クラウド活用のための情報セキュリティサイト

個人情報取扱事業者の責務とは?基礎知識と罰則などを解説

個人情報の取扱事業者は、個人情報の取扱方法や義務を課している個人情報保護法に基づき、顧客やクライアントなどの個人情報を適切に管理しなければなりません。

仮に、個人情報が漏洩したり、盗用した場合には、個人情報保護法違反として、指導や勧告、罰金などに処せられる可能性があります。

個人情報取扱事業者は、取得した個人情報が漏洩・盗用されないよう注意する必要があります。

今回は、個人情報取扱事業者の責務の種類や各義務の詳細について詳しくお伝えしていきます。

オンライン・クラウドストレージ「DirectCloud」へ
情報漏えいリスクに効く、
セキュリティ対策ツールは?
  • 個人情報や機密情報を取り扱う企業様におすすめの「DirectCloud-SHIELD」。
    DirectCloudのオプションとして利用することで、情報漏えいの防止に効果を発揮します。

1. 個人情報保護法とは

個人情報保護法とは、個人情報を取り扱う際のルールを定める法律です。

急速な情報化の発展により、個人情報を活用するニーズは高まっていますが、それに伴い個人情報漏えいや濫用、盗用などの危険性も高まりつつあります。

これを防止するために成立したのが「個人情報保護法」です。

2005年4月に制定した法律で、一定の要件を満たす事業者は、この法律の規制対象となります。

2. 個人情報取扱事業者とは

個人情報取扱事業者とは、個人情報保護法第16条2項に「個人情報データベースなどを事業の用に供している者」と定められています(国の機関・地方公共団体・独立行政法人等・地方独立行政法人を除く)。

そして、「個人情報データベース」とは、個人情報を含む情報の集合物で以下のものを指します。

  • ① 特定の個人情報を電子計算機を用いて検索することができるように体系的に構成したもの
  • ② 前号に掲げるもののほか、特定の個人情報を容易に検索することができるように体系的に構成したものとして政令で定めるもの

引用元:個人情報保護法第16条1項1号、2号

平成27年に5,000人未満の個人情報を保有する小規模事業者の除外規定は廃止されたため、実際のところ、ほとんどの個人・企業・団体はこの定義に含まれていると考えてよいでしょう。

3. 個人情報取扱事業者の義務について

個人情報取扱事業者の義務は、以下のものがあります。

  • ① 個人情報の利用に関する義務
  • ② 個人情報の取得に関する義務
  • ③ 個人データの管理に関する義務
  • ④ 個人データの第三者提供に関する義務
  • ⑤ 個人データに関する本人の権利への対応義務
  • ⑥ 個人情報の取り扱いに関する苦情処理の努力義務
  • ⑦ 仮名加工情報の取り扱いに関する義務
  • ⑧ 匿名加工情報の取り扱いに関する義務
  • ⑨ 個人関連情報の取り扱いに関する義務

この記事では、特に重要な①個人情報の利用、②個人情報の取得、③個人データの管理について解説します。

3-1. 個人情報の利用に関する義務

個人情報の利用に際し、下記のポイントを遵守する必要があります。

  • ・利用目的の特定(個人情報保護法第17条)
  • ・目的外利用の禁止(同法第18条)
  • ・不適正な利用の禁止(同法第19条)

3-1-1. 利用目的の特定

個人情報取扱事業者は、個人情報を取り扱うに当たり、利用目的をできる限り特定しなければなりません。

ただし、変更前の利用目的と合理的な関連性が認められる範囲内で、利用目的の変更が認められています。

3-1-2. 目的外利用の禁止

事前に本人の同意を得ないで、当初の目的以外での個人情報の利用は原則として禁止されています。

3-1-3. 不適正な利用の禁止

違法・不当な行為を助長する可能性や誘発するおそれがある方法での個人情報の利用は禁止されています。

そのため、適切な方法での個人情報利用が求められています。

3-2. 個人情報の取得に関する義務

個人情報は、以下の規定に留意して取得する必要があります。

  • ・適正な取得(個人情報保護法第20条)
  • ・利用目的の通知・公表(同法第21条)

3-2-1. 適正な取得

個人情報取扱事業者は、不正な手段により、個人情報を取得してはなりません。

また、「要配慮個人情報」を取得する際には、原則として本人から事前の同意を得る必要があります。

要配慮個人情報の詳細については、こちらをご参照ください。

参考:個人情報保護委員会「「要配慮個人情報」とはどのようなものを指しますか。また「要配慮個人情報」にかかる留意点は何でしょうか。」

3-2-2. 利用目的の通知・公表

個人情報を取得した場合は、あらかじめ利用目的を公表している場合を除き、利用目的を速やかに本人へ通知または公表しなければなりません。

なお、利用目的を変更した場合も同様に通知または公表する必要があります。

そして、契約の相手方から個人情報を取得する場合は、利用目的を事前に直接明示する必要があります。

3-3. 個人データの管理に関する義務

まず「個人データ」とは、個人情報データベースなどを構成する個人情報のことを指します(個人情報保護法第16条3項)。

そして、個人情報取扱事業者は個人データを管理する際に、以下のポイントを遵守する必要があります。

  • ・データ内容の正確性の確保(個人情報保護法第22条)
  • ・安全管理措置(同法第23条)
  • ・従業員の監督(同法第24条)
  • ・委託先の監督(同法第25条)
  • ・情報漏洩などの報告(同法第26条)

3-3-1. データ内容の正確性の確保

利用目的達成に必要な範囲内で、個人データを正確・最新の内容で維持する必要があります。

また、個人データを利用する必要がなくなった場合には、該当の個人データを遅滞なく削除するように努めなければなりません。

3-3-2. 安全管理措置

個人情報取扱事業者は、個人データの漏えい・滅失・毀損がされないよう、必要かつ適切な措置を行う必要があります。

3-3-3. 従業員の監督

従業員に個人データを扱わせる際には、その従業員に対して、安全管理のために必要で適切な監督を行う必要があります。

3-3-4. 委託先の監督

個人データの取扱いを全部または一部を委託する場合は、その個人データの安全管理が図られるよう、受託者に対して必要かつ適切な監督を行わなければなりません。

3-3-5. 情報漏洩などの報告

以下の個人データが漏えい・滅失・毀損した場合には、原則として個人情報保護員会への報告および本人へ通知する必要があります。

  • ・要配慮個人情報が含まれる個人データ
  • ・不正利用により財産的被害が生じるおそれがある個人データ
  • ・不正な目的をもって漏えいなどが行われたおそれがある個人データ
  • ・本人の数が1,000人を超える個人データ

個人情報取扱事業者は、安全かつ適切な方法での個人情報管理が求められています。

個人情報の取り扱いには十分に注意して取り組むことが大切です。

4. 仮名加工情報の取り扱いへの義務

仮名加工情報とは、「他の情報と照合しない限りは特定の個人を特定できない状態の情報」(個人情報保護法第2条5項)のことです。2022年4月1日より導入されました。

個人情報取扱事業者に対しては、仮名加工情報の取り扱いに対して以下のような規定があるため、留意する必要があります。

  • ① 個人情報保護委員会規則による加工方法(個人情報保護法第41条1項)
  • ② 安全管理措置(同法同条2項)
  • ③ 目的外利用の制限(同法同条3項)
  • ④ 利用目的の公表(同法同条4項)
  • ⑤ 消去の努力義務(利用の必要性がなくなった場合、同法同条5項)
  • ⑥ 第三者提供の制限(同法同条6項)
  • ⑦ 識別行為の禁止(同法同条7項)
  • ⑧ 営業目的での利用禁止(同法同条8項)
  • ⑨ 第三者提供の制限(同法第42条1項)

5. 匿名加工情報の取り扱いへの義務

匿名加工情報とは、「特定の個人を識別することができないように個人データを加工し、個人情報を復元できない状態にした情報」(個人情報保護法第2条6項)のことを指します。

仮名加工情報に比べ、規制は緩やかですが、以下の規定に注意する必要があります。

  • ① 個人情報保護委員会規則による加工方法(個人情報保護法第43条1項)
  • ② 安全管理措置(同法同条2項)
  • ③ 個人に関する情報項目の公表(同法同条3項)
  • ④ 第三者提供時の公表(同法同条4項、同法第44条)
  • ⑤ 識別行為の禁止(同法第43条5項、同法第45条)
  • ⑥ 安全管理措置・苦情処理措置および公表の努力義務(同法第43条6項、同法第46条)

6. 仮名加工情報と匿名加工情報の主な違い

匿名加工情報は完全に復元ができないため、自社にとっても非個人情報となります。

しかし、仮名加工情報は照合すれば個人を特定できるため、原則として従来通り個人情報として扱われます。

この点が匿名加工情報と仮名加工情報の主な違いです。

7. 個人情報取扱事業者の義務に違反した場合の罰則

個人情報取扱事業者が、義務に違反した場合、以下の罰則に処せられる可能性があります。

  • ・個人情報保護委員会の行政指導・行政処分
  • ・刑事罰

7-1. 個人情報保護委員会の行政指導・行政処分

初めに、個人情報取扱事業者の義務に違反している疑いのある事業者は、個人情報保護員会より報告要求や立入検査(個人情報の取り扱いに関する質問・帳簿書類の確認・物件の検査など)を受ける可能性があります(個人情報保護法第146条)。

その結果、違反が明らかになった場合には、個人情報保護員会からの指導・助言、勧告を受ける可能性があります(同法第147条、148条1項)。

そして、勧告に従わなかった場合、個人情報保護員会による「措置命令」の対象となり、事業者名・命令の内容などが公表される場合があります。

7-2. 刑事罰

行政指導・行政処分以外にも、一部の違反は刑事罰の対象となる可能性があります。

違反行為 法定刑
措置命令違反(同法第178条) 1年以下の懲役または100万円以下の罰金
※法人の両罰規定(1億円以下の罰金)
個人情報データベース等の不正目的による提供・盗用(同法第179条) 1年以下の懲役または50万円以下の罰金
※法人の両罰規定(1億円以下の罰金)
個人情報保護員会による報告義務違反・検査拒否(同法第182条) 50万円以下の罰金
※法人の両罰規定(50万円以下の罰金)

万が一、個人情報漏えい・滅失・毀損などが発生してしまった場合には、適切な方法で対応することが重要です。

8. まとめ|個人情報の取り扱いは厳重に行うこと

このように、個人情報を杜撰に取り扱うことは、法律違反につながり、企業の社会的な信用を著しく損なうことにも繋がりかねません。

そのため、個人情報を取り扱う個人情報取扱事業者に該当する全ての個人・企業・団体は、間違いが起こらないように丁寧にデータを取り扱い、情報セキュリティ対策も含めたさまざまな施策を事前に考案しておくとよいでしょう。

なお、「DirectCloud」には、情報漏洩リスクを最小限に抑える「DirectCloud-SHIELD IRM/DLP」、「ランサムウェア対策(全プラン標準搭載)」、「デバイス認証」、「二要素認証」、「162種類の管理者操作ログ取得」など、豊富なセキュリティ機能を備えています。

顧客の個人情報といった重要な情報を管理する際には、クラウドストレージなどにデータを統合し、安全な状態で活用することがポイントです。

オンライン・クラウドストレージ「DirectCloud」へ
情報漏えいリスクに効く、
セキュリティ対策ツールは?
  • 個人情報や機密情報を取り扱う企業様におすすめの「DirectCloud-SHIELD」。
    DirectCloudのオプションとして利用することで、情報漏えいの防止に効果を発揮します。