見出し画像

論点整理#8 個人情報の利用停止等

でんぞう@しがない個人情報保護士

画像1

今までは、自身の個人情報の利用を停止または削除したいと思っても、事業者は、違法でなければ本人の要求に応じる義務はありませんでした。

実際「あらかじめ説明しているから」「同意を得ているから」「システム的にムリだから」といった理由で、本人の請求を拒否する事業者が一部に見られたとも聞きます。

個人からの相談の約4割が苦情であり、苦情の内容は
・第三者提供(同意不備)
・利用目的(目的外利用)
・安全管理措置(漏えい、ずさんな取り扱い)
・開示等(煩雑な手続、請求拒否
の順に多い

※出処:個人情報保護法いわゆる3年ごと見直しに係る検討の中間整理
(平成31年4月25日 個人情報保護委員会)

この様な背景から、
令和2年改正法では本人の権利又は正当な利益が害されるおそれがある場合も、利用停止・消去等の本人の請求権が認められる様になります。

で、

「正当な利益」って何?
「おそれ」ってどの程度まで想定すればいいの?

ということで、
本日は「利用停止等」の基本的な考え方や具体例について整理してみました。

1.「利用停止等」の請求要件を拡充

画像2

改正前は、利用停止等の請求の要件は、個人情報の不正取得があった場合等、一部の法違反の場合に限定されていた。

改正法においては、本人の関与を強化する観点から、利用停止等の請求の要件を個人の権利又は正当な利益が害されるおそれがある場合にも拡充する。


2.「利用停止等」の基本的な考え方

画像3

✅ 本人の権利利益侵害に関する将来的な危険の発生を抑止する。

✅ より広く本人の関与を認めることで、本人の権利利益の保護を強化する。

✅ 本人が提供を躊躇して、個人情報の有用性が損なわれる事態を回避する。

✅ 事業者が正当な事業活動において個人情報を必要とする事情も考慮する。


3.「利用停止等」の具体的な要件

画像4

(1)改正法で拡大された利用停止等の請求の要件
(2)本人の権利利益の侵害を防止するために必要な限度
(3)本人の権利利益を保護するために必要な代替措置

画像5

(1)改正法で拡大された利用停止等の請求の要件

個人情報の不正取得があった場合等、一部の法違反の場合に加え

情報漏えい等の事態が生じた場合
利用する必要がなくなった場合
本人の権利又は正当な利益が害されるおそれがある場合

にまで、利用停止等の請求の要件を拡充する。

① 情報漏えい等の事態が生じた場合

✅ 委員会への報告の対象となる重大な漏えい等(要配慮個人情報、財産的被害、不正の目的、千人超) の事態が生じた場合

② 利用する必要がなくなった場合

目的外利用や漏えい等の権利侵害のおそれがあることから、利用停止等の対象とする。

✅ 利用目的が達成され、当該目的との関係では当該個人データを保有する合理的な理由が存在しなくなった場合

✅ 利用目的が達成されなかったものの、当該目的の前提となる事業自体が中止となった場合

◆利用停止等又は第三者提供の停止が認められると考えられる例

・ダイレクトメールを送付するために保有していた情報について、ダイレクトメールの送付を停止した後、本人が消去を請求した場合

・キャンペーンの懸賞品送付のために保有していた当該キャンペーンの応募者の情報について、懸賞品の発送が終わり、不着対応等のための合理的な期間が経過した後に、応募者が利用停止等を請求した場合

・採用応募者のうち、採用に至らなかった応募者の情報について、再応募への対応等のための合理的な期間が経過した後に、採用応募者が利用停止等を請求した場合

③ 本人の権利又は正当な利益が害されるおそれがある場合

法目的に照らして保護に値する正当な利益が存在し、それが侵害されるおそれがあること。

✅ 当該利益が法目的に照らして保護に値せず不当である場合は認められない。

✅ 本人は事業者に対し、正当な利益が存在し一般人の認識を基準で客観的にみて侵害されるおそれがあることを明らかにする必要がある。

✅ 事業者側に本人保護の必要性を上回る特別な事情がない限りは、事業者は請求に応じる必要がある。

✅ 事業者は利用停止等を行わない旨の決定をしたときは、本人にその旨を通知し、本人の理解が得られるよう努めなければならない。

◆利用停止等又は第三者提供の停止が認められると考えられる例

・ダイレクトメールの送付を受けた本人が、送付の停止を求める意思を表示したにもかかわらず、個人情報取扱事業者がダイレクトメールを繰り返し送付している場合

・事業者が本人の同意を得ないで第三者提供を行っており、他にも本人の同意なく提供されるおそれがある場合

・個人情報取扱事業者が、退職した社員の情報を現在も自社の社員であるようにホームページ等に掲載し、これによって本人に不利益が生じている場合

画像6

(2)本人の権利利益の侵害を防止するために必要な限度

本人からの請求が、本人の権利利益の侵害を防止するために必要な限度を超えている場合、必要な限度を超える部分については、請求を拒むことができる。

✅ 利用停止等を行う保有個人データの範囲を限定した上で利用停止等の対応を行う。

✅ 消去を求められた場合に利用停止によって対応することが考えられる。

💡 本人の権利利益の保護の観点から、可能な限り本人の求めに沿った形で対応することが望ましい。

◆本人の権利利益の侵害を防止するために必要な限度での対応として考えられる例

・本人から保有個人データの全てについて、事業者において利用する必要がなくなったとして、利用停止等が請求された場合に、一部の保有個人データについては、引き続き利用する必要があるとして、利用する必要がなくなった保有個人データに限定して対応を行う。

・あらかじめ本人の同意を得ずに第三者提供が行われているとして、保有個人データの消去が請求された場合に、利用停止又は第三者提供の停止によって、生じている本人の権利利益の侵害のおそれを防止できるものとして、利用停止又は第三者提供の停止による対応を行う。

画像7

(3)本人の権利利益を保護するために必要な代替措置

利用停止等の請求の要件を満たす場合であっても、利用停止等を行うことが困難な場合は、「本人の権利利益を保護するため必要なこれに代わるべき措置」によって対処することも認められる。

✅ 事業者に過大な負担が生じることを避ける観点から、代替措置を講じることによって、当該請求に応じないことを例外的に許容する。

✅ 「困難な場合」については、事業者が正当な事業活動において個人情報を必要とする場合についても該当し得る。

✅ 「代替措置」については、生じている本人の権利利益の侵害のおそれに対応するものであり、本人の権利利益の保護に資するものである必要がある。

◆本人の権利利益を保護するため必要な代替措置として考えられる例

・既に市販されている名簿の刷り直し及び回収作業に多額の費用を要するため、名簿の増刷時の訂正を約束する訂正を約束する場合や損害賠償をする。

・委員会への報告の対象となる重大な漏えい等が発生した場合において、当該本人との契約が存続しているため、利用停止等が困難であるとして、以後漏えい等の事態が生じることがないよう、必要かつ適切な再発防止策を講じる。

・他の法令の規定により保存が義務付けられているため、個人情報を直ちに消去する代わりに、当該法令の規定による保存期間の終了後に消去することを約束する。

画像8

4.「利用停止等」の判断の流れ

画像9

本人から利用停止等の請求があった場合、個人情報取扱事業者は、以下のような流れで判断を行い、対処する。

(1)本人から利用停止等の請求があった場合は、
 利用停止等の請求の要件を満たすかどうか判断する。

🔻

(2)利用停止等の請求の要件を満たす場合は、
 本人の権利利益の侵害を防止するために必要な限度で利用停止等を行う。

🔻

(3)利用停止等を行うことが困難な場合は、
 本人の権利利益を保護するため必要な代替措置も認められる。


議事概要

画像10

大島委員
・個人情報保護法があらゆる分野の事業者を適用対象とするものであり、また、個人情報の取扱いも多種多様であることを踏まえると、不適正利用あるいは利用停止等請求の要件については、最終的には個別具体的にケースバイケースで判断すべきものと考える。
藤原委員
・あらかじめ特定した利用目的というのは、言わば手続的な規律であり、実質的な観点までは含まれていなかった。今回の法改正により、適正か否かという実質的な観点からも規律が設けられた

・事業者の皆様にも自社の個人情報の利用の実態を改めて把握し、当該利用が社会通念上、消費者の立場から適正と言えるか点検いただいた方が良いのではないかと思う。

・利用停止等の代替措置として、資料に損害賠償とあるが、常に損害賠償を求めるというものでもないと思うため、損害賠償もあり得るという意味での記載と解してよいと理解している。
中村委員
・保有個人データの利用停止等については、従来から相談ダイヤルやタウンミーティング等において、消費者から不満や意見が寄せられ、『個人情報保護法 いわゆる3年ごと見直し 制度改正大綱』に対するパブリックコメントおいても、消費者側からの要望が強かった論点の一つ。

・利用停止等に関するガイドラインの方向性は、より広く本人の関与を認めることで本人の権利利益の保護を強化する、という法改正の趣旨に沿って考え方や要件を明確化したものであるが、事業者が正当な事業活動を行う状況にも配慮したものとなっている。

・事業者の方々には、改正法の趣旨を踏まえ、本人からの保有個人データの利用停止・消去の請求、第三者提供の停止の請求には積極的に対応を行っていただくことを期待している。

・委員会としても、新たな制度の趣旨や考え方が十分伝わるよう、消費者、事業者などに対し様々な機会や媒体を通じて周知・広報を行っていくことが重要であると考える。
丹野委員長
多方面からの関心が非常に高いものであると承知している
本日の議論も踏まえて、引き続き、議論を深めてまいりたい


画像11

本日の引用文献

第166回 個人情報保護委員会

資料1-2 改正法に関連するガイドライン等の整備に向けた論点について(利用停止等) (PDF : 483KB)

議事概要 (PDF : 105KB)


画像12

本日のアウトプットはいかがでしたか?
少しでも参考になりましたら
❤️(スキ)で応援いただけると大変励みになります

では、また!


ところで、他の「論点整理」も気になりませんか?



この記事が気に入ったらサポートをしてみませんか?