個人データの開示等請求をオンライン化。2020年の改正個人情報保護法の施行を前に読み解く

法/規制解説

更新日: 2021/09/09

目次

     2021年9月1日、我が国のDX(デジタル・トランスフォーメーション)の要となる行政機関「デジタル庁」が発足しました。“Government as a Startup”をスローガンに、およそ600名の職員のうち200人ほどが民間出身の人材で構成される同組織。これまで“縦割り”となっていた府省庁ごとの情報システム関連施策について、勧告権という総合調整権限をもとに、横串で強力に推進していくことが期待されています。

     それに付随して、私たち一般消費者がさらに求められることになるのが、情報リテラシーだと言えるでしょう。特に「パーソナルデータは21世紀の石油」と言われるこの時代において、個人にまつわる情報の取り扱いについては、誰がどんなことをどこまでできるのかという理解が不可欠になると言えます。

     今回はその中でも、2020年公布(2021年施行)の個人情報保護法改正によって電子データの提供方法が明示された開示請求を中心に「開示等請求」について解説します。

    ※本記事では、個人情報保護法における「利用目的の通知の求め」(第27条第2項)、「開示請求」(第28条第1項)、「訂正等請求」(第29条第1項)、「利用停止等請求」(第30条第1項)、「第三者提供停止請求」(第30条第3項)を含めた範囲の概念を「開示等請求」と表現します

    「開示等請求」とは何か?

    disclosure-request01

     まずは、個人情報保護法(以下「法」といいます。)における「開示請求」とは何かについて。

     私たち一般消費者は、オンライン・オフラインを通じて様々なサービスを利用しているわけですが、その中には自分自身に関する情報、いわゆる個人情報等を提供することでサービスを享受できる類のものが多くあります。例えば銀行口座を作る場合は公的身分証明書を提出して本人確認を実施しますし、家電量販店の会員カードを作る場合は氏名や住所といった情報を提供します。またFacebookなどの実名性SNSでは個人の氏名の他に、任意の範囲で住所や携帯電話番号などの個人情報を提供しているケースも多いでしょう。何らかの会員にまつわるビジネスモデルを有するサービスにおいては、何かしらの個人情報等を取得しているケースが多いと言えます。

     では私たちは、その提供した個人情報がどのように扱われているのかを正確に把握しているかというと、大半の方はご存知ではないのが実情だと言えます。個人情報を提供する際には、各事業会社のプライバシーポリシー・個人情報保護方針等を事前にチェックすることが通例となっていますが、内容をしっかりと読んで理解した上で提供へと進んでいる方ばかりとは言えません。マクロミル社が2017年6月6日に発表した調査結果(n=20~69歳のマクロミルモニタ会員1,000人)によると、「プライバシーポリシー・個人情報保護方針の有無を確認しているか」という質問に対して、「必ず確認する」が12%、「確認する方が多い」が45%、「隅々まで読む」はわずか5%という結果になっています。つまり、半数ほどが確認こそするものの、隅々まで漏れなくチェックする人はほとんどいない、という調査結果が出ているのです。

    個人情報保護法第28条で定義される開示請求権

     では、自分に関する情報がどのように使われているかを確認するにはどうしたら良いのか。そのための権利が法28条の「開示請求権」になります。法における開示請求権は、個人情報を取り扱う事業者が、個人情報を適正に取り扱っているか、本人が事業者に対して開示を求めることができるというものです。具体的には、利用目的の達成に必要な範囲を超えて個人情報を保有していないかだったり、保有個人情報の正確性を確保できているか、といったことを確認することができます。

     この開示請求権のほか、保有個人データの取扱いについて本人が関与することのできる手続きが、法の第27条〜第30条にかけて記述されています。具体的には、利用目的の通知の求め(第27条第2項)、開示請求(第28条第1項)、訂正等請求(第29条第1項)、利用停止等請求(第30条第1項)、第三者提供停止請求(第30条第3項)の5つとなっており、これらまとめて「本人関与手続」と表現されています。

     本人関与手続きを実効的にするためには、保有個人データに関する事項の公表等が十分に行われる必要があります。

     また、開示請求は、訂正等請求、利用停止等請求、第三者提供停止請求を実効的にするための前提となる権利で、重要性は高いものと言えます。

     なお、欧州のGDPR(一般データ保護規則)も、その15条1項により、データ主体が、自己に関する個人データが取り扱われているか確認を得る権利と個人データ及び所定の情報にアクセスすることのできる権利(データ主体によるアクセス権)を定めており、法28条が対象を「保有個人データ」に限定していることと比べると、GDPRは、プロファイリングなどの他の権利に関わる事項を含め、相当広範囲をカバーしているのも特徴的です。

    個人情報の開示等請求についての記述例(TRUSTDOCKの場合)

     具体例を見ると、よりイメージが付きやすいでしょう。例えばTRUSTDOCKのプライバシーポリシーでは、個人情報の開示等請求について以下のように記載しています。

    2.個人情報の開示等の請求について(一部抜粋)

     当社では、開示対象となる個人情報のご本人又はその代理人からの、1)利用目的の通知、2)開示、3)内容の訂正、追加又は削除、4)利用の停止、消去及び第三者提供の停止 (以下、「開示等請求」といいます) のお申し出に対応させていただきます。

     上記2(開示)、3(訂正、削除等)および4(利用停止・消去等)のお申し出およびその他の個人情報に関するお問い合わせは、以下の方法にて受付をします。 なお、この受付方法によらない開示等の求めには応じられない場合がありますので、ご了承ください。

    (1)受付手続

     当社の開示等請求等の手続は、原則的にオンラインにより対応させていただいております。開示等をご希望される方は、こちらからお申し込みをお願いします。

     お申し出いただいた際に、弊社が提供の利用するeKYCシステムにより、ご本人であることの確認をした上で、電子的な方法により回答(2022年3月31日までに請求等のお申し出があったものについては、ご本人が書面による回答を希望する場合は、書面により回答)します。ただし、お申し出の内容によっては、当社所定の書面をご提出いただく場合があります。

     

    ご本人の確認

     ご本人からお申し出の場合は、ご本人であることを以下のいずれかの方法のうち、ご本人がご希望される方法により確認を行います。

     ①マイナンバーカードによる公的個人認証による方法 

     ②運転免許証、運転経歴証明書、在留カード、特別永住者証明書、パスポート・マイナンバーカード、住民基本台帳カード(顔写真付き)のいずれかの身分証を用いる手法のうち①の手法に該当しないもの

     

     代理人からお申し出を希望される場合は、窓口にご相談いただきますようお願い申し上げます。

    https://biz.trustdock.io/privacy/

     もちろんTRUSTDOCKのみならず、多くのサービスではプライバシーポリシー・個人情報保護方針等において、上記のような開示等請求に関する記述があります。オンラインサービスにおいては、プライバシーポリシー・個人情報保護方針に関するWEBページを開いて「開示」などの文字列で検索をしてみると、具体的な開示等請求に関する内容をチェックすることができるでしょう。

    2020年改正個人情報保護法の動き

    disclosure-request02

     法28条の開示請求について動きがあったのが、2020年6月12日に公布された改正個人情報保護法です。同年公布の改正法においては、個人データを利用する事業者への規制強化や、個人情報取扱事業者に対する本人の権利の強化、オプトアウト方式での個人データ第三者提供範囲の限定化など、個人データ保護に関する規律が強化される内容となりました。一方で、仮名加工情報という個人データのあり方が新たに導入されることとなり、法的にバランスの取れた内容になっていると言えます。開示請求については、本人の権利の強化の一つとして、開示方法を紙の文書によるか、電子データによるか、本人が指示することができるように改められました。

    「電磁的記録の提供」の追記

     これまで、個人情報の開示請求については、一般的には紙文書で申請がなされていました。法律の条文はもとより、ガイドライン等を見ても、開示方法は「メール等」と書かれているにとどまり、オンラインによる対応が可能か判然とせず、結局、紙と郵送による運用がベースとなっていたのです。

     一方でインターネットが普及した現代社会においては、多くのサービスがオンラインで完結しています。オンラインで完結しているサービスのうち、開示請求手続きだけが紙運用で行われるとなると、事業者と消費者の双方にとって大きな負担となり、結果として制度そのものが非常に使いにくいものとなってしまいます。

     このような背景も踏まえ、28条の本人が指示することのできる開示方法に「電磁的記録の提供」が追記されることになりました。

     GDPRは、既述の「データ主体によるアクセス権」を拡大した「データ・ポータビリティ権」を定めています。また、米国の一部の州では、GDPRのデータ・ポータビリティを踏襲していると考えられる法律も見られるようになっています。

     日本国内では、現時点では法に定められた権利とされていませんが、こうした海外の動きも注視しながら、開示手続への対応を検討していく必要があると考えます。

    【改正前】

    (開示)

    第二十八条 本人は、個人情報取扱事業者に対し、当該本人が識別される保有個人データの開示を請求することができる。

    2〜5 (略)

    【改正後】

    (開示)

    第二十八条 本人は、個人情報取扱事業者に対し、当該本人が識別される保有個人データの電磁的記録の提供による方法その他の個人情報保護委員会規則で定める方法による開示を請求することができる。

    2〜5 (略)

    事業者の定めた受付方法に従う必要がある

     これまでも厳密には、電子データによる提供「も」可能であったと言えますが、今回の法改正により、本人が求めることのできる開示方法として「電磁的記録の提供による方法」が明確に示されたことは、社会のデジタル化・オンライン化が進む中で妥当な改正内容と言えるでしょう。

     開示等請求を含めた「本人関与手続き」の請求等に応じる事業者側の責務を定めた法32条第1項では、「これらの請求に関し、政令で定めるところにより、その求め又は請求を受け付ける方法を定めることができる」と規定しています。その趣旨は、手続の透明化を図るとともに、事業者の定めた受付方法に従って本人が請求等を行わなければならないとすることで、事業者の負担軽減を進めることにあります。

    第三十二条 個人情報取扱事業者は、第二十七条第二項の規定による求め又は第二十八条第一項、第二十九条第一項若しくは第三十条第一項若しくは第三項の規定による請求(以下この条及び第五十三条第一項において「開示等の請求等」という。)に関し、政令で定めるところにより、その求め又は請求を受け付ける方法を定めることができる。この場合において、本人は、当該方法に従って、開示等の請求等を行わなければならない。

    2 個人情報取扱事業者は、本人に対し、開示等の請求等に関し、その対象となる保有個人データを特定するに足りる事項の提示を求めることができる。この場合において、個人情報取扱事業者は、本人が容易かつ的確に開示等の請求等をすることができるよう、当該保有個人データの特定に資する情報の提供その他本人の利便を考慮した適切な措置をとらなければならない。

    3・4 (略)

    新ガイドラインでもオンラインの事例が明記

    disclosure-request03

     上述の法32条第1項にある通り、事業者が定めることのできる「請求等を受け付ける方法」は、政令(個人情報の保護に関する法律施行令)第10条にて規定されています。

    第十条 法第三十二条第一項の規定により個人情報取扱事業者が開示等の請求等を受け付ける方法として定めることができる事項は、次に掲げるとおりとする。

    一 開示等の請求等の申出先

    二 開示等の請求等に際して提出すべき書面(電磁的記録を含む。第十四条第一項及び第二十一条第三項において同じ。)の様式その他の開示等の請求等の方式

    三 開示等の請求等をする者が本人又は次条に規定する代理人であることの確認の方法

    四 法第三十三条第一項の手数料の徴収方法

     まず、「開示等の請求等に際して提出すべき書面(電磁的記録を含む)の様式、その他の開示等の請求等の受付方法 」として、これまでは「郵送、FAX、電子メール等」とされていましたが、新たに「ウェブサイト等のオンラインで受け付ける等」が加わり、ウェブサイト等を通じてオンラインによる受付が可能であることが明確になりました。

     また、第3号本人確認の方法についてもガイドライン(個人情報の保護に関する法律についてのガイドライン(通則編))では、以下の通り具体的な事例が追記されています。

    (ガイドライン(一部抜粋))

    確認の方法としては、次のような事例が考えられるが、事業の性質、保有個人データの取扱状況、開示等の請求等の受付方法等に応じて、適切なものでなければならず、本人確認のために事業者が保有している個人データに比して必要以上に多くの情報を求めないようにするなど、本人に過重な負担を課するものとならないよう配慮しなくてはならない。
    (中略)
    事例 2)オンラインの場合:あらかじめ本人が個人情報取扱事業者に対して登録済みのIDとパスワード、公的個人認証による電子署名

     このように、新たなケースとして「オンラインの場合」が新設され、登録済みのID・パスワードや公的個人認証による電子署名といった手法が明示されることになりました(個人情報保護委員会「令和2年改正個人情報保護法ガイドライン(案)について」14頁を参照)。

     つまり、新たなガイドラインにより、個人情報保護法32条の「開示等請求等」の手続は、オンライン対応が可能であり、本人確認についても公的個人認証による電子署名等のeKYC手法によって対応可能であることが明確に示されたということになります。

    オンライン開示等請求システム by TRUSTDOCK

     TRUSTDOCKでは、個人情報保護委員会のガイドラインを踏まえ、このオンライン開示等請求に対応するシステムを開発し、eKYC(オンライン本人確認)を含める形での提供を開始しています。ユーザーはWEBブラウザ経由で以下のフォーム画面より開示等請求の手続きを選択し、必要な情報を入力した上でeKYCへと進むことになります。

    disclosure-request04

    希望する開示等請求手続きの種類を選択する

    disclosure-request05

    「個人情報を開示」を選択した場合の情報入力ページ例。本人確認事項も含めて入力してもらう仕様となっている

     

     TRUSTDOCKシステムを通じて本人確認が問題なく承認された場合は、事業者サイドの個人情報データベース等との名寄せ処理等が行われ、合致した場合に希望手続き処理が行われる流れとなります。上の入力画面は下フロー図の1番に該当し、本人確認処理が2番、承認・否認の分岐が3・4番で、最後の完了メール(希望手続きのユーザー対応)が5番になるという見方になります。

    disclosure-request06オンライン開示等請求の処理フロー図例(実装ケースにより異なります)

    前提となるのは透明性、GDPRも本人に対する透明性の確保を重視

     我が国においては個人情報に関する開示等請求はまだ馴染みのない領域かもしれませんが、欧州のGDPRでは、既述のとおり「データ・ポータビリティ権」を含めた本人の諸権利に関する規定が定められており、一つ一つの権利に対する本人の意識も高いとされています。
     GDPRは、基本原則の中でも、特に個人情報の処理に関する透明性の確保を重視しています。これは、自分の個人データが誰によってどのように処理されているかを認識できなければ、そもそも権利行使することができないからです。
     今後、日本においてもEUとの間の十分性認定等を踏まえ、事業者側でGDPRレベルの対応を行う取組が増えていくと考えられますし、一般消費側でも自身の情報は自身でコントロールするべきであり、自身の情報に積極的にアクセスしていく意識も広がっていくことが想定されます。

     TRUSTDOCKでは、どの事業者よりも先にこの個人情報の開示等請求のオンライン化をプライバシーポリシーに組み込み、開示請求はもちろん、利用目的の通知、訂正等請求、利用停止等請求、第三者提供停止請求のいずれの手続きもオンラインにより対応可能な「オンライン開示等請求システム」の提供を開始しています。また、それに付随するプライバシーポリシー策定の支援も、併せてご提供しています。本人確認を含むオンライン開示等請求の対応やプライバシーポリシーの記述方法、それを前提とする個人情報の取り扱いについて興味のある事業担当者は、ぜひ気軽にお問い合わせください。

     なお、本人確認においてeKYCソリューションの導入を検討されている企業の方々や、実際に導入プロジェクトを担当されている方々に向けて、TRUSTDOCKではPDF冊子eKYC導入検討担当者のためのチェックリストを提供しております。eKYC導入までの検討フローや、運用設計を行う上で重要な検討項目等を、計12個のポイントにまとめていますので、こちらもぜひご活用ください

    eKYC導入検討担当者のためのチェックリスト

     

     最後に、KYCやeKYCの詳細については、以下の記事も併せてご覧ください。

    KYCとは?あらゆる業界に求められる「本人確認手続き」の最新情報を徹底解説

    eKYCとは?日本唯一の専門機関のプロがわかりやすく解説

     

    (文・長岡武司)

    自由な組み合わせで
    最適な設計を実現できます
    KYCに特化したプロ集団に、まずはご相談ください

    サービス資料ダウンロード お問い合わせ