ホーム企業・組織の対策組織幹部のための情報セキュリティ対策 > 個人情報取扱事業者の責務


個人情報取扱事業者の責務

  個人情報保護法は、個人の権利と利益を保護するために、2005年4月から全面施行された法律で、個人情報を保有する事業者が遵守すべき義務などを定めた法律です。

個人情報取扱事業者の責務

  「個人情報取扱事業者」とは、個人情報保護法第2条第5項において、「個人情報データベースなどを事業の用に供している者」と定義されています。また、「個人情報」とは、生存する個人に関する情報のことで、氏名、生年月日などのデータによって特定の個人を識別できる情報、または個人識別符号(※)を含む情報のことを指しています。

(※)個人識別符号とは

  • 身体の一部の特徴をコンピュータで利用するために変換したもの(たとえば、DNAや顔など)
  • 公的なサービスの利用のためにサービス利用者に割り振られる番号(たとえば、免許証の番号やマイナンバーなど)

のことです。

  個人情報保護法では、個人情報取扱事業者に対し、以下のことを義務付けています。

  • 個人情報を取り扱うに当たっては利用目的をできる限り特定し、原則として利用目的の達成に必要な範囲を超えて個人情報を取り扱ってはならない。
  • 個人情報を取得する場合には、利用目的を通知・公表しなければならない。なお、本人から直接書面で個人情報を取得する場合には、あらかじめ本人に利用目的を明示しなければならない。
  • 個人データを安全に管理し、従業員や委託先も監督しなければならない。
  • あらかじめ本人の同意を得ずに第三者に個人データを提供してはならない。
  • 事業者の保有する個人データに関し、本人からの求めがあった場合には、その開示を行わなければならない。
  • 事業者が保有する個人データの内容が事実でないという理由で本人から個人データの訂正や削除を求められた場合、訂正や削除に応じなければならない。
  • 個人情報の取扱いに関する苦情を、適切かつ迅速に処理しなければならない。

匿名加工情報とは

  匿名加工情報とは、個人情報を加工して、通常人の判断をもって、個人を特定することができず、かつ、加工する前の個人情報へと戻すことができない状態にした情報のことです。
  匿名加工情報には、個人情報に関するルールは適用されず、一定の条件の下、本人の同意をとらなくても自由に利活用することができます。これにより、新事業や新サービスの創出や、国民生活の利便性の向上が期待されます。

  事業者は、匿名加工情報を作成する場合、第三者に提供する場合、第三者から受領する場合における各ルールを守る必要があります。

(1)匿名加工情報を作成する場合
  • 適正な加工
  • 削除した情報や加工の方法に関する情報の漏洩を防止するための安全管理措置
  • 匿名加工情報に含まれる情報の項目の公表
  • 加工前の個人情報における本人の特定禁止
  • 苦情の処理等(努力義務)
(2)匿名加工情報を第三者に提供する場合
  • 匿名加工情報に含まれる情報の項目と提供の方法の公表
  • 提供先に対する匿名加工情報であることの明示
(3)匿名加工情報を第三者から受領した場合
  • 加工前の個人情報における本人の特定禁止
  • 加工方法の取得禁止
  • 苦情の処理等(努力義務)

罰則等

  なお、個人情報保護委員会は、個人情報取扱事業者や匿名加工情報取扱事業者に対し、個人情報の取扱に関し報告させることができ、また、個人情報取扱事業者や匿名加工情報取扱事業者が上記の義務に違反している場合などには、当該事業者に対し、必要な措置をとるべきことを命じることができます。個人情報保護委員会の命令に違反した場合や、報告義務に違反した場合には、以下の罰則が科せられます。

  • 個人情報保護委員会の命令に違反した場合
    6ヶ月以下の懲役 又は 30万円以下の罰金
  • 報告義務に違反した場合 30万円以下の罰金