小規模事業者も5月30日から適用対象に!
個人情報保護法ガイドライン 会社の現状チェックと対策
弁護士
鈴木 雅人(弁護士法人 三宅法律事務所)
III 個々の対応内容について
(5)開示等請求への対応
次に、本人からの開示等請求があった場合への対応についてです。
改正前より、「保有個人データ」の開示・訂正・利用停止等の各請求を本人が行い得ることについては既に規定がありましたが、今回の改正で、裁判を通じてこれを実現できることになりました。
もっとも、濫訴の懸念も指摘されており、それを受けて改正法34条1項は「本人は、第28条第1項(開示)、第29条第1項(訂正等)又は第30条第1項若しくは第3項(利用停止等)の規定による請求に係る訴えを提起しようとするときは、その訴えの被告となるべき者に対し、あらかじめ、当該請求を行い、かつ、その到達した日から2週間を経過した後でなければ、その訴えを提起することができない」(いずれもカッコ内は筆者追記)と定めています。
ちなみに「2週間を経過した」とは、ガイドラインによれば、例えば4月1日に保有個人データの開示等の請求が「個人情報取扱事業者」に対して到達した場合、4月16日が当該到達日から「2週間を経過した」日となります。
開示等請求への対応を考えるに当たっては、[1]これを受け付ける「窓口」の設置(誰が第一義的に受け付けるか)、[2]請求等の申出先、提出すべき書面の様式・受付方法、請求者本人または代理人であることの確認方法、手数料の決定、[3]「何処に」「何(どのような情報)が」あるかを把握できる体制の確保、[4]「何時までに」回答するのかについて明確化が必要です。
ガイドラインは、[2]につき、実費を勘案して合理的であると認められる範囲内で定めなければならないとしています。そして、[4]の関係では、上述の2週間という時的制限を踏まえ、請求到達後2週間以内の「回答」ができるような体制整備を検討するとともに、判断が難しい請求があった場合についての目安(例えば、件数の多い場合や事例が複雑な場合に回答期間を請求受付から30日以内とするなど)を設定し、それを明らかにするのがよいでしょう。目安が合理的であれば、多くの請求者は事業者側の回答まで訴訟提起を差し控えるでしょうから、請求者側からむやみに訴訟を提起される懸念をある程度払拭できるものと考えられます。
(6)その他
[1]各種公表事項に向けた対応
個人情報取扱事業者は、保有個人データに関する一般的事項として、[1]当該事業者の氏名・名称、[2]保有個人データの利用目的、[3]開示等請求に応じる手続き(手数料額を含む)、[4]保有個人データの取扱いに関する苦情の申出先(認定個人情報保護団体の対象事業者である場合は当該団体の苦情窓口も)を公表するとともに、本人から利用目的の通知を求められたときはこれを通知しなければならないものと定められています(改正法27条)。
また、個人情報取扱事業者は個人情報の取扱いに関する苦情の適切・迅速な処理に努めなければならず、そのために必要な体制の整備に努めなければならないものとされています(改正法35条)。
これらに関しては、別項で定める事項と重なる部分も多いため、この点も考慮に入れて、公表する項目を整理し、あるいは苦情窓口一般の問題としてどのような形でこれを設定するかを考えれば良いものと考えられます。
[2]匿名加工情報の利用に向けた対応等
最後に、個人情報を個人を特定しない状態に加工して提供することを考えている事業者は「匿名加工情報に関する規制」に沿った形で社内体制を整え、対応を行わなければなりません。
中小規模事業者においてはあまり例がないかもしれませんので詳細は省略しますが、[1]加工基準の明示、[2]安全管理措置の要求、[3]識別行為の禁止などを通じ、改正法は法制上も、実態としても、「作成された情報が個人識別できず」また「再識別行為ができない」状態を確保しようとしています。
3. 2を踏まえた文書化
これまで述べてきた内容を踏まえ、文書化を行っていくわけですが 冒頭でも述べた通り、改正法の対応を考えるに当たっては二つの視点があります。
一つは、i)情報主体たる本人に向けて何を提供するのかという視点、もう一つは、ii)情報のセキュリティの観点から安全管理体制を確立するために何をするのかという視点です。
これらの対応が文書化の中の主要部分となりますが、整理すると図表4のようになります。
図表4
文書化の検討が必要な事項(対応目的別)
【i)情報主体たる本人に何を提供するか】
§18 (利用目的の通知・公表・明示)
⇒契約書・パンフ・HP
§23 (第三者提供)
⇒契約書・パンフ(同意取得)、オプトアウト関連(所定事項を「容易に知り得る状態」に〔HP〕)、共同利用関連(所定事項を「容易に知り得る状態」に〔HP〕)
§24 (外国の第三者への提供)
⇒契約書・パンフ(同意取得)
§27 (保有個人データに関する事項の公表等)
⇒HP
§28 ~ 34(開示等請求)
⇒開示等請求手続に関する規程・マニュアル
§35(苦情の処理)
⇒HP(苦情窓口の公表)
※ 苦情窓口の守備範囲を改正法の他の規定との関係も踏まえ決定
【ii)安全管理体制の確立のために】
§19 (情報の正確性・消去義務)
⇒保管・廃棄関連の規程(§20も参照)
§20 (安全管理措置)
⇒ 個人データ取扱に関する基本規程と個別規程(取得・利用・保存・提供・削除・廃棄等の取扱ルール、組織体制、責任者・担当者とその権限)
§21 (従業員の監督)
⇒就業規則の変更等(秘密保持)
§22 (委託先の監督)
⇒委託契約、委託先選定基準
4. 従業員教育・体制整備後のメンテナンス
これまで述べてきたところを実施していけば、現在保有する個人情報の保護へ向けた取組みは、形としてはほぼ万全に仕上がった状態となることと思いますが、改正法対応に向けた体制が一度整備されたからといって、取組みが完全に終わるわけではありません。新たに収集される情報を定期的に追加していく作業も必要となるでしょうし、実態を踏まえ規定の追加・修正等も適宜行うことが必要な場合もあるでしょう。
また、従業員の意識を持続させるという意味では、継続的な講習会の実施が重要かと思われます。さらに適切な運用を確保するという意味でも定期的な監査は不可欠になるものと思われます。
【執筆者略歴】 鈴木 雅人(すずき まさと)●弁護士・ニューヨーク州弁護士。平成12年弁護士登録。平成21年より弁護士法人三宅法律事務所パートナー。民事・商事一般のほか、情報法制・労働・倒産・知的財産・海事・国際取引等の各分野について、商社・金融機関・メーカーを中心に、各種法律相談・訴訟事件を手がけている。
人事の専門メディアやシンクタンクが発表した調査・研究の中から、いま人事として知っておきたい情報をピックアップしました。
