個人情報保護法が改正により、5,000件要件が撤廃され、すべての個人情報取扱事業者が個人情報保護法の適用を受けます(個人情報取扱事業者参照)。そこで、個人情報取扱事業者の義務の概略を説明します。
- 1. 個人情報取扱事業者の義務
- 1.1. ①利用目的の特定、利用目的による制限(17条、18条)
- 1.2. ②適正な取得(20条)
- 1.3. ③取得に際しての利用目的の通知等(21条)
- 1.4. ④データ内容の正確性の確保(22条)
- 1.5. ⑤安全管理措置(23条)
- 1.6. ⑥従業者の監督、委託先の監督(24、25条)
- 1.7. ⑦第三者提供の制限(27条)
- 1.8. ⑧外国にある第三者提供の制限(28条)
- 1.9. ⑨第三者提供に係る記録の作成(29条)
- 1.10. ⑩第三者提供を受ける際の確認(26条)
- 1.11. ⑪保有個人データに関する事項の公表(30条)
- 1.12. ⑫開示、訂正、利用停止(33条~35条)
- 1.13. ⑬個人情報取扱事業者による苦情処理(40条)
- 1.14. ⑭匿名加工情報の作成(43条)
個人情報取扱事業者の義務
個人情報取扱事業者の義務として、次の①~⑭までが規定されています。そのうち、④~⑩に関しては、個人データに限定した義務です。
①利用目的の特定、利用目的による制限(17条、18条)
個人情報を取得する際に、個人情報の利用目的を特定する必要があります(→個人情報の利用目的の特定)。そして、特定した利用目的に従って個人情報を利用しなければなりません(→個人情報の利用目的による制限)。
②適正な取得(20条)
そもそも、個人情報を不正に入手してはならない義務を負います(→個人情報の取得)。また、要配慮個人情報については、本人の同意を得ることなく取得することは原則としてできません。
③取得に際しての利用目的の通知等(21条)
個人情報を取得する際は、あらかじめ本人にその利用目的を明示する必要があります(→個人情報の利用目的の通知・公表)。
④データ内容の正確性の確保(22条)
利用目的達成に必要な範囲において、個人データを正確かつ最新の内容に保つように努めなければなりません(→個人データの正確性確保)。利用する必要がなくなった場合は遅滞なく個人データを消去する努力義務があります。
⑤安全管理措置(23条)
個人データの管理について安全管理措置を講じなければなりません(→安全管理措置の話し)。安全管理措置の内容は様々なものが考えられ、事業者の規模に応じて、適切な措置を講じる必要があります。
⑥従業者の監督、委託先の監督(24、25条)
個人データの利用について、従業者や委託先を監督する必要があります。(→安全管理措置の話し)
⑦第三者提供の制限(27条)
個人データを第三者に提供する場合、本人の同意を得るか、オプトアウトの措置を取ることが必要です(→個人データの第三者提供)。
⑧外国にある第三者提供の制限(28条)
外国の第三者に個人データを提供する場合は、原則として、あらかじめ、本人の同意を得る必要があります(→個人データの越境移転)。
⑨第三者提供に係る記録の作成(29条)
個人データを第三者に提供した場合、①提供した年月日、②提供した第三者の氏名・名称等を記録する必要があります(→個人データの第三者提供と記録の作成)。
⑩第三者提供を受ける際の確認(26条)
第三者から個人データの提供を受ける場合、①提供を受ける第三者の氏名・名称、②個人データ取得の経緯を確認する必要があります(→個人データの第三者提供を受けた際の確認等の義務)。
⑪保有個人データに関する事項の公表(30条)
保有個人データに関して、利用目的等を公表する必要があります。本人からの請求により遅滞なく回答することでも足りるとされています(→保有個人データに関する事項の公表)。
⑫開示、訂正、利用停止(33条~35条)
本人から請求があった場合、個人情報の開示、訂正、利用停止に応じなければなりません(→保有個人データの訂正等請求)。
⑬個人情報取扱事業者による苦情処理(40条)
個人情報の取扱いに関する苦情について、適切かつ迅速な処理に努める必要があります。
⑭匿名加工情報の作成(43条)
匿名加工情報を作成する場合、①特定の個人を識別できない、②作成に用いる個人情報を復元できないように加工しなければなりません。