保有個人データ

概要

個人情報保護法では、データベース化されているなど、容易に照合できる状態で事業者が記録・管理している個人情報を「個人データ」と呼ぶ。このうち、事業者が開示や利用停止の求めに応じる必要があるものを保有個人データという。本人が自分の情報の内容を確認し、必要に応じて訂正を申し出られる仕組みが前提となっている。

事業者が取得・記録したすべての個人データが保有個人データとなるわけではなく、短期間で消去することが予定されているデータや、開示することにより業務の適正な実施に支障が生じるおそれがあるものは対象外とされる。こうした除外規定は、事業者の業務運営への過度な負担を避けつつ、必要な範囲で本人の権利を保護することを目的としている。

例えば、ある企業が顧客の名簿ファイルを自ら作成・管理している場合、その名簿ファイルは保有個人データに該当する。しかし、他社からデータ処理だけを委託されて預かっているだけで、開示や削除の決定権が委託元にある場合、その事業者にとっては保有個人データに該当しない。

事業者は保有個人データに対して、通常の個人データに課される安全管理義務などに加え、本人からの請求に応じるための特別な義務を負うことになる。具体的には、データの利用目的などを本人に公表する義務や、本人から開示を求められたときには原則としてこれに応じる義務、内容が事実でない場合に訂正に応じる義務、不適正な取り扱いがある場合に利用停止や消去に応じる義務などである。