個人情報取扱事業者は、「保有個人データ」について、次の義務を負います。
(以下、個人情報保護法を「法」といいます)
保有個人データに関する事項の公表等
・保有個人データに関し、次の①から④に掲げる事項について、本人の知り得る状態(本人の求めに応じて遅滞なく回答する場合を含みます)に置かなければなりません(法27条1項)。
① 当該個人情報取扱事業者の氏名又は名称(1号)
② 全ての保有個人データの利用目的(例外あり)(2号)
③ 本人からの利用目的の通知、開示、訂正等、利用停止等の請求に応じる手続(手数料の額を定めたときは、その手数料の額を含む)(3号)
④ 保有個人データの取扱いに関する苦情の申出先(当該個人情報取扱事業者が認定個人情報保護団体の対象事業者である場合は、当該団体の名称及び苦情の解決の申出先)(4号、施行令)
・本人から、当該本人が識別される保有個人データの利用目的の通知を求められたときは、本人に対し、遅滞なく、これを通知しなければなりません(法27条2項)。
ただし、次の①又は②のいずれかに該当する場合は、上記通知をする必要はありません(法27条2項)。
① 法27条1項により本人の知り得る状態に置かれた利用目的によって、当該本人が識別される保有個人データの利用目的が明らかな場合(1号)
② 次のアからウまでに該当する場合(2号)
ア、利用目的を本人に通知し、又は公表することにより本人又は第三者の生命、身体、財産その他の権利利益を害するおそれがある場合
イ、利用目的を本人に通知し、又は公表することにより当該個人情報取扱事業者の権利又は正当な利益を害するおそれがある場合
ウ、国の機関又は地方公共団体が法令の定める事務を遂行することに対して協力する必要がある場合であって、利用目的を本人に通知し、又は公表することにより当該事務の遂行に支障を及ぼすおそれがあるとき
・法27条2項に基づき求められた保有個人データの利用目的を通知しない旨の決定をしたときは、本人に対し、遅滞なく、その旨を通知しなければなりません(法27条3項)。
開示
・本人は、個人情報取扱事業者に対し、当該本人が識別される保有個人データの開示を請求することができます(法28条1項)。
個人情報取扱事業者は、上記の請求を受けたときは、本人に対し、政令で定める方法により、遅滞なく、当該保有個人データを開示しなければなりません(法28条2項)。
ただし、開示することにより次の①から③のいずれかに該当する場合は、その全部又は一部を開示しないことができます(法28条2項)。
① 本人又は第三者の生命、身体、財産その他の権利利益を害するおそれがある場合(1号)
② 当該個人情報取扱事業者の業務の適正な実施に著しい支障を及ぼすおそれがある場合(2号)
③ 他の法令に違反することとなる場合(3号)
・上記の本人からの請求に係る保有個人データの全部又は一部について開示しない旨の決定をしたとき又は当該保有個人データが存在しないときは、本人に対し、遅滞なく、その旨を通知しなければなりません(法28条3項)。
※他の法令により保有個人データの開示手続が定められている場合には、当該他の法令が優先して適用されることがあります(法28条4項)。
訂正等
・本人は、個人情報取扱事業者に対し、当該本人が識別される保有個人データの内容が事実でないときは、当該保有個人データの内容の訂正、追加又は削除(訂正等)を請求することができます(法29条1項)。
個人情報取扱事業者は、上記の請求を受けた場合には、その内容の訂正等に関して他の法令により特別の手続が定められている場合を除き、利用目的の達成に必要な範囲内において、遅滞なく必要な調査を行い、その結果に基づき、当該保有個人データの内容の訂正等を行わなければなりません(法29条2項)。
・上記の本人からの請求に係る保有個人データの内容の全部若しくは一部について訂正等を行ったとき、又は訂正等を行わない旨の決定をしたときは、本人に対し、遅滞なく、その旨(訂正等を行ったときは、その内容を含みます)を通知しなければなりません(法29条3項)。
利用停止等
・本人は、個人情報取扱事業者に対し、当該本人が識別される保有個人データが、利用目的による制限の規定(法16条)に違反して取り扱われているとき、又は適正な取得の規定(法17条)に違反して取得されたものであるときは、当該保有個人データの利用の停止又は消去(利用停止等)を請求することができます(法30条1項)。
個人情報取扱事業者は、上記の請求を受けた場合であって、その請求に理由があることが判明したときは、違反を是正するために必要な限度で、遅滞なく、当該保有個人データの利用停止等を行わなければなりません(法30条2項)。
ただし、当該保有個人データの利用停止等に多額の費用を要する場合その他の利用停止等を行うことが困難な場合であって、本人の権利利益を保護するため必要なこれに代わるべき措置をとるときは、利用停止等を行う必要はありません(法30条2項)。
・上記の本人からの請求に係る保有個人データの全部又は一部について利用停止等を行ったとき又は利用停止等を行わない旨の決定をしたときは、本人に対し、遅滞なく、その旨を通知しなければなりません(法30条5項)。
・本人は、個人情報取扱事業者に対し、当該本人が識別される保有個人データが、第三者提供の制限の規定(法23条1項又は法24条)に違反して第三者に提供されているときは、当該保有個人データの第三者への提供の停止を請求することができます(法30条3項)。
個人情報取扱事業者は、上記の請求を受けた場合であって、その請求に理由があることが判明したときは、遅滞なく、当該保有個人データの第三者への提供を停止しなければなりません(法30条4項)。
ただし、当該保有個人データの第三者への提供の停止に多額の費用を要する場合その他の第三者への提供を停止することが困難な場合であって、本人の権利利益を保護するため必要なこれに代わるべき措置をとるときは、第三者への提供を停止する必要はありません(法30条4項)。
・上記の本人からの請求に係る保有個人データの全部又は一部について第三者への提供を停止したとき又は第三者への提供を停止しない旨の決定をしたときは、本人に対し、遅滞なく、その旨を通知しなければなりません(法30条5項)。