個人情報保護

個人情報保護法を勉強しよう|個人情報取扱事業者の義務

今回は、個人情報保護法を勉強しようということで、個人情報取扱事業者に課せられる義務の全体像について見てみたいと思います。

前提として、個人情報取扱事業者の意味も確認してみます。

ではさっそく。なお、引用部分の太字、下線、改行などは管理人によるものです。

メモ

 このカテゴリーでは、インハウスとしての法務経験からピックアップした、管理人の独学や経験の記録を綴っています。
 ネット上の読み物としてざっくばらんに書いており、感覚的な理解を掴むことを目指していますが、書籍などを理解する際の一助になれば幸いです。

個人情報取扱事業者とは(法16条2項)

個人情報保護法では、個人情報を扱う事業者を「個人情報取扱事業者」と呼び、個人情報に関して義務が課せられる主体としています。

個人情報取扱事業者の定義は法16条2項で定められており、

個人情報データベース等を事業の用に供している者

とされています。

▽法16条2項

 この章及び第六章から第八章までにおいて「個人情報取扱事業者」とは、個人情報データベース等を事業の用に供している者をいう。ただし、次に掲げる者を除く。
一 国の機関
二 地方公共団体
三 独立行政法人等
四 地方独立行政法人

個人情報データベース等」とは、文字どおり個人情報のデータベースのことですが、くわしい内容は以下の関連記事に書いています。

なお、以前は、取り扱う個人情報の数が5000人分以下の場合、個人情報取扱事業者から除外されていましたが、現在は個人情報の数にかかわらず該当するようになっています。

▽ガイドラインQ&A1-50

 個人情報を取り扱う件数が少ない事業者も個人情報取扱事業者に該当しますか。

 個人情報データベース等を事業の用に供している者であれば、当該個人情報データベース等を構成する個人情報によって識別される特定の個人の数の多寡にかかわらず、個人情報取扱事業者に該当します。
 なお、平成27年改正の施行(平成29年5月30日)前においては、5000人分以下の個人情報しか取り扱っていない者は、個人情報取扱事業者から除外されていましたが、施行後はこれらの者も個人情報取扱事業者に該当することとなりますので、注意が必要です。

個人情報取扱事業者に課せられる義務(法第4章第2節)

個人情報保護法は、個人に関する情報を

  • 個人情報
  • 個人データ
  • 保有個人データ

に分類し、その分類に従って段階的な義務を個人情報取扱事業者に課す、という仕組みになっています(①→②→③の順に義務が多くなっていく)。

また、④要配慮個人情報については一部の義務を厳格化するという扱いになっています。

イメージしやすいように表でまとめると、以下のようになります。

個人情報取扱事業者の義務個人情報個人データ保有個人データ要配慮個人情報
法17条(利用目的の特定)~21条(取得に際しての利用目的の通知等)、40条(個人情報取扱事業者による苦情の処理)20条につき厳格化
法22条(データ内容の正確性の確保等)~30条(第三者提供を受ける際の確認等)26条、27条につき厳格化
法32条(保有個人データに関する事項の公表等)~39条(事前の請求)

個人情報→個人データ→保有個人データの順に、義務が多くなっていきます。またそれとは別に、要配慮個人情報にあたるときは一部の義務が厳格化します。

表ではひとまとめにしていますが、それぞれの内容を箇条書きにすると以下のとおりです

  • 17条(利用目的の特定)
  • 18条(利用目的による制限)
  • 19条(不適正な利用の禁止)
  • 20条(適正な取得)
  • 21条(取得に際しての利用目的の通知等)
  • 40条(個人情報取扱事業者による苦情の処理)
  • 22条(データ内容の正確性の確保等)
  • 23条(安全管理措置)
  • 24条(従業者の監督)
  • 25条(委託先の監督)
  • 26条(漏えい等の報告等)
  • 27条(第三者提供の制限)
  • 28条(外国にある第三者への提供の制限)
  • 29条(第三者提供に係る記録の作成等)
  • 30条(第三者提供を受ける際の確認等)
  • 32条(保有個人データに関する事項の公表等)
  • 33条(開示)
  • 34条(訂正等)
  • 35条(利用停止等)
  • 36条(理由の説明)
  • 37条(開示等の請求等に応じる手続)
  • 38条(手数料)
  • 39条(事前の請求)

そのため、個人情報保護法を学習する際は、上記の仕組みを踏まえたうえで、

  • 個人情報のそれぞれの定義を把握する
    →「個人情報」「個人データ」「保有個人データ」「要配慮個人情報」の定義
  • 個人情報に関する義務を把握する
    →表の「個人情報」の部分
  • 個人データに上積みされる義務を把握する
    →表の「個人データ」の部分
  • 保有個人データに上積みされる義務を把握する
    →表の「保有個人データ」の部分
  • 要配慮個人情報に関して厳格化される義務を把握する
    →表の「要配慮個人情報」の部分

というふうにしていくと、基本構造がひと通り頭に入ることになります。

結び

今回は、個人情報保護法を勉強しようということで、個人情報取扱事業者に課せられる義務の全体像について見てみました。

[注記]
本記事を含む一連の勉強記事は、過去の自分に向けて、①自分の独学や経験の記録を見せる、②感覚的な理解を伝えることを優先する、③細かく正確な理解は書物に譲る、ということをコンセプトにした読みものです。ベテランの方が見てなるほどと思うようなことは書かれていないほか、業務上必要であるときなど、正確な内容については別途ご確認ください。また、法改正をはじめとした最新の情報を反映しているとは限りませんので、ご注意ください。

個人情報保護法に関するその他の記事(≫カテゴリページ

個人情報保護

個人情報保護法を勉強しよう|第三者提供の制限

個人情報保護

個人情報保護法を勉強しよう|要配慮個人情報とは

個人情報保護

個人情報保護法を勉強しよう|個人情報に関する義務

個人情報保護

個人情報保護法を勉強しよう|法制の全体像とOECD8原...

個人情報保護

個人情報保護法を勉強しよう|要配慮個人情報に関する義務

主要法令等・参考文献

主要法令等

リンクをクリックすると、e-Gov又は個人情報保護委員会HPの掲載ページに遷移します
  • 個人情報保護法(「個人情報の保護に関する法律」)
  • 個人情報保護法施行令(「個人情報の保護に関する法律施行令」)
  • 個人情報保護法施行規則(「個人情報の保護に関する法律施行規則」)
  • 通則ガイドライン(「個人情報の保護に関する法律についてのガイドライン(通則編)」)
  • 外国提供ガイドライン(「個人情報の保護に関する法律についてのガイドライン(外国にある第三者への提供編)」)
  • 確認・記録ガイドライン(「個人情報の保護に関する法律についてのガイドライン(第三者提供時の確認・記録義務編)」)
  • ガイドラインQ&A(「『個人情報の保護に関する法律についてのガイドライン』に関するQ&A」)
  • 令和3年パブコメ(令和3年8月2日付「『個人情報の保護に関する法律についてのガイドライン(通則編、外国にある第三者への提供編、第三者提供時の確認・記録義務編及び匿名加工情報編)の一部を改正する告示』等に関する意見募集の結果について」)
【特定分野ガイドライン】

-個人情報保護