会社における個人情報の取り扱い – カツの会社事務入門

Last Updated on 2025年7月29日 by 勝

個人情報保護法に基づく取り扱い
定義
個人情報取扱事業者とは
個人情報取扱事業者が守るべきルール
ガイドライン
マイナンバーとの関連

個人情報保護法に基づく取り扱い

個人情報保護法は、個人情報を保有する事業者が遵守すべき義務などを定めた法律です。個人情報を取り扱う全ての事業者や組織が守らなければならない共通のルールを定めています。

個人情報保護法は、個人情報の適正かつ効果的な活用が新たな産業の創出並びに活力ある経済社会及び豊かな国民生活の実現に資するものであることその他の個人情報の有用性に配慮しつつ、個人の権利利益を保護することを目的としています。（第１条）

定義

個人情報とは、生存する個人に関する情報であって、次の各号のいずれかに該当するものをいいます。（第２条）

一　当該情報に含まれる氏名、生年月日その他の記述等
（氏名、生年月日、住所、顔写真などにより特定の個人を識別できる情報をいいます。）

二　個人識別符号が含まれるもの
（身体の一部の特徴を電子処理のために変換した符号で、顔認証データ、指紋認証データ、虹彩、声紋、歩行の態様、手指の静脈、掌紋などのデータ。サービス利用や書類において利用者ごとに割り振られる符号で、パスポート番号、基礎年金番号、運転免許証番号、住民票コード、マイナンバー、保険者番号など）

要配慮個人情報とは、本人の人種、信条、社会的身分、病歴、犯罪の経歴、犯罪により害を被った事実その他本人に対する不当な差別、偏見その他の不利益が生じないようにその取扱いに特に配慮を要するものとして政令で定める記述等が含まれる個人情報をいいます。

個人情報取扱事業者とは

個人情報取扱事業者とは、個人情報データベース等を事業の用に供している者をいいます。個人情報データベース等とは、個人情報を含む情報の集合物をいいます。（第１６条）

法人に限定されず、営利・非営利の別は問わないため、個人事業主やNPO、町内会等もこれに該当します。

関連記事：個人情報取扱事業者って何？分かりやすく解説します

個人情報取扱事業者が守るべきルール

利用目的の明確化・利用目的による制限

個人情報取扱事業者は、個人情報を取り扱うに当たっては、その利用の目的をできる限り特定しなければならない。（第１７条）

個人情報取扱事業者は、あらかじめ本人の同意を得ないで、前条の規定により特定された利用目的の達成に必要な範囲を超えて、個人情報を取り扱ってはならない。（第１８条）

個人情報の適正な取得・利用目的の通知、公表

個人情報取扱事業者は、偽りその他不正の手段により個人情報を取得してはならない。（第２０条）

個人情報取扱事業者は、個人情報を取得した場合は、あらかじめその利用目的を公表している場合を除き、速やかに、その利用目的を、本人に通知し、又は公表しなければならない。（第２１条）

個人情報の取得

利用目的の特定個人情報を得るには、利用目的を具体的に特定し、それを公表または本人に通知しなければなりません。

また、同窓会名簿の作成など、あらかじめ個人情報を第三者に提供することを想定している場合があります。この場合には、「会員名簿を作成し名簿に掲載される会員に対して配布するため」と利用目的を示さなければなりません。

通知した利用目的以外には利用できません。例えば商品発送のために知った住所氏名に自社商品のダイレクトメールを送ることはできません。ただし、取得時の目的と関連性があれば一定の範囲内で利用目的を変更できる。また、本人の同意を得ればよい。などの例外があります。直接の目的から外れる利用をするときは、許される場合かどうか確認をしましょう。

個人情報取扱事業者は、偽りその他不正の手段により個人情報を取得してはなりません

さらに、要配慮個人情報というものがあります。これは、人種や信条、病歴、前科などの他、身体の障害や健康診断の結果のような情報をいい、一般の個人情報より一段高い保護対象になります。

個人情報の利用目的等を公表しなければなりません。

関連記事：プライバシーポリシー

個人情報の利用

個人情報は、違法又は不当な行為を助長し、又は誘発するおそれがある方法により利用してはなりません。

「要配慮個人情報」を取得するときはあらかじめ本人の同意が必要です。

取得した個人情報は、利用目的の範囲で利用しなければなりません。

取得している個人情報を、特定した利用目的の範囲外のことに利用する場合、あらかじめ本人の同意が必要です。

個人情報の安全管理措置・従業者、委託先の適切な監督

安全管理措置

個人情報の漏えい、滅失又はき損の防止その他の個人情報の安全管理のために、以下の措置を講じなければなりません。

具体的にはガイドラインで示されています。（個人情報保護委員会のホームページに掲載されています。）

ガイドラインでは、「講ずべき安全管理措置の内容」として以下の項目を示しています。そこでは「講じなければならない措置」の「手法の例示」が示されています。併せて、「中小規模事業者における手法の例示」も示されています。

基本方針の策定

個人情報取扱事業者は、個人データの適正な取扱いの確保について組織として取り組むために、基本方針を策定することが重要です。

個人データの取扱いに係る規律の整備

個人情報取扱事業者は、その取り扱う個人データの漏えい等の防止その他の個人データの安全管理のために、個人データの具体的な取扱いに係る規律を整備しなければなりません。

関連規程：個人情報保護規程のサンプル

規程は作成したらそれで終わりではありません。

１．従業員への周知と教育の徹底

規程を作成したら、必ず全員に配布し、内容を説明する研修を年に1回以上行いましょう。

「何を、なぜやるのか」を理解してもらうことが、実効性を高める一番の近道です。

新入社員には入社時研修で必ず説明し、誓約書を取り交わしましょう。

２．チェックリストの活用

規程の内容を基に、簡単なチェックリスト（例：退社時に机上を片付け、施錠したか？パソコンはロックしたか？など）を作成し、毎日実践できるように促しましょう。

３．定期的な見直し

法律の改正や、自社の業務内容の変化に合わせて、規程も定期的に見直しましょう。

４．記録を残す

従業員への教育実施記録、事故発生時の対応記録、外部委託先の選定記録など、個人情報保護に関する記録は残しておきましょう。何かあった時に、適切に措置を講じていたことの証明になります。

小規模企業でも、具体的な規程を整備し、日々の業務の中で意識して運用することで、個人情報保護法の要請に応え、お客様や取引先からの信頼を高めることができます。一歩ずつ、できることから進めていきましょう。

組織的安全管理措置

組織的安全管理措置とは、従業者の責任と権限を明確に定め、安全管理に対する規程や手順書を整備運用し、その実施状況を確認することをいいます。

人的安全管理措置

人的安全管理措置とは、従業者、役員等に対して、業務上秘密と指定された個人情報の非開示契約の締結や教育・訓練等を行うことをいいます。

物理的安全管理措置

物理的安全管理措置とは、入退室の管理、個人情報の盗難の防止等の措置をいいます。

関連記事：個人情報保護法の物理的安全管理措置とは？狭い事務所でもできる対策は？

技術的安全管理措置

技術的安全管理措置とは、個人情報及びそれを取り扱う情報システムへのアクセス制御、不正ソフトウェア対策、情報システムの監視等、個人情報に対する技術的な安全管理措置をいいます。

従業者や委託先においても、個人データの安全管理が図られるよう、必要かつ適切な監督を行わなければなりません。

漏えい等の報告義務

次のような漏えい等の事案が発生した場合、又は発生したおそれがある場合は、個人の権利や利益を侵害するおそれが大きいため、個人情報取扱事業者は、速やかに個人情報保護委員会に報告し、本人へ通知しなければいけません。

（1）要配慮個人情報の漏えい等
例　従業者の健康診断等の結果を含む個人データが漏えいした場合など（１件でも）
（2）財産的被害のおそれがある漏えい等
例　ECサイトからクレジットカード番号を含む個人データが漏えいした場合など（１件でも）
（3）不正の目的によるおそれがある漏えい等
例　不正アクセスにより個人データが漏えいした場合など（１件でも）
（4）１０００人を超える個人データの漏えい等

関連記事：個人情報漏えい、1件でも個人事業でも報告義務があるの？

関連記事：個人情報の漏えいって具体的にはどういうこと？