• 作成日 : 2024年4月5日

個人情報取扱事業者とは?法的な定義や義務をわかりやすく解説

個人情報取扱事業者とは?法的な定義や義務をわかりやすく解説

個人情報取扱事業者とは、事業のために個人情報を利用する事業者のことです。個人情報保護法の規定を遵守して個人情報を扱う義務を負います。違反した場合、罰則の対象になったり、社会的信用が失墜したりするリスクがあるため注意は必要です。

今回は、個人情報取扱事業者の定義や義務、個人情報管理時の注意点などをわかりやすく解説します。

個人情報取扱事業者とは

2005年4月に個人情報保護法が施行され、個人情報取扱事業者が遵守すべき義務が定められました。

個人情報取扱事業者とは、事業のために個人情報を使用している事業者のことです。

これまでは、事業に使用する個人情報データベースに含まれる個人情報の数が5,000人以下である場合、個人情報取扱事業者には該当しないとされていました。しかし、2017年の個人情報保護法改正により、この除外規定は廃止されています。

そのため、個人情報を事業のために扱っている事業者であれば、基本的にはすべて個人情報取扱事業者に該当すると理解しておきましょう。

個人情報について詳しく知りたい方は、以下の記事を参考にしてください。

個人情報取扱事業者の法的な定義

個人情報取扱事業者の定義は、個人情報保護法第16条によると「個人情報データベース等を事業の用に供している者」です。ただし、国の機関や地方公共団体、独立行政法人などは除きます。

ここでいう個人情報データベースとは、個人情報を含む情報の集合物であって、特定の個人情報を検索できるように体系的に構成されているものです。

また、個人情報とは特定の個人を識別できるもの、または個人識別符号が含まれるもののことを指します。たとえば、氏名や生年月日、顔写真、マイナンバーカード、DNAなどは個人情報に当たります。

参考:e-Gov法令検索 個人情報の保護に関する法律(平成十五年法律第五十七号)

個人情報取扱事業者に当てはまる具体的なケース

個人情報取扱事業者に該当する事業者の具体例は、以下のとおりです。

  • 顧客の個人情報をリスト化し、営業やマーケティングに活用している企業
  • 顧客の個人情報や住宅の図面などを保管している工務店

基本的に、顧客や取引先の個人情報を扱って事業を営んでいる場合は、個人情報取扱事業者に該当します。

ただし、以下の各機関・団体が各目的で個人情報を扱っている場合は、個人情報取扱事業者に該当するとしても、個人情報保護法に基づく義務が適用されません。

  • 報道機関:報道活動に供する目的
  • 著述を行として行う者:著述活動に供する目的
  • 宗教団体:宗教活動に供する目的
  • 政治団体:政治活動に供する目的

これらは、憲法上保障された自由に関わる活動であるためです。

個人情報取扱事業者に課せられた義務

個人情報取扱事業者には、個人の権利と利益を保護するため、個人情報の取り扱いに関する以下のような義務が課せられています。

個人情報の取り扱いに関する義務
個人情報の利用に関する義務個人情報の利用目的をなるべく具体的に特定する必要がある
本人による事前の同意を得ることなく、個人情報を目的外で利用してはならない
個人情報を不適正な目的(不正な行為や違法行為の誘発・助長など)で利用してはならない
個人情報の取得に関する義務個人情報を不正な手段によって取得してはならない
個人情報を取得した際は、利用目的を速やかに公表、あるいは本人に通知しなければならない(あらかじめ利用目的を公表している場合を除く)
個人情報の管理に関する義務個人情報を正確な内容で維持する
個人情報の滅失や漏えいなどを防げるよう、適切に管理する
従業員に個人情報を扱わせる際は、従業員に対して適切な監督を行う
個人情報の扱いを外部に委託する際は、委託先に対して適切な監督を行う
要配慮個人情報や不正な目的で漏えいが行われた個人情報などが漏えいした際は、原則として個人情報保護員会へ報告および本人に通知する
仮名加工情報の取り扱いに関する義務
匿名加工情報の取り扱いに関する義務
個人関連情報の取り扱いに関する義務

ほかにも、さまざまな義務が定められています。

以下では、仮名加工情報、匿名加工情報、個人関連情報の取り扱いに関する義務について、詳しく見ていきましょう。

仮名加工情報の取り扱いに関する義務

仮名加工情報とは、個人識別符号や記録などを削除することで、ほかの情報と照合しない限り個人を識別できないよう加工された情報のことです。

仮名加工情報のみでは、個人は特定できません。しかし、個人情報取扱事業者は仮名加工情報を作成するもととなる情報を持っていると考えられることから、仮名加工情報は原則個人情報に該当します。

仮名加工情報の取り扱いについては、以下のような規定が設けられています。

  • 加工方法に関する基準
  • 安全管理措置
  • 目的外利用の制限
  • 利用目的の公表
  • 不要になった際の消去の努力義務
  • 第三者提供の制限
  • 識別行為の禁止
  • 営業目的での利用禁止

匿名加工情報の取り扱いに関する義務

匿名加工情報とは、個人を識別できないように加工され、個人情報を復元できないようにしたものです。匿名加工情報は、個人情報保護法における個人情報そのものには該当しません。そのため、取り扱いに関しては比較的ゆるやかなルールが定められています。たとえば、本人の同意を得ずに第三者に提供することが可能です。

しかし、匿名加工情報として保護されるためには以下のような規定を守らなければなりません。

  • 加工方法に関する基準
  • 安全管理措置
  • 個人に関する情報項目の公表
  • 第三者提供時の公表
  • 識別行為の禁止
  • 安全管理措置・苦情処理措置および公表の努力義務

個人関連情報の取り扱いに関する義務

個人関連情報とは、個人に関する情報であり、個人情報、仮名加工情報、匿名加工情報のいずれにも当てはまらないものを指します。たとえば、個人の位置情報やWebサイトの閲覧履歴などです。

個人関連情報を取り扱う際は、以下の規定を守る必要があります。

  • 第三者提供時の本人による同意等の確認
  • 第三者提供時の確認記録の作成と保存

個人情報取扱事業者が個人情報を管理する際の注意点

個人情報取扱事業者が個人情報を管理する際は、以下の4つの観点から安全管理措置を講じましょう。

  • 組織的安全管理措置
  • 人的安全管理措置
  • 物理的安全管理措置
  • 技術的安全管理措置

組織的安全管理措置

組織的安全管理措置とは、個人情報を安全に管理できるような組織体制を整備することです。

具体的には、以下のような措置が挙げられます。

  • 個人情報を扱う担当者を決める
  • 個人情報保護管理者(CPO)を設置する
  • 個人情報の扱いに関するそれぞれの部署の役割と責任を明確化する
  • 監査実施体制を整備する
  • 個人情報の取り扱いに関する規定違反や情報漏えいなどが発生した際の、報告連絡体制を整備する

人的安全管理措置

人的安全管理措置とは、従業員が情報漏えいや情報の紛失などを起こさないよう、個人情報の管理に関する意識を高めることです。

具体的には、以下のような措置が挙げられます。

  • 個人情報の扱いに関する教育を実施する
  • 従業員と秘密保持契約を締結する
  • 個人情報や情報システムの安全管理に関する従業員の役割や責任を定めた内部規定を周知する

物理的安全管理措置

物理的安全管理措置とは、物理的に安全性を高め、個人情報を厳重に管理することです。

具体的には、以下のような措置が挙げられます。

  • 個人情報が記載された紙ファイルは、鍵付きのキャビネットに保管する
  • 個人情報が記載された書類や電子機器等の机上や車内への放置を禁止する
  • 離席時はパスワード付きのスクリーンセーバーを起動させる
  • 入退室管理を徹底する

技術的安全管理措置

技術的安全管理措置とは、システムの監視やソフトウェアの導入など、技術的な面から安全性を高めることです。

具体的には、以下のような措置が挙げられます。

  • システムへのアクセス時は、IDとパスワードによる認証に加えて生体認証を実施する
  • ファイルにパスワードを設定する
  • 個人情報へのアクセスログを取得する
  • 個人情報へのアクセス権限を一部の従業員に付与する
  • ウイルス対策ソフトを導入する

個人情報取扱事業者の義務に違反した場合

個人情報取扱事業者が遵守すべき義務に違反した場合は、個人情報保護委員会による行政指導や行政処分の対象になる可能性があります。

さらに、個人情報保護委員会による命令に違反した場合は、1年以下の懲役または100万円以下の罰金、報告義務違反や検査拒否を行った場合は、50万円以下の罰金が科せられる恐れがあります。法人の両罰規定もあり、法人に1億円以下の罰金が科されることもあるため注意が必要です。

レピュテーションリスクも無視できません。個人情報の扱いがずさんな事業者とみなされれば、社会的信用が失墜し、顧客や取引先が離反するケースも考えられるでしょう。

また、個人情報の漏えいが発生した場合は、被害者から損害賠償請求される可能性があります。

いずれにせよ、事業者にとっては大きなダメージとなるため、個人情報の取り扱いには注意が必要です。

個人情報取扱事業者として情報管理体制を整えよう

個人情報取扱事業者は、個人情報を事業のために扱う事業者のことです。多くの事業者が個人情報取扱事業者に該当するでしょう。個人情報取扱事業者は、個人情報保護法における規定に則って、個人情報を適切に扱わなければなりません。違反した場合は、罰則の対象となったり、社会的信用が失墜したりするリスクがあります。

個人情報保護法について正しく理解し、個人情報の管理体制を整えましょう。


※ 掲載している情報は記事更新時点のものです。

※本サイトは、法律的またはその他のアドバイスの提供を目的としたものではありません。当社は本サイトの記載内容(テンプレートを含む)の正確性、妥当性の確保に努めておりますが、ご利用にあたっては、個別の事情を適宜専門家にご相談いただくなど、ご自身の判断でご利用ください。

関連記事