保有個人データの利用停止等請求を取り上げます。

保有個人データの利用停止等請求

 個人情報取扱事業者は,個人情報の取扱いに関して,利用目的の制限等の義務に違反した場合,本人の請求により,保有個人データの利用停止等が義務付けられます。

 平成27年の個人情報保護法の改正により,保有個人データの利用停止等請求について,訴えを提起できる請求権であることが明記されました。

個人情報保護法30条

1 本人は,個人情報取扱事業者に対し,当該本人が識別される保有個人データが第16条の規定に違反して取り扱われているとき又は第17条の規定に違反して取得されたものであるときは,当該保有個人データの利用の停止又は消去を請求することができる。

2 個人情報取扱事業者は,前項の規定による請求を受けた場合であって,その請求に理由があることが判明したときは,違反を是正するために必要な限度で,遅滞なく,当該保有個人データの利用停止等を行わなければならない。ただし,当該保有個人データの利用停止等に多額の費用を要する場合その他の利用停止等を行うことが困難な場合であって,本人の権利利益を保護するために必要なこれに代わるべき措置をとるときは,この限りではない。

3 本人は,個人情報取扱事業者に対し,当該本人が識別される保有個人データが第23条第1項又は第24条の規定に違反して第三者に提供されているときは,当該保有個人データの第三者への提供の停止を請求することができる。

4 個人情報取扱事業者は,前項の規定による請求を受けた場合であって,その請求に理由があることが判明したときは,遅滞なく,当該保有個人データの第三者への提供を停止しなければならない。ただし,当該保有個人データの第三者への提供の停止に多額の費用を要する場合その他の第三者への提供を停止することが困難な場合であって,本人の権利利益を保護するため必要なこれに代わるべき措置をとるときは,この限りではない。

5 個人情報取扱事業者は,第1項の規定による請求に係る保有個人データの全部若しくは一部について利用停止等を行ったとき若しくは利用停止等を行わない旨の決定をしたとき,又は第3項の規定による請求に係る保有個人データの全部若しくは一部について第三者への提供を停止したとき若しくは第三者への提供をしない旨の決定をしたときは,本人に対し,遅滞なく,その旨通知しなければならない。

保有個人データが第16条の規定に違反して取り扱われているとき又は第17条の規定に違反して取得された

 16条違反は,利用目的の達成に必要な範囲を超えて個人情報を取り扱っている場合です(個人情報の利用目的による制限参照)。17条違反は,偽りその他不正の手段によって保有個人データを取得した場合です(個人情報の取得参照)。

 20条~22条の安全管理義務,27条の公表義務違反は,利用停止等請求の対象とはされていません。

 ここでいう保有個人データの取扱いとは,取扱い方法,手段を限定されていないので,保有個人データを他の紙媒体に複製するといった取扱いも含まれます。

利用の停止又は消去

 利用の停止とは,保有個人データを利用しないことで,手段・方法を問いません。

 消去とは,保有個人データを保有個人データとして使えなくすることを意味します。該当するデータの削除はもちろん,個人識別性を消滅させることも含みます。

請求に理由があることが判明したとき

 保有個人データの訂正等請求と異なり,16条,17条違反は,個人情報取扱事業者の管理下の事実であることから,容易に調査が可能であるとして,個人情報取扱事業者に調査義務は課していません。

 ここでいう判明したときは,個人情報取扱事業者による判断が合理的に行われることを意味します。

違反を是正するために必要な限度

 16条,17条違反を是正するために必要な限度で利用停止等を行えば足り,本人の請求による措置をそのまま行わなければならないわけではありません。

 たとえば,本人から保有個人データの全部の消去を請求された場合であっても,全部又は一部の利用停止で違反を是正できるのであれば,全部又は一部の利用停止措置を行えば足ります。

利用停止等に多額の費用を要する場合その他の利用停止等を行うことが困難な場合であって,本人の権利利益を保護するために必要なこれに代わるべき措置をとる

 利用停止等に伴う個人情報取扱事業者に多額の費用が必要な場合,本人の権利利益侵害の危険度を勘案して,代替措置による対応を可能としています。

 利用停止等の措置を行わないことで,本人に具体的な損害が生じる場合は,金銭賠償を行うこともあり得るとされています。

23条1項又は24条の規定に違反

 23条1項は,保有個人データの第三者提供の原則禁止を規定しています(個人データの第三者提供参照)。24条は,越境データに関して本人の同意を原則とすることを規定しています(個人データの越境移転参照)。

 これらの規定に違反している場合,本人は,個人情報取扱事業者に対し,第三者提供の停止等の請求を行うことができます。

第三者の提供の停止

 ここでいう提供とは,データ内容をデータベース等から取り出しで誰かに知らせることをいい,その方法は問いません。

 提供の停止には,すでに第三者へ提供されたデータを回収することまでは含まれず,新たな第三者提供を禁止するという趣旨です。