プライバシーマークにおける名刺管理とは?
tk
Pマークサポート
開示対象個人情報とは?
tk
~本人からの請求に応じるべき情報の範囲と実務対応~
個人情報保護法やプライバシーマーク(Pマーク)の運用においてよく耳にする言葉の一つが、**「開示対象個人情報」**です。この用語は、本人が内容の開示や訂正、削除、利用停止などを請求できる個人情報の範囲を指します。
この記事では、「開示対象個人情報」の定義と、その取り扱いにおいて注意すべきポイント、企業としての実務対応について分かりやすく解説します。
開示対象個人情報とは?
開示対象個人情報とは、個人情報取扱事業者が、本人からの請求に応じて開示・訂正・削除・利用停止などが可能な個人情報を指します。
正式には、個人情報保護法(第16条)およびガイドラインにおいて、次のように定義されています:
「開示対象個人情報」とは、本人からの求めに応じて開示などの対応を行うことができるように、事業者が構造的に管理している個人情報のことです。
つまり、本人がその存在を知り得て、かつ事業者が容易に対応可能な形で管理している情報が対象になります。
具体例:開示対象になるもの
- 従業員の人事記録(評価、勤怠など)
- 顧客の登録情報(氏名、住所、連絡先など)
- 会員サービスの履歴、申込み内容
- 問い合わせ履歴やサポート対応の記録
- Webサイトから取得した利用登録情報 など
開示対象とならないもの(例外)
以下のような個人情報は、開示対象個人情報ではないとされ、本人からの開示請求に応じる義務はありません。
1. 管理されていない情報
- 一時的に取得した情報で、検索性・体系性がなく管理していないもの
2. 業務上の判断のみに使われる情報
- 上司のメモ、評価の素案など、本人に見せることを前提としていない情報
3. 法令で除外が認められる場合
- 開示により第三者の権利を侵害するおそれがある場合
- 犯罪の予防や法執行に支障が出る場合
- 業務の適正な実施に著しい支障を及ぼすおそれがある場合 など
プライバシーマーク制度における開示対象個人情報
プライバシーマーク制度においても、開示対象個人情報の特定と本人対応の手順整備が求められます。JIS Q 15001(個人情報保護マネジメントシステム)では、次のような対応を規定しています。
主な要求事項:
- 開示対象個人情報の特定と一覧化
- 本人からの開示・訂正・削除などの請求手順の整備
- 本人確認手段の確保
- 対応結果の記録と保管
実務対応のポイント
企業や組織が開示対象個人情報を適切に管理するためには、以下の対応が必要です。
| 項目 | 対応内容 |
|---|---|
| ① 対象情報の洗い出し | 開示対象となる個人情報をシステムや帳票などから特定 |
| ② 体制の整備 | 本人からの請求窓口の設置と、対応フローの整備 |
| ③ 本人確認手順 | なりすましを防ぐため、運転免許証等による確認 |
| ④ 回答の期限管理 | 法令により「遅滞なく」対応が求められる(通常2週間以内が目安) |
| ⑤ 対応の記録 | 対応履歴や判断内容を記録し、監査に備える |
まとめ
開示対象個人情報とは、本人が自分の情報について確認や修正を求めることができる情報のことです。
プライバシー保護の観点から、企業にはその情報を正確かつ適切に管理し、請求に対して迅速に対応する義務があります。
デジタル化・クラウド化が進む現代では、対象情報の範囲も広がりがちです。自社がどの情報を管理しており、どこまでが「開示対象」になるのかを明確にし、ルールと体制を整えておくことが重要です。
ABOUT US
プライバシーマーク・ISO認証取得と、取得後支援コンサルティングのISOサポートです。身の丈に合った仕組みづくりをモットーに、面倒な書類作成も含めて親身なサポートで好評。プライバシーマーク、ISO9001、ISO14001、ISO27001、ISO45001、ISO22000、JAPHICに関することなら何でもお気軽にご相談ください。
