弁護士 野溝夏生

個人情報取扱事業者の義務(「安全管理措置」編)

個人情報取扱事業者の義務一覧

そもそも「個人情報取扱事業者」とは

「個人情報取扱事業者」(個人情報保護法2条5項)とは、「個人情報データベース等を事業の用に供している者」をいいます。
「事業の用に供している」とは、事業者がその事業のために個人情報を利用していれば足り、利用方法は問いません。
「個人データ」を取り扱っているすべての民間事業主体が「個人情報取扱事業者」に該当すると考えて差し支えないと言い得ます。
取扱件数や営利性の有無に「個人情報取扱事業者」の該非は左右されませんし、従業員の「個人情報データベース等」のみを保有しているにすぎない場合であっても、これを事業の用に供していれば個人情報取扱事業者」に該当します。
また、委託先が委託元から提供された「個人情報データベース等」を利用する場合も、委託先は「個人情報取扱事業者」に該当します。

安全管理措置(改正法20条)

個人情報保護法第20条 個人情報取扱事業者は、その取り扱う個人データの漏えい、滅失又は毀損の防止その他の個人データの安全管理のために必要かつ適切な措置を講じなければならない。

※ なお、改正は文言の「き損」が「毀損」に変更されたのみです。

「滅失又は毀損」

「滅失」とは、個人データが失われることをいい、「毀損」とは、個人データの内容が変わってしまったり、内容に変更がなくとも利用できない状態になったりしたことをいうとされています。

「個人データの安全管理のために必要かつ適切な措置」

個人情報保護委員会「個人情報の保護に関する法律についてのガイドライン(通則編)」p41には、次の記載がなされています。

 「当該措置は、個人データが漏えい等をした場合に本人が被る権利利益の侵害の大きさを考慮し、事業の規模及び性質、個人データの取扱状況(取り扱う個人データの性質及び量を含む。)、個人データを記録した媒体の性質等に起因するリスクに応じて、必要かつ適切な内容としなければならない。」

また、同ガイドラインpp86-98の別添「講ずべき安全管理措置の内容」には、安全管理措置として、個人情報取扱事業者が具体的に講じなければならない措置や当該措置を実践するための手法の例等が記載されています。
前記別添の内容をすべて記載するとなるとかなりの量となるため、講じなければならない措置として記載されている部分のみ、これを記載することとします。

なお、前記ガイドラインだけでなく、JIS Q 15001によって個人情報保護マネジメントシステムにおける要求事項が示されているほか、プライバシーマーク制度が認知・運用されています。

「講じなければならない」

19条とは異なり、本条は努力義務ではありません。

まずはお気軽にお問い合わせください。

03-3580-7110

受付: 09:30~18:30 / 土日祝を除く