- 更新日 : 2025年3月17日
個人情報取扱事業者とは?法的な定義や義務をわかりやすく解説
個人情報取扱事業者とは、事業のために個人情報を利用する事業者のことです。個人情報保護法の規定を遵守して個人情報を扱う義務を負います。違反した場合、罰則の対象になったり、社会的信用が失墜したりするリスクがあるため注意は必要です。
今回は、個人情報取扱事業者の定義や義務、個人情報管理時の注意点などをわかりやすく解説します。
目次
個人情報取扱事業者とは
2005年4月に個人情報保護法が施行され、個人情報取扱事業者が遵守すべき義務が定められました。
個人情報取扱事業者とは、事業のために個人情報を使用している事業者のことです。
これまでは、事業に使用する個人情報データベースに含まれる個人情報の数が5,000人以下である場合、個人情報取扱事業者には該当しないとされていました。しかし、2017年の個人情報保護法改正により、この除外規定は廃止されています。
そのため、個人情報を事業のために扱っている事業者であれば、基本的にはすべて個人情報取扱事業者に該当すると理解しておきましょう。
個人情報について詳しく知りたい方は、以下の記事を参考にしてください。
個人情報取扱事業者の法的な定義
個人情報取扱事業者の定義は、個人情報保護法第16条によると「個人情報データベース等を事業の用に供している者」です。ただし、国の機関や地方公共団体、独立行政法人などは除きます。
ここでいう個人情報データベースとは、個人情報を含む情報の集合物であって、特定の個人情報を検索できるように体系的に構成されているものです。
また、個人情報とは特定の個人を識別できるもの、または個人識別符号が含まれるもののことを指します。たとえば、氏名や生年月日、顔写真、マイナンバーカード、DNAなどは個人情報に当たります。
参考:e-Gov法令検索 個人情報の保護に関する法律(平成十五年法律第五十七号)
個人情報取扱事業者に当てはまる具体的なケース
個人情報取扱事業者に該当する事業者の具体例は、以下のとおりです。
- 顧客の個人情報をリスト化し、営業やマーケティングに活用している企業
- 顧客の個人情報や住宅の図面などを保管している工務店
基本的に、顧客や取引先の個人情報を扱って事業を営んでいる場合は、個人情報取扱事業者に該当します。
ただし、以下の各機関・団体が各目的で個人情報を扱っている場合は、個人情報取扱事業者に該当するとしても、個人情報保護法に基づく義務が適用されません。
- 報道機関:報道活動に供する目的
- 著述を行として行う者:著述活動に供する目的
- 宗教団体:宗教活動に供する目的
- 政治団体:政治活動に供する目的
これらは、憲法上保障された自由に関わる活動であるためです。
個人情報取扱事業者に課せられた義務
個人情報取扱事業者には、個人の権利と利益を保護するため、個人情報の取り扱いに関する以下のような義務が課せられています。
| 個人情報の取り扱いに関する義務 | |
|---|---|
| 個人情報の利用に関する義務 | 個人情報の利用目的をなるべく具体的に特定する必要がある |
| 本人による事前の同意を得ることなく、個人情報を目的外で利用してはならない | |
| 個人情報を不適正な目的(不正な行為や違法行為の誘発・助長など)で利用してはならない | |
| 個人情報の取得に関する義務 | 個人情報を不正な手段によって取得してはならない |
| 個人情報を取得した際は、利用目的を速やかに公表、あるいは本人に通知しなければならない(あらかじめ利用目的を公表している場合を除く) | |
| 個人情報の管理に関する義務 | 個人情報を正確な内容で維持する |
| 個人情報の滅失や漏えいなどを防げるよう、適切に管理する | |
| 従業員に個人情報を扱わせる際は、従業員に対して適切な監督を行う | |
| 個人情報の扱いを外部に委託する際は、委託先に対して適切な監督を行う | |
| 要配慮個人情報や不正な目的で漏えいが行われた個人情報などが漏えいした際は、原則として個人情報保護員会へ報告および本人に通知する | |
| 仮名加工情報の取り扱いに関する義務 | |
| 匿名加工情報の取り扱いに関する義務 | |
| 個人関連情報の取り扱いに関する義務 | |
ほかにも、さまざまな義務が定められています。
以下では、仮名加工情報、匿名加工情報、個人関連情報の取り扱いに関する義務について、詳しく見ていきましょう。
仮名加工情報の取り扱いに関する義務
仮名加工情報とは、個人識別符号や記録などを削除することで、ほかの情報と照合しない限り個人を識別できないよう加工された情報のことです。
仮名加工情報のみでは、個人は特定できません。しかし、個人情報取扱事業者は仮名加工情報を作成するもととなる情報を持っていると考えられることから、仮名加工情報は原則個人情報に該当します。
仮名加工情報の取り扱いについては、以下のような規定が設けられています。
- 加工方法に関する基準
- 安全管理措置
- 目的外利用の制限
- 利用目的の公表
- 不要になった際の消去の努力義務
- 第三者提供の制限
- 識別行為の禁止
- 営業目的での利用禁止
匿名加工情報の取り扱いに関する義務
匿名加工情報とは、個人を識別できないように加工され、個人情報を復元できないようにしたものです。匿名加工情報は、個人情報保護法における個人情報そのものには該当しません。そのため、取り扱いに関しては比較的ゆるやかなルールが定められています。たとえば、本人の同意を得ずに第三者に提供することが可能です。
しかし、匿名加工情報として保護されるためには以下のような規定を守らなければなりません。
- 加工方法に関する基準
- 安全管理措置
- 個人に関する情報項目の公表
- 第三者提供時の公表
- 識別行為の禁止
- 安全管理措置・苦情処理措置および公表の努力義務
個人関連情報の取り扱いに関する義務
個人関連情報とは、個人に関する情報であり、個人情報、仮名加工情報、匿名加工情報のいずれにも当てはまらないものを指します。たとえば、個人の位置情報やWebサイトの閲覧履歴などです。
個人関連情報を取り扱う際は、以下の規定を守る必要があります。
- 第三者提供時の本人による同意等の確認
- 第三者提供時の確認記録の作成と保存
個人情報取扱事業者が個人情報を管理する際の注意点
個人情報取扱事業者が個人情報を管理する際は、以下の4つの観点から安全管理措置を講じましょう。
- 組織的安全管理措置
- 人的安全管理措置
- 物理的安全管理措置
- 技術的安全管理措置
組織的安全管理措置
組織的安全管理措置とは、個人情報を安全に管理できるような組織体制を整備することです。
具体的には、以下のような措置が挙げられます。
- 個人情報を扱う担当者を決める
- 個人情報保護管理者(CPO)を設置する
- 個人情報の扱いに関するそれぞれの部署の役割と責任を明確化する
- 監査実施体制を整備する
- 個人情報の取り扱いに関する規定違反や情報漏えいなどが発生した際の、報告連絡体制を整備する
人的安全管理措置
人的安全管理措置とは、従業員が情報漏えいや情報の紛失などを起こさないよう、個人情報の管理に関する意識を高めることです。
具体的には、以下のような措置が挙げられます。
- 個人情報の扱いに関する教育を実施する
- 従業員と秘密保持契約を締結する
- 個人情報や情報システムの安全管理に関する従業員の役割や責任を定めた内部規定を周知する
物理的安全管理措置
物理的安全管理措置とは、物理的に安全性を高め、個人情報を厳重に管理することです。
具体的には、以下のような措置が挙げられます。
- 個人情報が記載された紙ファイルは、鍵付きのキャビネットに保管する
- 個人情報が記載された書類や電子機器等の机上や車内への放置を禁止する
- 離席時はパスワード付きのスクリーンセーバーを起動させる
- 入退室管理を徹底する
技術的安全管理措置
技術的安全管理措置とは、システムの監視やソフトウェアの導入など、技術的な面から安全性を高めることです。
具体的には、以下のような措置が挙げられます。
- システムへのアクセス時は、IDとパスワードによる認証に加えて生体認証を実施する
- ファイルにパスワードを設定する
- 個人情報へのアクセスログを取得する
- 個人情報へのアクセス権限を一部の従業員に付与する
- ウイルス対策ソフトを導入する
個人情報取扱事業者の義務に違反した場合
個人情報取扱事業者が遵守すべき義務に違反した場合は、個人情報保護委員会による行政指導や行政処分の対象になる可能性があります。
さらに、個人情報保護委員会による命令に違反した場合は、1年以下の懲役または100万円以下の罰金、報告義務違反や検査拒否を行った場合は、50万円以下の罰金が科せられる恐れがあります。法人の両罰規定もあり、法人に1億円以下の罰金が科されることもあるため注意が必要です。
レピュテーションリスクも無視できません。個人情報の扱いがずさんな事業者とみなされれば、社会的信用が失墜し、顧客や取引先が離反するケースも考えられるでしょう。
また、個人情報の漏えいが発生した場合は、被害者から損害賠償請求される可能性があります。
いずれにせよ、事業者にとっては大きなダメージとなるため、個人情報の取り扱いには注意が必要です。
個人情報取扱事業者として情報管理体制を整えよう
個人情報取扱事業者は、個人情報を事業のために扱う事業者のことです。多くの事業者が個人情報取扱事業者に該当するでしょう。個人情報取扱事業者は、個人情報保護法における規定に則って、個人情報を適切に扱わなければなりません。違反した場合は、罰則の対象となったり、社会的信用が失墜したりするリスクがあります。
個人情報保護法について正しく理解し、個人情報の管理体制を整えましょう。
※ 掲載している情報は記事更新時点のものです。
契約の知識をさらに深めるなら
※本サイトは、法律的またはその他のアドバイスの提供を目的としたものではありません。当社は本サイトの記載内容(テンプレートを含む)の正確性、妥当性の確保に努めておりますが、ご利用にあたっては、個別の事情を適宜専門家にご相談いただくなど、ご自身の判断でご利用ください。
関連記事
民法とは?基本原則や改正内容などを簡単にわかりやすく解説
民法とは、個人や法人といった人間の行動に対して適用される法律です。民法により私人の権利が保護され、経済活動を円滑に進めることが可能となります。 本記事では、民法の基本的な事項を見ていきます。事業者が押さえておくべき民法の概要や、2020年に…
詳しくみる特定商取引法とは?概要や実務上の注意点をわかりやすく紹介
「特定商取引法」では特定の取引に適用されるルールを定め、クーリングオフ制度などにより消費者保護を図っています。 そこで通信販売や訪問販売など、同法で定められた特定の営業方法を行っている企業は同法の内容を理解する必要があります。当記事でわかり…
詳しくみる消費者契約法第10条とは?該当するケースなどを解説
日常生活を送る上で、私たちはさまざまな契約を結んでいます。スマートフォンの契約、賃貸住宅の契約、ジムの会員契約、オンラインサービスの利用規約など、意識していなくても契約は身近な存在です。 しかし、その契約内容が必ずしも私たち消費者にとって公…
詳しくみる特許の出願公開制度とは?公開タイミングや特許出願時の注意点などを解説
特許の出願公開制度とは、出願から1年半が経ったタイミングで公開特許公報上に出願内容が公開される制度です。特許を出願する際は公開内容を確認して、同じ内容がすでに出願されていないかをチェックしましょう。今回は、制度の目的や公開のタイミング、公開…
詳しくみる民法177条とは?第三者の範囲や物権変動の対抗要件についてわかりやすく解説
民法177条とは、第三者に対して不動産の権利を主張するためには登記が必要であることを定める条文です。不動産を取得したときや喪失したとき、あるいは権利を変更したときは、都度登記手続を実施し、第三者に権利を主張できるようにしておかなくてはいけま…
詳しくみるライセンスフィーとは?相場や支払い方法についても解説!
「ライセンスフィー」や「ロイヤリティ」という言葉を耳にすることがありますが、「違いがよくわからない」という人は多いでしょう。そこで今回は「ライセンスフィー」「ロイヤリティ」の定義や、ライセンスフィーの相場、支払い方法(定額支払い、一括支払、…
詳しくみる