クラウド活用のための情報セキュリティサイト

個人情報取扱事業者の責務とは?基礎知識と罰則などを解説

個人情報を取り扱う事業者は、守らなければならない義務を定めた法律に基づいて、しっかりと顧客やクライアントなどの個人情報を遵守しなければなりません。今回は、個人情報取扱事業者の責務について詳しくお伝えしていきます。

オンライン・クラウドストレージ「DirectCloud」へ
情報漏えいリスクに効く、
セキュリティ対策ツールは?
  • 個人情報や機密情報を取り扱う企業様におすすめの「DirectCloud-SHIELD」。
    DirectCloudのオプションとして利用することで、情報漏えいの防止に効果を発揮します。

個人情報保護法とは

個人情報保護法とは、個人情報を取り扱う事業者が守らなければならない規制について定めた法律のことを指します。2005年4月に制定された法律で、一定の要件を満たす事業者は、この法律の規制対象となります。なお、2022年4月に改定法が施行される予定です。

個人情報取扱事業者とは

個人情報取扱事業者とは、個人情報保護法第2条第3項で「個人情報データベースなどの事業の用に供している者」と定められています。平成27年に5,000人未満の個人情報を保有する小規模事業者の除外規定は廃止されたため、実際のところ、ほとんどの個人・企業・団体はこの定義に含まれていると考えて良いでしょう。

個人情報取扱事業者の責務について

個人情報取扱事業者の具体的な責務については、以下の通りです。

安全管理措置義務

個人情報保護法にて、第20条の安全管理措置の項目で「個人情報取扱事業者は、その取り扱う個人データの漏えい、滅失又はき損の防止その他の個人データの安全管理のために必要かつ適切な措置を講じなければならない。」と規定されています。

このように、個人情報取扱事業者は、個人データの安全管理のために、必要な措置を講ずる責務があります。また、個人データの取扱について外部委託を実施する場合には、受託者への適切な監督責任も義務付けられています。

第三者提供の制限

個人情報保護法では、第23条にて「あらかじめ本人の同意を得ないで、個人データを第三者に提供してはならない」と定めています。例えば、親子兄弟の会社やグループ会社の間で、個人情報のデータ交換を行う場合などは第三者提供にあたるため、本人の同意が必要です。

ただし、同一社間の他の部署などに個人のデータ交換を行う場合には、第三者提供には当たらないとされています。また、本人から個人情報のデータ交換の停止を求められた場合は、訂正や削除を速やかに対応する必要があります。

その他、一定事項を本人に通知、もしくは本人が知ることが簡単にできる状態にしていくことも必要です。このような第三者提供に関する一定の制限がされる仕組みを「オプトイン」と呼びます。

一方、一定の条件を満たすことで本人の同意を得ずに個人情報を第三者提供でき、本人から苦情が入った場合にのみ提供できなくする「オプトアウト」と呼ばれる仕組みもあります。

オプトアウトでは、本人から求めがあった場合には第三者提供を停止すること、一定事項を本人に通知または本人が知ることが容易な状態にしておくことが条件となります。なお、ここで言及されている一定事項には、個人情報保護委員会に届け出をしなければならないことが含まれている点にも注意が必要です。さらに、第三者提供を誰にしたのかを明らかにするように、第三者提供にかかる確認及び記録義務があることも把握しておきましょう。

個人情報保護委員会とは、個人情報取扱事業者や特定加工情報取扱事業者などに対して、その管理状態や運用について報告させることのできる委員会のことを意味しています。

利用目的の特定

個人情報取扱事業者は、個人情報を利用するにあたって、可能なかぎり、個人情報の利用目的を特定及び開示しておく必要があります。例えば、事業に利用する、サービス精度の向上のために利用する、といった抽象的な内容では、利用目的を特定しているとは言えません。

また、提供するサービスの内容変更などに伴って、個人情報の利用についても変更を余儀なくされる場合もあります。その際に個人情報取扱事業者が自由に変更をしてしまうと本人にとって不利益につながる場合もあるため、個人情報の利用についての変更は、変更前の利用目的に関連している範囲でなければ認められないことも注意しなければなりません。

匿名加工情報について

匿名加工情報とは、特定の個人を識別することができないように個人データを加工しておき、復元することも不可能な状態にした情報のことを意味しています。

匿名加工情報は一定の決まりの中で、本人の同意を得ることなく事業者間でのデータに関する取引・連携を含む個人データの利活用を促進するために、個人情報保護法の改正によって新たに導入されたものです。

具体例としては、ポイントカードや交通系ICカードなどに蓄積された購買履歴や利用履歴を複数の企業で横断的に利活用することでイノベーションできる可能性がある場合、医療情報を活用した創薬や臨床分野の発展が見込める場合、その他、匿名加工情報の利活用によって国民生活全体の質の向上が期待できる場合などが挙げられます。

なお、個人情報をマスキング(シールなどで第三者に見えないように保護すること)しただけでは匿名加工情報にはならないため、注意が必要となります。

義務に違反した場合の罰則とは

個人情報取扱事業者は、前出の通り、個人情報のデータを安全に管理し、従業員及び外部委託先の監督も行わなければなりません。また、本人の同意を得ずに第三者にデータ提供や交換を行なってはならないとされています。

そのため、これらの義務に違反した場合、法律に基づいて罰則が課せられることになります。具体的には、不正な利益を測る目的で個人データを盗用した場合には、1年以下の懲役または50万円以下の罰金に処されます。また、個人情報保護委員会の命令に違反した場合には、6ヶ月以下の懲役または30万円以下の罰金に処されることになります。

個人情報の取り扱いは厳重に行うこと

このように、個人情報を杜撰に取り扱うことは、法律違反につながり、企業の社会的な信用を著しく損なうことにも繋がりかねません。そのため、個人情報を取り扱う個人情報取扱事業者に該当する全ての個人・企業・団体は、間違いが起こらないように丁寧にデータを取り扱い、情報セキュリティ対策も含めたさまざまな施策を事前に考案しておく必要があるのです。

オンライン・クラウドストレージ「DirectCloud」へ
情報漏えいリスクに効く、
セキュリティ対策ツールは?
  • 個人情報や機密情報を取り扱う企業様におすすめの「DirectCloud-SHIELD」。
    DirectCloudのオプションとして利用することで、情報漏えいの防止に効果を発揮します。