今回は、個人情報保護法を勉強しようということで、個人情報取扱事業者に課せられる義務の全体像について見てみたいと思います。
ではさっそく。なお、引用部分の太字、下線、改行などは管理人によるものです。
メモ
カテゴリー「会社法務」では、インハウスとしての法務経験からピックアップした、管理人の独学や経験の記録を綴っています。
ネット上の読み物としてざっくばらんに書いており、感覚的な理解を掴むことを目指していますが、書籍などを理解する際の一助になれば幸いです。
個人情報取扱事業者(法16条2項)
個人情報保護法では、個人情報を扱う事業者を個人情報取扱事業者と呼び、個人情報に関して義務が課せられる主体としている。
個人情報取扱事業者の定義は法16条2項で定められており、個人情報データベース等を事業の用に供している者、とされている。
▽法16条2項
2 この章及び第六章から第八章までにおいて「個人情報取扱事業者」とは、個人情報データベース等を事業の用に供している者をいう。ただし、次に掲げる者を除く。
一 国の機関
二 地方公共団体
三 独立行政法人等
四 地方独立行政法人
また、以前は、取り扱う個人情報の数が5000人分以下の場合、個人情報取扱事業者から除外されていたが、現在は、個人情報の数にかかわらず該当するようになっている。
▽ガイドラインQ&A1-50
個人情報を取り扱う件数が少ない事業者も個人情報取扱事業者に該当しますか。
個人情報データベース等を事業の用に供している者であれば、当該個人情報データベース等を構成する個人情報によって識別される特定の個人の数の多寡にかかわらず、個人情報取扱事業者に該当します。
なお、平成27年改正の施行(平成29年5月30日)前においては、5000人分以下の個人情報しか取り扱っていない者は、個人情報取扱事業者から除外されていましたが、施行後はこれらの者も個人情報取扱事業者に該当することとなりますので、注意が必要です。
個人情報取扱事業者の義務(法第4章第2節)
個人情報保護法は、個人に関する情報を、①「個人情報」、②「個人データ」、③「保有個人データ」に分類し、その分類に従って、段階的な義務を個人情報取扱事業者に課すという仕組みになっている(①→②→③の順に義務が多くなっていく)。
また、④要配慮個人情報については、一部の義務を厳格化するという扱いになっている。
以上をまとめると、以下の表のようになる。
| 個人情報取扱事業者の義務 | 個人情報 | 個人データ | 保有個人データ | 要配慮個人情報 |
|---|---|---|---|---|
| 17条(利用目的の特定) | ○ | ○ | ○ | |
| 18条(利用目的による制限) | ○ | ○ | ○ | |
| 19条(不適正な利用の禁止) | ○ | ○ | ○ | |
| 20条(適正な取得) | ○ | ○ | ○ | 厳格化 |
| 21条(取得に際しての利用目的の通知等) | ○ | ○ | ○ | |
| 40条(個人情報取扱事業者による苦情の処理) | ○ | ○ | ○ | |
| 22条(データ内容の正確性の確保等) | ○ | ○ | ||
| 23条(安全管理措置) | ○ | ○ | ||
| 24条(従業者の監督) | ○ | ○ | ||
| 25条(委託先の監督) | ○ | ○ | ||
| 26条(漏えい等の報告等) | ○ | ○ | 厳格化 | |
| 27条(第三者提供の制限) | ○ | ○ | 厳格化 | |
| 28条(外国にある第三者への提供の制限) | ○ | ○ | ||
| 29条(第三者提供に係る記録の作成等) | ○ | ○ | ||
| 30条(第三者提供を受ける際の確認等) | ○ | ○ | ||
| 32条(保有個人データに関する事項の公表等) | ○ | |||
| 33条(開示) | ○ | |||
| 34条(訂正等) | ○ | |||
| 35条(利用停止等) | ○ | |||
| 36条(理由の説明) | ○ | |||
| 37条(開示等の請求等に応じる手続) | ○ | |||
| 38条(手数料) | ○ | |||
| 39条(事前の請求) | ○ |
そのため、上記の仕組みを踏まえたうえで、
個人情報のそれぞれの定義を把握する
→「個人情報」「個人データ」「保有個人データ」「要配慮個人情報」の各定義
「個人情報」に関する義務を把握する
→表の青色ハイライト部分
「個人データ」に上積みされる義務を把握する
→表の黄色ハイライト部分
「保有個人データ」に上積みされる義務を把握する
→表の赤色ハイライト部分
「要配慮個人情報」に関して厳格化される義務を把握する
→表の該当部分
という風にすると、個人情報保護法の基本構造はひと通り頭に入る、ということになる。
結び
今回は、個人情報保護法を勉強しようということで、個人情報取扱事業者に課せられる義務の全体像について見てみました。
[注記]
本記事を含む一連の勉強記事は、過去の自分に向けて、①自分の独学や経験の記録を見せる、②感覚的な理解を伝えることを優先する、③細かく正確な理解は書物に譲る、ということをコンセプトにした読みものです。ベテランの方が見てなるほどと思うようなことは書かれていないほか、業務上必要であるときなど、正確な内容については別途ご確認ください。また、法改正をはじめとした最新の情報を反映しているとは限りませんので、ご注意ください。
個人情報保護法に関するその他の勉強記事
参考文献・主要法令等
参考文献
主要法令等
- 個人情報保護法(「個人情報の保護に関する法律」)
- 個人情報保護法施行令(「個人情報の保護に関する法律施行令」)
- 個人情報保護法施行規則(「個人情報の保護に関する法律施行規則」)
- 通則ガイドライン(「個人情報の保護に関する法律についてのガイドライン(通則編)」)
- 外国提供ガイドライン(「個人情報の保護に関する法律についてのガイドライン(外国にある第三者への提供編)」)
- 確認・記録ガイドライン(「個人情報の保護に関する法律についてのガイドライン(第三者提供時の確認・記録義務編)」)
- ガイドラインQ&A(「『個人情報の保護に関する法律についてのガイドライン』に関するQ&A」)
- 令和3年パブコメ(令和3年8月2日付「『個人情報の保護に関する法律についてのガイドライン(通則編、外国にある第三者への提供編、第三者提供時の確認・記録義務編及び匿名加工情報編)の一部を改正する告示』等に関する意見募集の結果について」)
- 金融ガイドライン(「金融分野における個人情報保護に関するガイドライン」)
- 電気通信ガイドライン(「電気通信事業における個人情報保護に関するガイドライン」)