- 更新日 : 2025年3月17日
個人情報取扱事業者とは?法的な定義や義務をわかりやすく解説
個人情報取扱事業者とは、事業のために個人情報を利用する事業者のことです。個人情報保護法の規定を遵守して個人情報を扱う義務を負います。違反した場合、罰則の対象になったり、社会的信用が失墜したりするリスクがあるため注意は必要です。
今回は、個人情報取扱事業者の定義や義務、個人情報管理時の注意点などをわかりやすく解説します。
目次
個人情報取扱事業者とは
2005年4月に個人情報保護法が施行され、個人情報取扱事業者が遵守すべき義務が定められました。
個人情報取扱事業者とは、事業のために個人情報を使用している事業者のことです。
これまでは、事業に使用する個人情報データベースに含まれる個人情報の数が5,000人以下である場合、個人情報取扱事業者には該当しないとされていました。しかし、2017年の個人情報保護法改正により、この除外規定は廃止されています。
そのため、個人情報を事業のために扱っている事業者であれば、基本的にはすべて個人情報取扱事業者に該当すると理解しておきましょう。
個人情報について詳しく知りたい方は、以下の記事を参考にしてください。
個人情報取扱事業者の法的な定義
個人情報取扱事業者の定義は、個人情報保護法第16条によると「個人情報データベース等を事業の用に供している者」です。ただし、国の機関や地方公共団体、独立行政法人などは除きます。
ここでいう個人情報データベースとは、個人情報を含む情報の集合物であって、特定の個人情報を検索できるように体系的に構成されているものです。
また、個人情報とは特定の個人を識別できるもの、または個人識別符号が含まれるもののことを指します。たとえば、氏名や生年月日、顔写真、マイナンバーカード、DNAなどは個人情報に当たります。
参考:e-Gov法令検索 個人情報の保護に関する法律(平成十五年法律第五十七号)
個人情報取扱事業者に当てはまる具体的なケース
個人情報取扱事業者に該当する事業者の具体例は、以下のとおりです。
- 顧客の個人情報をリスト化し、営業やマーケティングに活用している企業
- 顧客の個人情報や住宅の図面などを保管している工務店
基本的に、顧客や取引先の個人情報を扱って事業を営んでいる場合は、個人情報取扱事業者に該当します。
ただし、以下の各機関・団体が各目的で個人情報を扱っている場合は、個人情報取扱事業者に該当するとしても、個人情報保護法に基づく義務が適用されません。
- 報道機関:報道活動に供する目的
- 著述を行として行う者:著述活動に供する目的
- 宗教団体:宗教活動に供する目的
- 政治団体:政治活動に供する目的
これらは、憲法上保障された自由に関わる活動であるためです。
この記事をお読みの方におすすめのガイド5選
最後に、この記事をお読みの方によく活用いただいている人気の資料・ガイドを紹介します。すべて無料ですので、ぜひお気軽にご活用ください。
※記事の内容は、この後のセクションでも続きますのでぜひ併せてご覧ください。
電子契約にも使える!契約書ひな形まとめ30選
業務委託契約書など各種契約書や、誓約書、念書・覚書、承諾書・通知書…など使用頻度の高い30個のテンプレートをまとめた、無料で使えるひな形パックです。
導入で失敗したくない人必見!電子契約はじめ方ガイド
電子契約のキホンからサービス導入の流れまで、図解やシミュレーションを使いながらわかりやすく解説しています。
社内向けに導入効果を説明する方法や、取引先向けの案内文など、実務で参考になる情報もギュッと詰まった1冊です。
紙も!電子も!契約書の一元管理マニュアル
本ガイドでは、契約書を一元管理する方法を、①紙の契約書のみ、②電子契約のみ、③紙・電子の両方の3つのパターンに分けて解説しています。
これから契約書管理の体制を構築する方だけでなく、既存の管理体制の整備を考えている方にもおすすめの資料です。
自社の利益を守るための16項目!契約書レビューのチェックポイント
法務担当者や経営者が契約書レビューでチェックするべきポイントをまとめた資料を無料で提供しています。
弁護士監修で安心してご利用いただけます。
法務担当者向け!Chat GPTの活用アイデア・プロンプトまとめ
法務担当者がchat GPTで使えるプロンプトのアイデアをまとめた資料を無料で提供しています。
chat GPT以外の生成AIでも活用できるので、普段利用する生成AIに入力してご活用ください。
個人情報取扱事業者に課せられた義務
個人情報取扱事業者には、個人の権利と利益を保護するため、個人情報の取り扱いに関する以下のような義務が課せられています。
| 個人情報の取り扱いに関する義務 | |
|---|---|
| 個人情報の利用に関する義務 | 個人情報の利用目的をなるべく具体的に特定する必要がある |
| 本人による事前の同意を得ることなく、個人情報を目的外で利用してはならない | |
| 個人情報を不適正な目的(不正な行為や違法行為の誘発・助長など)で利用してはならない | |
| 個人情報の取得に関する義務 | 個人情報を不正な手段によって取得してはならない |
| 個人情報を取得した際は、利用目的を速やかに公表、あるいは本人に通知しなければならない(あらかじめ利用目的を公表している場合を除く) | |
| 個人情報の管理に関する義務 | 個人情報を正確な内容で維持する |
| 個人情報の滅失や漏えいなどを防げるよう、適切に管理する | |
| 従業員に個人情報を扱わせる際は、従業員に対して適切な監督を行う | |
| 個人情報の扱いを外部に委託する際は、委託先に対して適切な監督を行う | |
| 要配慮個人情報や不正な目的で漏えいが行われた個人情報などが漏えいした際は、原則として個人情報保護員会へ報告および本人に通知する | |
| 仮名加工情報の取り扱いに関する義務 | |
| 匿名加工情報の取り扱いに関する義務 | |
| 個人関連情報の取り扱いに関する義務 | |
ほかにも、さまざまな義務が定められています。
以下では、仮名加工情報、匿名加工情報、個人関連情報の取り扱いに関する義務について、詳しく見ていきましょう。
仮名加工情報の取り扱いに関する義務
仮名加工情報とは、個人識別符号や記録などを削除することで、ほかの情報と照合しない限り個人を識別できないよう加工された情報のことです。
仮名加工情報のみでは、個人は特定できません。しかし、個人情報取扱事業者は仮名加工情報を作成するもととなる情報を持っていると考えられることから、仮名加工情報は原則個人情報に該当します。
仮名加工情報の取り扱いについては、以下のような規定が設けられています。
- 加工方法に関する基準
- 安全管理措置
- 目的外利用の制限
- 利用目的の公表
- 不要になった際の消去の努力義務
- 第三者提供の制限
- 識別行為の禁止
- 営業目的での利用禁止
匿名加工情報の取り扱いに関する義務
匿名加工情報とは、個人を識別できないように加工され、個人情報を復元できないようにしたものです。匿名加工情報は、個人情報保護法における個人情報そのものには該当しません。そのため、取り扱いに関しては比較的ゆるやかなルールが定められています。たとえば、本人の同意を得ずに第三者に提供することが可能です。
しかし、匿名加工情報として保護されるためには以下のような規定を守らなければなりません。
- 加工方法に関する基準
- 安全管理措置
- 個人に関する情報項目の公表
- 第三者提供時の公表
- 識別行為の禁止
- 安全管理措置・苦情処理措置および公表の努力義務
個人関連情報の取り扱いに関する義務
個人関連情報とは、個人に関する情報であり、個人情報、仮名加工情報、匿名加工情報のいずれにも当てはまらないものを指します。たとえば、個人の位置情報やWebサイトの閲覧履歴などです。
個人関連情報を取り扱う際は、以下の規定を守る必要があります。
- 第三者提供時の本人による同意等の確認
- 第三者提供時の確認記録の作成と保存
個人情報取扱事業者が個人情報を管理する際の注意点
個人情報取扱事業者が個人情報を管理する際は、以下の4つの観点から安全管理措置を講じましょう。
- 組織的安全管理措置
- 人的安全管理措置
- 物理的安全管理措置
- 技術的安全管理措置
組織的安全管理措置
組織的安全管理措置とは、個人情報を安全に管理できるような組織体制を整備することです。
具体的には、以下のような措置が挙げられます。
- 個人情報を扱う担当者を決める
- 個人情報保護管理者(CPO)を設置する
- 個人情報の扱いに関するそれぞれの部署の役割と責任を明確化する
- 監査実施体制を整備する
- 個人情報の取り扱いに関する規定違反や情報漏えいなどが発生した際の、報告連絡体制を整備する
人的安全管理措置
人的安全管理措置とは、従業員が情報漏えいや情報の紛失などを起こさないよう、個人情報の管理に関する意識を高めることです。
具体的には、以下のような措置が挙げられます。
- 個人情報の扱いに関する教育を実施する
- 従業員と秘密保持契約を締結する
- 個人情報や情報システムの安全管理に関する従業員の役割や責任を定めた内部規定を周知する
物理的安全管理措置
物理的安全管理措置とは、物理的に安全性を高め、個人情報を厳重に管理することです。
具体的には、以下のような措置が挙げられます。
- 個人情報が記載された紙ファイルは、鍵付きのキャビネットに保管する
- 個人情報が記載された書類や電子機器等の机上や車内への放置を禁止する
- 離席時はパスワード付きのスクリーンセーバーを起動させる
- 入退室管理を徹底する
技術的安全管理措置
技術的安全管理措置とは、システムの監視やソフトウェアの導入など、技術的な面から安全性を高めることです。
具体的には、以下のような措置が挙げられます。
- システムへのアクセス時は、IDとパスワードによる認証に加えて生体認証を実施する
- ファイルにパスワードを設定する
- 個人情報へのアクセスログを取得する
- 個人情報へのアクセス権限を一部の従業員に付与する
- ウイルス対策ソフトを導入する
個人情報取扱事業者の義務に違反した場合
個人情報取扱事業者が遵守すべき義務に違反した場合は、個人情報保護委員会による行政指導や行政処分の対象になる可能性があります。
さらに、個人情報保護委員会による命令に違反した場合は、1年以下の懲役または100万円以下の罰金、報告義務違反や検査拒否を行った場合は、50万円以下の罰金が科せられる恐れがあります。法人の両罰規定もあり、法人に1億円以下の罰金が科されることもあるため注意が必要です。
レピュテーションリスクも無視できません。個人情報の扱いがずさんな事業者とみなされれば、社会的信用が失墜し、顧客や取引先が離反するケースも考えられるでしょう。
また、個人情報の漏えいが発生した場合は、被害者から損害賠償請求される可能性があります。
いずれにせよ、事業者にとっては大きなダメージとなるため、個人情報の取り扱いには注意が必要です。
個人情報取扱事業者として情報管理体制を整えよう
個人情報取扱事業者は、個人情報を事業のために扱う事業者のことです。多くの事業者が個人情報取扱事業者に該当するでしょう。個人情報取扱事業者は、個人情報保護法における規定に則って、個人情報を適切に扱わなければなりません。違反した場合は、罰則の対象となったり、社会的信用が失墜したりするリスクがあります。
個人情報保護法について正しく理解し、個人情報の管理体制を整えましょう。
※ 掲載している情報は記事更新時点のものです。
契約の知識をさらに深めるなら
※本サイトは、法律的またはその他のアドバイスの提供を目的としたものではありません。当社は本サイトの記載内容(テンプレートを含む)の正確性、妥当性の確保に努めておりますが、ご利用にあたっては、個別の事情を適宜専門家にご相談いただくなど、ご自身の判断でご利用ください。
関連記事
フリーランス新法対応の発注書の書き方・無料テンプレート
「フリーランス新法対応の発注書」とは、2024年に施行されたフリーランスの働き方の透明性を高めるための法律に基づき、発注者がフリーランスに業務を依頼する際に用いる文書です。 業務内容や報酬、納期などの重要事項を明確にすることで、双方のトラブ…
詳しくみる民法95条とは?錯誤の例や取消しの要件をわかりやすく解説
民法95条とは、錯誤に関する規定です。法律行為で重要な錯誤がある場合、表意者は取消しができます。旧民法で錯誤は無効とされていましたが、民法改正により取消しに変更されました。錯誤には種類があり、それぞれ取消しできる場合が異なります。 ここでは…
詳しくみる諾成契約とは?法的な定義や成立要件、事業者が注意すべき点を解説
諾成契約とは、当事者同士が合意の意思表示をすることで成立する契約です。物の引き渡しのような給付があって成立する要物契約とは違って、意思表示のみで契約が成立します。本記事では、企業の法務担当者に向けて、諾成契約とは何かや法的な定義、具体例、民…
詳しくみる知的財産法とは?知的財産権の種類もわかりやすく解説!
知的財産法とは、無体物を創出した者に認められる、物の所有権に類似した独占権です。特許権・実用新案権・商標権・意匠権・著作権等があります。自社の知的財産権を効果的に活用できるように、また他社の知的財産権を侵害しないように、知的財産法に関する理…
詳しくみる労働法とは?概要や事業者が気をつけるべき点をわかりやすく解説
労働法とは、労働基準法や労働組合法、男女雇用機会均等法などの働くことに関する法律の総称です。労働者を保護し、労働者の権利を守るために定められています。 働法にはどのような種類があるのか、また、使用者や労働者は何に注意すべきかまとめました。労…
詳しくみる特許の出願公開制度とは?公開タイミングや特許出願時の注意点などを解説
特許の出願公開制度とは、出願から1年半が経ったタイミングで公開特許公報上に出願内容が公開される制度です。特許を出願する際は公開内容を確認して、同じ内容がすでに出願されていないかをチェックしましょう。今回は、制度の目的や公開のタイミング、公開…
詳しくみる