この記事では、2020年6月5日の参議院本会議で可決成立した個人情報保護法一部改正法案の中で、その適応範囲が広がった「保有個人データ」の詳細を整理していきます。

個人情報保護法一部改正法案については、以下の記事にて紹介しています。興味がある方は合わせて御覧ください。

http://acompany.tech/blog/revised-personal-information-protection/

はじめに

より良いサービスの提供のため、企業が消費者の個人情報を取り扱うケースが増えてきました。

ただ、個人情報の利活用は、その手段などによっては、個人の利益を損なう危険性も含んでいます。

そこで、個人情報を取り扱う事業者を対象に、個人情報の取り扱い方法を定めた法律として、個人情報保護法が存在しています。

今回は、個人情報保護法の中でも、データベース化して利用されている個人情報を取り扱っている事業者を対象に定められている「保有個人データ」とその改正点を紹介します。

個人情報・個人データ・保有個人データ

保有個人データについて述べていく前に、下記の関係性について説明します。

• 個人情報
• 個人データ
• 保有個人データ

まず、個人情報とは、生存する個人に関する情報であって、特定の個人を識別できるものであるのことです。

そして、個人データとは、個人情報データベース等を構成する個人情報のことであり、個人情報データベース等の定義は下記となっています。

個人情報を含む情報の集合物であって、 ①特定の個人情報を電子計算機を用いて検索することができるように体型的に構成したもの ②前号に掲げるもののほか、特定の個人情報を容易に検索することができるように体型的に構成したものとして政令で定めるもの

保有個人データ

さらに従来、保有個人データの定義は以下とされてきました。

個人情報取り扱い事業者が、開示、内容の訂正、追加又は削除、利用の停止、消去及第三者への提供の停止を行うことのできる権限を有する個人データであって、その存否が明らかになることにより公益その他の利益が害されるものとして政令で定めるもの又は一年以内の政令で定める期間以内に消去することとなるもの以外をいう。

政令で定める期間は、6月とする。

つまり、従来の保有個人データは「個人データ」のうち、以下の両者を満たすものであると言えます。

1. 個人情報取扱事業者が開示、内容の訂正、追加又は削除、利用の停止、消去及第三者への提供の停止を行うことができるもの
2. 取得日から6ヶ月を超えて保有することになるもの

個人情報・個人データ・保有個人データの包含関係

以上のことから、これらの情報は下記のような包含関係にあるということができます。

保有個人データ取扱事業者の義務

保有個人データを取り扱っている事業者は、本人からの請求に応じて、個人情報を開示、訂正、利用停止等しなければなりません。

また、以下の5点に関してHPに公表するなどして、本人の知り得る状態にしておく必要があります。

1. 事業者の名称
2. 利用目的
3. 請求手続きの方法
4. 苦情の申出先
5. 認定個人情報保護団体に加入している場合、当該団体の名称及び苦情申し出先

上記に加え、個人情報の取り扱いに対し、苦情を受けた場合には適切かつ迅速に対応しなければなりません。

ここまでが保有個人データという概念の説明になります。

ここからは、今回の改正個人情報保護法によって保有個人データに関する取り決めが変更となった箇所を紹介していきます。

今回新たに保有個人データに該当するもの

今回の改正個人情報保護法において、保有個人データに該当する情報の定義が以下のように更新されました。

6ヶ月以内に消去する短期保存データを保有個人データに含める

この範囲拡大の背景は、EUにおける個人情報保護法制であるGDPRがあります。

GDPRでは、情報の保存期間にかかわらず、短期で消去されるデータでも個人データとみなします。この差異から、日本とEU間の取り決めで、EUの個人データを日本の個人情報取扱事業者が取り扱う場合には、6ヶ月以内に消去する個人データであっても、保有個人データとしてみなすとされています。

よって、GDPRに沿う形で、個人情報保護法においても、短期保存データも保有個人データに該当するようになったと考えられます。

なお、GDPRに関する詳細は以下の記事にてまとめています。

http://acompany.tech/blog/what-is-gdpr/

保有個人データの拡張に伴って予想されること

現在、ビジネスにおいて、消費者の個人情報を取得することが普及してきました。例えば、「イベントに参加するために個人情報を提出した」という情報を事業者が保有していた場合、それは保有個人データに該当します。

従来は、その保有期間によって、保有個人データに該当するか否かが分かれていました。そのため、それらのデータを早い段階で削除することによって対策をしていた事業者は、保有個人データを正規の手続きで取り扱う仕組みを早急に作成する必要があります

これにより、今後事業者の個人情報取り扱いコストの増大が予想されます。

まとめ

保有個人データの詳細と、個人情報保護法改正によるその範囲拡張、それによって事業者に発生すると予想されることをまとめました。

個人情報に関連する情報を利活用することのメリットは大きいですが、まずは、取扱事業者としての義務を果たす必要があります。

• 保有個人データとは、個人情報取扱事業者によってデータベース化されている個人情報の中で、事業者が開示などを行うことのできる情報である。
• 個人情報、個人データ、保有個人データは包含関係にある。
• 保有個人データを扱っている事業者は、その利用目的などをHP等で公開する必要がある。
• 従来、保有期間が6ヶ月を超えるもののみが保有個人データとして定義されていましたが、GDPRとの関連から、短期保存データもそれに該当するようになった。
• 新たに保有個人データとなった情報を取り扱う事業者のコスト増大が予想される。

参考

• 一般財団法人個人情報保護士会
• 個人情報保護委員会事務局
• 改正個人情報保護法に向けた実務対応-森・濱田松本法律事務所