🧑‍💻Literacy / HR

《 iパス用語解説》個人情報取扱事業者とは何か。大まかな説明付き。IT / ICT Glossary「IT担当者からのファーストリポート」

Kawamura
個人情報取扱事業者
SHARE:

「IT / ICT Glossary」シリーズでは、主に国家資格「ITパスポート(iパス)」に関連した用語を解説致します。

iパスの学習範囲は「企業と法務」など、システム以外の分野も含まれていますので、業種・職種に関わらず、社会生活を送る上で、とても参考になると考えています。

今回のキーワードは「個人情報取扱事業者」です。

大まかに説明すると

「個人情報取扱事業者」とは、「個人情報データベース等」(検索可能な名簿など)を事業のために利用している企業や団体を指します。個人情報保護法で定められたルールの遵守が義務付けられています。

ITパスポート試験で最も重要なポイントは、法改正により「5,000人分以下の情報しか扱わない事業者は対象外」というルールが撤廃された点です。

現在は、事業の規模に関わらず、たとえ1人分の情報であっても個人情報データベース等を扱っていれば、原則として「すべて」の事業者がこの法律の対象となります。

はじめに

「個人情報保護法」というの法律のルールを「具体的に誰が守らなければならないのか」を示す重要な用語、「個人情報取扱事業者」について解説します

個人情報取扱事業者とは?

「個人情報取扱事業者」とは、その名の通り、「個人情報」を仕事(事業)のために扱っている事業者(会社、お店、団体など)のことです。

もう少し正確に言うと、「個人情報データベース等」を事業のために利用している者を指します。

「個人情報データベース等」とは、特定の個人情報をコンピュータなどで簡単に検索できるように整理したものです(例:Excelの顧客名簿、会員管理システム)。

紙の名簿でも、目次などがあって探しやすくなっていれば、これに含まれます。

【重要】法改正で「すべての事業者」が対象に!

絶対に覚えておいてほしい非常に重要なポイントがあります。

以前(2017年の法改正前)は、 「5,000人分以下の個人情報しか扱っていない小さな事業者は、この法律の対象外」というルールがありました。

しかし、現在(法改正後)は、 この「5,000人ルール」は撤廃されました。

つまり、たとえ1人分でも個人情報データベース等を事業で扱っていれば、近所の小さな商店であろうと、大企業であろうと、原則としてすべての事業者が「個人情報取扱事業者」として法律を守る義務を負います。

試験では、「5,000人以下の事業者は対象外である」といった古い知識を問う「ひっかけ問題」が出される可能性が非常に高いです。

必ず「現在は規模に関わらず、すべての事業者が対象」と覚えてください。

「事業者」には誰が含まれる?

「事業者」というと会社(株式会社など)だけをイメージするかもしれませんが、法律上の範囲はもっと広いです。

  • 営利企業(株式会社、個人商店など)
  • 非営利組織(NPO法人、財団法人、社団法人など)

これらがすべて含まれます。

ただし、国の機関、地方公共団体(都道府県や市町村)、独立行政法人などは、この法律の「個人情報取扱事業者」とは別の区分けで、専用のルール(または準ずるルール)が適用されます。

個人情報取扱事業者の「義務」とは?

では、個人情報取扱事業者になると、具体的にどんな義務が発生するのでしょうか?

これは、「個人情報保護法」の基本ルールそのものです。

  1. 利用目的の特定・通知:何に使うかを明確にし、本人に伝える。
  2. 適正な取得:不正な方法で情報を集めない。
  3. 安全管理措置:情報が漏れないように、しっかり管理する(これがITセキュリティと直結します)。
  4. 従業員・委託先の監督:社員や、業務を外部に委託した先(例:データ入力会社)が、情報を適切に扱うよう監督する。
  5. 第三者提供の制限:原則、本人の同意なしに他人に情報を渡さない。
  6. 開示・訂正などの対応:本人から「情報を教えて」「直して」と言われたら、対応する。
  7. 漏えい時の報告:もし情報が漏れてしまったら、国(個人情報保護委員会)や本人に報告する。

これらの義務を怠ると、国(個人情報保護委員会)から指導や命令を受けたり、場合によっては罰則が科されたりします。

まとめ

「個人情報取扱事業者」とは、「個人情報データベース等」を仕事で使う、ほぼすべての会社やお店のことです。

最大のポイントは、「5,000人ルール」は撤廃され、現在は事業の規模に関わらず、すべての事業者が個人情報保護法を守る義務があるという点です。

この法改正後の正しい知識が問われますので、しっかりと押さえておきましょう。

本キーワードの関連情報

今回のキーワードは、ITパスポート試験シラバスの、以下カテゴリに分類されています。
試験のご参考にもなれば幸いです。

カテゴリ:ストラテジ系 / 大分類1「企業と法務」 / 中分類2「法務」

5. セキュリティ関連法規

目標「代表的なセキュリティ関連法規の概要を理解する。」

説明1「我が国のサイバーセキュリティに関する施策の基本となる事項等を定めたサイバーセキュリティ基本法があることを知り、その概要を理解する。」
説明2「実際に被害がなくても罰することができる、不正アクセス禁止法(不正アクセス行為の禁止等に関する法律)があることを知り、その概要を理解する。」
説明3「パーソナルデータ、個人情報、個人データの違いを理解する。」
説明4「その他、情報セキュリティに関連する各種法律の概要を理解する。」

(3) 個人情報保護法(個人情報の保護に関する法律)

  • 保護の対象となる個人情報、適用される事業者、義務規定など。

参考・引用元資料

【ITパスポート試験】試験内容・出題範囲
https://www3.jitec.ipa.go.jp/JitesCbt/html/about/range.html

ここまで読んで頂いて、誠にありがとうございます。今後ともどうぞよろしくお願い致します。

System Teams
あなたへのおすすめ