令和2年6月5日、改正個人情報保護法が国会において可決、成立しました。この法改正は、自身の個人情報に対する意識の高まり、技術革新を踏まえた保護と利活用のバランス、越境データの流通増大に伴う新たなリスクへの対応等の観点から行われたとされています。令和4年4月1日より、この改正された法律は全面施行されます。
本稿では、この令和2年改正個人情報保護法において改正された項目のうち、個人からの利用停止・消去等の請求権について解説します。

第1 個人情報保護法に関する基礎知識

1 個人情報保護法とは

個人情報保護法は、平成15年にできた法律です。この法律は、個人情報の適切な取り扱いに関し、個人情報の有用性に配慮しつつ、個人の権利利益の保護を図ることを目的としています。
また、平成28年には、国の機関として個人情報保護委員会が設立され、個人情報保護法のガイドラインの策定・公表や、事業者に対する立入検査などをおこなっています。

2 法改正前の利用停止・消去等の請求権

(1)保有個人データの利用停止・消去に関する規定

令和2年の改正前における、保有個人データの利用の停止・消去に関する規定は、以下の通りでした。

【改正前 第30条第1項】
本人は、個人情報取扱事業者に対し、当該本人が識別される保有個人データが第16条の規定に違反して取り扱われているとき又は第17条の規定に違反して取得されたものであるときは、当該保有個人データの利用の停止又は消去(以下この条において「利用停止等」という。)を請求することができる。

ここでの「第16条」には個人情報の利用目的に関する制限の規定、「第17条」には個人情報の取得に関する規定が置かれていました。
したがって、個人が事業者に対し、個人データの利用停止や削除の請求ができるのは、個人情報の目的外使用や、個人情報が不正に取得された場合に限られていました。

(2)保有個人データの第三者提供の停止に関する規定

また、保有個人データの第三者への提供の停止を請求できる旨の規定は、以下の通りでした。

【改正前 第30条第3項】
本人は、個人情報取扱事業者に対し、当該本人が識別される保有個人データが第23条第1項又は第24条の規定に違反して第三者に提供されているときは、当該保有個人データの第三者への提供の停止を請求することができる。

ここでの「第23条1項」には第三者提供の制限に関する規定、「第24条」には外国にある第三者への提供の制限に関する規定が置かれていました。
したがって、これらの第三者提供に関する法律違反があったときに、第三者への提供をやめるよう請求ができるとされていました。

3 法改正後の変更点

(1)保有個人データの利用停止・消去に関する規定

ア 改正前の条文に加筆修正された規定
【改正前 第30条第1項】に対応する、保有個人データの利用の停止・消去に関する規定は、以下の通りです。

【改正後 第35条第1項】
本人は、個人情報取扱事業者に対し、当該本人が識別される保有個人データが第18条若しくは第19条の規定に違反して取り扱われているとき、又は第20条の規定に違反して取得されたものであるときは、当該保有個人データの利用の停止又は消去(以下この条において「利用停止等」という。)を請求することができる。

ここでの「第18条」は個人情報の利用目的に関する制限の規定、「第20条」は個人情報の取得に関する規定です。
これらは、【改正前 第30条第1項】においても規定されていました。

一方で、個人が事業者に対し個人データの利用停止や削除の請求ができる場合として、法改正により追加された条文である、個人情報保護法「第19条」のケースが追加されました。
この「第19条」は、
「個人情報取扱事業者は、違法又は不当な行為を助長し、又は誘発するおそれがある方法により個人情報を利用してはならない。」
という規定であり、個人情報の不適正な利用を禁止するものです。
個人情報保護法ガイドラインでは、この規定に該当する例として、
・違法な行為を営むことが疑われる事業者(例:貸金業登録を行っていない貸金業者等)からの突然の接触による本人の平穏な生活を送る権利の侵害等、当該事業者の違法な行為を助長するおそれが想定されるにもかかわらず、当該事業者に当該本人の個人情報を提供する場合
が挙げられています。
この「第19条」に違反する形で個人情報が利用されている場合でも、本人は、事業者に対し、個人データの利用停止や削除の請求ができることになります。

イ 改正後の法律で新設された規定
また、保有個人データの利用の停止・消去に関する規定において、今回の改正により新たに設けられたものもあります。

【改正後 第35条第5項】
本人は、個人情報取扱事業者に対し、当該本人が識別される保有個人データを当該個人情報取扱事業者が利用する必要がなくなった場合、当該本人が識別される保有個人データに係る第26条第1項本文に規定する事態が生じた場合その他当該本人が識別される保有個人データの取扱いにより当該本人の権利又は正当な利益が害されるおそれがある場合には、当該保有個人データの利用停止等又は第三者への提供の停止を請求することができる。

ここでの内容を大きく分けると、
①保有個人データを事業者が利用する必要がなくなった場合
②保有個人データに係る第26条第1項本文に規定する事態が生じた場合
③保有個人データの取扱いにより当該本人の権利又は正当な利益が害されるおそれがある場合
には、保有個人データの利用の停止・消去を請求することができるとされています。
この場合、事業者は、原則として、本人の権利利益の侵害を防止するために必要な限度で利用停止等の措置を講じなければなりません。
上記の①~③のパターンについて、それぞれ見ていきます。

(ア)①保有個人データを事業者が利用する必要がなくなった場合
この場合について、個人情報保護法ガイドラインでは、
・キャンペーンの懸賞品送付のために個人情報取扱事業者が保有していた当該キャンペーンの応募者の情報について、懸賞品の発送が終わり、不着対応等のための合理的な期間が経過した後に、本人が利用停止等を請求した場合
・採用応募者のうち、採用に至らなかった応募者の情報について、再応募への対応等のための合理的な期間が経過した後に、本人が利用停止等を請求した場合
などが例として挙げられています。
いずれも、利用目的が達成され、これ以上個人データを保持しておく合理的な必要がないときに、本人からの請求がある場合には、前述のとおり原則として利用停止等の措置を行う必要があります。

(イ)②保有個人データに係る第26条第1項本文に規定する事態が生じた場合
まず、改正後の第26条第1項本文の規定は以下の通りとなっています。

【改正後 第26条第1項本文】
個人情報取扱事業者は、その取り扱う個人データの漏えい、滅失、毀損その他の個人データの安全の確保に係る事態であって個人の権利利益を害するおそれが大きいものとして個人情報保護委員会規則で定めるものが生じたときは、個人情報保護委員会規則で定めるところにより、当該事態が生じた旨を個人情報保護委員会に報告しなければならない。

すなわち、「個人データの漏えい、滅失、毀損」などの事態が生じ、かつ、その事態が「個人の権利利益を害するおそれが大きいものとして個人情報保護委員会規則で定めるもの」に当たる場合には、保有個人データの利用の停止・消去を請求することができることになります。

なお、「個人の権利利益を害するおそれが大きいものとして個人情報保護委員会規則で定めるもの」としては、
・要配慮個人情報が含まれる個人データの漏えい、滅失もしくは毀損が発生したか、発生したおそれがある事態
・不正利用されることにより財産的被害が生じるおそれがある個人データの漏えい等が発生したか、発生したおそれがある事態
・不正な目的をもって行われたおそれがある個人データの漏えい等が発生したか、発生したおそれがある事態
・個人データに係る本人の数が1000人を超える漏えい等が発生したか、発生したおそれがある事態
が規定されています。
いずれも、実際に漏えい等が発生した場合のみならず、発生したおそれがある場合も該当します。

(ウ)③保有個人データの取扱いにより当該本人の権利又は正当な利益が害されるおそれがある場合
この場合に関し、個人情報保護法ガイドラインでは、法目的に照らして保護に値する正当な利益が存在し、それが侵害されるおそれがある場合と説明されています。

同ガイドラインでは、以下のような場合が、「本人の権利又は正当な利益が害されるおそれがある」と考えられる事例として挙げられています。
・ダイレクトメールの送付を受けた本人が、送付の停止を求める意思を表示したにもかかわらず、個人情報取扱事業者がダイレクトメールを繰り返し送付していることから、本人が利用停止等を請求する場合
・個人情報取扱事業者が、退職した従業員の情報を現在も自社の従業員であるようにホームページ等に掲載し、これによって本人に不利益が生じるおそれがあることから、本人が利用停止等を請求する場合

一方、同ガイドラインでは、以下のような場合が、「本人の権利又は正当な利益が害されるおそれがない」(すなわち、利用停止等が認められない)と考えられる事例として挙げられています。
・電話の加入者が、電話料金の支払いを免れるため、電話会社に対して課金に必要な情報の利用停止等を請求する場合
・過去の信用情報に基づく融資審査により新たな融資を受けることが困難になった者が、新規の借入れを受けるため、当該信用情報を保有している個人情報取扱事業者に対して現に審査に必要な信用情報の利用停止等又は第三者提供の停止を請求する場合

(2)保有個人データの第三者提供の停止に関する規定

保有個人データの第三者への提供の停止を請求できる旨の規定は、以下の通りとなっています。

【改正後 第35条第3項】
本人は、個人情報取扱事業者に対し、当該本人が識別される保有個人データが第27条第1項又は第28条の規定に違反して第三者に提供されているときは、当該保有個人データの第三者への提供の停止を請求することができる。

ここでの「第27条1項」は第三者提供の制限に関する規定、「第28条」は外国にある第三者への提供の制限に関する規定であり、大枠としては改正前の内容と同じといえます。
これらの第三者提供に関する法律違反があったときも、引き続き、第三者への提供をやめるよう請求ができます。

第2 改正による企業が受けるリスク

これまで見てきたように、今回の法改正によって、個人データの利用停止等の請求ができる範囲が大きく広がりました。改正前は、一定の個人情報保護法の違反が認められる場合しか利用停止等の請求ができませんでしたが、改正後は、個人情報保護法に違反していない場合であっても、保有個人データを事業者が利用する必要がなくなった場合や、本人の権利又は正当な利益が害されるおそれがある場合と認められれば、利用停止等の請求が認められることになります。
また、1000人分以上の個人データが流出した場合や、ハッキング等不正な目的をもって行われた個人データの漏洩等が発生した場合には、利用停止等の請求が短期間のうちに殺到する可能性もあります。
したがって、これらの事態を想定して、今から対策を講じておくことが望ましいといえます。

第3 法改正後の個人データの利用停止等の請求に対し、企業が準備すべきこと

今回の法改正を受けて、個人データの利用停止等の請求への対応という観点からは、以下の点を検討するとよいでしょう。

1 利用停止等の請求の受け付け方法を定める。

改正後の個人情報保護法第37条第1項において、利用停止等の請求に関し、受付方法を定めることができるとされています。
そして、方法が定められている場合、本人は、その方法に従って利用停止等の請求をしなければなりません。
定めることができる方法の内容としては、
・利用停止等の請求の申出先
・請求に際して提出すべき書面の様式や、受付方法
・本人又はその代理人(未成年者又は成年被後見人の法定代理人、または、利用停止等の請求等をすることにつき本人が委任した代理人)であることの確認方法
となります。
なお、これは努力規定ですので、定めないこともできます。もっとも、その場合には、本人に自由な方法による申請を認めることになります。したがって、無用な混乱を避けるためにも、事前に受付方法を定めておくことが望ましいといえます。

2 本人から利用停止等の請求がなされた場合の対応の手順を決めておく

本人からの利用停止等の請求がなされた場合、その請求に理由があることが判明したときは、原則として、遅滞なく、当該保有個人データの一部または全部の利用停止等の措置を行わなければなりません。また、利用停止等の対応をおこなったとき、もしくは、利用停止等の対応をおこなわない決定をしたときには、遅滞なく本人にその旨を通知する必要があります。
これまで利用停止等の請求が無かった場合には、法令に従って誰がどのように対応するか、流れを決めておくとよいでしょう。

3 判断に迷った場合の相談窓口を確認する

本人からの利用停止等の請求に応じなければならないこと、あるいは、応じる必要がないことが明らかな場合は良いですが、なかには判断に迷うような請求がなされる可能性があります。
そのような場合に、遅滞なく対応するために、どの弁護士に相談するか決めておくとよいでしょう。
個人情報保護法の解釈や個人情報保護制度についての一般的な質問については、個人情報保護委員会が設置する「個人情報保護法相談ダイヤル」に問い合わせるという方法もあります。

ご相談 ご質問
グリーンリーフ法律事務所は、設立以来30年以上の実績があり、18名の弁護士が所属する、埼玉県ではトップクラスの法律事務所です。
また、各分野について専門チームを設けており、ご依頼を受けた場合は、専門チームの弁護士が担当します。まずは、一度お気軽にご相談ください。

■この記事を書いた弁護士
弁護士法人グリーンリーフ法律事務所
弁護士 赤木 誠治
弁護士のプロフィールはこちら