1. ホーム
  2. 委託先管理Blog
  3. 記事

個人情報保護法における削除・消去義務と本人からの請求について解説

「個人情報の削除を要求されたが削除する義務はあるのか」と心配になっているのではないでしょうか?

個人情報取扱事業者には、利用する必要がなくなったときに遅滞なく個人情報を消去するよう努力する義務があります。また、個人情報の本人は、不要になった個人情報や違法に取得・利用されている個人情報の消去・利用停止を請求することが可能です。

本記事では、個人情報保護法における削除・消去義務と本人からの請求について詳しく解説します。

目次
1. 個人情報保護法とは
■個人情報保護法の適用範囲
■個人情報・個人データの定義
2. 個人情報保護法における削除・消去義務とは
■「遅滞なく」とは
■個人情報保護法における削除と消去の違い
■個人情報はいつまで保管できる?
3. 個人情報取扱事業者が本人から削除・消去・利用停止を請求されるケース
■内容の訂正・追加・削除の請求
■利用の停止又は消去の請求
■利用停止等又は第三者への提供の停止の請求
4. 個人情報の削除・消去・利用停止請求に対して事業者が取るべき準備
■請求の受け付け方法を決める
■請求された際の対応手順を決める
■削除の請求が本人からのものであることを確認する
■弁護士に相談する
5. まとめ

1. 個人情報保護法とは

個人情報保護法は、個人情報の漏えいや不正利用を防ぎ、個人のプライバシーを守るために制定された法律です。個人情報を収集、利用、提供する際の基準を設け、個人情報を適切に管理するためのルールを定めています。

 

【関連記事】

個人情報保護法とは?具体例や改正内容、違反した場合の罰則について解説

 

■個人情報保護法の適用範囲

個人情報保護法の適用範囲は、個人情報を取り扱うすべての事業者です。営利・非営利にかかわらず、企業や団体、個人事業主が該当します。

2017年の改正前までは5,000人以下の小規模事業者や個人事業主は除外されていましたが、改正後はすべての事業者が個人情報保護法の対象です。

 

■個人情報・個人データの定義

個人情報とは、生きている個人に関する情報であり、その情報によって特定の個人を識別できる情報です。(個人情報保護法2条1項)氏名や住所、電話番号、メールアドレス、生年月日などが該当します。単体では個人を特定できないものの、他の情報と組み合わせることで個人を特定できる場合も、個人情報として扱われます。

個人データとは、個人情報のうち、データベースなどで体系的に構成された情報を指します。保有個人データは、個人情報取扱事業者が一定期間以上保有し、本人からの開示・訂正の請求に応じることができる権限を持つ個人データです。

 

【関連記事】

個人の情報とは?定義や具体例を解説

個人データとは?個人情報との違いや具体例、取り扱う際の注意点を解説

 

 

2. 個人情報保護法における削除・消去義務とは

個人情報保護法において、個人情報取扱事業者には利用する必要がなくなった個人情報を遅滞なく消去するよう努力する義務があります。

個人情報取扱事業者は、利用目的の達成に必要な範囲内において、個人データを正確かつ最新の内容に保つとともに、利用する必要がなくなったときは、当該個人データを遅滞なく消去するよう努めなければならない。


引用:個人情報保護法第22条

 

個人情報保護法第22条の規定は努力義務ですが、不要な個人情報の長期保管は漏えいのリスクを高めるため、可能な限り消去することが推奨されます。

 

■「遅滞なく」とは

個人情報保護法では、「遅滞なく」について具体的な期間が定められていません。

ただし、個人情報の正確性や最新性を担保するために、必要以上に長期間個人情報を保持するのは避けた方が良いでしょう。

 

■個人情報保護法における削除と消去の違い

個人情報保護委員会のガイドラインでは、不要な情報を除くことが「削除」だとされています。一方、消去は保有個人データを保有個人データとして使えなくすることであり、当該データを削除することのほか、当該データから特定の個人を識別できないようにすること等を含むとされています。

 

【参考】

一般的には「削除」と「消去」は同じ意味と考えられますが、保有個人データを削除すべき場合(法第34条)と消去すべき場合(法第35条)の違いは何ですか「個人情報保護委員会」

 

■個人情報はいつまで保管できる?

個人情報保護法では、個人情報取扱事業者が取得した個人情報の保存期間や削除・消去する時期については定められていません。個人情報保護法第22条において、その取扱いに係る個人データを利用する必要がなくなったときは、当該個人データを遅滞なく消去するよう努めなければならないと定められているのみです。

 

【参考】

取得した個人情報は、いつ廃棄しなければなりませんか。「個人情報保護委員会」

 

 

3. 個人情報取扱事業者が本人から削除・消去・利用停止を請求されるケース

個人情報保護法においては、内容が事実でない場合や不正に取得された場合、目的外利用されている場合に、個人は自身の個人情報の削除や利用の停止を事業者に請求する権利があります。

ただし、請求が必ずしも認められるわけではありません。例えば、法律に基づいて情報を保存する義務がある場合や他の法令に基づく理由がある場合には、削除が免除されることもあります。

 

■内容の訂正・追加・削除の請求

個人情報取扱事業者は、当該本人が識別される保有個人データの内容が事実でない場合、保有個人データの内容の訂正や追加、削除を本人から請求される場合があります。

 

本人は、個人情報取扱事業者に対し、当該本人が識別される保有個人データの内容が事実でないときは、当該保有個人データの内容の訂正、追加又は削除(以下この条において「訂正等」という。)を請求することができる。


引用:個人情報保護法第34条

 

請求を受けた個人情報取扱事業者は速やかに調査を行い、保有個人データの内容が事実かどうかを確認する必要があります。保有個人データの内容が事実でなかった場合には、訂正や追加、削除を行わなければいけません。

 

■利用の停止又は消去の請求

個人情報取扱事業者は、以下に該当する場合、保有個人データの利用の停止又は消去を本人から請求される場合があります。

 

  • 保有個人データが第18条の規定に違反して取り扱われているとき
  • 保有個人データが第19条の規定に違反して取り扱われているとき
  • 保有個人データが第20条の規定に違反して取得されたものであるとき

本人は、個人情報取扱事業者に対し、当該本人が識別される保有個人データが第十八条若しくは第十九条の規定に違反して取り扱われているとき、又は第二十条の規定に違反して取得されたものであるときは、当該保有個人データの利用の停止又は消去(以下この条において「利用停止等」という。)を請求することができる。


引用:個人情報保護法第35条1項

 

請求を受けた個人情報取扱事業者は速やかに調査を行い、上記に該当しているかどうかを確認する必要があります。上記に該当している場合には、保有個人データの利用の停止又は消去を行わなければいけません。


ただし、以下に該当する場合、保有個人データの利用の停止又は消去が免除される可能性があります。

  • 利用停止等に多額の費用を要する場合
  • 利用停止等を行うことが困難な場合
  • 代替措置をとる場合

個人情報取扱事業者は、前項の規定による請求を受けた場合であって、その請求に理由があることが判明したときは、違反を是正するために必要な限度で、遅滞なく、当該保有個人データの利用停止等を行わなければならない。ただし、当該保有個人データの利用停止等に多額の費用を要する場合その他の利用停止等を行うことが困難な場合であって、本人の権利利益を保護するため必要なこれに代わるべき措置をとるときは、この限りでない。


引用:個人情報保護法第35条2項

 

■利用停止等又は第三者への提供の停止の請求

個人情報取扱事業者は、以下に該当する場合、保有個人データの利用停止等又は第三者への提供の停止を本人から請求される場合があります。

  • 保有個人データを利用する必要がなくなった場合
  • 保有個人データに係る第26条第1項本文に規定する事態が生じた場合
  • 本人の権利又は正当な利益が害される恐れがある場合

本人は、個人情報取扱事業者に対し、当該本人が識別される保有個人データを当該個人情報取扱事業者が利用する必要がなくなった場合、当該本人が識別される保有個人データに係る第二十六条第一項本文に規定する事態が生じた場合その他当該本人が識別される保有個人データの取扱いにより当該本人の権利又は正当な利益が害されるおそれがある場合には、当該保有個人データの利用停止等又は第三者への提供の停止を請求することができる。


引用:個人情報保護法第35条5項

 

ただし、以下に該当する場合、保有個人データの利用停止等又は第三者への提供の停止が免除される可能性があります。

  • 利用停止等又は第三者への提供の停止に多額の費用を要する場合
  • 利用停止等又は第三者への提供の停止を行うことが困難な場合
  • 代替措置をとる場合

個人情報取扱事業者は、前項の規定による請求を受けた場合であって、その請求に理由があることが判明したときは、本人の権利利益の侵害を防止するために必要な限度で、遅滞なく、当該保有個人データの利用停止等又は第三者への提供の停止を行わなければならない。ただし、当該保有個人データの利用停止等又は第三者への提供の停止に多額の費用を要する場合その他の利用停止等又は第三者への提供の停止を行うことが困難な場合であって、本人の権利利益を保護するため必要なこれに代わるべき措置をとるときは、この限りでない。


引用:個人情報保護法第35条6項

 

 

4. 個人情報の削除・消去・利用停止請求に対して事業者が取るべき準備

個人情報の削除・消去・利用停止請求に対して事業者が取るべき準備は以下の通りです。

  • 請求の受け付け方法を決める
  • 請求された際の対応手順を決める
  • 削除の請求が本人からのものであることを確認する
  • 弁護士に相談する

それぞれの内容について詳しく解説します。

■請求の受け付け方法を決める

個人情報の請求に対して事業者が適切に対応するためには、請求の受け付け方法を明確に決めることが重要です。顧客からの信頼を得るためだけでなく、法律に準拠した運用を行うためにも欠かせません。

請求の受付窓口としては、電話やメール、オンラインフォームなど、複数の手段を用意するのが望ましいです。顧客が最も利用しやすい方法を選べるようにすることで、請求手続きの円滑化が図れます。また、受付窓口の情報を公式Webサイトや利用規約に明示し、容易にアクセスできるようにすることも重要です。

■請求された際の対応手順を決める

請求された際の対応手順を決めることで、個人情報保護法に基づく手続きを適切に履行することが可能です

削除請求があった際の初期対応として、請求内容を確認し、事実関係を把握します。その後、請求内容が妥当であると判断した場合は、速やかに対応し、請求者にその旨を通知します。これらの手順を事前に決め、社内で共有することで、請求に対する迅速かつ適切な対応が可能です。

■削除の請求が本人からのものであることを確認する

請求が本人からのものであることを確認することで、誤って第三者の情報を削除してしまうリスクを防ぐことができます。

一般的な本人確認の方法としては、運転免許証やパスポートなどの公的な身分証明書の提示が用いられます。また、住所や電話番号などの登録情報と照合する方法もあります。これらの情報が一致すれば、本人である可能性が高まります。さらに、認証コードを送信し、それを受け取った本人が入力することで確認する方法も効果的です。これらの手法を組み合わせることで、より確実に本人確認を行うことができます。

 

■弁護士に相談する

個人情報保護法は複雑であり、法的な解釈や適用が難しい場合があります。

弁護士に相談することで、法律の専門家としてのアドバイスや法的リスクを最小限に抑えるサポートの提供を受けることが可能です。また、請求に対する対応や必要な書類の準備についても指導を受けることができます。さらに、弁護士に相談することで、自社の個人情報保護方針を見直し、改善する機会を得ることも可能です。

 

 

5. まとめ

今回は、個人情報保護法における削除・消去義務と本人からの請求について解説しました。

個人情報保護法においては、個人情報を保有する事業者に対し、本人が削除を請求することが可能です。どのような場合に保有する個人情報を削除しなければいけないのか、削除を請求された場合にどのように対応すべきかを確認しておきましょう。

 

アトミテックでは、委託先リスク管理の手順をまとめた委託先リスク管理ガイドを公開しています。ぜひ自社の委託先管理の参考になさってください。