A.保有個人データに関しては、①6カ月以内に消去する保存データも保有個人データとして扱われることになり、②開示請求に対しては、電磁的記録の提供その他請求者が指定した方法で開示することが義務づけられることになりました。また、③本人が開示請求できる事項として、第三者提供に係る確認記録が追加され、④利用停止請求権・第三者提供の停止の請求にかかる要件が緩和されることになりました。

1　保有個人データの定義

　「保有個人データ」とは、個人情報取扱事業者が、開示、内容の訂正、追加又は削除、利用の停止、消去及び第三者への提供の停止を行うことのできる権限を有する個人データであって、その存否が明らかになることにより公益その他の利益が害されるものとして政令で定めるものをいいます（改正法第2条7項）。

　改正により、これまで保有個人データから除外されていた「6カ月以内に消去される個人データ」も保有個人データに含まれることになりました。したがって、個人データの取り扱いを6カ月の保存期間で区別・整理している会社の場合、当該取り扱い方法を改める必要があります。

2　開示請求に対する対応

　現行法においては、本人から保有個人データの開示請求があった場合、原則として書面の交付による方法で提供すれば足り、本人が別の方法による提供を求めた場合であっても、個人情報取扱事業者が同意しなければ当該別の方法による提供の必要はありませんでした。

　しかし、改正により個人情報取扱事業者は、電磁的記録の提供による方法を含め、原則として本人が指示した方法により開示することが義務づけられました。もっとも、本人の指示した方法による開示が多額の費用を要する場合や当該方法による開示が困難である場合は書面の交付による方法での開示が認められています（改正法28条2項カッコ書き）。

　したがって、会社としては、開示請求に対して、電磁的記録での提供の他、多様な方法で提供が行える準備をする必要があります。

3　開示請求事項の追加

　本人同意やオプトアウト等に基づいて個人データを第三者に提供する場合に、その提供者及び受領者に一定の事項の確認記録をする義務があるのですが、改正により、それら第三者提供に係る確認記録が開示請求事項に新たに追加されました。もっとも実際に確認記録の開示請求がされた場合、どのようなフォーマットで確認記録を開示するべきかについては今後公表されるガイドライン等に準拠することになります。

4　利用停止請求権・第三者提供の停止の請求にかかる要件の緩和

　改正により利用停止・消去の請求をできる場合が追加され、以下の通りとなりました（改正により③～⑤が追加）。

①個人情報を目的外利用した場合（法16条違反）（法30条1項）

②不正の手段により取得した場合（法17条違反）（法30条1項）

③当該本人が識別される保有個人データを当該個人情報取扱事業者が利用する必要がなくなった場合（法30条5項）

④当該本人が識別される保有個人データに係る法22条の2第1項本文に規定する事態 （個人データの漏えい等）が生じた場合（法30条5項）

⑤その他当該本人が識別される保有個人データの取扱いにより当該本人の権利又は正当な利益が害されるおそれがある場合（法30条5項）

　もっとも③から⑤の場合は、当該保有個人データの利用停止等の停止に多額の費用を要する場合その他の利用停止等の停止を行うことが困難な場合であって、本人の権利利益を保護するため必要なこれに代わるべき措置をとるときは利用停止・消去に応じる必要はありません。

　また、第三者提供の停止の請求ができる場合も追加され、以下の通りとなりました。（改正により②～④が追加）。

①法の規定に違反して第三者提供されている場合（法23条1項、24条1項違反）（法30条3項）

②当該本人が識別される保有個人データを当該個人情報取扱事業者が利用する必要がなくなった場合（法30条5項）

③当該本人が識別される保有個人データに係る法22条の2第1項本文に規定する事態 （個人データの漏えい等）が生じた場合（法30条5項）

④その他当該本人が識別される保有個人データの取扱いにより当該本人の権利又は正当な利益が害されるおそれがある場合（法30条5項）

　もっとも②から④の場合は、当該保有個人データの第三者への提供の停止に多額の費用を要する場合や第三者への提供の停止を行うことが困難な場合であって、本人の権利利益を保護するため必要なこれに代わるべき措置をとるときは利用停止・消去に応じる必要はありません。

【参考条文】

第2条第7項

この法律において「保有個人データ」とは、個人情報取扱事業者が、開示、内容の訂正、 追加又は削除、利用の停止、消去及び第三者への提供の停止を行うことのできる権限を有する個人データであって、その存否が明らかになることにより公益その他の利益が害されるものとして政令で定めるものをいう。

第28条（開示）

1本人は、個人情報取扱事業者に対し、当該本人が識別される保有個人データの電磁的記録の提供による方法その他の個人情報保護委員会規則で定める方法による開示を請求することができる。

2個人情報取扱事業者は、前項の規定による請求を受けたときは、本人に対し、同項の規定により当該本人が請求した方法（当該方法による開示に多額の費用を要する場合その他の当該方法による開示が困難である場合にあっては、書面の交付による方法）により、遅滞なく、当該保有個人データを開示しなければならない。ただし、開示することにより次の各号のいずれかに該当する場合は、その全部又は一部を開示しないことができる。

第30条（利用停止等）

1本人は、個人情報取扱事業者に対し、当該本人が識別される保有個人データが第16条若しくは第16条の2の規定に違反して取り扱われているとき、又は第17条の規定に違反して取得されたものであるときは、当該保有個人データの利用の停止又は消去（以下この条において「利用停止等」という。）を請求することができる。

2～4（略）

5本人は、個人情報取扱事業者に対し、当該本人が識別される保有個人データを当該個人情報取扱事業者が利用する必要がなくなった場合、当該本人が識別される保有個人データに係る第22条の2第1項本文に規定する事態が生じた場合その他当該本人が識別される保有個人データの取扱いにより当該本人の権利又は正当な利益が害されるおそれがある場合には、当該保有個人データの利用停止等又は第三者への提供の停止を請求することができる。

6（略）