今回は、個人情報保護法ということで、個人情報取扱事業者に課せられる義務の全体像について見てみたいと思います。
前提として、「個人情報取扱事業者」の意味も確認してみます。
ではさっそく。なお、引用部分の太字、下線、改行などは管理人によるものです。
メモ
このカテゴリーでは、インハウスとしての法務経験からピックアップした、管理人の独学や経験の記録を綴っています。
ネット上の読み物としてざっくばらんに書いており、感覚的な理解を掴むことを目指していますが、書籍などを理解する際の一助になれば幸いです。
個人情報取扱事業者とは(法16条2項)
個人情報保護法では、個人情報を扱う事業者を「個人情報取扱事業者」と呼び、個人情報に関して義務が課せられる主体としています。
個人情報取扱事業者の定義は法16条2項で定められており、
個人情報データベース等を事業の用に供している者
とされています。
▽個情法16条2項
2 この章及び第六章から第八章までにおいて「個人情報取扱事業者」とは、個人情報データベース等を事業の用に供している者をいう。ただし、次に掲げる者を除く。
一 国の機関
二 地方公共団体
三 独立行政法人等
四 地方独立行政法人
「個人情報データベース等」とは、文字どおり個人情報のデータベースのことですが、くわしい内容は以下の関連記事で解説しています。
-
-
個人情報保護法|「個人データ」「保有個人データ」の定義を解説~検索性・体系的構成など
続きを見る
なお、以前は、取り扱う個人情報の数が5000人分以下の場合、個人情報取扱事業者から除外されていましたが、現在は個人情報の数にかかわらず該当するようになっています。
▽ガイドラインQ&A1-50
個人情報を取り扱う件数が少ない事業者も個人情報取扱事業者に該当しますか。
個人情報データベース等を事業の用に供している者であれば、当該個人情報データベース等を構成する個人情報によって識別される特定の個人の数の多寡にかかわらず、個人情報取扱事業者に該当します。
なお、平成27年改正の施行(平成29年5月30日)前においては、5000人分以下の個人情報しか取り扱っていない者は、個人情報取扱事業者から除外されていましたが、施行後はこれらの者も個人情報取扱事業者に該当することとなりますので、注意が必要です。
個人情報取扱事業者に課せられる義務(法第4章第2節)
個人情報保護法は、個人に関する情報を
- 「個人情報」
- 「個人データ」
- 「保有個人データ」
に分類し、その分類に従って段階的な義務を個人情報取扱事業者に課す、という仕組みになっています(①→②→③の順に義務が多くなっていく)。
また、④要配慮個人情報については一部の義務を厳格化するという扱いになっています。
これらをイメージしやすいように表でまとめると、以下のようになります。
| 個人情報取扱事業者の義務 | 個人情報 | 個人データ | 保有個人データ | 要配慮個人情報 |
|---|---|---|---|---|
| 個人情報に関する義務: 法17条(利用目的の特定)~21条(取得に際しての利用目的の通知等)、40条(個人情報取扱事業者による苦情の処理) | 〇 | 〇 | 〇 | 20条につき厳格化 |
| 個人データに関する義務: 法22条(データ内容の正確性の確保等)~30条(第三者提供を受ける際の確認等) | 〇 | 〇 | 26条、27条につき厳格化 | |
| 保有個人データに関する義務: 法32条(保有個人データに関する事項の公表等)~39条(事前の請求) | 〇 |
このように、個人情報→個人データ→保有個人データの順に、義務が多くなっていきます。またそれとは別に、要配慮個人情報にあたるときは一部の義務が厳格化します。
そのため、個人情報保護法に初めて手を付ける際は、上記の仕組みを踏まえたうえで、段階ごとに義務の内容を把握するのが有効です。
つまり、以下のようなイメージで進めていくと、頭に入りやすくなるように思います(管理人の個人的経験)。
補足:全体を箇条書きにすると
先ほどの表ではひとまとめにしていますが、それぞれの義務を箇条書きにすると以下のとおりです。
👉 個人情報に関する義務
- 17条(利用目的の特定)
- 18条(利用目的による制限)
- 19条(不適正な利用の禁止)
- 20条(適正な取得)
- 21条(取得に際しての利用目的の通知等)
- 40条(個人情報取扱事業者による苦情の処理)
👉 個人データに関する義務
- 22条(データ内容の正確性の確保等)
- 23条(安全管理措置)
- 24条(従業者の監督)
- 25条(委託先の監督)
- 26条(漏えい等の報告等)
- 27条(第三者提供の制限)
- 28条(外国にある第三者への提供の制限)
- 29条(第三者提供に係る記録の作成等)
- 30条(第三者提供を受ける際の確認等)
👉 保有個人データに関する義務
- 32条(保有個人データに関する事項の公表等)
- 33条(開示)
- 34条(訂正等)
- 35条(利用停止等)
- 36条(理由の説明)
- 37条(開示等の請求等に応じる手続)
- 38条(手数料)
- 39条(事前の請求)
結び
今回は、個人情報保護法ということで、個人情報取扱事業者に課せられる義務の全体像について見てみました。
個人情報保護法の関連記事一覧はこちら
-
-
個人情報保護 - 法律ファンライフ
houritsushoku.com
[注記]
本記事を含む一連の勉強記事は、過去の自分に向けて、①自分の独学や経験の記録を見せる、②感覚的な理解を伝えることを優先する、③細かく正確な理解は書物に譲る、ということをコンセプトにした読みものです。ベテランの方が見てなるほどと思うようなことは書かれていないほか、業務上必要であるときなど、正確な内容については別途ご確認ください。また、法改正をはじめとした最新の情報を反映しているとは限りませんので、ご注意ください。
個人情報保護法に関するその他の記事(≫Read More)
主要法令等・参考文献
主要法令等
- 個人情報保護法(「個人情報の保護に関する法律」)
- 個人情報保護法施行令(「個人情報の保護に関する法律施行令」)
- 個人情報保護法施行規則(「個人情報の保護に関する法律施行規則」)
- 通則ガイドライン(「個人情報の保護に関する法律についてのガイドライン(通則編)」)
- 外国提供ガイドライン(「個人情報の保護に関する法律についてのガイドライン(外国にある第三者への提供編)」)
- 確認・記録ガイドライン(「個人情報の保護に関する法律についてのガイドライン(第三者提供時の確認・記録義務編)」)
- ガイドラインQ&A(「『個人情報の保護に関する法律についてのガイドライン』に関するQ&A」)
- 令和3年パブコメ(令和3年8月2日付「『個人情報の保護に関する法律についてのガイドライン(通則編、外国にある第三者への提供編、第三者提供時の確認・記録義務編及び匿名加工情報編)の一部を改正する告示』等に関する意見募集の結果について」)
- 金融ガイドライン(「金融分野における個人情報保護に関するガイドライン」)
- 電気通信ガイドライン(「電気通信事業における個人情報保護に関するガイドライン」)
参考文献
当サイトではアフィリエイトプログラムを利用して商品・サービスを記載しています
参考文献image
※注:「個人情報保護法の解説」には第三次改訂版があります
