個人情報保護法上、個人情報取扱事業者が、開示、内容の訂正、追加または削除、利用の停止、消去および第三者への提供の停止を行うことのできる権限を有する個人データを「保有個人データ」といいます。
個人情報取扱事業者は、保有個人データに関し、▽個人情報取扱事業者の氏名または名称、▽全ての保有個人データの利用目的、▽利用目的通知、開示、訂正、利用停止等の請求手続と手数料額などの事項について、本人の知り得る措置を講じなければなりません。この措置には、ウェブサイトへの掲載やパンフレットの配布のほか、本人の求めに応じて遅滞なく回答する場合を含みますので、個人情報の取得に際して利用目的を公表する場合とは異なります。
個人情報取扱事業者は、本人が識別される保有個人データの利用目的の通知を求められたときは、本人に対し、遅滞なく、利用目的を通知するか、通知しない旨を決定したときはその旨を通知しなければなりません。
また、個人情報取扱事業者は、開示の請求を受けたときは、運転免許証やパスポートなどで本人確認(代理人を含む)をした上で、原則として本人が選択した開示方法(書面、電磁的記録)により、遅滞なく、当該保有個人データを開示しなければなりません。6か月以内に消去する短期保存データや個人データの授受に関する第三者提供記録も開示請求の対象となります。
ただし、本人または第三者の生命、身体、財産その他の権利利益を害するおそれがある場合などの除外事由があれば、個人情報取扱事業者は、保有個人データの全部または一部を開示しないことができます。具体例としては、医師が患者に病名を開示すると本人の心身の状況を悪化させるおそれがある場合が挙げられます。
一部でも不開示を決定したときは、遅滞なく本人に通知しなければなりません。この場合、本人に対し、その理由を説明する努力義務が課されます。努力義務とはいえ、顧客等に不信感を抱かれないよう、誠意をもって対応し、二次クレームが発生しないよう留意しましょう。