１　はじめに

今年の６月５日に個人情報保護法の改正を含む「個人情報の保護に関する法律等の一部を改正する法律案」が成立し、６月１２日に公布されました（改正法の施行は一部の規定を除き、公布から２年以内とされています）。

これまで４回にわたって改正個人情報保護法の概要について書いてきました。５回目となる今回は「保有個人データ」の開示請求や利用停止請求などの「個人の権利」に関する改正事項について書いてみようと思います。

改正個人情報保護法の概要に関する過去のシリーズは以下をご覧ください。

２　「個人の権利」に関する改正事項のポイント

「個人の権利」に関連する改正事項のポイントは以下のとおりです。

・「保有個人データ」の６か月要件を撤廃して開示請求等の対象情報を拡張
・開示請求の対象情報の範囲を拡張して「個人データ」の授受に関する第三者提供記録についても開示対象に含める
③「保有個人データ」の開示について電磁的記録によって提供することを請求可能とする
④本人の権利・正当な利益が害されるおそれがある場合における個人データの利用停止・消去・第三者への提供停止の請求権を創設

以下ではそれぞれの内容について簡単に見ていきます。

３　「保有個人データ」の６か月要件の撤廃

⑴　従前の規制内容

改正前の個人情報保護法においては、個人情報取扱事業者は、「保有個人データ」に関して、一定の事項を本人の知り得る状態に置くとともに（旧法２７条１項）、本人から「保有個人データ」の利用目的の通知を求められたときには、原則として、これを本人に通知する必要がありました（旧法２７条２項）。

また、本人から「保有個人データ」の開示、訂正、利用停止などの請求を受け、一定の要件を満たす場合には、当該保有個人データを開示、訂正、利用停止するなどの措置をとる必要がありました（旧法２８条～３０条）。

上記のとおり、個人の権利に関する開示、訂正、利用停止請求が可能となる情報は「保有個人データ」に限定されています。そして、改正前の個人情報保護法において「保有個人データ」とは、原則として、個人情報取扱事業者が、開示、訂正、追加又は、削除、利用の停止、消去及び第三者への提供の停止の全てに応じることができる権限を有する「個人データ」を指すものであり（旧法２条７項）、例外的に６か月以内に消去することになるもの又はその存否が明らかになることにより公益その他の利益が害されるものは「保有個人データ」から除外するとされていました（旧法２条７項・施行令４条・５条）。
そのため、保存期間が６か月以内のデータは「保有個人データ」の対象から除外されていたのです。

⑵　今回の改正事項

今回の改正によって、６か月以内に消去するものは「保有個人データ」の対象から除外するとされていた、いわゆる６か月要件が撤廃されました（改正法２条７項）。
したがって、「保有個人データ」の範囲が改正前より拡大することになります。具体的には、保存期間が６か月以内であり、短期間しか保存していなかったデータも「保有個人データ」に含まれることになります。

実務的な影響としては、これまで請求権の対象外であった保存期間が短期のデータについても開示、訂正、利用停止請求などの対象になり、企業側では対応を準備する必要があります。

４　第三者提供記録を開示対象となる情報に追加

⑴　従前の規制内容

改正前の個人情報保護法においては、開示請求の対象となる情報は「保有個人データ」とされていました（旧法２８条１項）。

⑵　今回の改正事項

今回の改正によって、本人が識別される「個人データ」に係る第三者への提供・受領時の記録（改正法２５条１項、２６条３項）についても開示対象に追加されました（改正法２８条５項）。

５　「保有個人データ」の開示方法に電磁的記録の提供を追加して、本人が指示できるようにする

⑴　従前の規制内容

個人情報取扱事業者は、本人からの開示請求を受けて保有個人データを開示する場合、原則として「書面の交付による方法」で開示することとされていました（旧法２８条２項・施行令９条）。
ただし、開示請求を行った者が同意している場合、電子メール、電話などの方法により開示することも可能でした（施行令９条）。

⑵　今回の改正事項

今回の改正によって、本人は、個人情報取扱事業者に対し、「保有個人データ」について「電磁的記録の提供による方法」その他の委員会規則で定める方法によって開示を請求することができることとされました（改正法２８条１項）。

この場合、請求を受けた個人情報取扱事業者は、電磁的記録の提供の方法による開示に多額の費用を要する場合その他の当該方法による開示が困難である場合を除き、原則として、電磁的記録の提供による方法によって保有個人データを開示する必要があります。

６　本人の権利・正当な利益が害されるおそれがある場合における個人データの利用停止や第三者への提供停止の請求権を創設

⑴　従前の規制内容

改正前の個人情報保護法では、以下の場合には、本人は、個人情報取扱事業者に対し、「保有個人データ」の利用停止・消去を請求できました（旧法３０条１項）。

①　本人の同意なく目的外利用されていること（旧法１６条）
②　偽りその他不正の手段によって個人情報が取得されていること（旧法１７条１項）
③　本人の同意なく要配慮個人情報が取得されていること（旧法１７条２項）

また、本人は、個人情報取扱事業者に対し、保有個人データが本人の同意なく第三者に提供されている場合などには、第三者提供の停止請求ができました（旧法３０条３項）。

⑵　今回の改正事項

今回の改正では、利用停止・消去の請求権と第三者提供の停止請求権が行使可能なケースが追加されています。

まずは、以下のケースについて、「保有個人データ」の利用停止・消去の請求が可能になりました（改正法３０条１項）。

違法・不当な行為を助長・誘発するおそれがある方法により「個人情報」が利用されている場合（改正法１６条の２）

次に、以下のケースについて、「保有個人データ」の利用停止・消去または第三者提供停止の請求が可能になりました（改正法３０条５項）。
ただし、以下のケースについては、利用停止・消去・第三者提供停止に多額の費用を要する場合その他の利用停止などを行うことが困難な場合であって、本人の権利利益を保護するために必要な措置をとるときは、利用停止などの措置を講じる義務はないものとしています（改正法３０条６項）。

・保有個人データを利用する必要がなくなった場合（改正法３０条５項）
・個人情報保護委員会への報告が必要な漏えい事案等が発生した場合（改正法３０条５項）
・本人の権利または正当な利益が害されるおそれがある場合（改正法３０条５項）

７　感想

保有個人データの６か月要件の撤廃や第三者提供記録の開示対象に追加した改正などは、個人の権利行使を充実させるものなので、本人にとってはプラスになる反面、請求を受ける企業側としてはサービスに直接影響するわけではないとしても、コスト負担は大きくなるんじゃないかと思われます。

個人的には、サービスに一番影響する可能性があるのは「本人の権利または正当な利益が害されるおそれがある場合」にも利用停止・第三者提供停止を可能とした部分の改正ではないかと思っています。この改正の解釈について国会では、利用停止・消去・第三者提供停止の請求が可能な「本人の権利又は正当な利益が害されるおそれがある場合」の具体例として「頻繁にダイレクトメールが送られてくる場合」を想定しているとの答弁がありました。上のようなケースで利用停止請求が可能だとすると、かなり幅広く利用停止請求を行うことができるようにも思われるため、「本人の権利又は正当な利益が害されるおそれがある」ものとして利用停止などの請求が可能な具体例についてガイドラインでどのように明確化されるのかを注視する必要があるのではないかと思います。