個人情報取扱事業者とは

　個人情報を取り扱う事業者は、守らなければならない義務を定めた法律に基づいて、しっかりと顧客やクライアントなどの個人情報を遵守しなければなりません。

　本コラムでは、個人情報取扱事業者について解説いたします。

個人情報取扱事業者とは

この章及び第八章において「個人情報データベース等」とは、個人情報を含む情報の集合物であって、次に掲げるもの（利用方法からみて個人の権利利益を害するおそれが少ないものとして政令で定めるものを除く。）をいう。

一　特定の個人情報を電子計算機を用いて検索することができるように体系的に構成したもの

二　前号に掲げるもののほか、特定の個人情報を容易に検索することができるように体系的に構成したものとして政令で定めるもの

２　この章及び第六章から第八章までにおいて「個人情報取扱事業者」とは、個人情報データベース等を事業の用に供している者をいう。ただし、次に掲げる者を除く。

一　国の機関

二　地方公共団体

三　独立行政法人等

四　地方独立行政法人

個人情報保護法16条1項2項

　個人情報取扱事業者とは、上記のように「個人情報データベース等を事業の用に供している者」と定められています。また、「個人情報データベース等」とは、個人情報を含む情報の集合物であり、①特定の個人情報をコンピュータを用いて検索できるように体系的に構成したもの、又は②コンピュータを用いていない場合であっても、五十音順に索引を付して並べられた顧客カード等、個人情報を一定の規則に従って整理することにより特定の個人情報を容易に検索することができるよう体系的に構成したものであって、目次、索引、符号等により一般的に容易に検索可能な状態に置かれているものをいいます（個人情報保護法16条1項、個人情報保護法施行令4条2項）。

「事業の用に供している」とは

「事業の用に供している」とは、一定の目的をもって反復継続して遂行される同種の行為であって、かつ社会通念上事業と認められるものをいい、営利・非営利の別は問いません。多くの企業は、顧客や取引先企業の個人情報をリスト化して保存しているとおもわれますので、個人情報取扱事業者に該当します。また、個人であっても、個人情報取扱事業者に該当する場合もあります。

5,000件要件

　以前は事業のために使用している個人情報データベースに含まれる個人情報の数が5,000件を超えない場合は、「個人情報取扱事業者」に該当しないとされていました。

　しかし、2017年の改正によって5,000件の要件は撤廃されました。結果、中小企業を含めた多くが個人情報取扱事業者に該当することとなりました。