ユーザーから「貴社が保有している私に関する個人情報すべてを開示して下さい」と請求されたらどうすればよいか

まずはじめに

表題のような問い合わせがあることが、たまにある。

アプリなどの開発企業が、ユーザー氏名やメールアドレス、電話番号、属性、購買履歴などの、個人に紐づいた情報を取得し利用することは日常的である。
が、ユーザー側も自分のどのような情報が取得されているのだろうと不審に思うことがある。

読者諸氏も、手軽に開示請求できるならば開示請求したい、とユーザー側の立場で思ったことがあるのではないか。
なんで僕宛にこんなダイレクトメールが来てるんだ。
この会社は僕の何を知ってるんだ？

このような開示請求をされる立場になった場合、個人情報を保存している事業者は、どのような対応をすればよいのか。

できるだけ分かりやすく整理してみた。

筆者は資格を持った弁護士ですが、本稿は分かり易さ優先で書き起こしているため、例外的場面に目をつぶるなど、厳密さにはいささか欠けます。
今現在まさに問題に直面している方の役にも立つとは思いますが、そのような方の場合、実際に弁護士に相談したほうが絶対に良いです。

そもそも、個人情報取扱事業者は本人情報の開示請求に応じる必要があるのか

結論を述べてしまえば、開示しなければならないことがあり、しかも開示しなければならない場合はかなり多い。

個人情報保護法には次のような条文がある（３３条第１項、第２項本文）

1. 本人は、個人情報取扱事業者に対し、当該本人が識別される保有個人データの…開示を請求することができる。
2. 個人情報取扱事業者は、前項の規定による請求を受けたときは、本人に対し、…遅滞なく、当該保有個人データを開示しなければならない。

開示を請求された情報が、当該本人が識別される「保有個人データ」であった場合、原則として開示しなければならないことになる。

保有個人データって何だろう

　「保有個人データ」とは、下記の条件すべてに合致するデータである。

① 個人データであること
② 個人情報取扱事業者が開示、内容の訂正、追加又は削除、利用の停止、消去及び第三者への提供の停止を行うことのできる権限を有するデータであること
③ その存否が明らかになることにより公益その他の利益が害されるものとして政令で定めるもの以外のものであること

以下でそれぞれについて説明してみる。

①　個人データであること

個人データとは、個人情報データベース等を構成する個人情報をいうとされている。
データベースを構成していなければ、個人データ足りえないということである。

この個人情報データベースとは下記の条件全てに合致するものをいう。
以下では、それぞれについて解説を加える。

• A) 個人情報を含む情報の集合物であること
• B) 電子計算機を用いて検索することができるように体系的に構成したもの（電子データベースの場合）であること¹

• C) 利用方法からみて個人の権利利益を害するおそれが少ないものとして政令で定めるものは除かれる

A)　個人情報を含む情報の集合物であること

集合物でなければ、個人情報データベースに該当しない。

本人から個人情報を聴き取って作成したメモや受け取った名刺があるとする。
その内容をデータベースに反映していない場合、それ１枚だけでは集合物ではないため、個人情報データベースを構成する個人データに該当しない。

このため、開示の対象でもないことになる。

B)　電子計算機を用いて検索することができるように体系的に構成したものであること

データが体系的に整理されたものでなければならない。

通常データベース化されていれば体系的に整理されている。

しかし、データベース化に至らず、たとえば、取得した情報をフォルダにまとめて突っ込んであるだけであればどうか。
このような場合、電子計算機を用いて検索することができるように体系的に構成したとはいえない状態であれば、個人情報データベースには該当しないことになる。

C)　利用方法からみて個人の権利利益を害するおそれが少ないものとして政令で定めるもの

広く一般に市販されている状態でのカーナビなどがこれにあたる。
カーナビには電話帳に記載されている情報など個人情報を含む情報の集合物が含まれ、容易に検索できるように体系化されているので、本来であれば、個人情報データベースにあたりそうである。
しかし、この要件から、カーナビが会社にあっても当該カーナビ自体は、個人情報データベースにはならないので、それを構成するデータは開示の対象ではない。

②　開示等を行うことのできる権限を有すること

下記のすべてを行うことができる権限を有する場合でなければ、その事業者にとっては、保有個人データにあたらないとされる。
一部の権限しかない場合には、保有個人データにあたらない。

• A) 開示
• B) 内容の訂正、追加又は削除
• C) 利用の停止、消去
• D) 第三者への提供の停止

これはつまり、あるデータが保有個人データかどうかは、そのデータを有している事業者が権限を有しているかどうかによって、相対的に決せられるということである。

典型的には、委託を受けて個人データを取り扱うにとどまる事業者が、上記権限を付与されていない場合は、当該事業者にとっては保有個人データに該当しないことになるので、開示を請求されても開示しなくて良い。

この場合、開示請求者はこのような権限を有する委託元に対し開示等の講求を行わなければならないことになる。

③　その存否が明らかになることにより公益その他の利益が害されるものとして政令で定めるものにあたらないこと

不審者や悪質なクレーマーを本人とする個人データなどが、保有個人データから除かれることになっている。

政令では「当該個人データの存否が明らかになることにより、違法又は不当な行為を助長し、または誘発するおそれがあるもの」などが除外されるとされており、不審者や悪質なクレーマーはこれにあたりうる。

これにあたる場合、データ自体は存在しても、保有個人データにはあたらないことになる。
したがって、開示請求に対して、「ご請求にかかる保有個人データは当社にはございません」との回答をすることができるため、無用なトラブルを避けることができる。

短期保存データについて

なお、個人情報保護法の令和2年改正前は、６ヶ月以内に消去することとなるものが、保有個人データから除外されていた。
しかし、現在では６ヶ月以内に消去する予定となっていても、保有個人データにあたることになっているので、要注意である。

保有個人データを開示しなくても良い場合

上記で説明した保有個人データにあたらない場合には、開示はしなくてよい。

また、保有個人データに該当する場合であっても、下記の場合は開示しなくても良いとされている。

① 開示請求者が、事業者の定める受付け方法に従わなかった場合
② 個人情報取扱事業者の業務の適正な実施に著しい支障を及ぼすおそれがある場合等の場合

以下それぞれをみる。

①　開示請求者が、事業者の定める受付け方法に従わなかった場合

個人情報取扱事業者は開示の請求を受付ける方法を定めることができる。
本人は、当該方法に従って開示の請求を行わなければならず、これに従わなかった場合には、開示を拒否することができる。

個人情報取扱事業者が定めることができる事項は次のとおりとされる。

A) 開示の請求の申出先
B) 開示の請求に際して提出すべき書面（電磁的記録含む）の様式その他の開示の請求の方式
C) 開示の請求をする者が本人又は代理人であることの確認の方法
D) 手数料の徴収方法

上記で定めた内容については、本人の知りうる状態（本人の求めに応じて遅滞なく回答する場合を含む）に置いておかなければならないとされている。
これはたとえば、ウェブサイトへの掲載等によることになるだろう。

事業者は、このような請求を受付ける方法を定める義務を負うものではない。

しかし、A)受付窓口やB)開示請求書の様式を定めないのであれば、本人は任意の方法により開示請求ができてしまう。

会社に電話がかかってきて口頭でのよく分からない要求に長々と対応することになってしまうことを想像して欲しい。理解し難い長文のお手紙がやってくることも考えられる。

明らかに担当者の無益な工数と心労が増えるので、これらを定めるメリットは大きい。

C) 本人確認の方法についても、本人を誤認して開示してしまうと、個人データの漏えいということになってしまうので、極めて重要である。

D) 手数料については、実費を予測して、平均的単価を算出して定めることが望ましいとされる。
例えば郵便で開示の請求に応じる場合、配達証明付の書留料金を勘案するなどして適切な金額を検討することになる。
当該事務に関わった従業員の人件費まで上乗せすることは難しいと考えられている。

実際にユーザーが興味本位で開示請求しようとした場合、この手数料がある程度のフィルターとして機能しているようである。
たとえば、通信教育大手のベネッセであれば、開示請求の手数料は９７０円（税込・振込手数料別）とされている。²

１０００円近く払うことになるのであれば、面白半分、興味本位の申立は、かなりの程度抑制されると思われる。

なお、個人情報取扱事業者はこれらの開示等の請求に応じる手続きを定める場合、必要以上に煩雑な書類を求めたり、受付窓口をいたずらに不便な場所に限定するなどして、本人に過重な負担を課すことのないように配慮しなければならないとされる。

なので、当然ではあるが、どんな内容を定めてもよいわけではない。

②　業務の適正な実施に著しい支障を及ぼすおそれがある場合等の場合

下記のような場合には開示請求に応じなくてもよいとされている。

A) 本人又は第三者の生命、身体、財産その他の権利利益を害するおそれがある場合
B) 当該個人情報取扱事業者の業務の適正な実施に著しい支障を及ぼすおそれがある場合
C) 他の法令に違反することとなる場合

このうち、ユーザーからの開示請求について、特に問題になりそうなのが、B)業務の適正な実施に著しい支障を及ぼすおそれがある場合である。

たとえば、同一の本人から複雑な対応を要する同一内容について繰り返し開示の求めがあり、事実上問い合わせ窓口が占有されることによって、他の問い合わせ対応業務が立ち行かなくなるなど、業務上著しい支障を及ぼすおそれがある場合がこれにあたる。

このような場合、開示を拒否できる。

また、個人情報取扱事業者は、本人に対し、開示等の請求等の対象となる保有個人データを特定するに足りる事項の提示を求めることができるとされている。
このような特定がされず、個人情報取扱事業者の業務の適正な実施に著しい支障を及ぼすおそれがある場合には、当該保有個人データの全部・一部を不開示としうる。

ただ、個人情報取扱事業者は、本人が容易かつ的確に開示等の請求等をしうるよう、特定に資する情報の提供等の措置をとらなければならないとされているので、その点は注意を要する。

本人に対する結果の通知等

ここまで述べたところにより、開示するか開示しないかを判断したら、本人にその結果等を通知するか、実際に開示することになる。

開示しない場合

下記の場合は、本人に対し、遅滞なくその旨を通知しなければならないとされている。
開示しなくてよい場合にも、知らんぷりはできない。

① 請求のあった保有個人データの全部又は一部につき開示しない旨の決定をしたとき
② 当該保有個人データが存在しないとき
③ 本人が請求した方法による開示が困難であるとき

また、下記の場合は、本人に対し、その理由を説明する努力義務があるとされる。

① 本人から請求された開示措置の全部又は一部について、その措置を取らない場合
② 本人から請求された開示措置の全部又は一部について、その措置と異なる措置をとる場合

開示する場合

開示する場合は、下記のうち本人が請求した方法により開示することになる。

① 電磁的記録の提供、つまり電子データの提供による方法
② 書面の交付による方法
③ その他、当該個人情報取扱事業者の定める方法

本人が請求した方法による開示に、多額の費用を要する場合その他当該方法による開示が困難である場合にあっては、書面の交付による方法によるとされている。

1. これとは別に、紙ベースであっても、容易に検索することができるように体系的に構成したものである場合、個人情報データベース等に該当することがあるが、本稿では省略する。 ↩

2. 個人情報保護方針と個人情報保護に関する公表文 | 株式会社ベネッセコーポレーション (benesse.co.jp) ↩