開示請求とは?
開示請求できる者・流れ・
実務上の注意点などを分かりやすく解説!

アバター画像
世古修平弁護士
2023.10.05
この記事を書いた人
アバター画像
世古修平
法律事務所LEACT・LINEヤフー株式会社弁護士
総合系のコンサルティングファーム2社(コンサルタント職)、インハウスハブ東京法律事務所を経て2022年10月より現職。法律事務所LEACTでは、セキュリティ・プライバシー領域の案件を中心に活動中。 独立行政法人情報処理推進機構(IPA)試験委員、CISSP, CIPM, CIPP/E
おすすめ資料を無料でダウンロードできます
個人情報に関する研修資料
この記事のまとめ

開示請求とは、簡潔に言うと、個人情報を保有されている本人が、企業などの個人情報取扱事業者に対して、自分の個人情報(保有個人データ)の開示を請求するための手続きです(法33条)。

開示請求の対象は、「当該本人が識別される保有個人データ」です。

法務部門は、個人情報個人データ保有個人データの定義を正確に理解しておきましょう。

この記事では「開示請求」について、基本から分かりやすく解説します。

ヒー

開示請求の対象となるのは「保有個人データ」とのことですが、個人データとはどう違うのですか?

ムートン

保有個人データとは」で丁寧に解説していきますね。

※この記事は、2023年10月3日に執筆され、同時点の法令等に基づいています。

※この記事では、法令名等を次のように記載することがあります。

  • 法…個人情報保護法
  • 政令…個人情報の保護に関する法律施行令
  • 規則…個人情報の保護に関する法律施行規則
  • ガイドライン…個人情報の保護に関する法律についてのガイドライン(通則編)
  • Q&A…「個人情報の保護に関する法律についてのガイドライン」に関するQ&A

開示請求とは

開示請求とは、簡潔に言うと、個人情報を保有されている本人が、企業などの個人情報取扱事業者に対して、自分の個人情報(保有個人データ)の開示を請求するための手続きです(法33条)。

(開示)
第33条 本人は、個人情報取扱事業者に対し、当該本人が識別される保有個人データの電磁的記録の提供による方法その他の個人情報保護委員会規則で定める方法による開示を請求することができる。

「個人情報の保護に関する法律」e-gov法令検索 電子政府の総合窓口e-Gov イーガブ

保有個人データとは

開示請求は、「当該本人が識別される保有個人データ」に対して行うことが認められています。

ここでいう保有個人データとは、個人情報取扱事業者が、以下の権限を有する個人データであって、その存否が明らかになることにより公益その他の利益が害されるものとして政令で定めるもの以外のもの、とされています。

  • 開示
  • 内容の訂正
  • 追加または削除
  • 利用の停止
  • 消去
  • 第三者への提供の停止

個人情報取扱事業者が自ら本人から取得したデータは、その個人情報取扱事業者が「開示、内容の訂正、追加又は削除、利用の停止、消去及び第三者への提供の停止を行うことのできる権限」を有していると考えられます。

他方で、個人情報取扱事業者が、別の個人情報取扱事業者から委託によって取得した個人データは、基本的には上記の権限が委託元に留保されています。

以上を踏まえると、開示請求の対象を個人データではなく保有個人データとする実質的な理由は

  • 委託によって取得した個人データを除外する
  • 「存否が明らかになることにより公益その他の利益が害されるものとして政令で定めるもの」を除外する

ことにあるといえます。

開示請求をできる者(対象者)

開示請求をできる者(対象者)について、法律上の制限はありません。そのため誰でも開示請求を行うことができます。

開示請求の流れ(手続き)

個人情報取扱事業者は、開示等の請求等を受け付ける方法を定めることができるとされており(法37条)、具体的に定めることができる事項としては以下が挙げられています。

  • 開示等の請求等の申出先
     (例)担当窓口名・係名、郵送先住所、受付電話番号、受付FAX番号、メールアドレス等
  • 開示等の請求等に際して提出すべき書面(電磁的記録を含む。)の様式、その他の開示等の請求等の受付方法
    (例)郵送、FAX、電子メールやウェブサイト等のオンラインで受け付ける等
  • 開示等の請求等をする者が本人またはその代理人(①未成年者又は成年被後見人の法定代理人、②開示等の請求等をすることにつき本人が委任した代理人)であることの確認の方法
  • 保有個人データの利用目的の通知または保有個人データの開示をする際に徴収する手数料の徴収方法

開示請求に関する実務上の論点

どの範囲で対応しなければならないか

開示請求の対象は、「当該本人が識別される保有個人データ」です。

まずは、個人情報、個人データ、保有個人データの定義を法務部門が正確に理解しておきましょう。

同時に、事業部門・技術部門への教育・啓発も非常に重要です。開示請求に対応する際には、開示するデータを抽出するために法務部門だけでなく事業部門・技術部門の協力も必要になります。他部門の個人情報の定義の理解が怪しいと、開示請求の対応範囲に抜け漏れが生じてしまいます。

本人から直接取得したデータだけで良いか

開示請求の対象は、「当該本人が識別される保有個人データ」です。

あるデータが、個人情報取扱事業者にとっての保有個人データとなった来歴については制限が加えられていません。

そのため、本人から直接取得したデータだけに開示の範囲を限定することはできません。保有個人データを構成する限り、他社やインターネットから取得したデータや、自社で付与した属性情報などのデータも開示の対象になり得ます。

例外はないか

保有個人データに該当しない場合

繰り返しになりますが、開示請求の対象は、「当該本人が識別される保有個人データ」です。

そのため、保有個人データの定義に該当しない、単なる個人データは開示請求の対象にはなりません。また、保有個人データの定義にあるとおり、「その存否が明らかになることにより公益その他の利益が害されるものとして政令で定めるもの」(法16条4項)に該当する場合にも、開示の対象にはなりません。

法第16条第4項の政令で定めるものは、次に掲げるものとする。

  • 当該個人データの存否が明らかになることにより、本人又は第三者の生命、身体又は財産に危害が及ぶおそれがあるもの
  • 当該個人データの存否が明らかになることにより、違法又は不当な行為を助長し、又は誘発するおそれがあるもの
  • 当該個人データの存否が明らかになることにより、国の安全が害されるおそれ、他国若しくは国際機関との信頼関係が損なわれるおそれ又は他国若しくは国際機関との交渉上不利益を被るおそれがあるもの
  • 当該個人データの存否が明らかになることにより、犯罪の予防、鎮圧又は捜査その他の公共の安全と秩序の維持に支障が及ぶおそれがあるもの
「個人情報の保護に関する法律についてのガイドライン(通則編)」

開示の例外事由に該当する場合

法33条では、以下のいずれかに該当する場合は、その全部または一部を開示しないことができるとして、一定の事由が認められる場合には開示をしないことを認めています。

① 本人または第三者の生命、身体、財産その他の権利利益を害するおそれがある場合
② 当該個人情報取扱事業者の業務の適正な実施に著しい支障を及ぼすおそれがある場合
③ 他の法令に違反することとなる場合

もっとも、法33条3項では、以下のとおり開示しない旨の決定をしたときは、その旨を通知しなければならないことが定められています。

3 個人情報取扱事業者は、第1項の規定による請求に係る保有個人データの全部若しくは一部について開示しない旨の決定をしたとき、当該保有個人データが存在しないとき、又は同項の規定により本人が請求した方法による開示が困難であるときは、本人に対し、遅滞なく、その旨を通知しなければならない。

「個人情報の保護に関する法律」e-gov法令検索 電子政府の総合窓口e-Gov イーガブ

そのため、例外事由に該当するとして開示を行わなかった場合には、その理由を説明しなければなりません。

「すべての保有個人データを開示してくれ」と言われたらどうするか

開示請求の対象は、「当該本人が識別される保有個人データ」として制限が課されていない以上、「すべての保有個人データを開示してくれ」と言われたら、文字通りすべてを開示しなければなりません。これは個人情報取扱事業者にとって相当な負担です。

A9-7でも一定の言及がありますが、原則として対応しなければならないという結論に変わりはありません。

Q9-7 「貴社が保有する私の情報全てを開示せよ」という請求があった場合には、ど のように対応したらよいですか。

A9-7 同一の情報主体についても、様々な保有個人データを保有していることが多いため、法第 37 条第2項前段により、個人情報取扱事業者は、開示を請求している本人に対して、対象となる保有個人データを特定するに足りる事項の提示を求めることができます。したがって、本人が、この求めに応じて、開示を請求する範囲を一部に特定した場合には、本人が特定した範囲で開示をすれば足ります。 ただし、法第 37 条第2項後段により、個人情報取扱事業者は、本人が容易かつ的確に 開示の請求をすることができるよう、当該保有個人データの特定に資する情報の提供その他本人の利便を考慮した適切な措置をとらなければなりません。なお、法第 37 条第2項前段は、本人に対し、開示を請求する保有個人データの範囲を一部に限定する義務を課すものではなく、また、個人情報取扱事業者に対し、本人が開示を請求する範囲を限定させる権利を認めるものでもありません。ただし、個人情報取扱事業者は、本人からの保有個人データの開示の請求を受けて、保有個人データを開示することにより、個人情報取扱事業者の業務の適正な実施に著しい支障を及ぼすおそれがある 場合には、法第 33 条第2項第2号に該当し、当該保有個人データの全部又は一部を開示しないことができます。(平成30年12月更新)

個人情報保護委員会ウェブサイト「「貴社が保有する私の情報全てを開示せよ」という請求があった場合には、どのように対応したらよいですか。」

実務的な対処法としては、

  • 開示請求権行使の意図を確認し、その意図を踏まえて必要十分な開示範囲について事業者側から提案する
  • すぐに開示することができる範囲と、開示に時間がかかる範囲を提示し2段階で開示することを提案する

といった方法が考えられます。

本人確認はどのように行うか

ガイドラインでは以下のとおり記載されています。

「確認の方法としては、次のような事例が考えられるが、事業の性質、保有個人データの取扱状況、開示等の請求等の受付方法等に応じて、適切なものでなけ ればならず、本人確認のために事業者が保有している個人データに比して必要 以上に多くの情報を求めないようにするなど、本人に過重な負担を課するもの とならないよう配慮しなくてはならない。

事例1)来所の場合:運転免許証、健康保険の被保険者証、個人番号カード(マ イナンバーカード)表面、旅券(パスポート)、在留カード、特別永住者証明、年金手帳、印鑑証明書と実印

事例2)オンラインの場合:あらかじめ本人が個人情報取扱事業者に対して登録済みの ID とパスワード、公的個人認証による電子署名

事例3)電話の場合:あらかじめ本人が個人情報取扱事業者に対して登録済みの登録情報(生年月日等)、コールバック

事例4)送付(郵送、FAX 等)の場合:運転免許証や健康保険の被保険者証等の公的証明書のコピーの送付を顧客等から受け、当該公的証明書のコピー
に記載された顧客等の住所に宛てて文書を書留郵便により送付

「個人情報の保護に関する法律についてのガイドライン(通則編)」

実務上は、本人確認の手続き負担を嫌って、開示請求はしたものの、本人確認段階で連絡が取れなくなってしまうケースが一定数あります。このようなケースで後々のトラブルを回避するために重要なことは、

  • 本人確認の手続を進める上で、本人が対応する必要がある内容を正確にお伝えすること
  • 必要に応じて、本人に対して1回程度はリマインドを行うこと
  • 個人情報取扱事業者側で対応の証跡を残しておくこと

です。

本人確認で手続きが止まってしまっているにもかかわらず、数カ月経過後にトラブルに発展するケースもあります。個人情報取扱事業者としては、必要な対応は行い、その上で手続きが止まってしまっていることを事後的に説明できる状態にしておくことが非常に重要です。

ムートン

最新の記事に関する情報は、契約ウォッチのメルマガで配信しています。ぜひ、メルマガにご登録ください!

おすすめ資料を無料でダウンロードできます
個人情報に関する研修資料
このカテゴリ一覧へ戻る