2020年(令和2年)6月5日、改正個人情報保護法が国会において可決、成立し、2022年(令和4年)4月1日より、この改正法は全面施行されています。
本稿では、改正個人情報保護法に関連し、事業者が個人情報の消去をしなければならない場合について解説します。
第1 個人情報保護法に関する基礎知識
1 個人情報保護法とは
個人情報保護法(個人情報の保護に関する法律)は、平成15年に成立した法律です。
この法律は、個人情報の適切な取り扱いに関し、個人情報の有用性に配慮しつつ、個人の権利利益の保護を図ることを目的としています。
平成28年には、国の機関として個人情報保護委員会が設立され、個人情報保護法のガイドラインの策定・公表や、事業者に対する監督などを行っています。
2 個人情報とは
個人情報保護法では、「個人情報」とは、生きている個人に関する情報で、①特定の個人であると分かるもの(氏名、住所、生年月日等)及び他の情報と紐づけることで容易に特定の個人であると分かるもの、または、②個人識別符号が含まれるものと定義されています(個人情報保護法第2条第1項)。
したがって、亡くなった方の情報は、個人情報保護法における「個人情報」にはあたりません。
また、法人(企業や団体など)は生きている個人ではないため、法人情報は「個人情報」に含まれません(もっとも、法人の情報であっても、法人の役員の氏名といった情報は、「個人情報」に含まれることになります)。
第2 個人情報保護法における、個人情報の削除に関する規定
個人情報保護法において、個人情報保護法の削除に関する規定は、大きく3つあります。
1 【個人情報保護法第22条】
「個人情報取扱事業者は、利用目的の達成に必要な範囲内において、個人データを正確かつ最新の内容に保つとともに、利用する必要がなくなったときは、当該個人データを遅滞なく消去するよう努めなければならない。」
2 【個人情報保護法第34条】
(第1項)
「本人は、個人情報取扱事業者に対し、当該本人が識別される保有個人データの内容が事実でないときは、当該保有個人データの内容の訂正、追加又は削除(以下この条において「訂正等」という。)を請求することができる。」
(第2項)
「個人情報取扱事業者は、前項の規定による請求を受けた場合には、その内容の訂正 等に関して他の法令の規定により特別の手続が定められている場合を除き、利用目的の達成に必要な範囲内において、遅滞なく必要な調査を行い、その結果に基づき、当該保有個人データの内容の訂正等を行わなければならない」
3 【個人情報保護法第35条第1項・第2項】
(第1項)
「本人は、個人情報取扱事業者に対し、当該本人が識別される保有個人データが第18条若しくは第19条の規定に違反して取り扱われているとき、又は第20条の規定に違反して取得されたものであるときは、当該保有個人データの利用の停止又は消去(以下この条において「利用停止等」という。)を請求することができる。」
(第2項)
「個人情報取扱事業者は、前項の規定による請求を受けた場合であって、その請求に 理由があることが判明したときは、違反を是正するために必要な限度で、遅滞なく、当該保有個人データの利用停止等を行わなければならない。ただし、当該保有個人データの利用停止等に多額の費用を要する場合その他の利用停止等を行うことが困難な場合であって、本人の権利利益を保護するため必要なこれに代わるべき措置をとるときは、この限りでない。」
4 【個人情報保護法第35条第5項・第6項】
(第5項)
「本人は、個人情報取扱事業者に対し、当該本人が識別される保有個人データを当該個人情報取扱事業者が利用する必要がなくなった場合、当該本人が識別される保有個人データに係る第26条第1項本文に規定する事態が生じた場合その他当該本人が識別される保有個人データの取扱いにより当該本人の権利又は正当な利益が害されるおそれがある場合には、当該保有個人データの利用停止等又は第三者への提供の停止を請求することができる。」
(第6項)
「個人情報取扱事業者は、前項の規定による請求を受けた場合であって、その請求に 理由があることが判明したときは、本人の権利利益の侵害を防止するために必要な限度で、遅滞なく、当該保有個人データの利用停止等又は第三者への提供の停止を行わなければならない。ただし、当該保有個人データの利用停止等又は第三者への提供の停止に多額の費用を要する場合その他の利用停止等又は第三者への提供の停止を行うことが困難な場合であって、本人の権利利益を保護するため必要なこれに代わるべき措置をとるときは、この限りでない。」
これらについて、1つずつ内容を見ていきたいと思います。
第3 個人データの内容の正確性の確保等(個人情報保護法第22条)
1 概要
個人情報保護法第22条は、前段において、個人情報取扱事業者が保有する個人データについて、正確かつ最新の内容に保つよう規定しています。
後段においては、保有する個人データについて利用する必要がなくなったときには、そのデータを遅滞なく消去するよう規定しています。
なお、本条における規定は、いずれも努力義務となっています。
2 「利用する必要がなくなったとき」とは
個人データを利用する必要がなくなったときとは、
・個人情報の利用目的を達成し、もはや個人データを保有する合理的な理由が存在しなくなった場合
・個人情報の利用目的を達成するより前に、事業自体が中止となった場合
などが該当します。
3 「遅滞なく」とは
法律の条文では、「利用する必要がなくなったときは、当該個人データを遅滞なく消去するよう努めなければならない」と定めています。
では、「遅滞なく」とは、具体的にはいつのことを指すのでしょうか。
この点については、法律上は具体的な期間を明示していません。もっとも、業務遂行上の必要性や個人データを保管した場合の影響等も勘案して、必要以上に長期にわたらないようにする必要があると解されています。
例えば、イベント開催時の参加者を募集した場合には、イベントを実施し、その後、問い合わせ等があり得ると考えられる合理的な期間が経過すれば、消去すべきと考えられます。
第4 保有個人データの訂正等(個人情報保護法第34条)
1 概要
本人は、個人情報取扱事業者に対し、保有個人データが事実でないという理由によって、内容の訂正、追加又は削除の請求をすることができます。
そのような請求を受けた事業者は、利用目的の達成に必要な範囲で、遅滞なく必要な調査を行う必要があります。そして、その結果に基づき、訂正等を行わなければなりません。
2 削除をしなくてよい場合
条文では、「当該本人が識別される保有個人データの内容が事実でないとき」に、訂正や削除等といった請求ができます。
したがって、事実についての指摘ではなく、単に「評価が誤っている」というような内容の請求であれば、訂正や削除等の対応を取る必要はありません。
3 本人への対応
事業者は、本人からの請求に対して、保有個人データの内容の全部もしくは一部についての訂正や削除等を行ったとき、または、訂正や削除等を行わない旨の決定をしたときは、遅滞なく、その旨を本人に通知することが義務となっています。
なお、訂正や削除等を行ったときは、その内容も通知する必要があります。
第5 法違反の場合の利用停止等
1 概要
本人は、個人情報取扱事業者に対して、当該本人の保有個人データが、
・個人情報保護法第18条の規定に違反して、本人の同意なく目的外の利用がされている
・個人情報保護法第19条の規定に違反して、不適正な利用が行われている
・個人情報保護法第20条の規定に違反して、偽りその他不正の手段により個人情報が取得されている/本人の同意なく要配慮個人情報が取得されたものである
という理由によって、利用の停止や消去の請求をすることができます。
事業者は、これらの請求を受けた場合であって、その請求に理由があることが判明したときは、原則として、遅滞なく、利用の停止や消去といった対応を行わなければなりません。
2 個人情報保護法第18条違反の場合
個人情報保護法第18条は、利用目的による個人情報の取り扱いの制限に関する規定です。個人情報取扱事業者は、本人の同意を得ずに、利用目的の達成に必要な範囲を超えて、個人情報を取り扱うことは、原則として禁止されています。
もっとも、その同意を得るために、個人情報を利用して、例えば電話をかけることは、当初の利用目的として記載されていない場合でも、目的外利用には該当しないとされています。
【参考:個人情報保護法第18条第1項】
「個人情報取扱事業者は、あらかじめ本人の同意を得ないで、前条の規定により特定された利用目的の達成に必要な範囲を超えて、個人情報を取り扱ってはならない。」
3 個人情報保護法第19条違反の場合
個人情報保護法第19条は、違法または不当な行為を助長し、または誘発するおそれのある方法で、個人情報を利用することを禁止しています。
例えば、官報に掲載される破産者の情報をデータベース化して、インターネット上で公開することは、本条違反となります。掲載された本人に対する違法な差別などが誘発されるおそれがあることが予見できるからです。
【参考:個人情報保護法第19条】
「個人情報取扱事業者は、違法又は不当な行為を助長し、又は誘発するおそれがある方法により個人情報を利用してはならない。」
4 個人情報保護法第20条違反の場合
個人情報保護法第20条第1項は、偽りなどの不正な手段により個人情報を取得すること禁止しています。
また、個人情報保護法第20条第2項は、要配慮個人情報を取得する際には、原則として本人の同意を得ることを義務づけています。
【参考:個人情報保護法第20条第1項】
「個人情報取扱事業者は、偽りその他不正の手段により個人情報を取得してはならない。」
【参考:個人情報保護法第20条第2項】
「個人情報取扱事業者は、次に掲げる場合を除くほか、あらかじめ本人の同意を得ないで、要配慮個人情報を取得してはならない。
(1) 法令に基づく場合
(2) 人の生命、身体又は財産の保護のために必要がある場合であって、本人の同意を得ることが困難であるとき。
(3) 公衆衛生の向上又は児童の健全な育成の推進のために特に必要がある場合であって、本人の同意を得ることが困難であるとき。
(4) 国の機関若しくは地方公共団体又はその委託を受けた者が法令の定める事務を遂行することに対して協力する必要がある場合であって、本人の同意を得ることにより当該事務の遂行に支障を及ぼすおそれがあるとき。
(以下略)」
5 代替措置
個人情報保護法第35条第2項のただし書きでは、
「当該保有個人データの利用停止等に多額の費用を要する場合その他の利用停止等を行うことが困難な場合であって、本人の権利利益を保護するため必要なこれに代わるべき措置をとるときは、この限りでない。」
と規定しています。
ここでの「困難な場合」については、利用停止等に多額の費用を要する場合のほか、正当な事業活動において保有個人データを必要とする場合についても該当しうるとされています。
「これに代わるべき措置」とは様々ですが、個人情報保護法ガイドラインでは、以下のような例示がされています。
・既に市販されている名簿の刷り直し及び回収作業に多額の費用を要するとして、名簿の増刷時の訂正を約束する場合や必要に応じて金銭の支払いをする場合
・個人情報保護委員会への報告の対象となる重大な漏えい等が発生した場合において、当該本人との契約が存続しているため、利用停止等が困難であるとして、以後漏えい等の事態が生じることがないよう、必要かつ適切な再発防止策を講じる場合
いずれにしても、具体的な状況に応じて、必要かつ適切な措置を考える必要があります。
6 本人への対応
個人情報取扱事業者は、利用の停止や消去を行ったときや、利用の停止や消去を行わない旨の決定をしたときは、遅滞なく、その旨を本人に通知することが義務となっています。
第6 個人情報保護法第35条第5項の要件を満たす場合の利用停止等
1 概要
本人は、個人情報取扱事業者に対して、当該本人の保有個人データが次のいずれかの場合に該当するときは、利用停止等(利用の停止や消去)の請求をすることができます。
・利用する必要がなくなった場合
・当該本人が識別される保有個人データに係る法第26条第1項本文に規定する事態が生 じた場合
・当該本人の権利又は正当な利益が害されるおそれがある場合
事業者は、これらの請求を受けた場合であって、その請求に理由があることが判明したときは、原則として、遅滞なく、利用停止等の対応を行わなければなりません。
2 利用する必要がなくなった場合
個人データを利用する必要がなくなったときとは、
・個人情報の利用目的を達成し、もはや個人データを保有する合理的な理由が存在しなくなった場合
・個人情報の利用目的を達成するより前に、事業自体が中止となった場合
などがあります。
3 当該本人が識別される保有個人データに係る法第26条第1項本文に規定する事態が生じた場合
個人情報保護法第26条第1項本文に規定されているような事態が生じた場合です。
簡単に言うと、
・要配慮個人情報が含まれる個人データ漏えい等が発生し、又は発生したおそれがある事態
・不正に利用されることにより財産的被害が生じるおそれがある個人データの漏えい等が発生し、又は発生したおそれがある事態
・不正の目的をもって行われたおそれがある個人データの漏えい等が発生し、又は発生したおそれがある事態
・個人データに係る本人の数が1000人を超える漏えい等が発生し、又は発生したおそれがある事態
の4つとなります。
【個人情報保護法第26条第1項本文】
「個人情報取扱事業者は、その取り扱う個人データの漏えい、滅失、毀損その他の個人データの安全の確保に係る事態であって個人の権利利益を害するおそれが大きいものとして個人情報保護委員会規則で定めるものが生じたときは、個人情報保護委員会規則で定めるところにより、当該事態が生じた旨を個人情報保護委員会に報告しなければならない。」
【個人情報保護法施行規則第7条】
「法第26条第1項本文の個人の権利利益を害するおそれが大きいものとして個人情報 保護委員会規則で定めるものは、次の各号のいずれかに該当するものとする。
(1) 要配慮個人情報が含まれる個人データ(高度な暗号化その他の個人の権利利益を保護するために必要な措置を講じたものを除く。以下この条及び次条第1項において同じ。)の漏えい、滅失若しくは毀損(以下この条及び次条第1項において 「漏えい等」という。)が発生し、又は発生したおそれがある事態
(2) 不正に利用されることにより財産的被害が生じるおそれがある個人データの漏えい等が発生し、又は発生したおそれがある事態
(3) 不正の目的をもって行われたおそれがある個人データの漏えい等が発生し、又は発生したおそれがある事態
(4) 個人データに係る本人の数が千人を超える漏えい等が発生し、又は発生したおそれがある事態」
4 当該本人の権利又は正当な利益が害されるおそれがある場合
「本人の権利又は正当な利益が害されるおそれがある場合」とは、法律の目的に照らして、保護に値する正当な利益が存在し、それが侵害されるおそれがある場合をいいます。
例えば、送付不要と告げているにも関わらず、何度もDMが送られてくるような場合などが該当しうると考えられています。
5 代替措置
個人情報保護法第35条第6項のただし書きでは、
「当該保有個人データの利用停止等又は第三者への提供の停止に多額の費用を要する場合その他の利用停止等又は第三者への提供の停止を行うことが困難な場合であって、本人の権利利益を保護するため必要なこれに代わるべき措置をとるときは、この限りでない。」
と規定しています。
ここでの「困難な場合」については、利用停止等に多額の費用を要する場合のほか、正当な事業活動において保有個人データを必要とする場合についても該当しうるとされています。
「これに代わるべき措置」についての考え方も、上記の通りです。
6 本人への対応
個人情報取扱事業者は、利用の停止や消去を行ったときや、利用の停止や消去を行わない旨の決定をしたときは、遅滞なく、その旨を本人に通知することが義務となっています。
第7 まとめ
個人情報保護の意識が高まっていることを考えると、個人情報の消去についてはしっかりと対応する必要があります。
個人情報の取り扱いについてのご相談がある場合は、ぜひ当事務所までお問い合わせください。
グリーンリーフ法律事務所は、設立以来30年以上の実績があり、18名の弁護士が所属する、埼玉県ではトップクラスの法律事務所です。
また、各分野について専門チームを設けており、ご依頼を受けた場合は、専門チームの弁護士が担当します。まずは、一度お気軽にご相談ください。