| 会員番号 2581 斉藤茂雄(個人情報保護監査研究会) |
|
| |
今月号では「第四章 第27条から第34条」まで解説します。そのうち第34条以外は、すでに2016年1月1日から施行されていますので、事業者は、PMSを再度確認する必要があります。
|
第四章 個人情報取扱事業者の義務等 第一節 個人情報取扱事業者の義務 (続き)
第27条(保有個人データに関する事項の公表等) (旧二十四条)
| 個人情報取扱事業者は、保有個人データに関し、次に掲げる事項について、本人の知り得る状態(本人の求めに応じて遅滞なく回答する場合を含む。)に置かなければならない。 |
| 一 |
当該個人情報取扱事業者の氏名又は名称 |
| 二 |
全ての保有個人データの利用目的(第十八条第四項第一号から第三号までに該当する場合を除く。) |
| 三 |
次項の規定による求め又は次条第一項、第29条第一項若しくは第30条第一項若しくは第三項の規定による請求に応じる手続(第33条第二項の規定により手数料の額を定めたときは、その手数料の額を含む。) |
| 四 |
前三号に掲げるもののほか、保有個人データの適正な取扱いの確保に関し必要な事項として政令で定めるもの |
| |
(以下省略) |
|
- ※ 現在公表されている法律は、旧番号のままであるため、条文中の条項番号を、新法に従い変更し、アラビア数字で記述しました。 例:第二十六条(旧法) →第29条(新法)
- ※ 第一項 三の改正部分は第28条以下の条項追加による参照条項番号の変更であり、旧法と内容的に変わりません。
|
第28条(開示) (旧二十五条)
| 本人は、個人情報取扱事業者に対し、当該本人が識別される保有個人データの開示を請求することができる。 |
| 2 |
個人情報取扱事業者は、前項の規定による請求を受けたときは、本人に対し、政令で定める方法により、遅滞なく、当該保有個人データを開示しなければならない。ただし、開示することにより次の各号のいずれかに該当する場合は、その全部又は一部を開示しないことができる。 |
| 一 |
本人又は第三者の生命、身体、財産その他の権利利益を害するおそれがある場合 |
| 二 |
当該個人情報取扱事業者の業務の適正な実施に著しい支障を及ぼすおそれがある場合 |
| 三 |
他の法令に違反することとなる場合 |
| 3 |
個人情報取扱事業者は、第一項の規定による請求に係る保有個人データの全部又は一部について開示しない旨の決定をしたとき又は当該保有個人データが存在しないときは、本人に対し、遅滞なく、その旨を通知しなければならない。 |
4 |
(以下省略) |
|
- ※ 今回の改正では「本人は、個人情報取扱事業者に対し、当該本人が識別される保有個人データの開示を請求することができる。」と、本人の権利が明示的に示されました。旧法では、“個人情報取扱事業者は、(中略)、当該保有個人データを開示しなければならない。” と事業者の義務として記述されていたことから180度の転換です。
- ※ 今回の個人情報保護法改正の背景に、「新EUデータ保護指令」の採択への対応があると言われています。旧個人情報保護法は「新EUデータ保護指令」よりもいくつかの点で規定が緩やかであるとの指摘があり、その一つに「開示・訂正・消去請求権が本人の権利として明示的には認められていない。」という点がありました。今回の改正において、ようやく本人が開示等の請求を行う権利を有することが明確化されたものです。
- ※ 「新EUデータ保護指令」は、2016年4月14日、欧州議会本会議において「EU一般データ保護規則(General Data Protection Regulation、以下GDPR)として正式に可決されました。施行は2018年が予定されており、それまでの2年間に、規則内容の具体化や各国政府・企業の対応作業が進められていくことになります。
|
第29条(訂正等) (旧二十六条)
| 本人は、個人情報取扱事業者に対し、当該本人が識別される保有個人データの内容が事実でないときは、当該保有個人データの内容の訂正、追加又は削除(以下この条において「訂正等」という。)を請求することができる。 |
| 2 |
(以下省略) |
|
- ※ 第29条についても、本人は、で始まる文に改定され、(事業者は)開示しなければならない。から、(本人は)請求することができる。となりました。
|
第30条(利用停止等) (旧二十七条)
| 本人は、個人情報取扱事業者に対し、当該本人が識別される保有個人データの内容が事実でないときは、当該保有個人データの内容の訂正、追加又は削除(以下この条において「訂正等」という。)を請求することができる。 |
| 2 |
個人情報取扱事業者は、前項の規定による請求を受けた場合であって、その請求に理由があることが判明したときは、違反を是正するために必要な限度で、遅滞なく、当該保有個人データの利用停止等を行わなければならない。ただし、当該保有個人データの利用停止等に多額の費用を要する場合その他の利用停止等を行うことが困難な場合であって、本人の権利利益を保護するため必要なこれに代わるべき措置をとるときは、この限りでない。 |
| 3 |
本人は、個人情報取扱事業者に対し、当該本人が識別される保有個人データが第23条第一項又は第24条の規定に違反して第三者に提供されているときは、当該保有個人データの第三者への提供の停止を請求することができる。 |
4 |
(以下省略) |
|
- ※ 第30条についても、本人は、で始まる文に改定されました。
なお、JIS規格では、事業者は、で始まってはいますが、個人情報に関する本人の権利(3.4.4.1)としています。
- この後、第31条(理由の説明)、第32条(開示等の請求等に応じる手続)、第33条(手数料)と続き、条文中の用語として、開示等の求め → 開示等の請求 と改められています。
|
第34条(事前の請求) (新設)
| 本人は、第28条第一項、第29条第一項又は第30条第一項若しくは第三項の規定による請求に係る訴えを提起しようとするときは、その訴えの被告となるべき者に対し、あらかじめ、当該請求を行い、かつ、その到達した日から二週間を経過した後でなければ、その訴えを提起することができない。ただし、当該訴えの被告となるべき者がその請求を拒んだときは、この限りでない。 |
| 2 |
前項の請求は、その請求が通常到達すべきであった時に、到達したものとみなす |
| 3 |
前二項の規定は、第28条条第一項、第29条第一項又は第30条第一項若しくは第三項の規定による請求に係る仮処分命令の申立てについて準用する。 |
|
- ※ 第34条は未施行です。
- ※ “請求に係る訴え” とは、裁判による開示・訂正等の訴えが可能だということです。しかし、むやみやたらな訴訟や十分な理由もない訴えが多発することを避けるために、事前の請求を行うこと、それが2週間を経過していること、または事業者から請求を拒まれたときでなければ、提訴できないとしています。
- ※ 上記の詳細な手続きは、現時点で明確になっていません。認定個人情報保護団体および個人情報保護委員会では、苦情の受付や、苦情の申し出について必要なあっせんを行いますが、”苦情”と、裁判所への“訴え”とは異なりますので、今後“訴え”の取り扱いについて、規則や条例等で明確にされると思われます。
|
|
| |
|
|
SAAJ「PMSハンドブック」ご紹介サイト:http://www.saaj.or.jp/shibu/kojin.html
認定NPO法人 日本システム監査人協会 個人情報保護監査研究会
|