- 更新日 : 2025年3月17日
個人情報取扱事業者とは?法的な定義や義務をわかりやすく解説
個人情報取扱事業者とは、事業のために個人情報を利用する事業者のことです。個人情報保護法の規定を遵守して個人情報を扱う義務を負います。違反した場合、罰則の対象になったり、社会的信用が失墜したりするリスクがあるため注意は必要です。
今回は、個人情報取扱事業者の定義や義務、個人情報管理時の注意点などをわかりやすく解説します。
目次
個人情報取扱事業者とは
2005年4月に個人情報保護法が施行され、個人情報取扱事業者が遵守すべき義務が定められました。
個人情報取扱事業者とは、事業のために個人情報を使用している事業者のことです。
これまでは、事業に使用する個人情報データベースに含まれる個人情報の数が5,000人以下である場合、個人情報取扱事業者には該当しないとされていました。しかし、2017年の個人情報保護法改正により、この除外規定は廃止されています。
そのため、個人情報を事業のために扱っている事業者であれば、基本的にはすべて個人情報取扱事業者に該当すると理解しておきましょう。
個人情報について詳しく知りたい方は、以下の記事を参考にしてください。
個人情報取扱事業者の法的な定義
個人情報取扱事業者の定義は、個人情報保護法第16条によると「個人情報データベース等を事業の用に供している者」です。ただし、国の機関や地方公共団体、独立行政法人などは除きます。
ここでいう個人情報データベースとは、個人情報を含む情報の集合物であって、特定の個人情報を検索できるように体系的に構成されているものです。
また、個人情報とは特定の個人を識別できるもの、または個人識別符号が含まれるもののことを指します。たとえば、氏名や生年月日、顔写真、マイナンバーカード、DNAなどは個人情報に当たります。
参考:e-Gov法令検索 個人情報の保護に関する法律(平成十五年法律第五十七号)
個人情報取扱事業者に当てはまる具体的なケース
個人情報取扱事業者に該当する事業者の具体例は、以下のとおりです。
- 顧客の個人情報をリスト化し、営業やマーケティングに活用している企業
- 顧客の個人情報や住宅の図面などを保管している工務店
基本的に、顧客や取引先の個人情報を扱って事業を営んでいる場合は、個人情報取扱事業者に該当します。
ただし、以下の各機関・団体が各目的で個人情報を扱っている場合は、個人情報取扱事業者に該当するとしても、個人情報保護法に基づく義務が適用されません。
- 報道機関:報道活動に供する目的
- 著述を行として行う者:著述活動に供する目的
- 宗教団体:宗教活動に供する目的
- 政治団体:政治活動に供する目的
これらは、憲法上保障された自由に関わる活動であるためです。
この記事をお読みの方におすすめのガイド4選
この記事をお読みの方によく活用いただいている人気の資料・ガイドを紹介します。すべて無料ですので、ぜひお気軽にご活用ください。
※記事の内容は、この後のセクションでも続きますのでぜひ併せてご覧ください。
電子契約にも使える!契約書ひな形まとめ45選
業務委託契約書や工事請負契約書…など各種契約書や、誓約書、念書・覚書、承諾書・通知書…など、使用頻度の高い45個のテンプレートをまとめた、無料で使えるひな形パックです。
実際の契約に合わせてカスタマイズしていただきながら、ご利用くださいませ。
【弁護士監修】チェックリスト付き 改正下請法 1から簡単解説ガイド
下請法の改正内容を基礎からわかりやすく解説した「改正下請法 1から簡単解説ガイド」をご用意しました。
本資料では、2025年改正の背景や主要ポイントを、弁護士監修のもと図解や具体例を交えて解説しています。さらに、委託事業者・受託事業者それぞれのチェックリストを収録しており、実務対応の抜け漏れを防ぐことができます。
2026年1月の施行に向けて、社内説明や取引先対応の準備に役立つ情報がギュッと詰まった1冊です。
【弁護士監修】法務担当者向け!よく使う法令11選
法務担当者がよく参照する法令・法律をまとめた資料を無料で提供しています。
法令・法律の概要だけではなく、実務の中で参照するケースや違反・ペナルティ、過去事例を調べる方法が一目でわかるようになっています。
自社の利益を守るための16項目 契約書レビューのチェックポイント
契約書レビューでチェックするべきポイントをまとめた資料を無料で提供しています。
契約書のレビューを行う企業法務担当者や中小企業経営者の方にもご活用いただけます。
個人情報取扱事業者に課せられた義務
個人情報取扱事業者には、個人の権利と利益を保護するため、個人情報の取り扱いに関する以下のような義務が課せられています。
| 個人情報の取り扱いに関する義務 | |
|---|---|
| 個人情報の利用に関する義務 | 個人情報の利用目的をなるべく具体的に特定する必要がある |
| 本人による事前の同意を得ることなく、個人情報を目的外で利用してはならない | |
| 個人情報を不適正な目的(不正な行為や違法行為の誘発・助長など)で利用してはならない | |
| 個人情報の取得に関する義務 | 個人情報を不正な手段によって取得してはならない |
| 個人情報を取得した際は、利用目的を速やかに公表、あるいは本人に通知しなければならない(あらかじめ利用目的を公表している場合を除く) | |
| 個人情報の管理に関する義務 | 個人情報を正確な内容で維持する |
| 個人情報の滅失や漏えいなどを防げるよう、適切に管理する | |
| 従業員に個人情報を扱わせる際は、従業員に対して適切な監督を行う | |
| 個人情報の扱いを外部に委託する際は、委託先に対して適切な監督を行う | |
| 要配慮個人情報や不正な目的で漏えいが行われた個人情報などが漏えいした際は、原則として個人情報保護員会へ報告および本人に通知する | |
| 仮名加工情報の取り扱いに関する義務 | |
| 匿名加工情報の取り扱いに関する義務 | |
| 個人関連情報の取り扱いに関する義務 | |
ほかにも、さまざまな義務が定められています。
以下では、仮名加工情報、匿名加工情報、個人関連情報の取り扱いに関する義務について、詳しく見ていきましょう。
仮名加工情報の取り扱いに関する義務
仮名加工情報とは、個人識別符号や記録などを削除することで、ほかの情報と照合しない限り個人を識別できないよう加工された情報のことです。
仮名加工情報のみでは、個人は特定できません。しかし、個人情報取扱事業者は仮名加工情報を作成するもととなる情報を持っていると考えられることから、仮名加工情報は原則個人情報に該当します。
仮名加工情報の取り扱いについては、以下のような規定が設けられています。
- 加工方法に関する基準
- 安全管理措置
- 目的外利用の制限
- 利用目的の公表
- 不要になった際の消去の努力義務
- 第三者提供の制限
- 識別行為の禁止
- 営業目的での利用禁止
匿名加工情報の取り扱いに関する義務
匿名加工情報とは、個人を識別できないように加工され、個人情報を復元できないようにしたものです。匿名加工情報は、個人情報保護法における個人情報そのものには該当しません。そのため、取り扱いに関しては比較的ゆるやかなルールが定められています。たとえば、本人の同意を得ずに第三者に提供することが可能です。
しかし、匿名加工情報として保護されるためには以下のような規定を守らなければなりません。
- 加工方法に関する基準
- 安全管理措置
- 個人に関する情報項目の公表
- 第三者提供時の公表
- 識別行為の禁止
- 安全管理措置・苦情処理措置および公表の努力義務
個人関連情報の取り扱いに関する義務
個人関連情報とは、個人に関する情報であり、個人情報、仮名加工情報、匿名加工情報のいずれにも当てはまらないものを指します。たとえば、個人の位置情報やWebサイトの閲覧履歴などです。
個人関連情報を取り扱う際は、以下の規定を守る必要があります。
- 第三者提供時の本人による同意等の確認
- 第三者提供時の確認記録の作成と保存
個人情報取扱事業者が個人情報を管理する際の注意点
個人情報取扱事業者が個人情報を管理する際は、以下の4つの観点から安全管理措置を講じましょう。
- 組織的安全管理措置
- 人的安全管理措置
- 物理的安全管理措置
- 技術的安全管理措置
組織的安全管理措置
組織的安全管理措置とは、個人情報を安全に管理できるような組織体制を整備することです。
具体的には、以下のような措置が挙げられます。
- 個人情報を扱う担当者を決める
- 個人情報保護管理者(CPO)を設置する
- 個人情報の扱いに関するそれぞれの部署の役割と責任を明確化する
- 監査実施体制を整備する
- 個人情報の取り扱いに関する規定違反や情報漏えいなどが発生した際の、報告連絡体制を整備する
人的安全管理措置
人的安全管理措置とは、従業員が情報漏えいや情報の紛失などを起こさないよう、個人情報の管理に関する意識を高めることです。
具体的には、以下のような措置が挙げられます。
- 個人情報の扱いに関する教育を実施する
- 従業員と秘密保持契約を締結する
- 個人情報や情報システムの安全管理に関する従業員の役割や責任を定めた内部規定を周知する
物理的安全管理措置
物理的安全管理措置とは、物理的に安全性を高め、個人情報を厳重に管理することです。
具体的には、以下のような措置が挙げられます。
- 個人情報が記載された紙ファイルは、鍵付きのキャビネットに保管する
- 個人情報が記載された書類や電子機器等の机上や車内への放置を禁止する
- 離席時はパスワード付きのスクリーンセーバーを起動させる
- 入退室管理を徹底する
技術的安全管理措置
技術的安全管理措置とは、システムの監視やソフトウェアの導入など、技術的な面から安全性を高めることです。
具体的には、以下のような措置が挙げられます。
- システムへのアクセス時は、IDとパスワードによる認証に加えて生体認証を実施する
- ファイルにパスワードを設定する
- 個人情報へのアクセスログを取得する
- 個人情報へのアクセス権限を一部の従業員に付与する
- ウイルス対策ソフトを導入する
個人情報取扱事業者の義務に違反した場合
個人情報取扱事業者が遵守すべき義務に違反した場合は、個人情報保護委員会による行政指導や行政処分の対象になる可能性があります。
さらに、個人情報保護委員会による命令に違反した場合は、1年以下の懲役または100万円以下の罰金、報告義務違反や検査拒否を行った場合は、50万円以下の罰金が科せられる恐れがあります。法人の両罰規定もあり、法人に1億円以下の罰金が科されることもあるため注意が必要です。
レピュテーションリスクも無視できません。個人情報の扱いがずさんな事業者とみなされれば、社会的信用が失墜し、顧客や取引先が離反するケースも考えられるでしょう。
また、個人情報の漏えいが発生した場合は、被害者から損害賠償請求される可能性があります。
いずれにせよ、事業者にとっては大きなダメージとなるため、個人情報の取り扱いには注意が必要です。
個人情報取扱事業者として情報管理体制を整えよう
個人情報取扱事業者は、個人情報を事業のために扱う事業者のことです。多くの事業者が個人情報取扱事業者に該当するでしょう。個人情報取扱事業者は、個人情報保護法における規定に則って、個人情報を適切に扱わなければなりません。違反した場合は、罰則の対象となったり、社会的信用が失墜したりするリスクがあります。
個人情報保護法について正しく理解し、個人情報の管理体制を整えましょう。
※ 掲載している情報は記事更新時点のものです。
契約の知識をさらに深めるなら
※本サイトは、法律的またはその他のアドバイスの提供を目的としたものではありません。当社は本サイトの記載内容(テンプレートを含む)の正確性、妥当性の確保に努めておりますが、ご利用にあたっては、個別の事情を適宜専門家にご相談いただくなど、ご自身の判断でご利用ください。
関連記事
景品表示法(景表法)とは?禁止事項や違反となる事例、罰則をわかりやすく解説
ECサイトを開設・運営する人が増えています。中には会社員をしながら副業としてECサイトの運営を始めるか検討している方もいるでしょう。 ネットショップに限らず、お店で商品の販売の際に粗品や賞品などを付ける場合、注意すべき法律に「景品表示法」が…
詳しくみる相続土地国庫帰属法とは?対象者や要件、申請方法を解説
相続土地国庫帰属法とは、相続により取得した土地の所有権を国庫に移転させることを認める法律です。相続を放棄することなく、土地の所有や管理責任を国に移せるのがメリットです。今回は、相続土地国庫帰属法の概要や対象者と土地の要件、申請手順、必要書類…
詳しくみるシュリンクラップ契約とは?法的有効性や判例、問題点について解説!
他人が権利を有するソフトウェアを使用する場合、ライセンシー(実施権者。ソフトウェアを使用する者)とライセンサー(実施許諾者。権利を保有する者)が使用許諾契約を締結することが一般的です。使用許諾契約を締結する方法の一つに「シュリンクラップ契約…
詳しくみる民法644条の善管注意義務とは?違反した場合や判例、改正点などわかりやすく解説
民法644条の善管注意義務は、委任契約の受任者に課せられた義務です。委任契約以外にも民法644条が準用されています。また2020年民法改正後、従来の文言のまま規定が残っているため、善管注意義務の理解を深めておかなくてはなりません。本記事では…
詳しくみる電子署名法(電子署名及び認証業務に関する法律)とは? 条文や要件をわかりやすく解説
電子契約を導入するにあたっては、その法的根拠を理解する必要があります。それは電子署名法および各種の関係法令です。今回は電子署名法の概要や、電子署名の「真正性」を担保する認証業務の仕組みについて解説します。 電子署名法(電子署名及び認証業務に…
詳しくみる派遣先均等・均衡方式とは?労使協定方式との違いも解説
派遣先の正社員と派遣労働者との間の不合理な待遇格差の解消を目的とし、2020年4月に改正労働者派遣法が施行されています。 この法律では、派遣社員の賃金の決定方法について派遣会社は、派遣先均等・均衡方式と労使協定方式のいずれかを選択して、派遣…
詳しくみる