- 更新日 : 2026年1月6日
個人情報取扱事業者とは?法的な定義や義務をわかりやすく解説
個人情報取扱事業者とは、事業のために個人情報を利用する事業者のことです。個人情報保護法の規定を遵守して個人情報を扱う義務を負います。違反した場合、罰則の対象になったり、社会的信用が失墜したりするリスクがあるため注意は必要です。
今回は、個人情報取扱事業者の定義や義務、個人情報管理時の注意点などをわかりやすく解説します。
目次
個人情報取扱事業者とは
2005年4月に個人情報保護法が施行され、個人情報取扱事業者が遵守すべき義務が定められました。
個人情報取扱事業者とは、事業のために個人情報を使用している事業者のことです。
これまでは、事業に使用する個人情報データベースに含まれる個人情報の数が5,000人以下である場合、個人情報取扱事業者には該当しないとされていました。しかし、2017年の個人情報保護法改正により、この除外規定は廃止されています。
そのため、個人情報を事業のために扱っている事業者であれば、基本的にはすべて個人情報取扱事業者に該当すると理解しておきましょう。
個人情報について詳しく知りたい方は、以下の記事を参考にしてください。
個人情報取扱事業者の法的な定義
個人情報取扱事業者の定義は、個人情報保護法第16条によると「個人情報データベース等を事業の用に供している者」です。ただし、国の機関や地方公共団体、独立行政法人などは除きます。
ここでいう個人情報データベースとは、個人情報を含む情報の集合物であって、特定の個人情報を検索できるように体系的に構成されているものです。
また、個人情報とは特定の個人を識別できるもの、または個人識別符号が含まれるもののことを指します。たとえば、氏名や生年月日、顔写真、マイナンバーカード、DNAなどは個人情報に当たります。
参考:e-Gov法令検索 個人情報の保護に関する法律(平成十五年法律第五十七号)
個人情報取扱事業者に当てはまる具体的なケース
個人情報取扱事業者に該当する事業者の具体例は、以下のとおりです。
- 顧客の個人情報をリスト化し、営業やマーケティングに活用している企業
- 顧客の個人情報や住宅の図面などを保管している工務店
基本的に、顧客や取引先の個人情報を扱って事業を営んでいる場合は、個人情報取扱事業者に該当します。
ただし、以下の各機関・団体が各目的で個人情報を扱っている場合は、個人情報取扱事業者に該当するとしても、個人情報保護法に基づく義務が適用されません。
- 報道機関:報道活動に供する目的
- 著述を行として行う者:著述活動に供する目的
- 宗教団体:宗教活動に供する目的
- 政治団体:政治活動に供する目的
これらは、憲法上保障された自由に関わる活動であるためです。
この記事をお読みの方におすすめのガイド4選
この記事をお読みの方によく活用いただいている人気の資料・ガイドを紹介します。すべて無料ですので、ぜひお気軽にご活用ください。
※記事の内容は、この後のセクションでも続きますのでぜひ併せてご覧ください。
電子契約にも使える!契約書ひな形まとめ45選
業務委託契約書や工事請負契約書…など各種契約書や、誓約書、念書・覚書、承諾書・通知書…など、使用頻度の高い45個のテンプレートをまとめた、無料で使えるひな形パックです。
実際の契約に合わせてカスタマイズしていただきながら、ご利用くださいませ。
【弁護士監修】チェックリスト付き 改正下請法 1から簡単解説ガイド
下請法の改正内容を基礎からわかりやすく解説した「改正下請法 1から簡単解説ガイド」をご用意しました。
本資料では、2025年改正の背景や主要ポイントを、弁護士監修のもと図解や具体例を交えて解説しています。さらに、委託事業者・受託事業者それぞれのチェックリストを収録しており、実務対応の抜け漏れを防ぐことができます。
2026年1月の施行に向けて、社内説明や取引先対応の準備に役立つ情報がギュッと詰まった1冊です。
【弁護士監修】法務担当者向け!よく使う法令11選
法務担当者がよく参照する法令・法律をまとめた資料を無料で提供しています。
法令・法律の概要だけではなく、実務の中で参照するケースや違反・ペナルティ、過去事例を調べる方法が一目でわかるようになっています。
自社の利益を守るための16項目 契約書レビューのチェックポイント
契約書レビューでチェックするべきポイントをまとめた資料を無料で提供しています。
契約書のレビューを行う企業法務担当者や中小企業経営者の方にもご活用いただけます。
個人情報取扱事業者に課せられた義務
個人情報取扱事業者には、個人の権利と利益を保護するため、個人情報の取り扱いに関する以下のような義務が課せられています。
| 個人情報の取り扱いに関する義務 | |
|---|---|
| 個人情報の利用に関する義務 | 個人情報の利用目的をなるべく具体的に特定する必要がある |
| 本人による事前の同意を得ることなく、個人情報を目的外で利用してはならない | |
| 個人情報を不適正な目的(不正な行為や違法行為の誘発・助長など)で利用してはならない | |
| 個人情報の取得に関する義務 | 個人情報を不正な手段によって取得してはならない |
| 個人情報を取得した際は、利用目的を速やかに公表、あるいは本人に通知しなければならない(あらかじめ利用目的を公表している場合を除く) | |
| 個人情報の管理に関する義務 | 個人情報を正確な内容で維持する |
| 個人情報の滅失や漏えいなどを防げるよう、適切に管理する | |
| 従業員に個人情報を扱わせる際は、従業員に対して適切な監督を行う | |
| 個人情報の扱いを外部に委託する際は、委託先に対して適切な監督を行う | |
| 要配慮個人情報や不正な目的で漏えいが行われた個人情報などが漏えいした際は、原則として個人情報保護員会へ報告および本人に通知する | |
| 仮名加工情報の取り扱いに関する義務 | |
| 匿名加工情報の取り扱いに関する義務 | |
| 個人関連情報の取り扱いに関する義務 | |
ほかにも、さまざまな義務が定められています。
以下では、仮名加工情報、匿名加工情報、個人関連情報の取り扱いに関する義務について、詳しく見ていきましょう。
仮名加工情報の取り扱いに関する義務
仮名加工情報とは、個人識別符号や記録などを削除することで、ほかの情報と照合しない限り個人を識別できないよう加工された情報のことです。
仮名加工情報のみでは、個人は特定できません。しかし、個人情報取扱事業者は仮名加工情報を作成するもととなる情報を持っていると考えられることから、仮名加工情報は原則個人情報に該当します。
仮名加工情報の取り扱いについては、以下のような規定が設けられています。
- 加工方法に関する基準
- 安全管理措置
- 目的外利用の制限
- 利用目的の公表
- 不要になった際の消去の努力義務
- 第三者提供の制限
- 識別行為の禁止
- 営業目的での利用禁止
匿名加工情報の取り扱いに関する義務
匿名加工情報とは、個人を識別できないように加工され、個人情報を復元できないようにしたものです。匿名加工情報は、個人情報保護法における個人情報そのものには該当しません。そのため、取り扱いに関しては比較的ゆるやかなルールが定められています。たとえば、本人の同意を得ずに第三者に提供することが可能です。
しかし、匿名加工情報として保護されるためには以下のような規定を守らなければなりません。
- 加工方法に関する基準
- 安全管理措置
- 個人に関する情報項目の公表
- 第三者提供時の公表
- 識別行為の禁止
- 安全管理措置・苦情処理措置および公表の努力義務
個人関連情報の取り扱いに関する義務
個人関連情報とは、個人に関する情報であり、個人情報、仮名加工情報、匿名加工情報のいずれにも当てはまらないものを指します。たとえば、個人の位置情報やWebサイトの閲覧履歴などです。
個人関連情報を取り扱う際は、以下の規定を守る必要があります。
- 第三者提供時の本人による同意等の確認
- 第三者提供時の確認記録の作成と保存
個人情報取扱事業者が個人情報を管理する際の注意点
個人情報取扱事業者が個人情報を管理する際は、以下の4つの観点から安全管理措置を講じましょう。
- 組織的安全管理措置
- 人的安全管理措置
- 物理的安全管理措置
- 技術的安全管理措置
組織的安全管理措置
組織的安全管理措置とは、個人情報を安全に管理できるような組織体制を整備することです。
具体的には、以下のような措置が挙げられます。
- 個人情報を扱う担当者を決める
- 個人情報保護管理者(CPO)を設置する
- 個人情報の扱いに関するそれぞれの部署の役割と責任を明確化する
- 監査実施体制を整備する
- 個人情報の取り扱いに関する規定違反や情報漏えいなどが発生した際の、報告連絡体制を整備する
人的安全管理措置
人的安全管理措置とは、従業員が情報漏えいや情報の紛失などを起こさないよう、個人情報の管理に関する意識を高めることです。
具体的には、以下のような措置が挙げられます。
- 個人情報の扱いに関する教育を実施する
- 従業員と秘密保持契約を締結する
- 個人情報や情報システムの安全管理に関する従業員の役割や責任を定めた内部規定を周知する
物理的安全管理措置
物理的安全管理措置とは、物理的に安全性を高め、個人情報を厳重に管理することです。
具体的には、以下のような措置が挙げられます。
- 個人情報が記載された紙ファイルは、鍵付きのキャビネットに保管する
- 個人情報が記載された書類や電子機器等の机上や車内への放置を禁止する
- 離席時はパスワード付きのスクリーンセーバーを起動させる
- 入退室管理を徹底する
技術的安全管理措置
技術的安全管理措置とは、システムの監視やソフトウェアの導入など、技術的な面から安全性を高めることです。
具体的には、以下のような措置が挙げられます。
- システムへのアクセス時は、IDとパスワードによる認証に加えて生体認証を実施する
- ファイルにパスワードを設定する
- 個人情報へのアクセスログを取得する
- 個人情報へのアクセス権限を一部の従業員に付与する
- ウイルス対策ソフトを導入する
個人情報取扱事業者の義務に違反した場合
個人情報取扱事業者が遵守すべき義務に違反した場合は、個人情報保護委員会による行政指導や行政処分の対象になる可能性があります。
さらに、個人情報保護委員会による命令に違反した場合は、1年以下の懲役または100万円以下の罰金、報告義務違反や検査拒否を行った場合は、50万円以下の罰金が科せられる恐れがあります。法人の両罰規定もあり、法人に1億円以下の罰金が科されることもあるため注意が必要です。
レピュテーションリスクも無視できません。個人情報の扱いがずさんな事業者とみなされれば、社会的信用が失墜し、顧客や取引先が離反するケースも考えられるでしょう。
また、個人情報の漏えいが発生した場合は、被害者から損害賠償請求される可能性があります。
いずれにせよ、事業者にとっては大きなダメージとなるため、個人情報の取り扱いには注意が必要です。
個人情報取扱事業者として情報管理体制を整えよう
個人情報取扱事業者は、個人情報を事業のために扱う事業者のことです。多くの事業者が個人情報取扱事業者に該当するでしょう。個人情報取扱事業者は、個人情報保護法における規定に則って、個人情報を適切に扱わなければなりません。違反した場合は、罰則の対象となったり、社会的信用が失墜したりするリスクがあります。
個人情報保護法について正しく理解し、個人情報の管理体制を整えましょう。
※ 掲載している情報は記事更新時点のものです。
契約の知識をさらに深めるなら
※本サイトは、法律的またはその他のアドバイスの提供を目的としたものではありません。当社は本サイトの記載内容(テンプレートを含む)の正確性、妥当性の確保に努めておりますが、ご利用にあたっては、個別の事情を適宜専門家にご相談いただくなど、ご自身の判断でご利用ください。
関連記事
特許年金とは?金額や支払い方法、減免制度を解説
特許年金とは、特許権を維持するために特許庁に支払う料金のことです。取得経過年数によって費用が変わり、年数が経つほど高くなりす。納付期限を過ぎると特許権が消滅することもあるため、注意しなければなりません。 本記事では特許年金の概要や特許(登録…
詳しくみる優越的地位の濫用とは?規制内容や事業者の注意点をわかりやすく解説
優越的地位の濫用とは、地位を利用して取引相手に不当に不利益を与える行為のことです。独占禁止法では、優越的な地位を利用した不公正な取引として禁止されています。具体的にはどのような行為が該当するのか、例を挙げてまとめました。 また、事業者が注意…
詳しくみる未成年の定義とは?2022年4月からの民法改正についても解説!
2022年4月、「未成年」の年齢が引き下げられました。この法改正は、成年に達するかどうかの境目にいる若い方のみならず、企業関係者など多くの方に関係するものです。 そのため、「未成年」の定義などを整理して、理解しておきましょう。また、「未成年…
詳しくみる金銭債権とは? 特徴や具体例、種類もわかりやすく解説!
債権・債務は日々の企業活動で発生します。一口に「債権」といっても、発生原因や契約内容によってその性質は異なります。ここでは特に「金銭債権」ついて解説し、ほかの一般的な債権と異なる特徴や、金銭債権の種類についても紹介します。 金銭債権とは? …
詳しくみるプライバシーとは?個人情報保護法に基づきながら解説
仕事でも日常生活でもインターネットが欠かせない現代社会において、プライバシーとその保護について知っておくことは大切です。「プライバシー」と「個人情報」の違いや、2022年4月に改正される個人情報保護法について、しっかり把握しておきましょう。…
詳しくみる商事法定利率とは?改正による廃止など
法定利率は、長い間2種類存在していました。商法による商事法定利率と、民法による民事法定利率です。現在は商法が改正され、法定利率の扱いも大きく変化して商事法定利率は廃止されました。ここでは商事法定利率とはどのようなものか、さまざまな角度から解…
詳しくみる