個人情報保護・IT
35,522 PV

個人情報取扱事業者とは?事業者が課される3つの義務を解説

##

はじめに

現在において、個人情報を取り扱っている事業者は数多く存在します。
事業で個人情報を取り扱う場合に気を付けなければならない規制の一つに「個人情報保護法」があります。

一定の要件を満たす事業者は「個人情報取扱事業者」として、個人情報保護法の規制対象となります。

今回は、この「個人情報取扱事業者」について、事業者にあたる条件や事業者が負う義務などをわかりやすく解説します。

1 個人情報取扱事業者の対象|5000件要件は撤廃


個人情報保護法は、「個人情報取扱事業者」について、以下のように定義しています。

    【個人情報保護法2条5項】

    この法律において「個人情報取扱事業者」とは、個人情報データベース等を事業の用に供している者をいう。


ここでいう「個人情報データベース等」とは、個人情報(氏名や生年月日といった一定の情報から特定の個人を識別でき、また、簡単に他の情報と照合することができ、特定の個人を識別できる情報)を含む情報の集合物であって、以下のいずれかにあてはまるものをいいます。

  1. パソコンなどを使って検索できるように体系的になっているもの
  2. 目次や索引などを用いて特定の個人情報を簡単に検索できるように体系的になっているもの


以前は、これに加え、個人情報の保有数にも条件があり、個人情報取扱事業者にあたるといえるためには、個人情報の保有数が5,000件以上であることが必要でした。
ですが、その後の法改正により、この条件は撤廃され、個人情報の保有数は条件ではなくなりました。

事業者が個人情報を取り扱う場合には、必要に応じてすぐに情報を取り出せるように管理されていることがほとんどだと考えられます。
そのため、ほとんどの事業者が「個人情報取扱事業者」にあたるということになります。

もっとも、国の機関や自治体などは適用除外となっていますので、個人情報取扱事業者にはあたりません。

2 個人情報取扱事業者に課される義務


個人情報取扱事業者は、「個人データ(個人情報データベース等を構成する個人情報)」という大変重要な情報を取り扱うことになるため、さまざまな義務を課されることになります。
以下では、その中でも重要な義務について、見ていきます。

  1. 利用目的の特定
  2. 安全管理措置義務
  3. 第三者提供の制限

3 利用目的の特定


個人情報取扱事業者は、個人情報を利用するにあたって、可能なかぎり、個人情報の利用目的を特定しなければなりません。
たとえば、「事業に利用するため」「サービス向上のため」といったように、利用目的が抽象的に過ぎると、利用目的を特定しているとはいえません。
利用目的ができるだけ明確になっている方が、個人情報を利用される本人にとって望ましいということはいうまでもありません。

利用目的を特定した際には、あらかじめ利用目的を公表している場合を除き、その利用目的を本人に通知または公表しなければなりません。


また、サービスの変更などに伴い、個人情報の利用目的に変更が生じる場合があります。
利用目的を変更する場合に、事業者が自由に変更することを許してしまうと、本人にとって想定外の使われ方をされる可能性があります。
そのため、利用目的の変更は、変更前の利用目的と関連性のある範囲でしかできないことになっています。

なお、利用目的を変更した場合も、原則として、変更後の利用目的を本人に通知または公表する必要があります。

4 安全管理措置義務


個人情報取扱事業者は、個人データの安全管理のために必要な措置を講じなければなりません。
そのために、従業員を適切に監督することが義務付けられ、また、個人データの取り扱いを外部に委託する場合には、受託者への適切な監督も義務付けられています。

「個人情報が漏えいした」というニュースを見たことがある方は多いと思います。
個人情報が漏えいしてしまうと、悪用されるおそれもあるため、本人にとっては一大事です。

また、一度個人情報が漏えいしてしまうと、その事業者に対する信用は一気に下がり、信用回復には多くの時間を要します。
そのまま、信用回復できずに事業をやめざるを得なくなるケースもあります。

このような事態を招かないためにも、事業者にとって、安全管理措置義務は非常に重要な義務のうちの一つなのです。

5 第三者提供の制限


個人情報取扱事業者は、一部の例外を除いて、個人情報を第三者に提供する場合にはあらかじめ本人の同意を得る必要があります。
自分のあずかり知らないところで、第三者に個人情報を提供されてしまうと、悪用されるのではないかなどと不安になります。
このように、個人情報に係る本人を保護するために、第三者提供に対しては一定の制限が設けられており、このような仕組みを「オプトイン」といいます。

たとえば、グループ会社や子会社であれば、第三者にはあたらないだろうと考える方もいるかもしれませんが、これは間違いです。
グループ会社や子会社も「第三者」にあたるため、個人情報を提供するためには、あらかじめ本人の同意を得る必要があります。

もっとも、以下のとおり、本人の同意を得ずに個人情報を第三者に提供できる場合があります。

(1)本人の同意を得ることが不合理である場合

たとえば、プロバイダ責任制限法には本人の同意を得ずに個人情報を第三者に提供できるとする規定が存在します。
このように、他の法令で認められている場合には、本人の同意を得ることなく個人情報を第三者に提供することが可能です。

また、事前に本人の同意を得ることが困難なケースもあります。
たとえば、交通事故により意識不明となった被害者の情報を医療機関に伝えるような場合が挙げられます。

このような場合には、本人の同意を求めることがかえって不合理であるといえ、本人の同意を得ずに個人情報を第三者に提供することができます。

(2)オプトアウトの場合

オプトアウト」とは、一定の要件などを満たすことにより、本人の同意を得ずに個人情報を第三者提供でき、本人から苦情が入った場合に提供できなるくなるという仕組みをいいます。

オプトアウトによって第三者提供をするためには、以下の2つの要件を満たしていなければなりません。

  1. 本人から求められた場合は第三者提供を停止すること
  2. 一定事項を本人に通知もしくは本人が知ることが容易な状態にしておくこと

ここでは、特に「2」が問題となりますが、ここでいう「一定事項」とは、第三者提供を利用目的とする旨や第三者に提供される個人データの項目、第三者への提供方法などが挙げられます。

また、ここでいう一定事項については、個人情報保護委員会に届出をしなければならないことにも注意が必要です。

更に、届け出をするだけではなく、誰に第三者提供をしたか(あるいはどのような態様で第三者提供したのか)が明らかになるよう、第三者提供に係る確認・記録義務(法第25条)を履行する必要があります。

こういった規制を知らなかったことによって知らずに法令違反行為につながる行為をしてしまう可能性もありますので、十分な注意が必要です。

6 まとめ

5000件要件が撤廃されたことにより、現在では、個人情報を取り扱う事業者の多くが個人情報取扱事業者にあたります。
個人情報は、本人にとっては非常に大切な情報であるため、事業者は慎重に慎重を重ねて取り扱う必要があります。

個人情報保護法では、情報に係る本人の権利利益を保護するために、事業者に対してさまざまな義務を課しています。
各規制を正確に理解したうえで、個人情報を適切に運用・管理していくことが求められます。

弊所は、ビジネスモデルのブラッシュアップから法規制に関するリーガルチェック、利用規約等の作成等にも対応しております。
弊所サービスの詳細や見積もり等についてご不明点がありましたら、ぜひお気軽にお問い合わせください。


なお、記事の内容は投稿時の法令・制度に基づいており、投稿後に法改正等がなされている可能性があります。
記事をご参考にされる際は、必ずご自身の責任において最新情報をご確認下さい。

勝部 泰之 (Yasuyuki Katsube)

弁護士(35487 / 東京弁護士会)。証券会社勤務時代に携わったシステム開発案件を中心に、決済、暗号資産、特許関連法務を多く手掛ける。また、エンジェル投資家としてスタートアップ企業の成長を多角的にサポートする活動も行う。 George Washington University Law School (LL.M.・知財専攻) 卒業(2016)。経済産業省 中小企業庁主催 適正取引講習会 「下請法(実践編)」講師(2024)

"個人情報保護・IT"の人気記事はこちら
"個人情報保護・IT"の最新記事はこちら
TOPCOURTコミュニティに参加しませんか?
あなたのビジネスや法的なお悩みを気軽にお話ください。私たちがすぐにフォローアップいたします。
お問い合わせ