「自分の情報を見せてほしい」「間違っているから直してほしい」— 本人がこうした請求をできる相手が「保有個人データ」です。個人情報保護法の3層構造(個人情報 ⊃ 個人データ ⊃ 保有個人データ)のいちばん内側にあたる概念を、この記事で整理します。

📖 ひと言でいうと

保有個人データとは、個人情報取扱事業者が持つ個人データのうち、事業者自身が開示・訂正・利用停止などを行う権限を持っていて、本人からの請求の対象となるものをいいます。

例えるなら、個人データの中でも「本人がカウンター越しに『見せて』『直して』『使うのをやめて』と言える窓口サービス付きのデータ」です。厳密には、他社から委託されて預かっているだけで自分では内容をいじれないデータなどは、この「窓口」の対象から外れる、という整理になっています。

🖼 1枚でわかる保有個人データ

保有個人データ=本人の請求に応じる対象のデータ
  • 定義 — 事業者が開示・訂正・利用停止等の権限を持つ個人データ
  • 本人の権利 — 開示、訂正・追加・削除、利用停止等を請求できる
  • 位置づけ — 個人情報 ⊃ 個人データ ⊃ 保有個人データの最も内側
  • 改正の動き — かつての「6か月以内は除外」ルールは改正で廃止
  • AIとの関係 — 利用目的の明確化や透明性の確保が重要になる
つくもち屋「G検定対策」SUMMARY

📘 公式テキストの説明

日本の個人情報保護法における「保有個人データ」は、個人情報取扱事業者が保有する個人データのうち、本人からの開示、訂正、利用停止などの請求対象となるものを指す。ただし、保存期間が6ヶ月以内のものや、法令に基づき開示が制限されるものは除外される。AIの活用において、保有個人データの取り扱いは重要な課題となる。AIモデルの学習や運用に個人データを使用する際、利用目的を明確にし、本人の同意を得ることが求められる。特に、生成AI(Generative AI)を利用する場合、入力データに個人情報が含まれると、予期せぬ形で個人情報が生成物に含まれる可能性があるため、注意が必要である。個人情報保護委員会も、生成AIサービスの利用に関する注意喚起を行っており、個人情報の適切な取り扱いを求めている。さらに、AIの開発や運用においては、個人情報の匿名化や仮名化といった技術的手法を活用し、個人の特定を防ぐことが推奨される。これにより、プライバシーリスクを低減しつつ、データの有用性を維持することが可能となる。また、AIシステムの透明性や説明可能性を確保し、データの利用に関する情報を本人に提供することも重要である。

核心は「本人からの開示・訂正・利用停止などの請求対象となる個人データ」という部分です。なお、文中の「保存期間が6ヶ月以内のものは除外される」という点は改正前のルールで、令和2年(2020年)改正(2022年4月施行)により短期保存のデータも保有個人データに含まれることになりました。試験対策としても、現在は6か月ルールが廃止されている点を押さえておくと安心です。

🔍 しっかり理解する

「権限を有する」とはどういうことか

保有個人データの決め手は、事業者がそのデータについて開示・訂正・追加・削除・利用停止・消去・第三者提供の停止といった対応を自ら行える立場にあるかどうかです。自社で集めた顧客データベースは典型的な保有個人データです。一方、他社から処理を委託されて預かっているだけのデータは、委託先が勝手に内容を書き換えたり消したりできないため、委託先にとっての保有個人データには当たらない、という整理がなされています。

また、そのデータの存否が明らかになるだけで本人や第三者の生命・身体・財産に危害が及ぶおそれがあるものなど、一定のものは政令により保有個人データから除外されるとされています。

個人データとの違いを対比する

🅰 個人データ
  • 個人情報データベース等を構成する個人情報
  • 委託で預かっているだけのデータも含む
  • 安全管理措置・第三者提供制限などの対象
🅱 保有個人データ
  • 個人データのうち事業者が開示等の権限を持つもの
  • 本人からの開示・訂正・利用停止等の請求対象
  • 利用目的などを本人が知り得る状態に置く義務も

本人の権利と事業者の義務

保有個人データについて、本人は開示(書面だけでなく電磁的記録による方法も選べます)、内容の訂正・追加・削除、利用停止・消去、第三者提供の停止などを請求できるとされています。事業者の側は、事業者の名称や利用目的、請求手続の方法といった事項を本人が知り得る状態に置くことが求められます。プライバシーポリシーに保有個人データに関する記載があるのは、この義務への対応です。

AIとの関係では、学習や運用に使うデータの利用目的を明確にし、透明性を確保しておくことが、こうした本人の請求に適切に応えるための前提になります。何にどう使っているか説明できない状態では、開示や利用停止の求めに対応できないからです。

💡 具体例で考える

会員制サービスの運営会社が、会員の行動履歴を使ってレコメンドAIを運用しているとします。会員データベースは同社の保有個人データなので、会員から「私のデータを開示してほしい」「レコメンドへの利用をやめてほしい」といった請求があれば、法律の定める要件に沿って対応することが求められます。近年は開示を電磁的記録で受け取れるため、「自分のデータをファイルでほしい」という形の請求も可能になっています。

また、生成AIを社内利用する場合、入力した個人情報が予期せぬ形で生成物に含まれてしまう可能性が指摘されており、個人情報保護委員会も生成AIサービスの利用に関する注意喚起を行っています。保有個人データを扱う事業者としては、匿名化・仮名化などで個人の特定を防ぎつつ、データ利用について本人へ説明できる体制を整えることが重要です。

⚠️ よくある誤解・紛らわしい用語

💡 ポイント
  • 「個人データ=保有個人データ」ではない — 保有個人データは、個人データのうち事業者が開示等の権限を持つものに限られます。3層構造(個人情報 ⊃ 個人データ ⊃ 保有個人データ)の最も内側です。
  • 「6か月未満の短期データは対象外」はもう古い — かつては保存期間6か月以内のデータが除外されていましたが、令和2年改正(2022年4月施行)で短期保存データも保有個人データに含まれるようになりました。古い教材の記述には注意しましょう。
  • 「開示請求されたら必ず全部開示」ではない — 本人や第三者の権利利益を害するおそれがある場合など、法律の定める例外に当たるときは開示しないことができるとされています。
  • 委託で預かるデータとの区別 — 委託先にとって、預かっているデータは(自ら開示等を行う権限がなければ)保有個人データではありません。請求対応の義務は基本的に委託元側の話になります。

📝 試験でのポイント

💡 ポイント
  • 「本人からの開示・訂正・利用停止などの請求対象となる個人データ」という定義がそのまま問われる可能性があります。
  • 個人情報・個人データ・保有個人データの3層の定義を入れ替えたひっかけ選択肢に注意しましょう。「開示等の請求対象」と来たら保有個人データです。
  • 6か月ルールの廃止(改正による変更点)は、新旧の知識を区別できているかを試すポイントになり得ます。
  • 生成AIの利用と個人情報保護委員会の注意喚起、という時事的な組み合わせでの出題も考えられます。

📚 まとめ

💡 ポイント
  • 保有個人データは、事業者が開示・訂正・利用停止等の権限を持つ個人データです。
  • 本人は開示・訂正・利用停止などを請求でき、事業者は利用目的等を知り得る状態に置く義務を負います。
  • 3層構造のいちばん内側に位置し、本人の関与が最も強く及ぶ領域です。
  • かつての「6か月以内は除外」ルールは令和2年改正で廃止されました。
  • AI活用では、利用目的の明確化と透明性の確保が本人対応の土台になります。