ホーム企業・組織の対策組織幹部のための情報セキュリティ対策 > 個人情報取扱事業者の責務


個人情報取扱事業者の責務

  個人情報保護法は、個人の権利と利益を保護するために、2005年4月から全面施行された法律で、個人情報を保有する事業者が遵守すべき義務などを定めた法律です。

  「個人情報取扱事業者」とは、個人情報保護法第2条第3項において、「個人情報データベースなどを事業の用に供している者」と定義されています。また、「個人情報」とは、生存する個人に関する情報のことで、氏名、生年月日などのデータによって特定の個人を識別できる情報を指しています。なお、保有する個人情報の合計件数が5,000件を超えない小規模事業者については、個人情報取扱事業者から除外されています。

  個人情報保護法では、個人情報取扱事業者に対し、以下のことを義務付けています。

  • 個人情報を取り扱うに当たっては利用目的をできる限り特定し、原則として利用目的の達成に必要な範囲を超えて個人情報を取り扱ってはならない。
  • 個人情報を取得する場合には、利用目的を通知・公表しなければならない。なお、本人から直接書面で個人情報を取得する場合には、あらかじめ本人に利用目的を明示しなければならない。
  • 個人データを安全に管理し、従業員や委託先も監督しなければならない。
  • あらかじめ本人の同意を得ずに第三者に個人データを提供してはならない。
  • 事業者の保有する個人データに関し、本人からの求めがあった場合には、その開示を行わなければならない。
  • 事業者が保有する個人データの内容が事実でないという理由で本人から個人データの訂正や削除を求められた場合、訂正や削除に応じなければならない。
  • 個人情報の取扱いに関する苦情を、適切かつ迅速に処理しなければならない。

      なお、主務大臣は、個人情報取扱事業者に対し、個人情報の取扱に関し報告させることができ、また、個人情報取扱事業者が上記の義務に違反している場合などには、当該事業者に対し、必要な措置をとるべきことを命じることができます。主務大臣の命令に違反した場合や、報告義務に違反した場合には、以下の罰則が科せられます。

  • 主務大臣の命令に違反した場合 6ヶ月以下の懲役 又は 30万円以下の罰金
  • 報告義務に違反した場合 30万円以下の罰金