個人情報保護法～個人情報取扱事業者の個人データに関する義務について

　個人情報保護法の対象となる事業者（個人情報取扱事業者）は、個人情報の漏えい事故などが起こらないよう、個人情報を適切に取り扱わなければなりません。

　本コラムでは、個人情報保護法２２条から３０条までで定められている個人情報取扱事業者の個人データに関する義務について解説いたします。

個人データの管理に関する義務

データ内容の正確性の確保・消去（法22条）

個人情報取扱事業者は、利用目的の達成に必要な範囲内において、個人データを正確かつ最新の内容に保つとともに、利用する必要がなくなったときは、当該個人データを遅滞なく消去するよう努めなければならない。

　個人情報取扱事業者は、利用目的の達成に必要な範囲内で、取り扱う個人データを正確かつ最新の内容に保つよう努めなければなりません。また、利用目的に照らして不要となったときは、個人データを遅滞なく消去するよう努める必要があります。なお、これは努力義務であり、３９条に基づき一部の適用除外規定もあります。

安全管理措置（法２３条）

個人情報取扱事業者は、その取り扱う個人データの漏えい、滅失又は毀損の防止その他の個人データの安全管理のために必要かつ適切な措置を講じなければならない。

　個人データの安全管理のために、必要かつ適切な措置を講じなければなりません。各事業者の業種・業態に応じて、適切な安全管理を具体的に講じる必要があります。この点、個人情報の保護に関する法律についてのガイドライン（通則編）10「（別添）講ずべき安全管理措置の内容」では、事業者は、取り扱う個人データの漏洩、滅失、毀損の防止その他の安全管理のために以下の４分野の措置を講じなければならないとしています。

1. 組織的安全管理措置　
2. 人的安全措置
3. 物理的安全措置
4. 技術的安全措置

従業者の監督（法２４条）

個人情報取扱事業者は、その従業者に個人データを取り扱わせるに当たっては、当該個人データの安全管理が図られるよう、当該従業者に対する必要かつ適切な監督を行わなければならない。

　従業者に個人データを取り扱わせる場合、当該従業者に対して、安全管理のために必要かつ適切な監督を行わなければなりません。ここでいう「従業員」とは、事業者の組織内にあって、直接・間接を問わず事業者の指揮監督を受けて事業者の業務に従事している者をいいます。正社員やアルバイトなどの雇用関係にある従業員のみならず、取締役や理事、派遣社員も含まれます。

委託先の監督（法２５条）

個人情報取扱事業者は、個人データの取扱いの全部又は一部を委託する場合は、その取扱いを委託された個人データの安全管理が図られるよう、委託を受けた者に対する必要かつ適切な監督を行わなければならない。

　個人データの取り扱いの全部または一部を委託する場合、委託先に対して、安全管理のために必要かつ適切な監督を行わなければなりません。委託契約書への記載が望まれる事項として以下が挙げられます。

• 委託元および委託先の責任の明確化
• 個人データの安全管理に関する事項
• 再委託に関する事項
• 個人データの取扱状況に関する委託元への報告及び頻度
• 契約内容が遵守されていることの確認
• 契約内容が遵守されなかった場合の措置
• セキュリティー事件・事故が発生した場合の報告・連絡に関する事項

漏えい等の報告・通知（法２６条）

個人情報取扱事業者は、その取り扱う個人データの漏えい、滅失、毀損その他の個人データの安全の確保に係る事態であって個人の権利利益を害するおそれが大きいものとして個人情報保護委員会規則で定めるものが生じたときは、個人情報保護委員会規則で定めるところにより、当該事態が生じた旨を個人情報保護委員会に報告しなければならない。ただし、当該個人情報取扱事業者が、他の個人情報取扱事業者又は行政機関等から当該個人データの取扱いの全部又は一部の委託を受けた場合であって、個人情報保護委員会規則で定めるところにより、当該事態が生じた旨を当該他の個人情報取扱事業者又は行政機関等に通知したときは、この限りでない。

２　前項に規定する場合には、個人情報取扱事業者（同項ただし書の規定による通知をした者を除く。）は、本人に対し、個人情報保護委員会規則で定めるところにより、当該事態が生じた旨を通知しなければならない。ただし、本人への通知が困難な場合であって、本人の権利利益を保護するため必要なこれに代わるべき措置をとるときは、この限りでない。

　以下の個人データについて漏えい・滅失・毀損等が発生した場合、原則として個人情報保護委員会への報告と本人への通知が義務付けられます。

• 要配慮個人情報が含まれるもの（高度の暗号化等がなされたものを除く）
• 不正利用により財産的被害が生じるおそれがあるもの
• 不正な目的をもって漏えい等が行われたおそれがあるもの
• 本人の数が１，０００人を超えるもの

個人データの第三者提供に関する義務

第三者提供の制限（法２７条）

個人情報取扱事業者は、次に掲げる場合を除くほか、あらかじめ本人の同意を得ないで、個人データを第三者に提供してはならない。
　一　法令に基づく場合
　二　人の生命、身体又は財産の保護のために必要がある場合であって、本人の同意を得ることが困難であるとき。
　三　公衆衛生の向上又は児童の健全な育成の推進のために特に必要がある場合であって、本人の同意を得ることが困難であるとき。
　四　国の機関若しくは地方公共団体又はその委託を受けた者が法令の定める事務を遂行することに対して協力する必要がある場合であって、本人の同意を得ることにより当該事務の遂行に支障を及ぼすおそれがあるとき。
　五　当該個人情報取扱事業者が学術研究機関等である場合であって、当該個人データの提供が学術研究の成果の公表又は教授のためやむを得ないとき（個人の権利利益を不当に侵害するおそれがある場合を除く。）。
　六　当該個人情報取扱事業者が学術研究機関等である場合であって、当該個人データを学術研究目的で提供する必要があるとき（当該個人データを提供する目的の一部が学術研究目的である場合を含み、個人の権利利益を不当に侵害するおそれがある場合を除く。）（当該個人情報取扱事業者と当該第三者が共同して学術研究を行う場合に限る。）。
　七　当該第三者が学術研究機関等である場合であって、当該第三者が当該個人データを学術研究目的で取り扱う必要があるとき（当該個人データを取り扱う目的の一部が学術研究目的である場合を含み、個人の権利利益を不当に侵害するおそれがある場合を除く。）。

２　個人情報取扱事業者は、第三者に提供される個人データについて、本人の求めに応じて当該本人が識別される個人データの第三者への提供を停止することとしている場合であって、次に掲げる事項について、個人情報保護委員会規則で定めるところにより、あらかじめ、本人に通知し、又は本人が容易に知り得る状態に置くとともに、個人情報保護委員会に届け出たときは、前項の規定にかかわらず、当該個人データを第三者に提供することができる。ただし、第三者に提供される個人データが要配慮個人情報又は第二十条第一項の規定に違反して取得されたもの若しくは他の個人情報取扱事業者からこの項本文の規定により提供されたもの（その全部又は一部を複製し、又は加工したものを含む。）である場合は、この限りでない。
　一　第三者への提供を行う個人情報取扱事業者の氏名又は名称及び住所並びに法人にあっては、その代表者（法人でない団体で代表者又は管理人の定めのあるものにあっては、その代表者又は管理人。以下この条、第三十条第一項第一号及び第三十二条第一項第一号において同じ。）の氏名
　二　第三者への提供を利用目的とすること。
　三　第三者に提供される個人データの項目
　四　第三者に提供される個人データの取得の方法
　五　第三者への提供の方法
　六　本人の求めに応じて当該本人が識別される個人データの第三者への提供を停止すること。
　七　本人の求めを受け付ける方法
　八　その他個人の権利利益を保護するために必要なものとして個人情報保護委員会規則で定める事項

３　個人情報取扱事業者は、前項第一号に掲げる事項に変更があったとき又は同項の規定による個人データの提供をやめたときは遅滞なく、同項第三号から第五号まで、第七号又は第八号に掲げる事項を変更しようとするときはあらかじめ、その旨について、個人情報保護委員会規則で定めるところにより、本人に通知し、又は本人が容易に知り得る状態に置くとともに、個人情報保護委員会に届け出なければならない。

４　個人情報保護委員会は、第二項の規定による届出があったときは、個人情報保護委員会規則で定めるところにより、当該届出に係る事項を公表しなければならない。前項の規定による届出があったときも、同様とする。

５　次に掲げる場合において、当該個人データの提供を受ける者は、前各項の規定の適用については、第三者に該当しないものとする。
　一　個人情報取扱事業者が利用目的の達成に必要な範囲内において個人データの取扱いの全部又は一部を委託することに伴って当該個人データが提供される場合
　二　合併その他の事由による事業の承継に伴って個人データが提供される場合
　三　特定の者との間で共同して利用される個人データが当該特定の者に提供される場合であって、その旨並びに共同して利用される個人データの項目、共同して利用する者の範囲、利用する者の利用目的並びに当該個人データの管理について責任を有する者の氏名又は名称及び住所並びに法人にあっては、その代表者の氏名について、あらかじめ、本人に通知し、又は本人が容易に知り得る状態に置いているとき。

６　個人情報取扱事業者は、前項第三号に規定する個人データの管理について責任を有する者の氏名、名称若しくは住所又は法人にあっては、その代表者の氏名に変更があったときは遅滞なく、同号に規定する利用する者の利用目的又は当該責任を有する者を変更しようとするときはあらかじめ、その旨について、本人に通知し、又は本人が容易に知り得る状態に置かなければならない。

　個人データの第三者提供を行う際には、原則として本人の事前同意が必要です。第三者提供とされるのは、資本関係や人的交流のない事業者間で個人データを提供する場合に限らず、親子会社間、グループ会社間での個人データの交換も含まれます。

外国にある第三者への提供の制限（法２８条）

個人情報取扱事業者は、外国（本邦の域外にある国又は地域をいう。以下この条及び第三十一条第一項第二号において同じ。）（個人の権利利益を保護する上で我が国と同等の水準にあると認められる個人情報の保護に関する制度を有している外国として個人情報保護委員会規則で定めるものを除く。以下この条及び同号において同じ。）にある第三者（個人データの取扱いについてこの節の規定により個人情報取扱事業者が講ずべきこととされている措置に相当する措置（第三項において「相当措置」という。）を継続的に講ずるために必要なものとして個人情報保護委員会規則で定める基準に適合する体制を整備している者を除く。以下この項及び次項並びに同号において同じ。）に個人データを提供する場合には、前条第一項各号に掲げる場合を除くほか、あらかじめ外国にある第三者への提供を認める旨の本人の同意を得なければならない。この場合においては、同条の規定は、適用しない。

２　個人情報取扱事業者は、前項の規定により本人の同意を得ようとする場合には、個人情報保護委員会規則で定めるところにより、あらかじめ、当該外国における個人情報の保護に関する制度、当該第三者が講ずる個人情報の保護のための措置その他当該本人に参考となるべき情報を当該本人に提供しなければならない。

３　個人情報取扱事業者は、個人データを外国にある第三者（第一項に規定する体制を整備している者に限る。）に提供した場合には、個人情報保護委員会規則で定めるところにより、当該第三者による相当措置の継続的な実施を確保するために必要な措置を講ずるとともに、本人の求めに応じて当該必要な措置に関する情報を当該本人に提供しなければならない。

　個人データの外国にある第三者提供を行う際には、個人情報保護法27条1項各号の場合を除いて本人の事前同意が必要です。単に第三者への提供についての同意では不十分で、外構にある事業者等への第三者提供であることについての同意が必要となります。

　外資系企業の日本法人が、本国の親会社に個人データを提供する場合は「外国にある第三者」にあたりますが、日系企業の東京支社が外資系企業の東京支社に個人データを提供する場合は「外国にある第三者」にあたりません。

第三者提供に係る記録の作成・保存（法２９条）

個人情報取扱事業者は、個人データを第三者（第十六条第二項各号に掲げる者を除く。以下この条及び次条（第三十一条第三項において読み替えて準用する場合を含む。）において同じ。）に提供したときは、個人情報保護委員会規則で定めるところにより、当該個人データを提供した年月日、当該第三者の氏名又は名称その他の個人情報保護委員会規則で定める事項に関する記録を作成しなければならない。ただし、当該個人データの提供が第二十七条第一項各号又は第五項各号のいずれか（前条第一項の規定による個人データの提供にあっては、第二十七条第一項各号のいずれか）に該当する場合は、この限りでない。

２　個人情報取扱事業者は、前項の記録を、当該記録を作成した日から個人情報保護委員会規則で定める期間保存しなければならない。

　個人データの第三者提供を行ったときは、提供年月日・提供先・本人特定事項・個人データの項目などに関する記録を作成し、原則として３年間保存する必要があります。

第三者提供を受ける際の確認およびその記録の作成・保存（法３０条）

個人情報取扱事業者は、第三者から個人データの提供を受けるに際しては、個人情報保護委員会規則で定めるところにより、次に掲げる事項の確認を行わなければならない。ただし、当該個人データの提供が第二十七条第一項各号又は第五項各号のいずれかに該当する場合は、この限りでない。
　一　当該第三者の氏名又は名称及び住所並びに法人にあっては、その代表者の氏名
　二　当該第三者による当該個人データの取得の経緯

２　前項の第三者は、個人情報取扱事業者が同項の規定による確認を行う場合において、当該個人情報取扱事業者に対して、当該確認に係る事項を偽ってはならない。

３　個人情報取扱事業者は、第一項の規定による確認を行ったときは、個人情報保護委員会規則で定めるところにより、当該個人データの提供を受けた年月日、当該確認に係る事項その他の個人情報保護委員会規則で定める事項に関する記録を作成しなければならない。

４　個人情報取扱事業者は、前項の記録を、当該記録を作成した日から個人情報保護委員会規則で定める期間保存しなければならない。

　第三者から個人データの提供を受ける際には、提供先の名称・住所と当該個人データの取得経緯を確認しなければなりません。また、確認記録を作成した上で、原則として３年間保存する必要があります。