個人情報取扱事業者とは?
該当しない場合・5,000件要件の
撤廃・個情法に基づく義務などを
分かりやすく解説!
| おすすめ資料を無料でダウンロードできます ✅ 令和4年改正個人情報保護法 ポイント解説 |
- この記事のまとめ
-
「個人情報取扱事業者」とは、個人情報データベース等を事業の用に供している者をいいます(行政機関などを除きます)。顧客などの個人情報をリスト化して保存している企業などが、個人情報取扱事業者に該当します。
個人情報取扱事業者は、個人情報保護法に基づく義務を遵守しなければなりません。個人情報取扱事業者が遵守すべき義務は、個人情報の利用・取得、個人データの管理・第三者提供・本人の権利への対応、仮名加工情報・匿名加工情報・個人関連情報の取り扱いなど多岐にわたります。
上記の各義務に違反した個人情報取扱事業者は、個人情報保護委員会による行政指導や行政処分の対象になります。また、一部の違反行為については刑事罰の対象とされているので要注意です。
この記事では個人情報取扱事業者について、分かりやすく解説します。
個人データ、個人情報データベース、仮名加工情報・匿名加工情報・個人関連情報など、違いがよく分かりません。
個人情報取扱事業者が遵守すべき義務を理解するためには、それらの定義についても正しく理解する必要がありますね。この記事で勉強しましょう。
※この記事は、2023年6月13日に執筆され、同時点の法令等に基づいています。
※この記事では、法令名を次のように記載しています。
- 個人情報保護法(または法)…個人情報の保護に関する法律
- 令…個人情報の保護に関する法律施行令
目次
個人情報取扱事業者とは|5,000件要件の撤廃も含め分かりやすく解説!
「個人情報取扱事業者」とは、個人情報データベース等を事業の用に供している者をいいます(行政機関などを除きます。法16条2項)。
「個人情報データベース等」とは、個人情報を含む情報の集合物であって、以下のいずれかに該当するものです(法16条1項、令4条2項)。
①特定の個人情報を、電子計算機を用いて検索できるように体系的に構成したもの
②個人情報を一定の規則に従って整理することにより、特定の個人情報を容易に検索できるように体系的に構成したものであって、目次・索引その他検索を容易にするためのものを有するもの
※上記①または②に該当する場合でも、以下の要件をすべて満たすものは個人情報データベース等に該当しません(令4条1項)。
(a)不特定かつ多数の者に販売することを目的として発行されたものであって、かつ、その発行が個人情報保護法または同法に基づく命令の規定に違反して行われたものでないこと
(b)不特定かつ多数の者により随時に購入することができ、またはできたものであること
(c)生存する個人に関する他の情報を加えることなくその本来の用途に供しているものであること
例えば、顧客などの個人情報をリスト化して保存している企業などが個人情報取扱事業者に該当します。
なお、以前は、保有する個人情報の件数が5,000件を超えない小規模事業者は、個人情報取扱事業者から除外されていました。
しかし、2017年5月30日に施行された改正個人情報保護法によって5,000件要件が撤廃されました。その結果、小規模事業者であっても個人情報取扱事業者に該当し、個人情報保護法の遵守が求められるようになりました。
個人情報取扱事業者等の義務が適用されない場合(適用除外)
個人情報取扱事業者のうち以下の者については、一定の目的で個人情報・仮名加工情報・匿名加工情報・個人関連情報を取り扱う場合には、個人情報保護法に基づく義務が適用されません(法57条1項)。
①放送機関、新聞社、通信社その他の報道機関(報道を業として行う個人を含む。)
→報道の用に供する目的
②著述を業として行う者
→著述の用に供する目的
③宗教団体
→宗教活動(これに付随する活動を含む。)の用に供する目的
④政治団体
→政治活動(これに付随する活動を含む。)の用に供する目的
また、上記の者が上記の目的で取り扱う個人情報・仮名加工情報・匿名加工情報の提供行為について、個人情報保護委員会は規制権限を行使しないものとされています(法149条2項)。
個人情報取扱事業者の義務
個人情報保護法に基づき、個人情報取扱事業者には以下の義務が課されています。
①個人情報の利用に関する義務
・利用目的の特定
・目的外利用の禁止
・不適正な利用の禁止
②個人情報の取得に関する義務
・適正な取得
・利用目的の通知・公表等
③個人データの管理に関する義務
・データ内容の正確性の確保・消去
・安全管理措置
・従業者の監督
・委託先の監督
・漏えい等の報告・通知
④個人データの第三者提供に関する義務
・第三者提供の制限
・第三者提供に係る記録の作成・保存
・第三者提供を受ける際の確認およびその記録の作成・保存
⑤個人データに関する本人の権利への対応義務
・保有個人データに関する事項の公表・通知
・本人の開示請求等への対応
⑥個人情報の取り扱いに関する苦情処理の努力義務
⑦仮名加工情報の取り扱いに関する義務
⑧匿名加工情報の取り扱いに関する義務
⑨個人関連情報の取り扱いに関する義務
個人情報の利用に関する義務
個人情報の利用に関して、個人情報取扱事業者は以下の事項を遵守しなければなりません。
(a)利用目的の特定(法17条)
個人情報を取り扱うに当たっては、利用目的をできる限り特定しなければなりません。利用目的の変更は可能ですが、変更前の利用目的と合理的関連性を有する範囲内に限られます。
(b)目的外利用の禁止(法18条)
本人による事前の同意がない個人情報の目的外利用は、原則として禁止されます。
(c)不適正な利用の禁止(法19条)
違法または不当な行為を助長し、または誘発するおそれがある方法によって個人情報を利用してはなりません。
個人情報の取得に関する義務
顧客などから個人情報を取得するに当たり、個人情報取扱事業者は以下の事項を遵守しなければなりません。
(a)適正な取得(法20条)
偽りその他不正の手段によって個人情報を取得してはなりません。また、要配慮個人情報を取得する際には、原則として本人の事前同意が必要です。
参考:
個人情報保護委員会ウェブサイト「「要配慮個人情報」とはどのようなものを指しますか。また「要配慮個人情報」にかかる留意点は何でしょうか。」
(b)利用目的の通知・公表等(法21条)
個人情報を取得した場合は、あらかじめ利用目的を公表している場合を除き、利用目的を速やかに本人へ通知し、または公表しなければなりません。利用目的を変更した場合も同様です。
契約の相手方から個人情報を取得する場合は、利用目的を事前に直接明示する必要があります。
個人データの管理に関する義務
個人データとは、個人情報データベース等を構成する個人情報をいいます(法16条3項)。
個人データの管理について、個人情報取扱事業者は以下の事項を遵守しなければなりません。
(a)データ内容の正確性の確保・消去(法22条)
個人データを正確かつ最新の内容に保ち、利用する必要がなくなったときは遅滞なく消去するよう努めなければなりません。
(b)安全管理措置(法23条)
個人データの安全管理のために、必要かつ適切な措置を講じなければなりません。
(c)従業者の監督(法24条)
従業者に個人データを取り扱わせる場合、当該従業者に対して、安全管理のために必要かつ適切な監督を行わなければなりません。
(d)委託先の監督(法25条)
個人データの取り扱いの全部または一部を委託する場合、委託先に対して、安全管理のために必要かつ適切な監督を行わなければなりません。
(e)漏えい等の報告・通知(法26条)
以下の個人データについて漏えい・滅失・毀損等が発生した場合、原則として個人情報保護委員会への報告と本人への通知が義務付けられます。
・要配慮個人情報が含まれるもの(高度の暗号化等がなされたものを除く)
・不正利用により財産的被害が生じるおそれがあるもの
・不正な目的をもって漏えい等が行われたおそれがあるもの
・本人の数が1,000人を超えるもの
個人データの第三者提供に関する義務
個人データの第三者提供について、個人情報取扱事業者は以下の事項を遵守しなければなりません。
(a)第三者提供の制限(法27条、28条)
個人データの第三者提供を行う際には、原則として本人の事前同意が必要です。
(b)第三者提供に係る記録の作成・保存(法29条)
個人データの第三者提供を行ったときは、提供年月日・提供先・本人特定事項・個人データの項目などに関する記録を作成し、保存する必要があります。保存期間は原則として3年間です。
(c)第三者提供を受ける際の確認およびその記録の作成・保存(法30条)
第三者から個人データの提供を受ける際には、提供先の名称・住所と当該個人データの取得経緯を確認しなければなりません。また、確認記録を作成した上で、原則として3年間保存する必要があります。
個人データに関する本人の権利への対応義務
個人情報取扱事業者が保有する個人データについては、本人に開示請求権等が認められています。
それに伴い、個人情報取扱事業者には以下の対応が義務付けられています。
(a)保有個人データに関する事項の公表・通知(法32条)
個人情報取扱事業者の氏名・名称および住所、保有個人データの利用目的、開示請求等の方法などを、本人の知り得る状態に置かなければなりません。
また、すでに利用目的が明らかな場合などを除いて、本人から求められたときは、保有個人データの利用目的を遅滞なく通知する必要があります。
(b)本人の開示請求等への対応(法33条~39条)
本人から保有個人データの開示請求、訂正・追加・削除請求、利用停止・消去請求を受けた際には、個人情報保護法の規定に沿って審査・対応する必要があります。
個人情報の取り扱いに関する苦情処理の努力義務
個人情報取扱事業者は、個人情報の取り扱いに関する苦情の適切・迅速な処理に努めなければなりません(法40条1項)。
また、苦情の適切・迅速な処理を行うため、必要な体制の整備に努めることも求められています(同条2項)。
仮名加工情報の取り扱いに関する義務
「仮名加工情報」とは、記載・記録や個人識別符号を削除することにより、他の情報と照合しない限り特定の個人を識別できないように個人情報を加工して得られた、個人に関する情報をいいます(法2条5項)。
仮名加工情報の取り扱いについては、個人情報よりも緩やかではあるものの、以下の規制が設けられています。
①加工方法に関する基準(法41条1項)
②安全管理措置(同条2項)
③目的外利用の制限(同条3項)
④利用目的の公表(同条4項)
⑤利用の必要性がなくなった場合の消去の努力義務(同条5項)
⑥第三者提供の制限(同条6項)
⑦識別行為の禁止(同条7項)
⑧営業目的での利用の禁止(同条8項)
⑨第三者提供の制限(法42条1項)
匿名加工情報の取り扱いに関する義務
「匿名加工情報」とは、記載・記録や個人識別符号を削除することにより、特定の個人を識別できないように個人情報を加工して得られた、個人に関する情報をいいます(法2条6項)。
匿名加工情報の取り扱いについては、仮名加工情報よりもさらに緩やかではありますが、以下の規制が設けられています。
①加工方法に関する基準(法43条1項)
②安全管理措置(同条2項)
③個人に関する情報項目の公表(同条3項)
④第三者提供時の公表等(同条4項、法44条)
⑤識別行為の禁止(法43条5項、45条)
⑥安全管理措置・苦情処理措置等および公表の努力義務(法43条6項、46条)
個人関連情報の取り扱いに関する義務
「個人関連情報」とは、生存する個人に関する情報であって、個人情報・仮名加工情報・匿名加工情報のいずれにも該当しないものをいいます(法2条7項)。
個人関連情報の取り扱いについては、以下の規制が設けられています。
①第三者提供時における本人の同意等の確認(法31条1項)
②第三者提供時の確認記録の作成・保存(同条3項、30条3項、4項)
個人情報取扱事業者の義務違反に対するペナルティ
個人情報取扱事業者としての義務に違反した場合、以下のペナルティを受ける可能性があります。
①個人情報保護委員会による行政指導・行政処分
②刑事罰
個人情報保護委員会による行政指導・行政処分
個人情報取扱事業者としての義務に違反している疑いのある事業者は、個人情報保護委員会による報告要求や立入検査の対象となることがあります(法146条)。
違反が発覚した事業者に対して、個人情報保護委員会は指導・助言や勧告を行うことができます(法147条、148条1項)。
勧告に従わない事業者は、個人情報保護委員会による措置命令の対象となります(法148条2項、3項)。措置命令を受けた事業者は、事業者名および命令の内容を公表される可能性があります(同条4項)。
刑事罰
個人情報取扱事業者による義務違反のうち、一部の行為は刑事罰の対象とされています。
| 主な違反行為 | 条文 | 法定刑 |
|---|---|---|
| 措置命令違反 | 法178条 | 1年以下の懲役または100万円以下の罰金 ※法人の両罰規定あり(1億円以下の罰金、法184条1項1号) |
| 個人情報データベース等の不正目的による提供・盗用 | 法179条 | 1年以下の懲役または50万円以下の罰金 ※法人の両罰規定あり(1億円以下の罰金、法184条1項1号) |
| 個人情報保護委員会に対する報告義務違反・検査拒否等 | 法182条 | 50万円以下の罰金 ※法人の両罰規定あり(50万円以下の罰金、法184条1項2号) |
最新の記事に関する情報は、契約ウォッチのメルマガで配信しています。ぜひ、メルマガにご登録ください!
| おすすめ資料を無料でダウンロードできます ✅ 令和4年改正個人情報保護法 ポイント解説 |
