第1 利用停止、消去、第三者提供の停止の請求
個人データの本人は、事業者に対し、保有個人データの利用停止、消去(以下、これらを「利用停止等」といいます。)及び第三者提供の停止を請求することができます。
利用停止等の請求が認められる場合について、法は、①利用目的の制限(法第16条)に違反して取り扱われているとき、又は②保有個人データが偽りその他不正の手段により取得されたものであるとき(同法第17条)と定めています。
また、第三者提供の停止が認められる場合について、法は、①本人の同意を得ないで保有個人データを第三者に提供しているとき、又は②本人の同意を得ないで保有個人データの越境移転を行っているときを定めています。
第2 要件の緩和
以上に対し、令和2年改正法では、利用停止等及び第三者提供の停止に関して要件が緩和されています。
これらの請求に関する令和2年改正後の要件については、以下のとおりです。なお、改正個人情報保護法により追加された要件については、下線を付しています。
(利用停止等)
① 利用目的の制限に違反して取り扱われているとき
② 保有個人データが偽りその他不正の手段により取得されたものであるとき
③ 違法又は不当な行為を助長し、又は誘発するおそれがある方法により保有個人データが利用されているとき
④ 保有個人データを利用する必要がなくなったとき
⑤ 保有個人データに関し漏えい、滅失、毀損等令和2年改正法第22条の2に定める事態(以下「漏えい等」といいます。)が生じた場合
⑥ その他本人の権利又は正当な利益が害されるおそれがある場合
(第三者提供の停止)
① 本人の同意を得ないで、保有個人データを第三者に提供しているとき
② 本人の同意を得ないで保有個人データの越境移転を行っているとき
③ 保有個人データを利用する必要がなくなったとき
④ 保有個人データに関し漏えい等が生じた場合
⑤ その他本人の権利又は正当な利益が害されるおそれがある場合
第3 留意点
改正個人情報保護法では、本人の権利又は正当な利益が害されるおそれがある場合にも、利用停止等を請求することができるようになっている点は注目すべきです。
「本人の権利又は正当な利益が害されるおそれがある場合」について個人情報保護法では具体的に規定がなく解釈に委ねられています。
個人情報保護委員会ガイドライン通則編では、例えば、以下のような場合が当たるとしています。
事例1)ダイレクトメールの送付を受けた本人が、送付の停止を求める意思を表示したにもかかわらず、個人情報取扱事業者がダイレクトメールを繰り返し送付していることから、本人が利用停止等を請求する場合 事例2)電話勧誘を受けた本人が、電話勧誘の停止を求める意思を表示したにもかかわらず、個人情報取扱事業者が本人に対する電話勧誘を繰り返し行っていることから、本人が利用停止等を請求する場合 事例3)個人情報取扱事業者が、安全管理措置を十分に講じておらず、本人を識別する保有個人データが漏えい等するおそれがあることから、本人が利用停止等を請求する場合 事例4)個人情報取扱事業者が、法第23条第1項に違反して第三者提供を行っており、本人を識別する保有個人データについても本人の同意なく提供されるおそれがあることから、本人が利用停止等を請求する場合 事例5)個人情報取扱事業者が、退職した従業員の情報を現在も自社の従業員であるようにホームページ等に掲載し、これによって本人に不利益が生じるおそれがあることから、本人が利用停止等を請求する場合 |
他方、個人情報保護委員会ガイドライン通則編では、「本人の権利又は正当な利益が害されるおそれがある場合」とは認められない場合として、次の4つの事例を紹介しています。
事例1)電話の加入者が、電話料金の支払いを免れるため、電話会社に対して課金に必要な情報の利用停止等を請求する場合 事例2)インターネット上で匿名の投稿を行った者が、発信者情報開示請求による発信者の特定やその後の損害賠償請求を免れるため、プロバイダに対してその保有する接続認証ログ等の利用停止等を請求する場合 事例3)過去に利用規約に違反したことを理由としてサービスの強制退会処分を受けた者が、再度当該サービスを利用するため、当該サービスを提供する個人情報取扱事業者に対して強制退会処分を受けたことを含むユーザー情報の利用停止等を請求する場合 事例4)過去の信用情報に基づく融資審査により新たな融資を受けることが困難になった者が、新規の借入れを受けるため、 当該信用情報を保有している個人情報取扱事業者に対して現に審査に必要な信用情報の利用停止等又は第三者提供の停止を請求する場合 |
ガイドライン通則編が挙げる事例はいずれも明らかに本人の権利又は正当な利益が害されそうな事例か、又はそうでない事例ばかりであるため、このような誰が見てもそうであろうと納得できるような事例以外の場合にどう対処していくのかは今後の課題となりそうです。
もっとも、利用停止等に応じても会社にとって問題がないのであれば、利用停止等の請求に応じて利用停止等を行うという運用が余計な紛争を招くことがなく安全であるといえます。
そのため、利用停止等の請求があった場合に、まず確認するべきは、利用停止等に応じた場合に会社にとって困ったことにならないかということをしっかり確認することです。
利用停止等に応じるべきではない、あるいは利用停止等にできれば応じたくないようなケースでは、利用停止等に応じる法的義務があるかを確認する必要があります。このような法的義務の確認のためには、請求者の請求がいかなる理由に基づくものであるかを把握する必要があります。
そのため、利用停止等の請求があった場合においては、請求者の請求の理由を明確にさせることが重要です。
請求の理由が説明された後は、会社において請求に応じるか否かを検討する必要もありますので、そのような請求への対応をする責任者や判断のフローなどを社内の規程類において定めてルール化しておくことも必要でしょう。
第4 まとめ
個人情報保護法の改正により、利用停止や削除の請求を行うことができる範囲が拡大しました。そのため、このような請求が今後増加する可能性が考えられますので、しっかりと備えておくことが必要です。