- Home
- 本人(個人情報提供者)に向けた対応についてのルール_個人情報保護法【ECサイト運営者のための弁護士が教える個人情報対策⑦】
本人(個人情報提供者)に向けた対応についてのルール_個人情報保護法【ECサイト運営者のための弁護士が教える個人情報対策⑦】
さて、これまで6回にわたって個人情報についての記事を書いてきました(個人情報に関する記事一覧)。今回は、「個人情報取扱業者」が守るべき5つの事項についての5つ目の本人に向けた対応についてのルールです。
つまり、個人情報取扱業者は、その個人情報について、情報主(本人)に対して、どのような義務を負ったりするのか?という話です。
目次
1 本人に向けた対応の基本ルール
まず、個人情報保護法の仕組みについての記事にも書きましたが、本人に向けた対応の基本ルールは、
② 内容が事実でないときは訂正等を行う(個人情報保護法26条)
③ 目的外利用や適正に取得されていない場合、その利用停止を行う(個人情報保護法27条)
④ 苦情を適切かつ迅速に処理することと、その体制の整備を努力する(個人情報保護法31条)
ことになります。
これは、個人のプライバシーの権利(事故に関する情報をコントロールする権利)と個人情報活用のメリットのバランスをとり、個人情報を利用する「個人情報取扱事業者」には、これらのルールを守るように法律で規定されたのです。
なお、①~③について下記で詳細を書いているので唐突ですが、「受付先、提出すべき書面、本人確認方法、開示についての手数料等」の手続きについてのルールを、「個人情報取扱事業者」は、決定することができます(個人情報保護法29条)。これを定めていないと自由な本人からの申請を認めることになりますので、オペレーションコストを下げるため、EC運営者は、これらの事項について定めておいた方がよいでしょう。
2 保有する個人データの開示(個人情報保護法25条)
「個人情報取扱事業者」は、本人から保有する個人データを開示を求める請求を受けたときは、原則として、書面又は本人が同意する方法により、そのデータの有無と内容を開示しなければなりません。
2.1 開示対象となる「データ」とは!?
ここでいう開示の対象となるデータとは、「個人情報取扱業者」が訂正等する権限を有するものいいます。
そして、「個人情報取扱事業者」にあたる要件からして、データベースを構成していないものや6か月以上保有していないものは除かれます(個人情報保護法の仕組みに関する記事「2.2」参照)。また、情報処理等を単に委託を受けたに過ぎない者も、訂正する権限を有しないので、開示請求の対象とはなりません。
なお、個人情報保護法では、個人情報の入手先については、本人から聞かれても答える義務はありません。
2.2 例外的に開示を必要としない場合
個人情報保護法は、本人から「個人データ」の開示を求める請求があったとしても、以下の3パターンにあたる場合には、例外的に開示請求に応じる必要はないとしています。
2.2.1 本人又は第三者の生命、身体、財産その他の権利利益を害するおそれがある場合
お医者さんが患者さんに病名等を開示することにより本人の心身状況を悪化させるおそれがある場合や開示によって他人の個人情報や「個人情報取扱事業者」の営業機密が含まれている場合等です。
2.2.2 個人情報取扱事業者の業務の適正な実施に著しい支障を及ぼすおそれがある場合
同一の本人から複雑な対応を要する同一内容について繰り返し開示の求めがあり、事実上問い合わせ窓口が独占され、他の問い合わせ対応業務が立ち行かなくなる場合や試験実施機関において、採点情報のすべてを開示することにより、試験制度の維持に著しい支障を及ぼすおそれがある場合等があります。
2.2.3 他の法令に違反することとなる場合
刑法第134条(秘密漏示罪)や電気通信事業法第4条(通信の秘密の保護)に違反することとなる場合等があります。
3 内容が事実でない場合の保有する個人データの訂正(個人情報保護法26条)
個人情報保護法は、個人データの内容が事実でないことを理由に、本人から訂正、追加、削除の申立てがあった場合には、利用目的の達成に必要な範囲内で、事実と異なる部分の訂正、追加、削除を行うように定めています。
プライバシー権(自己の情報をコントロールする権利)からすればもっと広く訂正を認めてもよさそうなものですが、上記「1」の通り、人情報活用のメリットとのバランスをとっているのです。つまり、事実と異なるところがなければ訂正する必要もないし、利用目的の達成に必要ではないという理由で、訂正を拒絶することもできてしまうということなのです(26条との関係では)。
4 利用停止等(個人情報保護法27条)
本人から利用停止や第三者提供の停止の申立てがあった場合に、その個人情報が適正に取得されたものでない場合(個人情報取得に関する記事)又は利用目的の範囲を超えて使用されている場合(利用目的に関する記事)いずれかである場合には、その利用停止の申し立てに応じなければなりません。
ただし、いずれの場合でも、その対応に多額の費用がかかる場合には、それに代わる措置を講じるということも可能です。例えば、代償金の支払い等があります。
5 苦情の適切かつ迅速な処理とその体制の整備(個人情報保護法31条)
個人情報取扱事業者は、その業態等に応じて、本人からの苦情を適切に対応するためのシステム体制を整えておき、苦情があった場合には、速やかに適切な対応をするように努力しなければならないとされています。
ECサイト運営者であれば、サイト上に苦情処理の窓口を公表して、担当部署や受付方法等を公表しておけばよいでしょう。
6 まとめ
この記事を入れて、7記事連続で個人情報について書いてきました。今回の個人情報関連の連載については、一応今回で最後にしたいと思います。
今後は、折を見て、具体的な事件や問題等について、個人情報の問題をより具体的に取り上げて行きたいとは思っています。
とりあえず、今回は、全7回個人情報シリーズということで、ご参考にしていただければ幸いです。