個人情報保護委員会とは?
役割・組織・監督権限・
報告義務との関係などを分かりやすく解説!
| おすすめ資料を無料でダウンロードできます ✅ 個人情報に関する研修資料 |
- この記事のまとめ
-
「個人情報保護委員会」とは、個人情報保護法を所管する行政機関です。委員長および委員8名で組織されており、各事業者における個人情報保護法の遵守状況の監督などを行っています。
個人情報保護法への違反が疑われる事業者に対して、個人情報保護委員会は報告要求・立入検査、指導・助言、勧告・命令などを行うことができます。
この記事では個人情報保護委員会について、役割・組織・監督権限・報告義務との関係などを解説します。
個人情報の入ったUSBの紛失やランサムウェア被害は、個人情報保護委員会への報告が必要になる場合があると聞きました。個人情報保護委員会って、公的な機関なんですか?
個人情報保護委員会は個人情報保護法の遵守状況の監督などを行う行政機関です。役割や事業者との関係を確認しましょう。
※この記事は、2024年6月5日に執筆され、同時点の法令等に基づいています。
※この記事では、法令名を次のように記載しています。
- 個人情報保護法、法…個人情報の保護に関する法律
- 規則…個人情報の保護に関する法律施行規則
目次
個人情報保護委員会とは
「個人情報保護委員会」とは、個人情報保護法を所管する行政機関です。委員長および委員8名で組織されており、各事業者における個人情報保護法の遵守状況の監督などを行っています。
個人情報保護委員会の役割・所掌事務
個人情報保護委員会の任務(役割)は、行政機関等の事務・事業の適正かつ円滑な運営を図ること、および個人情報の有用性に配慮しつつ個人の権利利益を保護するため、個人情報の適正な取り扱いの確保を図ることです(法131条)。
上記の任務を達成するため、個人情報保護委員会は以下の事務を司るものとされています(法132条)。
① 基本方針の策定・推進
② 事業者における個人情報等の取り扱いに関する監督、行政機関等における個人情報等の取り扱いに関する監視、苦情処理に関するあっせん・事業者への協力
③ 認定個人情報保護団体に関する事務
④ 特定個人情報の取り扱いに関する監視・監督、苦情処理に関するあっせん・事業者への協力
⑤ 特定個人情報保護評価
⑥ 個人情報の保護および適正かつ効果的な活用についての広報・啓発
⑦ ①~⑥の事務を行うために必要な調査・研究
⑧ 所掌事務に係る国際協力
⑨ ①~⑧のほか、法律(法律に基づく命令を含む)に基づき委員会に属させられた事務
個人情報保護委員会の組織
個人情報保護委員会は、内閣総理大臣の所轄に属します(法130条2項)。内閣府の委員会ですが、内閣総理大臣の指揮監督の下ではなく、独立して権限を行使できる機関です。
個人情報保護委員会の構成員は、委員長および委員8人の合計9人です(法134条1項)。委員のうち4人は非常勤とされています(同条2項)。
委員長および委員は、人格が高潔で識見の高い者のうちから、衆議院・参議院の同意を得て内閣総理大臣が任命します(同条3項)。
委員長および委員の任期は、原則として5年です(法135条1項)。
個人情報保護委員会における会議・議決は、会議において委員長および4人以上の委員が出席した上で、出席者の過半数の賛成により行います。可否同数のときは、委員長の決するところによります(法139条)。
個人情報保護委員会においては、専門の事項を調査させるため、専門委員を置くことができます。専門委員は非常勤で、内閣総理大臣によって任命されます(法140条)。
また、個人情報保護委員会には事務局が常設されています。事務局には事務局長その他の職員が置かれ、事務局長は委員長の命を受けて局務を掌理します(法141条)。
事業者に対する個人情報保護委員会の監督権限
個人情報保護委員会は、事業者における個人情報・仮名加工情報・匿名加工情報・個人関連情報(=個人情報等)の取り扱いを監督しています。
事業者の監督に関して、個人情報保護委員会には以下の権限が与えられています。
① 報告要求・立入検査
② 指導・助言
③ 勧告・命令
報告要求・立入検査
個人情報保護委員会は、個人情報取扱事業者・仮名加工情報取扱事業者・匿名加工情報取扱事業者・個人関連情報取扱事業者(=個人情報取扱事業者等)やその他の関係者に対し、個人情報等の取り扱いに関して、必要な報告または資料の提出を求めることができます(法146条1項)。
また、個人情報保護委員会の職員による事務所等への立ち入り検査、個人情報等の取り扱いに関する質問、および帳簿書類その他の物件の検査を行うことも認められています(同項)。
指導・助言
個人情報保護委員会は、個人情報取扱事業者等の義務に関して必要な限度において、個人情報取扱事業者等に対し、個人情報等の取り扱いに関し必要な指導・助言を行うことができます(法147条)。
勧告・命令
個人情報取扱事業者等が個人情報保護法の規定に違反した場合において、個人の権利利益を保護するため必要があると認めるときは、個人情報保護委員会は当該事業者に対し、違反行為の中止その他の是正措置をとるべき旨を勧告することができます(法148条1項)。
上記勧告を受けた事業者が、正当な理由なく勧告に係る措置をとらなかった場合において、個人の重大な権利利益の侵害が切迫していると認めるときは、個人情報保護委員会は当該措置を命令することができます(同条2項)。
措置命令に事業者が違反したときは、個人情報保護委員会はその旨を公表することができます(同条4項)。また、措置命令違反は刑事罰の対象とされており、違反者は「1年以下の懲役または100万円以下の罰金」に処されます(法178条)。措置命令違反には両罰規定があり、事業者にも「一億円以下の罰金」が科されます(法184条1項1号)。
事業者が遵守すべき個人情報保護ガイドライン
個人情報取扱事業者等は、個人情報保護法に関連して、個人情報保護委員会が公表している各種のガイドラインを遵守しなければなりません。ガイドラインの遵守を怠ると、個人情報保護委員会による勧告等の対象になり得るので注意が必要です。
現在のところ、個人情報取扱事業者等が遵守すべきガイドラインは、以下の各編に分かれています。
- 通則編
- 外国にある第三者への提供編
- 第三者提供時の確認・記録義務編
- 仮名加工情報・匿名加工情報編
- 認定個人情報保護団体編
個人情報保護ガイドラインおよびそのQ&Aなどは、個人情報保護委員会ウェブサイトに掲載されています。
個人情報保護委員会への漏えい等報告義務・窓口
個人情報取扱事業者は、漏えいに関する以下のいずれかの事態が生じたときは、当該事態が生じた旨を個人情報保護委員会に報告しなければなりません(法26条、規則7条)。
① 要配慮個人情報が含まれる個人データ(高度な暗号化その他の個人の権利利益を保護するために必要な措置を講じたものを除く。以下同じ)の漏えい、滅失もしくは毀損(=漏えい等)が発生し、または発生したおそれがある事態
② 不正に利用されることにより財産的被害が生じるおそれがある個人データの漏えい等が発生し、または発生したおそれがある事態
③ 不正の目的をもって行われたおそれがある当該個人情報取扱事業者に対する行為による個人データの漏えい等が発生し、または発生したおそれがある事態
④ 個人データに係る本人の数が1,000人を超える漏えい等が発生し、または発生したおそれがある事態
個人情報保護委員会に対する漏えい等報告は、まず把握している情報について速やかに報告を行い(一般的には3~5日以内)、発覚から30日以内(不正な目的で行われたおそれがある場合は60日以内)に確定的な報告を行う必要があります(規則8条)。
以下の個人情報保護委員会ウェブサイトから、個人データの漏えい等報告を行うことができます。
