務
保有個人データを管理する場合、一定の情報を公表しなければなりません。これは、利用者が自分の個人情報がどのように扱われているのかを知るための重要なルールです。
公表すべき情報には、以下の内容が含まれます。
事業者の名称と住所、代表者の氏名…利用者がどの事業者に対して情報の開示請求を行うかを明確にするためです。
個人情報の利用目的…事業者がどのような目的で個人情報を収集・利用しているのかを示す必要があります。
保有個人データの請求に関する対応方法…利用者が自身の情報について、以下の請求をする時の手続きを明記しておく必要があります。
保有個人データの利用目的
保有個人データの開示
保有個人データの訂正・追加・削除
保有個人データの利用の停止・削除
保有個人データの第三者提供の記録の開示
保有個人データの第三者への提供の停止
手続きの手数料の額を定めた場合は、その金額
お問い合わせ窓口…個人情報の取り扱いについて質問や請求、苦情がある場合の連絡先を公表することで、利用者がスムーズに問い合わせできるようにします。
安全管理措置の概要事業者がどのような対策を講じて個人データを保護してい��るのか、大まかに説明することが求められます。
これらの情報は、事業者のホームページや店頭など、利用者が簡単に確認できる形で公表することが望ましいです。多くの事業者が、ホームページ上にプライバシーポリシーを定めているのは、このためです。
まず、お客様の権利に応えることが重要です。
事業者は、顧客から「自分の情報を知りたい」「情報が間違っているので修正してほしい」といった請求があった場合、適切に対応しなければなりません。開示請求、訂正請求、利用停止請求など、さまざまな要求に応じる準備をしておくことが大切です。
また、安全な管理を徹底することも求められます。
保有個人データは漏洩のリスクが高いため、適切なセキュリティ対策を実施しましょう。たとえば、データの暗号化やアクセス制限を行い、外部からの不正アクセスを防ぐことが大切です。
最後に、不要なデータは適切に削除することが大切です。保有個人データは、必要がなくなったら放置せずに削除することが求められます。長期間使用しない情報は定期的に見直し、不要なデータを削除することで、データ管理のリスクを減らすことができます。
保有個人データは、適切に活用すれば大きなメリットがあります。例えば、過去の購買履歴をもとにお客様に最適な商品を提案したり、フォローアップの連絡をしたりすることで、顧客満足度を向上させることができます。
しかし、リスクも存在します。情報漏洩や不適切な利用によって、顧客の信頼を失ってしまう可能性があります。また、法律��違反となった場合、事業者には罰則が科されることもあるため、慎重な対応が求められます。
事業者として個人情報を適切に管理し、顧客の信頼を守るためには、ルールをしっかり理解し、遵守することが大切です。保有個人データの適切な管理を徹底し、安全な運営を心掛けましょう!
この記事のまとめ
保有個人データとは、個人データの中で、事業者が管理し、開示などの請求に対応できるもの。
開示等の請求対応や公表義務など、個人情報や個人データよりも、守��らなければならない義務が増えることを知っておこう!
保有個人データの活用には大きなメリットが。しっかり法律を守って、正しく使おう!
参考
個人情報の保護に関する法律についてのガイドライン(通則編)-個人情報保護委員会
「個人情報の保護に関する法律についてのガイドライン」に関するQ&A -個人情報保護委員会