弁護士 野溝夏生

「保有個人データ」

「個人情報」「個人データ」ときて、今回は「保有個人データ」(個人情報保護法2条7項)について見て行くことにします。
また別途整理することとしますが、これら3つの概念の関係については、「個人情報」の部分集合が「個人データ」であり、さらに「個人データ」の部分集合が「保有個人データ」ということになります。

もちろん、個人情報保護法には情報の内容に応じて他にもいくつか定義があるわけですが、「個人情報」「個人データ」「保有個人データ」の3つを理解することができれば、個人情報保護法について最低限の基礎知識が得られたといっても過言ではないのかもしれません。

「保有個人データ」の定義

個人情報保護法2条7項によると、「保有個人データ」とは、次の要件をみたす「個人データ」のことを指します。

個人情報保護法第2条第7項 この法律において「保有個人データ」とは、個人情報取扱事業者が、開示、内容の訂正、追加又は削除、利用の停止、消去及び第三者への提供の停止を行うことのできる権限を有する個人データであって、その存否が明らかになることにより公益その他の利益が害されるものとして政令で定めるもの又は一年以内の政令で定める期間以内に消去することとなるもの以外のものをいう。

個人情報保護法施行規則第4条 法第2条第7項の政令で定めるものは、次に掲げるものとする。
 一 当該個人データの存否が明らかになることにより、本人又は第三者の生命、身体又は財産に危害が及ぶおそれがあるもの
 二 当該個人データの存否が明らかになることにより、違法又は不当な行為を助長し、又は誘発するおそれがあるもの
 三 当該個人データの存否が明らかになることにより、国の安全が害されるおそれ、他国若しくは国際機関との信頼関係が損なわれるおそれ又は他国若しくは国際機関との交渉上不利益を被るおそれがあるもの
 四 当該個人データの存否が明らかになることにより、犯罪の予防、鎮圧又は捜査その他の公共の安全と秩序の維持に支障が及ぶおそれがあるもの
第5条 法第2条第7項の政令で定める期間は、6月とする。

2020年改正法によって、6か月以内に消去した場合であっても「保有個人データ」性は否定されないこととなるため、現行法における6か月の起算点については、次の引用を行うにとどめます。

個人情報保護委員会「『個人情報の保護に関する法律についてのガイドライン』及び『個人データの漏えい等の事案が発生した場合等の対応について』に関するQ&A」p14
 「(6か月以内の起算点は)当該個人データを取得したときから起算します。」(A1-51)

「個人情報取扱事業者」とは

まず、「個人情報取扱事業者」とは何だろう、という疑問が出てくると思います。
個人情報保護法における「個人情報取扱事業者」とは、「個人情報データベース等を事業の用に供している者」をいいます(個人情報保護法2条5項)。

個人情報保護法2条5項 この法律において「個人情報取扱事業者」とは、個人情報データベース等を事業の用に供している者をいう。ただし、次に掲げる者を除く。
 一 国の機関
 二 地方公共団体
 三 独立行政法人等(独立行政法人等の保有する個人情報の保護に関する法律……第二条第一項に規定する独立行政法人等をいう。以下同じ。)

「事業の用に供している」とは、事業者がその事業のために個人情報を利用していれば足り、利用方法は問いません。

前記Q&A p13
 「『事業の用に供している』とは、事業者がその行う事業のために個人情報を利用していることをいい、特にその方法は限定されません。事業のために個人情報データベース等を作成、加工、分析、提供することだけでなく、事業を行う上で必要となる顧客情報、従業員情報、配達先情報などをデータベースとして利用していることなども含みます。」(A1-47)

「個人データ」を取り扱っているすべての民間事業主体が「個人情報取扱事業者」に該当すると考えて差し支えないと言い得ます。
取扱件数や営利性の有無に「個人情報取扱事業者」の該非は左右されませんし、従業員の「個人情報データベース等」のみを保有しているにすぎない場合であっても、これを事業の用に供していれば個人情報取扱事業者」に該当します。
また、委託先が委託元から提供された「個人情報データベース等」を利用する場合も、委託先は「個人情報取扱事業者」に該当します。

前記Q&A pp12-13
 「個人情報データベース等を事業の用に供している者であれば、当該個人情報データベース等を構成する個人情報によって識別される特定の個人の数の多寡にかかわらず、個人情報取扱事業者に該当します。」(A1-46)
 「取り扱っている個人情報が従業者の個人情報のみであっても、個人情報データベース等を事業の用に供している者は、個人情報取扱事業者に該当します。」(A1-48)
 「委託元の個人情報データベース等を加工・分析等をせずにそのまま利用する場合でも、委託された業務を行うために利用するのであれば『事業の用に供している』ことになり、委託先も個人情報取扱事業者に該当します。」(A1-49)
 「個人情報保護法における『事業』とは、一定の目的をもって反復継続して遂行される同種の行為であって、かつ社会通念上事業と認められるものをいい、営利・非営利の別は問いません。したがって、非営利の活動を行っている団体であっても、個人情報データベース等を事業の用に供している場合は、個人情報取扱事業者に該当します。NPO法人や自治会・町内会、同窓会、PTAのほか、サークルやマンション管理組合なども個人情報取扱事業者に該当し得ます。」(A1-50)

「開示、内容の訂正、追加又は削除、利用の停止、消去及び第三者への提供の停止を行うことのできる権限を有する」とは

個人情報取扱事業者が、これらのうちの全部の権限を有している場合もあれば、一部の権限のみを有している場合もあると考えられます。
すなわち、全部の権限を有している場合に限って「保有個人データ」となり得るのか、という問題が生じます。

この点につき、個人情報保護法の立法者としては、一部の権限を有していれば足りるのではなく、すべての権限を有することが必要であると考えています。
もっとも、事案ごとにおいて必要な権限を有していれば足りるという解釈が成立する余地もあるとされています。 なお、前記の権限を有しているか否かについては、法令や契約の解釈によって判断されることになります。

ところで、同一の「個人データ」を複数の個人情報取扱事業者が共同で利用し、複数の個人情報取扱事業者がが前記の権限を有している場合、当該「個人データ」は、その権限を有しているすべての個人情報取扱事業者それぞれの「保有個人データ」 となります。

また、ある個人情報取扱事業者(委託元)が個人データにかかる業務を別の個人情報取扱事業者(委託先)に委託した場合、当該個人データにかかる「保有個人データ」の該非は、次のとおりとなります。

前記Q&A p14
 「委託元が、個人データを受託処理する個人情報取扱事業者である委託先に対し、自らの判断で当該個人データの開示等を行う権限を付与していないとき(委託元・委託先間で何ら取決めがなく委託先が自らの判断で開示等をすることができない場合も含む。)は、本人に対する開示等の権限を有しているのは委託元であるため、当該個人データは委託元の『保有個人データ』となります。」(A1-52)

除外事由(規則第4条)

除外事由について見て行くこととします。

まずは同条第1号について、同号は次のように定められていました。

 一 当該個人データの存否が明らかになることにより、本人又は第三者の生命、身体又は財産に危害が及ぶおそれがあるもの

個人情報保護委員会「個人情報の保護に関する法律についてのガイドライン(通則編)」p20によると、次のような事例がこれに該当するとされています。

事例) 家庭内暴力、児童虐待の被害者の支援団体が 保有している 、加害者(配偶者又は親権者)及び被害者(配偶者又は子)を本人とする個人データ

次に第2号について、同号は次のように定められていました。

 二 当該個人データの存否が明らかになることにより、違法又は不当な行為を助長し、又は誘発するおそれがあるもの

前記ガイドラインp20によると、次のような事例がこれに該当するとされています。

事例1) 暴力団等の反社会的勢力による不当要求 の 被害等を防止するために事業者が保有している、当該反社会的勢力に該当する人物を本人とする個人データ
事例2) 不審者や悪質なクレーマー等による不当要求の被害等を防止するために事業者が保有している、当該行為を行った者を本人とする個人データ

第3号について、同号は次のように定められていました。

 三 当該個人データの存否が明らかになることにより、国の安全が害されるおそれ、他国若しくは国際機関との信頼関係が損なわれるおそれ又は他国若しくは国際機関との交渉上不利益を被るおそれがあるもの

前記ガイドラインp20によると、次のような事例がこれに該当するとされています。

事例1) 製造業者、情報サービス事業者等が保有している、防衛に関連する兵器・設備・機器・ソフトウェア等の設計又は開発の担当者名が記録された、当該担当者を本人とする個人データ
事例2) 要人の訪問先やその警備会社が保有している、当該要人を本人とする行動予定等の個人データ

最後に第4号について、同号は次のように定められていました。

 四 当該個人データの存否が明らかになることにより、犯罪の予防、鎮圧又は捜査その他の公共の安全と秩序の維持に支障が及ぶおそれがあるもの

前記ガイドラインp20によると、次のような事例がこれに該当するとされています。

事例1) 警察から捜査関係事項照会等がなされることにより初めて取得した個人データ
事例2) 警察から契約者情報等について捜査関係事項照会等を受けた事業者が、その対応の過程で作成した照会受理簿・回答発信簿、照会対象者リスト等の個人データ(※なお、当該契約者情報自体は「保有個人データ」に該当する。)
事例3) 犯罪による収益の移転防止に関する法律……第8条第1項に基づく疑わしい取引……の届出の有無及び届出に際して新たに作成した個人データ
事例4) 振り込め詐欺に利用された口座に関する情報に含まれる個人データ

なお、第4号にかかる前記ガイドラインの事例1及び4については、前記Q&Aにおいて、次のとおり、具体的な説明がなされています。

前記Q&A pp14-15
 「例えば、ある事業者が、ある人物に関し、警察から刑事訴訟法第197条第2項に基づき、顧客情報の提供依頼を受けたが、依頼がなされた時点では、当該事業者が当該人物の個人データを保有していない場合、当該照会によって当該事業者は初めて当該人物の個人データを入手することとなります。このような個人データの存否が明らかになれば、犯罪の予防、鎮圧、捜査又は公共の安全と秩序の維持に支障が及ぶおそれがあるため、『保有個人データ』からは除外されます。したがって、この事例では、当該人物の個人データは、開示請求の対象外となります。」(A1-53)
 「振り込め詐欺に利用された口座であっても、名義人の氏名、住所、連絡先、口座番号等、口座開設の際に必要な当該名義人に関する情報そのものは、『保有個人データ』に該当します。他方、警察からの当該口座に関する照会に対応する過程で作成した照会受理簿、回答発信簿、照会対象者リスト等の個人データは、保有個人データに当たらないこととなります。」(A1-54)

まずはお気軽にお問い合わせください。

03-3580-7110

受付: 09:30~18:30 / 土日祝を除く