一般企業法務

更新日：2021.05.10 投稿日：2019.10.04 代表弁護士中川浩秀

企業が個人データの開示請求を受けた場合の正しい対応を解説

東京スタートアップ法律事務所は
全国20拠点以上！安心の全国対応

電話受付弁護士への相談予約 0120-569-030 8:30〜20:00(平日)9:00〜19:00(土日祝)

メールでお問い合わせ全国対応可能

記事目次

保有個人データ開示請求の主な事例と目的
- 1. データの削除や利用停止
- 2. 採用面接時に取得した個人情報
法的根拠となる改正個人情報保護法を解説
- 1. 開示請求権の法的根拠
- 2. 裁判上も行使可能な請求権
保有個人データの開示請求をできるのは？
開示するべき個人情報の範囲
個人情報を開示する際の手続と注意事項
開示請求を拒否するべきケースもある？
まとめ

改正個人情報保護法では、個人情報のうち企業が保有する個人データ（以下「保有個人データ」といいます。）の開示を本人が請求する権利について定められています。

企業が保有個人データの開示請求を受けた際に法律に準拠した正しい対応をするためには、関連する法律の内容をしっかり理解した上で必要な規定や社内の対応マニュアルなどを準備しておくことが大切です。

この記事では、保有個人データの開示請求の主な事例や目的、法的根拠、開示するべき個人データの範囲、個人データを開示する際の手続と注意事項などについて解説します。

保有個人データ開示請求の主な事例と目的

企業が保有個人データの開示請求を受けるのは具体的にどのようなケースが想定されるのでしょうか。
典型的な事例について説明します。

1. データの削除や利用停止

一般消費者向けのB to Cと呼ばれるビジネス形態の場合、過去に取引していた顧客が「自宅にダイレクトメールやカタログなどが送られてくるのを停止したい」、「最近知らない会社からセールスの電話がかかってきたけど、以前あの会社で登録した個人情報が使われているかもしれないから調べたい」などいう理由で保有個人データの開示を求めるケースがあります。

また、ビジネス形態に関わらず、退職者が過去に在籍していた企業に対して、自分の個人情報が残っていることを不安に感じて削除を求める場合もあるでしょう。

どちらのケースも、最終的な目的は保有個人データの消去ということになります。

2. 採用面接時に取得した個人情報

最近は、採用面接時に提出した履歴書の行方や個人情報の利用状況を気にする方も増えているようです。
履歴書には氏名、住所、生年月日、メールアドレス、学歴や職歴など、重要な個人情報が含まれています。

特に不採用となった場合に、個人情報が適切に消去されるのか、悪用されたりしないのか不安という方は多いかもしれません。
採用面接の担当者から口頭で「履歴書はこちらが責任を持って破棄します」と伝えている企業は多いようですが、それだけでは納得してもらえない場合もあります。

そのような場合に「履歴書を返却してほしい」という要望を受ける可能性もありますが、企業側に提出された履歴書を返却する義務はありません。
採用活動における個人情報の取り扱いについては、トラブルを防止するためにも、社内で規定を作成し、利用目的、不採用になった場合の取り扱い、対応窓口などを明記し、公式サイト上で公表することが望ましいでしょう。

法的根拠となる改正個人情報保護法を解説

保有個人データの開示請求を受けたときに法律に準拠した対応を行うためには、法的根拠を正しく理解することが不可欠です。
開示請求の法的根拠となる改正個人情報保護法の規定について解説します。

1. 開示請求権の法的根拠

2017年5月30日に施行された改正個人情報保護法では、企業が保有する個人データについて、本人が開示（第28条）、訂正等（第29条）、利用停止等（第30条）を請求する権利があると定められています。
企業は本人からの開示等の請求を受けた場合、遅滞なく開示等を行うことが求められています。

2. 裁判上も行使可能な請求権

改正個人情報保護法では、改正前の本法の「求め」という文言を「請求」に変えることにより、保有個人データの開示等を請求する権利は、裁判上も行使可能な権利であると明確にされています。

ただし、開示等を求めていきなり裁判を起こすことはできません。請求者が裁判を起こすことができるのは、以下の場合に限られます。

あらかじめ請求を行い、かつ、請求が到達した日から２週間が経過した後
２週間を経過しなくても明示的に請求を拒否された場合又は客観的な事情から請求を拒絶することが明白な場合

裁判を起こされないためにも、できるかぎり迅速に請求に応じる体制を整えておくことが大切です。

保有個人データの開示請求をできるのは？

企業に対して保有個人データの開示請求をする権利を有するのは原則として本人のみですが、例外もあります。

ここからは保有個人データの開示請求権の権利保有者に関する原則と例外について説明します。

1. 原則は本人のみ

保有個人データの開示は、原則として、本人からの請求に基づき本人に対してのみ行います。

保有個人データを開示する際は、なりすましによる不正行為を防ぐために、必ず運転免許証、パスポート、マイナンバーカード、年金手帳などの本人確認書類の提示を求めて、本人確認を行いましょう。

電話やメールなどでの問い合わせは本人確認が難しいので、本人しか知らない生年月日などの情報を確認した上で、こちらが保有している連絡先に折り返し連絡するなど慎重な対応を行いましょう。

ただし、電話やメールでは本人確認が十分にできない場合もあります。

そのような場合には改めて本人確認書類の提出を求める場合があることを予め規定などに明記し、公式サイト上などでも公開しておくとトラブルの防止につながります。

また、保有個人データの開示請求は、電話やメールでは受け付けず、本人確認書類を同封した郵送でのみ受け付けるという規定を設けてもよいでしょう。

2. 代理人からの請求

改正個人情報保護法第32条３項では、代理人による開示等の請求が認められています。開示等の請求ができる代理人は以下のいずれかに限られています。

未成年者又は成年被後見人の法定代理人
開示等の請求等をすることにつき本人が委任した代理人

代理人からの保有個人データの開示請求等を受けた際は、必ず上記に該当するかを厳格に確認しましょう。

代理人からの請求では、代理人本人の本人確認書類に加え、法定代理人の場合は本人との関係がわかる戸籍謄本または健康保険証のコピーや後見登記の登記事項証明書、委任した代理人の場合は委任状及び委任状に捺印した印鑑の印鑑証明書の提出を求めるなどの方法があります。

3. 本人や代理人以外からの請求は？

本人の同意を得ずに個人データを第三者に提供することは個人情報保護法で禁じられています。

そのため、本人の知り合いなどから「緊急事態で、〇〇さんと至急連絡を取りたいので、〇〇さんの個人情報を開示してほしい」などの請求を受けたとしても、本人の同意を得ることなく個人情報を提供しては絶対にいけません。

しかし、例外的に、本人の許可なしに個人情報を提供することが許されているケースもあります。

具体的な例外ケースを２つご紹介します。

法令に基づく例外

法令に基づき個人情報の提供が必要な場合としては、提供が義務づけられている場合に限らず、第三者への提供の根拠が規定されている場合も含むと解されており、以下のようなケースがあります。

捜査機関から刑事訴訟法第１９７条２項に基づく捜査関係事項照会があった場合
弁護士から弁護士法第２３条の２に基づく個人データの提供依頼を受けた場合（ただし、報告をしないことについて正当な理由がある場合を除く。）
プロバイダ責任制限法第４条に基づいてプロバイダが発信者情報を開示する場合

上記の場合は、法令上、個人情報の提供が必要となりますので、本人の同意を得ることなく速やかに求められている個人情報を提供しましょう。

緊急時で本人の同意を得ることが困難な場合

本人または第三者（自然人だけでなく法人その他の団体も含みます。）の生命、身体、財産保護のために必要で、かつ本人の同意を得ることが困難な場合も本人の同意を得ずに個人情報を提供することが認められています。ただし、生命等の保護に他の方法を用いることが可能な場合には、本人の同意を得ないで情報提供することはできませんので注意が必要です。

例えば、災害や事故などの緊急時や急病で本人が意識不明の状態で病院に運ばれた場合ななどに、運ばれた先の病院の医師や看護師に本人の血液型や家族の連絡先を伝える場合などがこのケースに該当します。

開示するべき個人情報の範囲

開示請求等の対象となるのは、本人が識別される保有個人データのみです。

本人から開示請求があった場合、開示する必要があるデータと必要がないデータについての定義も、しっかり押さえておきたいポイントです。

例えば、採用面接で不採用となった人物から、個人データの開示と同時に選考結果の理由や面接時の評価等の情報の開示を求められるというケースを考えてみましょう。

この場合、「採用活動における個人情報の取扱い」などの規定で、「採用活動の終了後、速やかに廃棄します」などと定めておけば開示請求に応じる必要はありません。

なぜなら、個人データのうち１年以内の政令で定める期間以内に消去することとなるものは開示請求等の対象となる保有個人データに該当しないためです。政令では、この期間を６ヶ月以内と定めていますので、6か月以内に確実に消去される予定がある場合、保有個人データに該当しないことになります。

個人情報を開示する際の手続と注意事項

実際に開示請求を受けた際、迅速に正しい対応をするためには、予め社内でどのような手続をとるかについて具体的な内容を定めておく必要があります。

ここでは、手続を定める際の注意点、「開示請求書」フォームに記載する内容、情報開示の手続に関する規定に記載するべき内容について説明します。

1. 開示請求の手続・方法に関する注意点

本人から保有個人データの開示の請求があった場合、本人確認書類の提出を求めて、厳格に本人確認をする必要があることは前述のとおりです。

しかし、改正個人情報保護法第３２条４項では、本人確認のための手続について、本人に過剰な負担を課すものとならないよう配慮することが定められています。

例えば、開示請求等の手続・方法について、郵送、ファクシミリ、電子メール等による請求等を認めず、「平日の９時～１７時の間に本人確認書類を持参の上、本社の窓口まで本人が直接お越しいただき、手続をしてください」などと限定してしまうと、遠方にお住まいの方、身体が不自由な方、高齢者、平日仕事をしている方にとっては負担が大きくなってしまいます。

2.「開示請求書」フォームの用意

手続・方法としては「個人情報開示請求書」というような表題を付したフォーマットを用意し、公式サイト上で窓口を明記して、本人確認書類を同封した郵送で受け付けるという方法が一般的のようです。

「開示請求書」フォームに必要な項目は以下のとおりです。

氏名
郵便番号
住所
電話番号
請求内容
保有個人データの開示、利用目的の通知、訂正、削除、第三者提供の禁止、共同利用停止、利用停止
本人確認のために同封する書類
運転免許証・運転経歴証明書のコピー、パスポートのコピー、マイナンバーカードのコピー、健康保険の被保険者証のコピー、年金手帳のコピー、在留カードのコピー

代理人が申請する場合もありますので、代理人が申請する際の入力欄も設けましょう。

ネット上で「個人情報開示請求書フォーマット　例」などのキーワードで検索すると、具体的なフォーマットが見つかりますので、参考にするとよいでしょう。

3. 開示請求等の手続・方法に関する規定

「開示請求書」フォームを用意するとともに、開示請求等の手続・方法に関する規定も作成しておきましょう。

一般的に、手続・方法に関する規定に記載されている内容は以下のとおりです。

開示等の対象となる個人情報の範囲

開示等の対象となるデータの範囲について明記します。ただ、事業者が、事業部門ごとなのか、年度別なのか等、どのような区分をして個人データを保有しているのか本人が分からない場合もありますので、そのことを本人が認識できるような措置をとる必要があります。

6か月以内に確実に消去される予定のものは「保有個人データ」に該当しないため対象とならないという点も記載するとよいでしょう。

受付窓口

個人情報開示等の請求に関する社内の受付窓口の連絡先を記載します。電話番号を掲載する場合は、受付時間も明記しましょう。

電話での対応が難しい場合は、メールアドレスの記載だけでもかまいません。

請求手続の方法

「開示請求書」フォームを掲載し、具体的な請求手続の方法について、本人が請求する場合と代理人が請求する場合とに分けて、簡潔にわかりやすく記載します。

同封が必要な書類についても本人と代理人の場合は異なりますので、それぞれに必要な書類が一覧でわかるように掲載しておきます。

また、郵送でのみ受け付ける場合は、その旨も明記しましょう。

配送時のトラブルを避けるために「配達証明郵便」など配達記録が残る方法でのみ受け付けるとしている企業もあります。

直接の来社、メール、電話、ファックスなどでは受け付けられない場合は、そのように記載しておくとよいでしょう。

請求に対する回答方法

請求を受けて、保有個人データの開示等を行う際の回答方法について記載します。

確実に本人のみに開示されるよう、本人限定受取書留郵便にて回答するという方法をとっている企業もあります。

費用負担について

開示等の請求時に発生する費用負担について明記します。

開示等の請求では、証拠等を提示する必要なく行うことができるため、場合によっては開示等の請求が濫用されるおそれもありますので、改正個人情報保護法第３３条１項により、合理的な範囲で手数料を徴収することが認められています。郵送料等の経費は全て本人負担としている企業が多いようです。

開示等のご請求に関して取得した個人情報の利用目的

開示等の請求を受け付ける際にも本人確認書類などを含めた個人情報を取得することになりますので、その際に取得した個人情報の利用目的を明記します。

開示等の請求に関して回答等が不可能な場合について

開示等の請求を受けた際に、回答が不可能な場合もありますので、その場合について明記します。

具体的には以下のような場合があります。

提出書類に不備があった場合
開示等の請求の対象が開示対象となる保有個人データに該当しない場合
本人又は第三者の生命、身体、財産その他の権利利益を害するおそれがある場合
個人情報取扱事業者の業務の適正な実施に著しい支障を及ぼすおそれがある場合
他の法令に違反することとなる場合

手続の改訂について

改正個人情報保護法などの関連法規の改正に対応するために、予告なしに内容を一部改訂する場合があることについて記載します。

ネット上で「個人情報の開示請求手続」などのキーワードで検索すると、大手企業が公開している規定が見つかりますので、参考にするのもよいでしょう。

規定が完成したら、社内で共有するとともに、公式サイトでも公開しましょう。

また、規定の内容に沿った社内の対応マニュアルを作成し、社内で周知徹底することも大切なポイントです。

開示請求を拒否するべきケースもある？

本人から保有個人データの開示請求を受けた場合、原則として企業は遅滞なく保有している個人データを開示しなければいけませんが、例外もあります。

以下は本人からの開示に応じなくてよいケースです。

本人または第三者の生命、身体、財産その他の権利利益を害するおそれがある場合
個人情報取扱事業者の業務の適正な実施に著しい支障を及ぼすおそれがある場合
他の法令に違反することとなる場合

１に関しては、医療機関などで病名の告知が本人に重大な精神的苦痛を与えるおそれがある場合などが該当しますが、一般企業では該当するケースは少ないかもしれません。

２については、悪質なクレーマーなどから、何度もしつこく同じ内容の開示を求められたり、該当する個人データが存在しないことを説明しても納得されずに何度もお客様センターに電話がかかってきたりなど、業務に支障をきたす可能性がある場合などが該当します。

また、３については、電気通信事業法が定める通信の秘密を犯すことになる場合などが該当します。

まとめ

今回は、保有個人データの開示請求等の主な事例や目的、法的根拠、開示するべき個人データの範囲、個人データを開示する際の手続と注意事項などについて説明しました。

個人データの開示請求を受けた際に慌てずに法令を遵守した正しい対応を行うためにも、法的根拠となる改正個人情報保護法の規定を理解し、手続に関する規定を作成し、社内の対応マニュアルを準備しておくことはとても大切です。

採用活動での個人情報の取得に関しても「採用活動における個人情報の取扱い」という規定を定めておくと、スムーズな対応が可能になります。

規定を作成する際には、コンプライアンス違反などの問題を起こさないためにも、個人情報保護法に精通した弁護士からアドバイスを受けながら作成することをおすすめします。