「個人情報取扱事業者」(個人情報保護法2条5項)とは、「個人情報データベース等を事業の用に供している者」をいいます。
「事業の用に供している」とは、事業者がその事業のために個人情報を利用していれば足り、利用方法は問いません。
「個人データ」を取り扱っているすべての民間事業主体が「個人情報取扱事業者」に該当すると考えて差し支えないと言い得ます。
取扱件数や営利性の有無に「個人情報取扱事業者」の該非は左右されませんし、従業員の「個人情報データベース等」のみを保有しているにすぎない場合であっても、これを事業の用に供していれば個人情報取扱事業者」に該当します。
また、委託先が委託元から提供された「個人情報データベース等」を利用する場合も、委託先は「個人情報取扱事業者」に該当します。
個人情報保護法第21条 個人情報取扱事業者は、その従業者に個人データを取り扱わせるに当たっては、当該個人データの安全管理が図られるよう、当該従業者に対する必要かつ適切な監督を行わなければならない。
「従業者」とは、個人情報取扱事業者の組織内にあって事業者の指揮監督を受けて事業者の業務に従事している者をいいます。
雇用関係にある従業員(いわゆる正社員、契約社員、パート・アルバイト等)だけなく、取締役等の役員や派遣労働者も「従業者」に該当します(個人情報保護委員会「個人情報の保護に関する法律についてのガイドライン(通則編)」pp41-42)。
「従業者」というと雇用関係にある者(=従業員)を指すように思われる方もいらっしゃるかもしれませんが、以上のとおり、従業員でなくとも「従業者」に該当します。
個人情報取扱事業者は、法20条にいう「個人データの安全管理のために必要かつ適切な措置を講じ」る一環として、従業者に対して必要かつ適切な監督を行わなければならないとされています。
前記ガイドラインpp41-42によると、「個人データが漏えい等をした場合に本人が被る権利利益の侵害の大きさを考慮し、事業の規模及び性質、個人データの取扱状況(取り扱う個人データの性質及び量を含む。)等に起因するリスクに応じて、個人データを取り扱う従業者に対する教育、研修等の内容及び頻度を充実させるなど、必要かつ適切な措置を講ずることが望ましい」とされています。
前記ガイドラインp42によると、従業者に対する必要かつ適切な監督を行っていない事例は、次のような事例とされています。
個人情報保護委員会「『個人情報の保護に関する法律についてのガイドライン』及び『個人データの漏えい等の事案が発生した場合等の対応について』に関するQ&A」p27(A4-6)によると、従業者に対する監督の一環として、個人データを取り扱う従業者を対象とするモニタリングについては、次の点に留意することが考えられるとされています。
なお、「モニタリングに関して、個人情報の取扱いに係る重要事項等を定めるときは、あらかじめ労働組合等に通知し必要に応じて協議を行うことが望ましく、また、その重要事項等を定めたときは、従業者に周知することが望ましいと考えられ」ています(前記Q&A p27(A4-6))。
受付: 10:00~18:00 / 土日祝を除く