第1 開示請求
個人情報保護法は、個人情報の情報主体である本人に対し、事業者に対する保有個人データの開示請求権を認めています(法第28条)。
一定の例外的な要件(開示により、本人・第三者の権利利益を害するおそれがある場合や事業者の業務に著しい支障を及ぼすような場合等)を充たす場合やそもそも開示請求の対象である保有個人データが存在しない場合を除き、事業者は、開示請求に応じる必要があります。
また、開示請求に応じない場合には、本人に対し、遅滞なく通知する必要もあります(法第28条第3項)。この場合には、理由を説明するよう努めなければならないとされています(法第31条)。
第2 開示請求の方法
事業者は、開示請求の方法に関して、次の事項を定めることができるとされており、このような定めがある場合には、本人は、定めに従って開示請求をしなければならないとされています(法第32条第1項、政令第10条)。
① 開示請求の申出先
② 開示請求に当たり提出すべき書面の様式その他開示請求の方式
③ 開示請求をするものが本人又は代理人であることの確認の方法
④ 手数料の徴収方法
以上のような定めを置いた場合には、本人の知りうる状態に置かなければならないとされています(法第27条第1項第3号)。多くの企業では、この点に関して、個人情報保護方針やプライバシーポリシーにおいて規定しています(個人情報保護法の基本的知識と改正法の内容、押さえておくべきポイント⑥-公表編-参照(https://www.kp-lo.jp/law-info/-.html)。
また、開示請求については、代理人によっても可能とされています(法第32条第4項)。
第3 開示の方法
開示の方法については、原則として書面の交付による方法とされています(法第28条第2項本文、政令第9条)。
令和2年改正個人情報保護法では、開示方法の点が変更され、原則書面の交付による方法から、電磁的記録の提供による方法、書面の交付による方法その他事業者が定める方法のいずれかを本人が選択して開示請求を行うことができるようにされています(改正法第28条第2項)。
そのため、改正法施行後(令和4年4月予定)、電磁的記録による開示が可能なように、体制を整備しておくことが必要です。
なお、個人情報保護委員会によれば、本人が指定できるのは電磁的記録による方法という限度であり、ファイル形式や開示方法(例:メールでの送付、ファイルサーバーへのアップロード等)については事業者が決めることができるとしていますので、電磁的記録化の方法や具体的な開示方法についても、あらかじめ内部で取り決めておく必要があります。
第4 開示方法の例外
上記のとおり、原則として、本人が求める方法により開示する必要がありますが、当該方法による開示に多額の費用を要する場合その他当該方法による開示が困難である場合には、書面による交付が許されます。この場合、本人に対し通知する義務があり(改正法第28条第3項)、理由も説明するよう努めなければなりません(法第31条)。
この点、どのような場合に書面による交付が可能であるかについては事例判断によります。個人情報保護委員会も、「多額の費用」については、事業者の規模、使用するシステム、開示の内容等によって、開示が困難となる費用は様々であるとしており、明確な基準がないのが現状です。
第5 手数料
保有個人データの開示については、実費を勘案して合理的であると認められる範囲内で、手数料を徴収することが可能です(法第33条)。手数料の額については、本人の知りうる状態に置いておかなければならないとされていますので(法第27条第1項第3号)、手数料を徴収することを想定している場合には個人情報保護取扱方針やプライバシーポリシーに明記しておくことが必要です。
手数料の定め方については、開示請求に係る文書の数が膨大である場合も考えられることから、文書の数に応じて定めることがおすすめです。
第6 まとめ
上記のとおり、令和2年改正により、本人が電磁的記録による開示又は書面による開示のいずれかを指定することができるようになりましたので、この点に対する対応が必要です。
私見としては、以下の点について、事業者内部で検討・対応しておく必要があると考えます。
① 開示請求の手続に関する検討、社内体制の整備及びプライバシーポリシーへの明記
開示請求の手続きに関して定めた場合、本人は、当該方法により開示請求を行う必要があります。裏から見れば、かかる定めに従わない開示請求については、開示を拒否することが可能となりますので、手続きについての定めを置くことは必要不可欠です。
開示に当たっては、誤って本人以外の第三者に保有個人データを開示してしまわないような方策をとることが必要です。
例えば、開示手続の定めの中で、開示請求に関する書式を指定するとともに、当該書式の中で、本人確認書類(免許証、健康保険被保険者証等)の添付を指定することが考えられます。
代理人による請求の場合についても同様の定めを置くことが必要であると考えられ、例えば、本人の実印及び印鑑証明書が添付された委任状の提出を求めることも考えられます。
② 開示方法に関する検討、社内体制の整備及びプライバシーポリシーへの明記
令和2年改正法では、電磁的記録あるいは書面による開示等、本人が求める方法により開示する必要があることとされましたので、この点に関する対応が必要です。
まずは、社内において保管している保有個人データの種類について確認する必要があります。保有個人データの種類を確認し、文書又は電磁的記録による開示が困難なものがないかどうかを確認する必要があります。また、保有個人データが存在しない場合、当然開示請求に応じる必要はありませんが、保有個人データが存在するか否かがわからない場合には適切に判断することができないので、社内で保管されている情報、及び当該情報の保管場所について把握しておく必要があります。
さらに、個人情報保護法上、開示請求に応じない場合、理由を説明するよう努めることが求められており、保有個人データが存在しない場合にも同様です。理由の説明に備え、保有個人データの保存期間についても定めておくことが有用です。
そのほか、本人から特段開示方法に指定がない場合にどのように開示するのかという点についても、社内で取り決め、適宜プライバシーポリシーに明記することも推奨されます。
③ 手数料の定め
開示するに当たっては、開示対象となる保有個人データの存在・不存在の確認から、文書による場合にはコピーの印刷を、電磁的記録による場合には、保有個人データの電磁的記録化やCD等の記録媒体に保存、そして郵送等による開示という流れで進めることになりますが、個々の過程で、人件費、コピー代、記録媒体の購入費用、郵送代等の諸費用が発生します。
このように開示請求への対応のために要した手数料を徴収することを検討している場合には、手数料についてプライバシーポリシー等の規程に記載して公表しておくことが必要です。
手数料を定めるに当たっては、社内で保管中の保有個人データの種類を確認して、開示までに何をしなければならないのかを洗い出し、その作業の中で、どの程度費用及び労力が発生しうるのかを見積もることが必要でしょう。
手数料の額の定めを設けるに当たってのポイントは、開示請求の対象となる保有個人データの数に応じて手数料額を増額できるような幅のある記載を行っておくことがおすすめです。