保有個人データとは、新個人情報保護法第2条7で定義されており、個人情報取扱事業者が、開示、内容の訂正、追加又は削除、利用の停止、消去及び第三者への提供の停止を行うことのできる権限を有する個人データであって、その存否が明らかになることにより公益その他の利益が害されるものとして政令で定めるもの又は一年以内の政令で定める期間以内に消去することとなるもの以外のものをいう。とあります。
旧JIS:2006では、"開示対象個人情報"と称していましたが、新JISにおいて”保有個人データ”となり、法と用語が統一されました。　

今回も、附属書A（規定）および附属書B（参考）の要求事項を確認しつつ、できるかぎりシンプルな規程として「3300個人情報取扱規程」のサンプルをご紹介したいと思います

A.3.4.4.1

個人情報に関する権利
2006:3.4.4.1

法第2条7
法第28条2

令第4条
令第5条
令第9条

組織は、保有個人データに関して、本人から開示等の請求等を受け付けた場合は、A.3.4.4.4 ～ A.3.4.4.7の規定によって、遅滞なくこれに応じなければならない。ただし、次に掲げるいずれかに該当する場合は、保有個人データには当たらない。

組織は、保有個人データには該当しないが、本人から求められる利用目的の通知、開示、内容の訂正、追加または削除、利用の停止、消去及び第三者への提供の停止の請求などの全てに応じることができる権限を有する個人情報についても、保有個人データと同様に取り扱わなければならない。

A.3.4.4.1a)の場合とは、例えば、家庭内暴力又は児童虐待の被害者の支援団体が、加害者（配偶者又は親権者）及び被害者（配偶者又は子）を本人とする個人データをもっている場合などをいう。

A.3.4.4.1b)の場合とは、例えば、いわゆる総会屋などによる不当要求被害を防止するため、組織が総会屋などを本人とする個人データをもっている場合、不審者、悪質なクレーマーなどからの不当要求被害を防止するため当該行為を繰り返す者を本人とする個人データを保有している場合などをいう。

A.3.4.4.1c)の場合とは、例えば、製造業者、情報サービス事業者などが、防衛に関する兵器・設備・機器・ソフトウェアなどの設計、開発担当者名が記録された個人データを保有している場合、要人の訪問先やその警備会社が、当該要人を本人とする行動予定、記録などを保有している場合などをいう。

A.3.4.4.1d)の場合とは、例えば、警察からの捜査関係事項照会や捜査差押令状の対象となった組織がその対応の過程で捜査対象者又は被疑者を本人とする個人データを保有している場合などをいう。

【Pマーク審査対応のポイント】

• 更新事業者の規程類において「開示対象個人情報」と称していても差し支えない。
• 個人データだけでなく、保有個人情報についても保有個人データと同様に取扱う。
• コールセンターの音声記録、監視カメラの画像、未整理の応募ハガキ、従業者個人が管理する名刺なども対象となる。
  
• 受託している個人データおよび個人情報は、保有個人データおよび保有個人情報ではない。
  
• 旧JISの、3.4.4.1では、「開示対象個人情報」（電子計算機を用いて検索することができるように体系的に構成した情報の集合物又は一定の規則に従って整理、分類し、目次、索引、符合などを付すことによって特定の個人情報を容易に検索できるように体系的に構成した情報の集合物を構成する個人情報）と規定されていたが、その規定が外されたため、未整理の応募ハガキ等も対象となる。
• 法第二条第七項では、保有個人データから除外されるものとして、以下を定めている。
  
  1. その存否が明らかになることにより公益その他の利益が害されるものとして政令で定めるもの。
     ※政令4条の定めでは、公益その他の利益が害されるものについては、A.3.4.4.1のただし書きa)〜d）と同じ。
     
  2. 一年以内の政令で定める期間以内に消去することとなるもの
     ※政令5条の定めでは、消去までの期間を６ヶ月としている。ただしJIS 規格では消去までの期間を問わない。
     
• 旧JISでは、"容易に検索できる状態に無い"個人情報については、A.3.4.4.4（利用目的の通知）以外の、A.3.4.4.6（訂正、追加又は削除）、A.3.4.4.7（利用又は提供の拒否権）の請求について、本人に対し、対応が困難である旨理由を説明することで、対応しないことが容認されていた。今後対応が困難だと回答した場合は、個人情報の保管に関する安全管理面の不備を、個人情報保護委員会もしくは認定個人情報保護団体へ苦情申し立てされる可能性があることに注意が必要である。
  

【3300個人情報取扱規程】サンプル

3.4.4　個人情報に関する本人の権利

3.4.4.1　個人情報に関する権利

本人から、保有個人データおよび保有個人情報（以後、保有個人データ等と呼ぶ）について利用目的の通知、開示、内容の訂正、追加又は削除、利用の停止、消去および第三者への提供の停止（以下「開示等」という）を請求された場合に遅滞なくこれに応じるための責任者および権限を「3341-02PMSに関する責任と権限一覧表」に定める。

２　開示等の請求があったときは、「3440-01個人情報開示等請求書兼回答書」によって個人情報保護管理者の承認を得た後に、遅滞なく（10日以内をめどとする）結果を本人に通知しなければならない。詳細の手順は3　.4.4.8、3.4.4.9に規定する。

3　ただし、当該個人データ等の存否が明らかになることによって、次のいずれかに該当するおそれのあるものは保有個人データ等ではないため、開示請求等に応じる必要はない。

	当該個人情報の存否が明らかになることによって・・・
a)	本人又は第三者の生命、身体又は財産に危害が及ぶおそれのあるもの
b)	違法又は不当な行為を助長し、又は誘発するおそれのあるもの
c)	国の安全が害されるおそれ、他国もしくは国際機関との信頼関係が損なわれるおそれ又は他国もしくは国際機関との交渉上不利益を被るおそれのあるもの
d)	犯罪の予防、鎮圧又は捜査その他の公共の安全と秩序維持に支障が及ぶおそれのあるもの

4 ただし書きを適用して開示請求等に応じられない場合は、3.4.4.9の手順に従い、本人に対し、回答に応じられない旨を通知しなければならない。

A.3.4.4.2　

開示等の請求等に応じる手続

2006：3.4.4.2

法第32条
法第33条2

令第10条
令第11条

組織は、開示等の請求等に応じる手続として次の事項を定めなければならない。

組織は、本人からの開示等の請求等に応じる手続を定めるに当たっては、本人に過重な負担を課するものとならないよう配慮しなければならない。

当該保有個人データの特定に資する情報の提供その他本人の利便性を考慮した適切な措置を講じることを求めている。

A.3.4.4.2c)については、開示等の請求等をすることができる代理人は、次の代理人である。
－未成年者又は成年被後見人の法定代理人
－開示等の請求等をすることにつき本人が委託した代理人

【Pマーク審査対応のポイント】

• 本人は、事業者が定めた方法に従って開示等の請求等を行わなければならない。（法32条1）
  
  • a) 開示等の請求等の申出先は、消費者窓口など実際に保有個人データを取扱っている部門が望ましい。取扱いが従業者の保有個人データしか無い事業者の場合は、人事部門でも差し支えない。
    
  • b）本人が開示等の請求等を行う場合には、対象となる保有個人データを特定するに足りる事項の提示を行う必要がある。そのため、事業者は本人が必要事項を記入できるための「開示等請求書式」を定めることが望ましい。また、できればダウンロード可能とすることが望ましい。
    
  • c)　開示等の請求等ができる代理人は、施行令第11条に定めがあり、附属書Bに記載の通りである。
    
    • 未成年については、民法第2章第2節第4条に年齢20歳未満の者とされているが、2022年4月1日より18歳未満に引き下げられる予定である。
      
    • 成年被後見人については、民法第2章第2節第9条に、本人が行った行為で不利益が起きた場合は取り消すことができるとしており、本人保護のための法律である。事業者が本人が成年被後見人であるかどうかをわざわざ確認する必要はない。
      
    • 本人が委託した代理人とは、民法第5章第３節（第99条〜第118条）に定めがある。委任状の書式に定めはないが、本人の氏名と代理人の氏名は必要である。
      
  • d）手数料は、A.3.4.4.4利用目的の通知、A.3.4.4.5開示の請求のみ徴収することができる。その徴収方法は、合理的でなければならず、徴収方法として例えば切手同封や定額小為替（手数料100円）、金融機関への振込時の手数料の負担など明確にしなければならない。もちろん無料でも差し支えない。

【3300個人情報取扱規程】サンプル

3.4.4.2　開示等の請求等に応じる手続

本人からの開示等の請求等に応じる手続は、本人に過重な負担を課さないよう配慮し、下記について公表文書「3220個人情報の取扱いについて」に定める。

a)	開示等の請求等の申し出先
b)	開示等の請求等に際して提出すべき書面の様式その他の開示等の請求等の方式
c)	開示等の請求等をする者が、本人又は代理人であることの確認の方法
d)	利用目的の通知、又は開示の場合の手数料およびその徴収方法

2　手数料は、利用目的の通知、又は開示についてのみ徴収することとし「3220個人情報の取扱いについて」に定めて公表する。
　

A.3.4.4.3　

保有個人データに関する事項の周知など

2006：3.4.4.3

法第27条1
法第47条

組織は、当該保有個人データに関し、次の事項を本人の知り得る状態（本人の請求等に応じて遅滞なく回答する場合を含む。）に置かなければならない。

附属書B 3.4.4.3

“本人が知り得る状態（本人の請求などに応じて遅滞なく回答する場合を含む。）”とは、ウェブ画面への掲載、パンフレットの配布、本人の請求などに応じて遅滞無く回答を行うことなど、本人が知ろうと思えば知ることができる状態に置くことをいい、組織が、常にその時点で正確な内容を本人が知り得る状態に置くことをいう。必ずしもウェブ画面への掲載、又は事務所などの窓口などへ掲示することなどが継続的に行われることまでを指すものではないが、事業の性質及び個人情報の取扱状況に応じ、内容が本人に理解される合理的かつ適切な方法によることが望ましい。

（略）
f)A.3.4.4.2 によって定めた手続
f)a) 開示等の請求等の申出先
f)b) 開示等の請求等に際して提出すべき書面の様式その他の開示等の請求等の方式
f)c) 開示等の請求等をする者が、本人又は代理人であることの確認の方法
f)d) 本人から、利用目的の通知又は保有個人データの開示の請求などをされた場合の手数料（定めた場合に限る。）の徴収方法

• 個人データだけでなく、保有個人情報についても保有個人データと同様に取扱う。
• 周知の方法として、一般的にはホームページに「開示等の請求等について」等を公開する。
• ホームページを持たない場合は、会社案内もしくは、リーフレットを用意すること。
• b）個人情報保護管理者については、氏名又は職名、所属を掲載し、また、連絡先（住所、電話番号、メールアドレス等）を公表すること。
• c）全ての保有個人データの利用目的の公表とは
  • A.3.4.2.4において、事業で取扱う全ての個人情報の利用目的を公表するよう求めている。そこでは、受託する個人情報なども含まれており、必ずしも保有個人データではない。
  • 従って、A.3.4.2.4 の公表事項の備考欄に「※受託する個人情報については、当社に開示等の権限はありません」と掲示するか、もしくは別途「保有個人データの利用目的」を公表する必要がある。
• d）苦情と開示請求とは趣旨が異なる。苦情の申出先は個人情報保護管理者でもよい。
• e）新規申請事業者は、認定個人情報保護団体には加入していないため、省略してよい。
• f)　前項で定めた手続きの内容（参照：表B.1 表示事項整理表　）

【3300個人情報取扱規程】サンプル

3.4.4.3　保有個人データに関する事項の周知など

公表文書「3220個人情報の取扱いについて」には次の事項を含め、個人情報保護管理者の承認を得て、事務局がホームページに公開する。ホームページを閲覧できない本人からの問い合わせがあった場合は、ホームページを印刷して郵送、もしくはFAX送信など、本人の希望する手段で送付する。

a)	会社名
b)	個人情報保護管理者の氏名、所属および連絡先
c)	すべての保有個人データの利用目的（3.4.2.4のa)～c)に該当する場合を除く）
d)	保有個人データの取扱いに関する苦情の申し出先
e)	認定個人情報保護団体の名称および苦情の解決の申し出先
f)	3.4.4.2によって定めた、下記の手続
	a)開示等の請求等の申し出先
	b)開示等の請求等に際して提出すべき書面の様式その他の開示等の請求等の方式
	c)開示等の請求等をする者が、本人又は代理人であることの確認の方法
	d)利用目的の通知、又は開示の場合の手数料およびその徴収方法

A.3.4.4.4

保有個人データの利用目的の通知

付属書B

なし

表B.1
表示事項整理表
(要旨)

本人に遅滞なく通知する。

【Pマーク審査対応のポイント】

• 個人データだけでなく、保有個人情報についても保有個人データと同様に取扱う。
• 法第18条では、取得時にその利用目的を本人に通知、又は公表しなければならないと規定しており、既に本人に伝えて同意を得て取得した場合であっても、再度利用目的の通知を求められた場合には、応じなければならない。ただし、A.3.4.4.3のc）によって、既にホームページに公表されている場合は、本人にそのURLを示せばよい。
• ただし書きによって利用目的を通知しないのは、3.4.2.4（個人情報を取得した場合の措置）の通知もしくは公表を省略する場合と同じ。
• 3.4.2.4 b) 当社の権利又は正当な利益を害するおそれがある場合、とは、通知される利用目的の内容によって新製品などの開発内容など企業秘密にかかわるようなものが明らかになる場合などをいう。

【3300個人情報取扱規程】サンプル

3.4.4.4　保有個人データの利用目的の通知

本人から、保有個人データの利用目的の通知を請求された場合には、3.4.4.9の手順に従い遅滞なくこれに応じる。

2 利用目的を通知しない場合は、下記の場合に限定する。ただし、その場合は、「3440-01個人情報開示等請求書兼回答書」に利用目的を通知しない理由を記入し、個人情報保護管理者の承認を得て、本人に通知する。

利用目的通知・公表により		4.例外の項目
a)	本人又は第三者の生命、身体、財産その他の権利利益を害するおそれがある場合	3.4.2.4　a)
b)	当社の権利又は正当な利益を害するおそれがある場合	3.4.2.4　b)
c)	国の機関又は地方公共団体が法令の定める事務を遂行することに対して協力する必要がある場合であって、利用目的を本人に通知し、又は公表することによって当該事務の遂行に支障を及ぼすおそれがあるとき	3.4.2.4　c)
d)	取得の状況からみて利用目的が明らかであると認められる場合	3.4.2.4　d)
e)	ホームページに既に保有個人データの利用目的を掲載している。	3.4.4.3　c)

 

A.3.4.4.5

保有個人データの開示

2006：3.4.4.5

法第28条
法第31条
法第32条

組織は、本人から、当該本人が識別される保有個人データの開示（当該本人が識別される保有個人データが存在しないときにその旨を知らせることを含む。）の請求を受けたときは、法令の規定によって特別の手続が定められている場合を除き、本人に対し、遅滞なく、当該保有個人データを書面（開示の請求を行った者が同意した方法があるときは、当該方法）によって開示しなければならない。ただし、開示することによって次のa)～c) のいずれかに該当する場合は、その全部又は一部を開示する必要はないが、そのときは，本人に遅滞なくその旨を通知するとともに，理由を説明しなければならない。

A.3.4.4.5b)の、“当該組織の業務の適正な実施に著しい支障を及ぼすおそれがある場合”とは、試験実施機関において、採点情報の全てを開示することによって、試験制度の維持に著しい支障を及ぼすおそれがある場合、同一の本人から複雑な対応を要する同一内容について繰り返し開示の請求があり、事実上問い合わせ窓口が占有されることによって他の問い合わせ対応業務が立ち行かなくなるなど、業務上著しい支障を及ぼすおそれがある場合などをいう。

表B.1
表示事項整理表 (要旨)

A.3.4.4.5b)の、“当該組織の業務の適正な実施に著しい支障を及ぼすおそれがある場合”とは、試験実施機関において、採点情報の全てを開示することによって、試験制度の維持に著しい支障を及ぼすおそれがある場合、同一の本人から複雑な対応を要する同一内容について繰り返し開示の請求があり、事実上問い合わせ窓口が占有されることによって他の問い合わせ対応業務が立ち行かなくなるなど、業務上著しい支障を及ぼすおそれがある場合などをいう。

【Pマーク審査対応のポイント】

• 個人データだけでなく、保有個人情報についても保有個人データと同様に取扱う。
  
• 法令の規定によって特別の手続きが決められている場合とは、例えば行政機関情報公開法第15条で、有価証券届出書等や宅地取引業者名簿の開示の方法が定められている場合などを指す。

【3300個人情報取扱規程】サンプル

3.4.4.5　保有個人データの開示

本人から、保有個人データの開示もしくは、開示個人情報が存在しないことの確認を請求されたときは、3.4.4.9の手順に従い遅滞なくこれに応じる。

2　法令の規定によって特別の手続が定められている場合は、その法令に従う。

3　開示請求に応じない場合は、下記の場合に限定する。

a)	本人又は第三者の生命、身体、財産その他の権利利益を害するおそれがある場合
b)	当社の業務の適正な実施に著しい支障を及ぼすおそれがある場合
c)	他の法令に違反する場合

 

A.3.4.4.6

保有個人データの訂正、追加又は削除
2006：3.4.4.6

法第29条
法第31条 　
法第32条

組織は、本人から、当該本人が識別される保有個人データの内容が事実でないという理由によって当該保有個人データの訂正、追加又は削除（以下、この項において“訂正等”という。）の請求を受けた場合は、法令の規定により特別の手続が定められている場合を除き、利用目的の達成に必要な範囲内において、遅滞なく必要な調査を行い、その結果に基づいて、当該保有個人データの訂正等を行わなければならない。また、事業者は、訂正等を行ったときは、その旨及びその内容を、本人に対し、遅滞なく通知し、訂正等を行わない旨の決定をしたときは、その旨及びその理由を、本人に対し、遅滞なく通知しなければならない。

なし

表B.1
表示事項整理表 (要旨)

訂正等を行わない旨の決定をしたときは、その理由説明する。

【Pマーク審査対応のポイント】

• 個人データだけでなく、保有個人情報についても保有個人データと同様に取扱う。
• 訂正、追加又は削除は、無償で行う。

【3300個人情報取扱規程】サンプル

3.4.4.6　保有個人データの訂正、追加又は削除

本人から、内容が事実でないという理由によって、訂正、追加又は削除（以下「訂正等」）を請求された場合は、利用目的の達成に必要な範囲内において、遅滞なく必要な調査を行い、その結果に基づいて、当該保有個人データの訂正等を行い、3.4.4.9（本人への回答方法）の手順に従い無料でこれに応じる。

2　法令の規定によって特別の手続が定められている場合は、その法令に従う。

3　訂正等を行わない場合は、下記に限定する。

・	利用目的からみて訂正等が必要ではない場合（評価に関する情報など）

4 日常的に実施する顧客情報の訂正等についても「3440-01個人情報開示等請求書兼回答書」の手順に従う。

A.3.4.4.7

保有個人データの利用又は提供の拒否権
2006：3.4.4.7　
法第30条
法第31条　
法第32条
令第10条
令第11条

付属書B
3.4.4.7

法第30条2、４

本人の同意を得た範囲内で組織が取り扱う場合でも、本人が求めた場合は、組織はそれに応じることが望ましい。

なお、当該保有個人データの第三者への提供の停止に著しく多額の費用を要する場合、その他の第三者への提供を停止することが困難な場合であって、本人の権利利益を保護するため必要なこれに代わるべき措置を講じるときは、法令等によってこの限りでないとされている。

表B.1
表示事項整理表 (要旨)

利用停止等を行わないときは、その理由を説明する。

【Pマーク審査対応のポイント】

• 個人データだけでなく、保有個人情報についても保有個人データと同様に取扱う。
  
• 対応するための費用は、無償で行う。
  
• 当該保有個人データの利用停止に著しく多額の費用を要する場合、A.3.4.4.5 b）適正な実施に著しい支障を及ぼすおそれがある場合、のただし書き適用が可能としているが、"本人の権利利益を保護するため必要なこれに代わるべき措置を講じるときは"と、のただし書きが付いているため、"これに代わる措置"を準備し、本人に説明しなければならない。
  
• EU一般データ保護規則（GDPR）では「データポータビリティの権利」として、本人が自分の保有個人データについて、現在の管理者から一般の機械可読性のある形式（例：CSV形式）で受け取り、他の管理者に移行する権利があると規定している。現在の新個人情報保護法やJIS Q15001：2017ではその規定はないが、今後法改正の動向に注意する必要がある。

【3300個人情報取扱規程】サンプル

3.4.4.7　保有個人データの利用又は提供の拒否権

本人から、保有個人データの利用の停止、消去又は第三者への提供の停止（以下「利用停止等」という）を請求された場合は、遅滞なく措置を講じ、3.4.4.9（本人への回答方法）の手順に従い無料でこれに応じる。

2　法令の規定によって特別の手続が定められている場合は、その法令に従う。

3　利用又は提供の拒否に応じない場合は、下記の場合に限定する。

a)	本人又は第三者の生命、身体、財産その他の権利利益を害するおそれがある場合
b)	当社の業務の適正な実施に著しい支障を及ぼすおそれがある場合で、本人の権利利益を保護するため必要なこれに代わるべき措置を講じるとき
c)	法令に違反することとなる場合

4 日常的に実施する顧客情報の訂正等についても「3440-01個人情報開示等請求書兼回答書」の手順に従う。

 

3.4.4.8　本人および保有個人データの確認

本人から開示等の要求があった場合、本人であることの確認、および保有個人データであるかどうかを、以下の方法で確認してから対応する。

２　本人かどうかの確認は、「3440-01個人情報開示等請求書兼回答書」に記載された氏名、住所、電話番号によって、当社が保有している個人情報と照合して行う。当社が保有している個人情報と異なる場合、および訂正、削除を請求された場合は、運転免許証、住民票など、本人確認できる書類の提示を求める。

３　開示等受付担当者は、「3312個人情報管理台帳」により保有個人データかどうかを確認する。もし保有個人データではない場合、又は開示等の要求が3.4.4.1のただし書きa)～d)に該当する場合は、開示等の請求等に応じられないため、「3440-01個人情報開示等請求書兼回答書」の、回答できない理由欄にその旨記入し、個人情報保護管理者の承認を求める。

４　代理人からの開示請求については、以下のa)代理人であることを証明する書類、および代理人の身許を証明するb)のいずれかの書類の提示を求める。

a)	代理人であることを証明する書類（委任状等）
b)	・運転免許証、パスポート等の写真の写し（代理人の名前・住所が記載されたもの）
	・住民票の写し（開示等の請求等をする日前30日以内に作成されたもの）
	・代理人が弁護士の場合は、登録番号のわかる書類

 

3.4.4.9　本人への回答方法

本人への回答は、開示等受付担当者が「3440-01個人情報開示等請求書兼回答書」に記載し、個人情報保護管理者の承認を得て、書面もしくは本人が同意した方法によって回答する。

2  開示等の請求等に応じられないときは、開示等受付担当者が「3440-01個人情報開示等請求書兼回答書」の回答できない理由欄に、ただし書きの理由を記載し、個人情報保護管理者の承認を得て、書面もしくは本人が同意した方法によって回答する。