---

個人情報保護マネジメントシステム構築・運用指針を徹底解説　－「J.10 本人の権利」編－

---

こんにちは。

ここでは、新しくなったプライバシーマーク（Pマーク）の「個人情報保護マネジメントシステム構築・運用指針」について、セクションごとに紹介させていただいています。

前回は、「J.9 適正管理」について紹介しました。

J.8で定めたルール（取り扱い）で動かす個人情報を、いかに「正確・最新」に保ち（J.9.1）、「安全」に守り（J.9.2 安全管理措置）、そして「人（従業者）」と「外部（委託先）」をしっかり「監督」するか（J.9.3, J.9.4）という、「守り」の核心部分でしたね。

さて、J.1～J.7で「家（PMSの枠組み）」が建ち、J.8で「財産（個人情報）」の「動かし方」のルールが決まり、J.9でその財産を守る「金庫」や「警備体制」が整いました。

これで万全、と言いたいところですが、一つ、非常に重要な視点が残っています。

それは、その「財産（個人情報）」の、本当の持ち主は誰か、という視点です。

もちろん、それは情報を提供してくれた「本人（お客様、従業者など）」ですよね。

事業者は、あくまでその大切な財産を「お預かりしている」立場に過ぎません。

では、「持ち主」である本人が、

「私が預けた財産（個人情報）は、今どうなっていますか？」

「その財産、ちょっと中身を見せてくれませんか？」

「あれ、預けた情報の一部が間違っているみたいなので、直してください」

「もうあなたに預けておく必要がなくなったので、使うのをやめて（返して）ください」

と要求してきたら、どうでしょうか。

「お預かりしている」立場として、誠実に対応するのは、当然の責務ですよね。

今回は、指針の10番目のセクションである「J.10 個人情報に関する本人の権利」について、じっくりと中身を紹介していきたいと思います。

このJ.10セクションは、個人情報の「持ち主」である本人の権利を保障し、その権利行使に対して、事業者（預かっている側）が、どのような「義務」を負い、どのような「手順」で応えなければならないかを定めた、非常に重要なルールです。

これは、単なる「守り」や「義務」の側面だけではなく、本人との透明なコミュニケーションを通じて、「信頼関係」を築いていくための、大切な接点（窓口）に関するルールとも言えるでしょう。

「J.10 個人情報に関する本人の権利」セクションは、J.10.1からJ.10.7までの7つの項目で構成されています。

まずJ.10.1で基本原則を述べ、J.10.2で「請求のための“手順”」を定め、J.10.3で「請求に必要な“情報”」をあらかじめ周知し、J.10.4～J.10.7で、具体的な4つの請求（「利用目的の通知」「開示」「訂正等」「利用停止等」）にどう応えるかを、それぞれ定めています。

J.10.1 個人情報に関する権利

まず、J.10セクション全体の「基本原則」を宣言する項目です。

指針では、

「保有個人データに関して、本人から開示等の請求等を受けた場合、J.10.4～J.10.7の規定によって、遅滞なくこれに応じること」

「J.8.8.2及びJ.8.8.3 で作成した第三者提供記録に関して、本人から開示等の請求等を受けた場合、J.10.5の規定によって、遅滞なくこれに応じること」

と定めています（PDF P58 No.1, 2）。

ここで、2つの重要なキーワードが出てきました。

1. 保有個人データ

これは、事業者が、J.10.4～J.10.7で定められた本人の「全ての」請求に応じる権限を持っている個人データのことです（※厳密な定義は個人情報保護法にありますが、Pマークの運用上は、J.3.1.1の台帳で管理し、J.10.3で本人に周知する対象となるデータ、と捉えておくと分かりやすいでしょう）。

2. 第三者提供記録

これは、J.8.8.2（提供した側）やJ.8.8.3（提供を受けた側）で作成・保管が義務付けられた、「個人データのやり取りの記録」のことです。

これについては、J.10.5の「開示」請求の対象となります。

そして、「開示等の請求等」とは、この後J.10.4～J.10.7で紹介する、

・「利用目的の通知」の請求

・「開示」の請求

・「訂正、追加又は削除（訂正等）」の請求

・「利用の停止、消去又は第三者への提供の停止（利用停止等）」の請求

の4つ（と、それに準ずる申出）を指します。

添付資料（Wordファイル）の解説にある通り、このJ.10.1は、大元のJIS Q 15001:2023本体では削除された項目ですが、Pマークの指針では、J.10全体の基本となるため、従来通り「維持」されています。

Pマーク事業者にとっては、引き続き重要な基本原則となります。

J.10.2 開示等の請求等に応じる手続

J.10.1で「請求に応じなさい」という原則が決まりました。

では、本人（請求する側）は、「どうやって」請求すればよいのでしょうか。

また、事業者（請求される側）は、「本当に本人かどうか」を、どうやって確認すればよいのでしょうか。

このJ.10.2は、そのための「請求の窓口」と「手続き」を、事業者がきちんと定め、文書化しておくことを求める項目です（PDF P59 No.1）。

文書化すべき「手続」の内容（a～d）

事業者は、以下の事項を含む「手続」を文書化（内部規程や、Webサイトに掲載する「開示等の請求手続きについて」といった案内文として作成）する必要があります。

a) 開示等の請求等の申出先

（「どこの部署の、誰に言えばいいのか」という窓口。電話番号、メールアドレス、住所など）

b) 開示等の請求等に際して提出すべき書面の様式その他の開示等の請求等の方式

（「どのような形で請求するか」。例えば、「当社所定の請求書フォーマットに記入してください」「Webフォームから申請してください」など）

c) 開示等の請求等をする者が、本人又は代理人であることの確認の方法

（これが非常に重要です。なりすましによる不正な請求（情報漏えい）を防ぐため、どうやって本人確認を行うか。例：「運転免許証やパスポートのコピーを提出してもらう」「IDとパスワードによるログインをもって確認する」など）

d) J.10.4（利用目的の通知）又はJ.10.5（開示）による手数料（定めた場合に限る。）の徴収方法

（もし手数料を徴収する場合（※J.10.6（訂正）やJ.10.7（利用停止）は、法律上、手数料は徴収できません）、その金額と、どうやって徴収するか（例：銀行振込、郵便為替）を定めます）

配慮すべき事項

この「手続」を定めるにあたっては、2つの配慮が求められています（PDF P59 No.2, 3）。

▼1. 本人に過重な負担を課するものとならないよう配慮すること

（例えば、請求手続きが不必要に複雑すぎる、本人確認が厳格すぎて誰も請求できない、といったことではいけません）

▼2. 手数料を徴収するときは、実費を勘案して合理的であると認められる範囲内において、その額を定めること

（例えば、開示請求1件につき10万円、といった法外な手数料は認められません）

J.10.3 保有個人データ又は第三者提供記録に関する事項の周知など

J.10.2で「請求の手順」を決めました。

しかし、そもそも「自分が、どこの会社に、どんな情報を預けているか」や、「その会社がどんな利用目的で使っているか」が分からなければ、本人は「請求のしよう」がありません。

このJ.10.3は、そうした「請求のために必要な前提情報」や、「苦情の申出先」などを、あらかじめ「本人の知り得る状態」に置いておく（＝周知しておく）ことを求める項目です（PDF P60 No.1）。

「本人の知り得る状態」とは

「本人の求めに応じて遅滞なく回答する場合を含む」とされていますが、一般的には、自社のウェブサイトの「プライバシーポリシー」や「個人情報の取り扱いについて」といったページに、これらの情報を常時掲載しておく方法が、最も分かりやすく、広く行われています。

周知すべき事項（a～g）

以下の事項を、本人の知り得る状態に置く必要があります。

a) 事業者の氏名又は名称及び住所並びに法人にあっては、その代表者の氏名

（責任の所在を明確にするため、法律改正（2022年4月）で追加・強化された項目です）

b) 個人情報保護管理者（若しくはその代理人）の氏名又は職名、所属及び連絡先

（J.2.3.2で任命した管理者の情報です）

c) 全ての保有個人データの利用目的

（ただし、J.8.4のa)～c)（生命・身体・財産、事業者の権利、国の事務）に該当する場合は、例外的に周知しなくてもよいとされています）

d) 保有個人データの取扱いに関する苦情の申出先

（J.11.1で紹介する「苦情・相談窓口」のことです）

e) 当該事業者が認定個人情報保護団体の対象事業者である場合にあっては、当該認定個人情報保護団体の名称及び苦情の解決の申出先

（業界団体など、外部の苦情解決窓口に加盟している場合は、そこも案内します）

f) J.10.2によって定めた手続

（「請求の窓口はここで、こういう手順でお願いします」という、J.10.2で決めた手続きの案内です）

g) 保有個人データの安全管理のために講じた措置

（これも法律改正（2022年4月）で追加された、非常に重要な項目です。「当社は、あなたの情報を、このように守っています」という安全管理措置の「概要」を周知することが求められます。ただし、「周知することによって安全管理に支障を及ぼすおそれがあるもの（例：システムの詳細な構成など）」は除きます）

J.10.4 保有個人データの利用目的の通知

ここから、J.10.1で原則が示された「4つの具体的な請求」への対応ルールが始まります。

まず1つ目は、「私（本人）の、この情報、結局何に使ってるの？」という「利用目的の通知」の請求です（PDF P61）。

原則

本人から、「当該本人が識別される保有個人データ」について、利用目的の通知を求められた場合、「遅滞なくこれに応じる」必要があります。

「J.10.3のc)で、会社のサイトに“全ての”利用目的を周知しているはずなのに、なぜ個別に通知する必要があるの？」と思うかもしれません。

これは、J.10.3のc)が、「会社として、こういう目的（例：A, B, C）で個人情報を利用します」という“網羅的”な周知であるのに対し、J.10.4は、本人が「私（〇〇）の情報は、そのA, B, Cのうち、どれとどれに使われているのか、（あるいは、もしかしたらDにも使われているのではないか？）」と、“個別”に確認を求めてきた場合の対応、と考えると分かりやすいでしょう。

例外（通知を必要としない場合）

以下の場合は、通知を必要としない（＝請求を断ることができる）とされています。

・J.8.4のa)～c)のいずれかに該当する場合

（通知することで、本人や第三者の生命・身体・財産を害するおそれがある、事業者の権利を害するおそれがある、国の事務に支障を及ぼすおそれがある、の3つです）

・J.10.3のc)によって当該本人が識別される保有個人データの利用目的が「既に明らか」な場合

（例えば、本人が自ら申し込んだ「商品発送」について、改めて「利用目的を通知しろ」と言われた場合などが、これに該当する可能性があります）

応じない場合の対応

上記例外に該当して請求に応じない（通知しない）決定をした場合でも、「やりっぱなし」ではいけません。

「本人に遅滞なくその旨を通知するとともに、理由を説明する」義務があります。

「〇〇の理由により、通知できません」と、きちんと回答する必要があるのです。

J.10.5 保有個人データ又は第三者提供記録の開示

2つ目は、本人の権利の中でも最も中心的と言える、「私（本人）の情報を“見せて”」という「開示」の請求です（PDF P62）。

対象

対象となるのは、「保有個人データ」と「第三者提供記録」の2種類です。

開示の方法（重要ポイント）

ここが、法律改正（2022年4月）に伴い、大きく変わった点です。

原則として、

「本人に対し、遅滞なく、電磁的記録の提供も含めて当該本人が指定した方法」

によって開示しなければなりません。

本人が「メールに添付してデータで欲しい」と指定すれば、原則としてその方法で開示し、「紙で郵送してほしい」と指定すれば、紙で開示する必要があります。

開示方法の例外

ただし、「当該方法による開示に多額の費用を要する場合」や「その他の当該方法による開示が困難である場合」は、例外が認められています。

その場合は、「書面の交付による方法」で開示することになります。

もし、本人が指定した方法（例：データ）ではなく、書面で開示することにした場合は、その旨と理由を本人に通知する必要があります（PDF P62 No.3）。

開示しない（応じない）場合の例外

以下のいずれかに該当する場合は、その全部又は一部の開示を必要としない（＝請求を断ることができる）とされています。

▼a) 本人又は第三者の生命、身体、財産その他の権利利益を害するおそれがある場合

（例：開示することで、本人や家族が危険にさらされる情報など）

▼b) 当該事業者の業務の適正な実施に著しい支障を及ぼすおそれがある場合

（例：企業の人事評価、採用選考の基準、監査の内部資料など、開示することで業務が成り立たなくなる情報）

▼c) 法令に違反する場合

（例：他の法律で、開示が禁じられている情報など）

応じない場合の対応

この場合も、J.10.4と同様に、「本人に遅滞なくその旨を通知するとともに、理由を説明する」義務があります。

また、「当該本人が識別される保有個人データ又は第三者提供記録が“存在しない”とき」も、同様に「その旨を本人に遅滞なく通知する」必要があります。

J.10.6 保有個人データの訂正、追加又は削除

3つ目は、「私（本人）の情報、間違っているから“直して”」という「訂正等」の請求です（PDF P63）。

対象と前提

本人から、「当該本人が識別される保有個人データの内容が“事実でない”」という理由で、

・訂正（間違っている情報を正しく直す）

・追加（必要な情報が欠けているので加える）

・削除（不要な情報、間違った情報が登録されているので消す）

を求められた場合が対象です。

「気に入らないから消してほしい」という理由ではなく、「事実と異なるから」という理由が前提となります。

原則

事業者は、「法令の規定により特別の手続が定められている場合」を除き、「利用目的の達成に必要な範囲内において、遅滞なく必要な調査を行い」、その結果に基づいて、当該保有個人データの「訂正等を行う」必要があります。

応じた場合／応じなかった場合の対応

・訂正等を行った場合：「その旨及びその内容」を、本人に遅滞なく通知します。

・応じなかった場合（調査の結果、間違っていなかった、など）：「その旨」と「理由」を、本人に遅滞なく通知し、説明します。

J.10.7 保有個人データの利用又は提供の拒否

4つ目は、「私（本人）の情報を“使わないで（消して）”」という「利用停止等」の請求です（PDF P64）。

「利用停止等」とは、

・利用の停止

・消去

・第三者への提供の停止

の3つを指します。

前提（個人情報保護法との関連）

J.10.6（訂正等）が「事実と異なる」という理由だったのに対し、このJ.10.7（利用停止等）は、法律上、

・「J.8.6（目的外利用）」に違反して使われている

・「J.8.2（適正な取得）」に違反して（不正に）取得された

・「J.8.8（第三者提供）」に違反して（同意なく）第三者提供された

・「J.9.1（正確性の確保）」に関連し、利用する必要がなくなった

・「J.9.2（安全管理措置）」に関連し、漏えい等の「緊急事態（J.4.4.2）」が発生した

・その他、本人の権利利益が害されるおそれがある

といった、「重大なルール違反」や「権利侵害（のおそれ）」がある場合に、本人が行使できる、非常に強い権利です。

原則

指針では、「本人から当該本人が識別される保有個人データの利用停止等の請求に応じること」と、シンプルに要求しています（PDF P64 No.1）。

応じた場合／応じなかった場合の対応

・請求に応じた場合：「遅滞なくその旨を本人に通知」します。

・応じなかった場合：応じなくてもよい例外（後述）に該当する場合に限定し、「本人に遅滞なくその旨を通知するとともに、理由を説明」します。

応じない（応じなくてもよい）場合の例外

以下のいずれかに該当する場合は、利用停止等の請求に応じなくてもよいとされています。

▼a) 当該保有個人データの利用停止等に多額の費用を要する場合等の理由により、利用停止等を行うことが困難な場合であって、本人の権利利益を保護するため必要な「これに代わるべき措置」をとるとき

（例：「システム改修に膨大な費用がかかるため、データの“消去”はできないが、今後一切利用しないよう“利用停止（凍結）”の措置をとる」など）

▼b) 本人又は第三者の生命、身体、財産その他の権利利益を害するおそれがある場合

▼c) 当該事業者の業務の適正な実施に著しい支障を及ぼすおそれがある場合

▼d) 法令に違反する場合

まとめ

いかがでしたでしょうか。

今回は、新しいPマーク構築・運用指針の「J.10 個人情報に関する本人の権利」について、その概要を紹介させていただきました。

J.10は、個人情報の「持ち主」である本人に与えられた、

J.10.4「何に使っているか（利用目的）」を知る権利

J.10.5「中身（情報そのもの）」を知る権利

J.10.6「間違い（事実と異なる）」を直してもらう権利

J.10.7「ルール違反」や「権利侵害」があった場合に、利用を止めてもらう権利

という、4つの重要な権利と、それに応えるための事業者側の「義務」と「手順（J.10.2, J.10.3）」を定めたセクションでした。

これらの手続きに対応することは、事業者にとっては手間やコストがかかる「守り」の側面、いわば「義務」として捉えられがちです。

しかし、これらの請求の窓口（J.10.3で周知する窓口）を、誠実かつ迅速に、透明性を持って運用することは、本人（お客様、従業者）との「信頼関係」を築くための、非常に重要なコミュニケーションチャネルとなります。

「あの会社は、ちゃんと対応してくれた」という安心感が、結果として企業の信頼（Pマークが目指すもの）につながっていくのです。