保有個人データとは?
個人情報や個人データとの違い・
個人情報取扱事業者等の義務・
取り扱いのルールなどを分かりやすく解説!

この記事を書いた人
アバター画像
弁護士法人中央総合法律事務所弁護士
2019年弁護士登録(第一東京弁護士会所属)。企業法務を中心に、金融規制のほか、M&A取引や証券発行に従事。
おすすめ資料を無料でダウンロードできます
【2022年4月施行】個人情報保護法改正の新旧対照表 (解説つき)
この記事のまとめ

個人情報保護法は「個人情報」・「個人データ」・「保有個人データ」と似たような用語を使い分けて、個人情報取扱事業者等が負うべき義務を規定しています。

そして、個人情報保護法への対応を検討する際には、自社が取り扱っている情報の個人情報保護法上の位置付けを整理したうえで、いかなる義務が課されるかを、その対応方法とともに正確に把握することが重要です。

この記事では、「個人情報」・「個人データ」・「保有個人データ」の差異について紹介した上で、特に「保有個人データ」について個人情報取扱事業者等に課される義務の概要と、実務上の留意点を解説します。

ヒー

「保有個人データ」って、会社が持っている「個人情報」ということですか? 色々あってよく分かりません。

ムートン

「個人情報>個人データ>保有個人データ」と包含関係にあります。その定義や必要な対応についても確認していきましょう。

※この記事は、2023年8月14日に執筆され、同時点の法令等に基づいています。

※この記事では、法令名等を次のように記載しています。
【法令】
個人情報の保護に関する法律…法
個人情報の保護に関する法律施行令…施行令
個人情報の保護に関する法律施行規則…施行規則
【ガイドライン等】
個人情報保護委員会「個人情報の保護に関する法律についてのガイドライン(通則編)」(平成28年11月(令和4年9月一部改正))…GL通則編
個人情報保護委員会「「個人情報の保護に関する法律についてのガイドライン」に関するQ&A」(平成9年2月16日(令和5年5月25日更新))…QA

保有個人データとは|個人情報・個人データとの違いも解説

個人情報」という単語は日頃よく目にしますが、個人情報保護法は「個人情報」・「個人データ」・「保有個人データ」という用語を使い分けています。
そのため、個人情報取扱事業者が遵守すべき義務を考える上では、問題となっている情報がどの定義に該当するかを検討する必要があります。
本項ではまず「個人情報」・「個人データ」・「保有個人データ」の違いを説明しますが、これらの概念は包含関係になっており、図示すると以下のようになります。

個人情報

個人情報」とは、

生存する個人に関する情報

であって、

➀ 当該情報に含まれる氏名、生年月日、その他の記述等により特定の個人を識別することができるもの(他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む)
個人識別符号が含まれるもの

と定義されています(法2条1項1号・2号)。

後述のとおり、「個人データ」「保有個人データ」のいずれも、当該情報が「個人情報」であることを前提としているため、そもそも「個人情報」に当たらない情報は「保有個人データ」には該当しません
以下、「個人情報」該当性を検討する際に問題となる要件について説明します。

「個人に関する情報」

まず、「個人に関する情報」とは、上記定義で列挙されている氏名生年月日に限られるものではなく、ある個人の身体、財産、職種、肩書等の属性に関して、事実、判断、評価を表す全ての情報であり、評価情報、公刊物等によって公にされている情報や、映像、音声による情報も含まれ、暗号化等によって秘匿化されているか否かを問わないとされています(GL通則編2-1)。

そのため、法人そのものに関する情報は「個人に関する情報」に当たらないものの、役員や従業員に関する情報は、それらの者が個人である以上、「個人に関する情報」に当たります。また、ウェブサイトやSNSで公開されている情報であっても、それが特定の個人に関する情報である限り、「個人に関する情報」に該当します。

ムートン

個人と結びつく幅広い情報が、「個人情報」に当たると言えるでしょう。

一方で、統計情報(複数人の情報から共通要素に係る項目を抽出して同じ分類ごとに集計して得られる情報)については、特定の個人との対応関係が排斥されている限り、「個人に関する情報」には当たらないと解されています(QA1-7・1-17)。

「特定の個人を識別することができるもの」

特定の個人を識別することができる」とは、社会通念上、一般人の判断力や理解力があれば、具体的な人物と情報との間に同一性を認められることをいいます(QA1-1)。

(例)
✅ 本人の氏名
✅ 防犯カメラに記録された情報等で本人が判別できる映像情報
✅ 氏名を含んだ音声録音情報
 → 具体的な人物との同一性を認めることができるため、いずれも当該情報それ自体が個人情報に当たる(GL通則編2-1)
✅ メールアドレス
 → ユーザー名およびドメイン名から特定の個人を識別できるような場合は、それ自体が単独で個人情報に当たる(QA1-4)

「他の情報と容易に照合することができるもの」

ある情報単体では特定の個人を識別できない場合であっても、他の情報と容易に照合でき、それによって特定の個人を識別できる場合は、当該情報とあわせて全体として個人情報に該当します。ここで「他の情報と容易に照合することができる」とは、事業者の通常の業務における一般的な方法で、他の情報と容易に照合できる状態をいいます(GL通則編2-1(※4))。

他の情報と容易に照合できない場合の具体例としては、以下などが示されています(QA1-18)。

(例)
以下の3点全てを満たす場合、他の情報と容易に照合できないと解される。
① 特定の事業者の各取扱部門が独自に取得した個人情報を、取扱部門ごとに設定されているデータベースにそれぞれ別々に保管している
② 双方の取扱部門やこれらを統括すべき立場の者等が、規程上・運用上、双方のデータベースを取り扱うことが厳格に禁止されている
③ 特別の費用や手間をかけることなく、通常の業務における一般的な方法で双方のデータベース上の情報を照合することができない

また、照合のために特別なソフトを購入してインストールする必要がある場合にも「容易に照合することができる」とはいえないと解されています。

個人データ

個人データ」とは、「個人情報データベース等」を構成する個人情報をいいます(法16条3項)。
そして、「個人情報データベース等」とは、個人情報を含む情報の集合体であって、

➀特定の個人情報をコンピュータを用いて検索することができるように体系的に構成したもの
または
②コンピュータを用いない場合であっても、紙面で処理した個人情報を一定の規則(たとえば、五十音順や生年月日順など)に従って整理・分類し、特定の個人情報を容易に検索することができるよう、目次、索引、符号等を付し、他人によっても容易に検索可能な状態においているもの

をいいます(同条1項1号・2号、施行令4条2項)。

保有個人データ

保有個人データ」とは、個人データのうち、

✅個人情報取扱事業者が、開示等(開示、内容の訂正、追加または削除、利用の停止、消去および第三者への提供の停止)を行うことのできる権限を有するもの
かつ
存否が明らかになることにより公益その他の利益が害されるものに当たらないもの

をいいます(法16条4項)。

開示等を行うことのできる権限

保有個人データ該当性の判断に当たっては、当該個人情報取扱事業者が、当該データについて開示等を行う権限を有しているか否かを判断する必要があります。

開示等の権限を有しているというためには、

  • 開示
  • 内容の訂正
  • 追加または削除
  • 利用の停止
  • 消去および第三者への提供の停止

の全ての権限を有する必要があるとされています。

そして、複数の個人情報取扱事業者が関わる場合、契約等の実態によって、どの事業者が開示等の権限を有しているかについて判断することとなります(GL通則編2-7)。

複数の事業者(例えば委託元と委託先)がどちらも開示等の権限を有している場合は、その複数の事業者の保有個人データとなります。

開示等の権限を委託元に留保し、委託先に付与していないのであれば、当該個人データは委託元の保有個人データであり、委託先の保有個人データには当たりません。
また、双方の間に特段の取り決めがなく、委託先が自らの判断で開示等をすることができない場合も、同様です(QA1-56)。

「保有個人データ」から除外されるもの

個人情報取扱事業者が開示等の権限を有していたとしても、

✅その存否が明らかになることにより、以下の弊害が生じるおそれがある個人データ

は、保有個人データに当たりません(法16条4項、施行令5条)。

保有個人データから除外されるものの具体例としては、以下などが示されています(GL通則編2-7)。

➀ 本人または第三者の生命、身体または財産に危害が及ぶおそれがあるもの(施行令5条1号)

(例)
家庭内暴力・児童虐待を行っている親権者が、被害者である子を保護する支援団体や市立病院に対して、当該子の法定代理人として開示を請求する場合の個人データ

② 違法または不当な行為を助長し、または誘発するおそれがあるもの(施行令5条2号)

(例)
事業者が反社会的勢力・不審者・悪質なクレーマー等に該当する人物の個人データを保有しており、存否を明らかにすると脅迫・暴行事件等を誘発するおそれのある個人データ

③ 国の安全が害されるおそれ、他国・国際機関との信頼関係が損なわれるおそれまたは他国・国際機関との交渉上不利益を被るおそれがあるもの(施行令5条3号)

(例)
・事業者等が保有している、防衛に関連する兵器・設備・機器・ソフトウェア等の設計または開発の担当者名が記録された個人データ
・要人の訪問先やその警備会社が保有している、当該要人の行動予定等の個人データ

④ 犯罪の予防、鎮圧または捜査その他の公共の安全と秩序の維持に支障が及ぶおそれがあるもの(施行令5条4号)

(例)
・警察から捜査関係事項照会等がなされることにより初めて取得・作成した個人データ

【2022年施行】6カ月以内に消去する短期保存データも保有個人データに

令和2年法律第44号による改正前は、6カ月以内に消去される短期保存データは保有個人データの定義から除外されていましたが(旧法2条7項、旧施行令5条)、同改正(2022年4月施行)により除外規定が削除され、短期保存データも保有個人データに含まれることとなりました。

ヒー

なんで短期保存データは除外されていたんですか?

ムートン

短期間ゆえ侵害の危険性が低く、また、開示等が行われるまでに消去される可能性も高いことから、事業者の対応コストが開示請求権を認めることの利益よりも大きいと考えられていました。

しかし、情報化社会の進展により、短期間で消去されるとしても、その間に漏えい等が発生し、瞬時に拡散する危険が現実のものとなっていることを踏まえると、個人の権利利益を侵害する危険性が低いとは限らないことから、保有個人データに含める必要があるとして、上記の改正がなされました。

個人情報取扱事業者の義務

個人情報/個人データ/保有個人データについて課される義務

個人情報取扱事業者が「個人情報」について遵守すべき義務は、以下のとおりです。

  • 利用目的の特定(法17条1項)
  • 利用目的の変更の範囲(同条2項)
  • 利用目的による制限(法18条)
  • 不適正利用の禁止(法19条)
  • 適正取得(法20条)
  • 取得に際しての利用目的の通知等(法21条)

また、個人情報取扱事業者が「個人データ」について遵守すべき義務は、以下のとおりです。「保有個人データ」についても、それが「個人データ」に当たる以上、これらの義務を遵守する必要があります。

  • データ内容の正確性の確保等(法22条)
  • 安全管理措置(法23条)
  • 従業者の監督(法24条)
  • 委託先の監督(法25条)
  • 漏えい等の報告等(法26条)
  • 第三者提供の制限(法27条)
  • 外国にある第三者への提供の制限(法28条)
  • 第三者提供に係る記録の作成等(法29条)
  • 第三者提供を受ける際の確認等(法30条)
ムートン

「個人データ」・「保有個人データ」についても、「個人情報」に当たることが前提になるため、これらの義務を遵守する必要があります。

そのうえで、個人情報取扱事業者は、「保有個人データ」について、上記義務に加えて、以下の義務を遵守する必要があります

  • 保有個人データに関する事項の公表等(法32条)
  • 開示等(法33条~38条)
ムートン

以下では特に保有個人データに関する義務について、詳しく説明します。

保有個人データに関する事項の公表(法32条1項)

公表等が求められる事項

個人情報取扱事業者は、保有個人データについて、以下の事項を本人の知り得る状態(本人の求めに応じて遅滞なく回答する場合を含みます)に置く必要があります(法32条1項各号、施行令10条各号)。

保有個人データに関する事項の公表等

✅ 個人情報取扱事業者の氏名または名称住所、(法人の場合は)代表者の氏名
✅ 全ての保有個人データの利用目的(例外あり。法21条4項1号~3号)
✅ 以下➀~⑥の請求に応じる手続(手数料の額を定めたときは、手数料の額)
  ➀保有個人データの利用目的の通知(法32条2項)
  ②保有個人データの開示(法33条1項)
  ③保有個人データの内容の訂正、追加または削除(法34条1項)
  ④保有個人データの利用の停止または消去(法35条1項・5項)
  ⑤保有個人データの第三者への提供の停止(同条3項・5項)
  ⑥第三者提供記録の開示(法33条5項)
✅ 法23条の規定により安全管理のために講じた措置
✅ 保有個人データの取扱いに関する苦情の申出先
認定個人情報保護団体の名称および苦情の解決の申出先(認定個人情報保護団体の対象事業者である場合のみ)

※従業者および委託先に対する監督(法24条・25条)についても、法23条の安全管理措置の一部を構成することから、本人の知り得る状態に置く必要があります(QA9-4)。

公表等の方法

本人の知り得る状態」とは、

  • ウェブサイトへの掲載
  • パンフレットの配布
  • 本人の求めに応じて遅滞なく回答を行うこと

など、本人が知ろうとすれば知ることができる状態に置くことをいい、常にその時点での正確な内容でなければならないとされています(GL通則編3-8-1(1)(※1))。

もっとも、必ずしもウェブサイト上に掲載する必要があるわけではなく、例えば、問い合わせ窓口を設け、口頭・文書で回答できるような体制を構築することでも足りるとされています(QA9-1)。

保有個人データの利用目的の通知(法32条2項)

個人情報取扱事業者は、本人から、当該本人が識別される保有個人データの利用目的の通知を求められたときは、法32条1項の規定により

  • 利用目的が明らかな場合
  • 利用目的の公表が不要になる場合(法21条4項1号~3号)

に当たらない限り、遅滞なく通知する必要があります(法32条2項)。

通知しない旨の決定をした場合には、遅滞なくその旨を通知する必要があるとともに(同条3項)、併せてその理由を説明するように努めなければいけません(法36条)。
なお、個人情報取扱事業者は、利用目的の通知に関し、手数料を徴収することができます(法38条)。

保有個人データの開示(法33条)

開示について定めた法33条は、開示対象が「保有個人データ」の場合の手続を1項~3項に定めた上で、開示対象が「第三者提供記録」の場合にも準用しています(同条5項)。本稿では、開示対象が「保有個人データ」の場合の手続について説明します。

開示の要否

個人情報取扱事業者は、以下のいずれかに当たる場合、保有個人データの全部または一部を開示しないことができます(法33条2項ただし書き)。

➀本人または第三者の生命、身体、財産その他の権利利益を害するおそれがある場合
②当該個人情報取扱事業者の業務の適正な実施に著しい支障を及ぼすおそれがある場合
③他の法令に違反することとなる場合

ヒー

②について、開示の件数やデータの量が多いと、業務上とても負担になるのですが…

ムートン

単に量が多いという理由だけでは、業務の「著しい支障」とは認められません。適切に対応しましょう。

開示方法

原則として、以下のいずれかのうち本人が請求した方法(施行規則30条)により、遅滞なく、開示する必要があります(法33条2項本文)。

保有個人データの開示方法

✅ 電磁的記録の提供による方法
✅ 書面の交付による方法
✅ その他個人情報取扱事業者の定める方法

もっとも、本人が請求した方法による開示が困難である場合には、例外的に、書面の交付による方法で開示することができます(同項かっこ書き。具体例はGL通則編3-8-2参照)。

本人に対する通知

個人情報取扱事業者は、

不開示の決定をしたとき
② 保有個人データが存在しないとき
③ 本人が請求した方法による開示が困難なとき

は、本人に対し、遅滞なく、その旨を通知する必要があります(法33条3項)。この場合、併せてその理由を説明するように努めなければいけません(法36条)。

その他実務上問題となる場合

ヒー

本人からの請求が「自分に関する情報全て」という内容の場合、データを絞り込めないのですが、どうしたらいいでしょうか?

ムートン

その場合、個人情報取扱事業者は、対象となる保有個人データを特定するに足りる事項を提示するよう求めることができますよ(法37条2項)。

また、開示対象はあくまで「当該本人が識別される保有個人データ」のため(法37条1項)、保有個人データ内に本人以外の他の個人情報が含まれていても、これを開示する必要はありません(QA9-8)。

保有個人データの訂正等(法34条)

訂正等の要否

個人情報取扱事業者は、本人から、当該本人が識別される保有個人データの内容の訂正等訂正追加削除)を求められた場合、利用目的の達成に必要な範囲内で、遅滞なく必要な調査を行い、その結果に基づき、訂正等を行う必要があります(法34条2項)。

もっとも、常に訂正等が義務付けられるものではなく、利用目的から見て訂正等が必要でない場合や、保有個人データの内容に誤りがなかった場合には訂正等を行う必要はありません(GL通則編3-8-4(※2))。

また、訂正等の請求が、保有個人データの事実ではなく評価についてなされた場合についても、基本的には訂正等を行う必要はありません(QA9-19)。

本人に対する通知

個人情報取扱事業者は、訂正等を行った場合には、その旨および訂正等の内容を、本人に対して遅滞なく通知する必要があります(法34条3項)。
また、訂正等を行わない旨決定した場合であっても、本人に対して遅滞なくその旨を通知する必要があります(同項)。この場合、併せてその理由を説明するように努めなければいけません(法36条)。

保有個人データの利用停止等または第三者提供の停止(法35条)

利用停止等の要否

個人情報取扱事業者は、以下のいずれかに当たる場合、保有個人データの利用停止等停止・消去)または第三者提供の停止を行う必要があります(法35条2項本文・4項本文・6項本文)。

保有個人データの利用停止等または第三者提供の停止の要件

➀ 保有個人データの取扱いが、法18条(利用目的による制限)または法19条(不適正利用の禁止)に違反した場合(法35条1項)
② 保有個人データの取得が、法20条(適正取得)に違反した場合(法35条1項)
③ 保有個人データの第三者提供が、法27条1項または28条に違反した場合(法35条3項)
④ 保有個人データを当該個人情報取扱事業者が利用する必要がなくなった場合(法35条5項)
⑤ 保有個人データの漏えい、滅失、毀損その他の個人データの安全の確保に係る事態が発生した場合(同項)
⑥ 本人の権利または正当な利益が害されるおそれがある場合(同項)

例えば、以下の事例が該当します(GL通則編3-8-5-1(3)③)。

① DMの送付を受けた本人が、送付の停止を求める意思を表示したにもかかわらず、事業者がDMを繰り返し送付した場合
② 事業者が安全管理措置を十分に講じておらず、本人を識別する保有個人データが漏えい等するおそれがある場合
③ 事業者が、退職した従業員の情報を現在も自社の従業員であるようにHP等に掲載し、これによって本人に不利益が生じるおそれがある場合

もっとも、利用停止等または第三者提供の停止を行うことが困難である場合は、本人の権利利益を保護するため必要な代替措置を講ずることによって対応することも認められています(法35条2項ただし書き・4項ただし書き・6項ただし書き)。

いかなる措置であれば代替措置として認められるかはケースバイケースですが、生じている本人の権利利益の侵害のおそれに対応しており、かつ本人の権利利益の保護に資するものである必要があります(GL通則編3-8-5-3)。

本人に対する通知

個人情報取扱事業者は、保有個人データの利用停止等または第三者提供の停止について、これを行った場合および行わない旨の決定をした場合のいずれについても、本人に対し、遅滞なくその旨を通知する必要があります(法35条7項)。
また、利用停止等または第三者提供の停止を行わない旨の決定をした場合には、併せてその理由を説明するように努めなければいけません(法36条)。

ムートン

最新の記事に関する情報は、契約ウォッチのメルマガで配信しています。ぜひ、メルマガにご登録ください!

おすすめ資料を無料でダウンロードできます
【2022年4月施行】個人情報保護法改正の新旧対照表 (解説つき)

参考文献

個人情報保護委員会「個人情報の保護に関する法律についてのガイドライン(通則編)」

個人情報保護委員会「「個人情報の保護に関する法律についてのガイドライン」に関するQ&A」

個人情報保護委員会「個人情報保護法 いわゆる3年ごと見直し 制度改正大綱」

個人情報保護委員会「令和2年 改正個人情報保護法について」

個人情報保護委員会「特定分野ガイドライン」

宇賀克也著「新・個人情報保護法の逐条解説」有斐閣、2021年

園部逸夫・藤原靜雄編著「個人情報保護法の解説[第三次改訂版]」ぎょうせい、2022年