個人情報取扱事業者

個人情報保護法の義務は誰が負うのか。その名あて人を画定する基本概念が個人情報取扱事業者である。同法は、個人情報をデータベース化して事業に用いる者を個人情報取扱事業者と定め、利用目的の特定・通知、安全管理措置、第三者提供の制限、開示・訂正・利用停止請求への対応といった義務を課す。法人だけでなく個人事業主やNPОなども含まれ、取り扱う個人情報の数による適用除外は現在では廃止されている。国の行政機関・独立行政法人・地方公共団体については、令和三年の法改正で公的部門の規律が同法に一元化され、行政機関等として民間とは別建ての義務体系の下に置かれた。自治体が保有個人情報を扱う際の規律も、この一元化された個人情報保護法の枠組みに従う。

定義と適用範囲

個人情報取扱事業者は、個人情報保護法上、個人情報データベース等（個人情報を検索できるように体系的に構成したもの）を事業の用に供している者と定義される。ここでいう「事業」は営利・非営利を問わず、法人・個人事業主・NPО・自治会なども反復継続して個人情報データベースを用いていれば該当する。かつては取り扱う個人情報が五千件以下の小規模事業者を適用除外とする扱いがあったが、平成二十七年の改正で撤廃され、原則としてすべての事業者が義務の名あて人となった。個人情報取扱事業者には、利用目的をできる限り特定する義務、特定した利用目的の範囲を超えて取り扱わない義務、漏えい等を防ぐ安全管理措置を講じる義務、本人の同意なく第三者へ提供しない義務などが課される。

公的部門の一元化と行政機関等

令和三年の個人情報保護法改正により、それまで民間部門・国の行政機関・独立行政法人で別々の法律に分かれていた規律が、個人情報保護法に一本化された。これに伴い、国の行政機関・独立行政法人・地方公共団体・地方独立行政法人は「行政機関等」として、民間の個人情報取扱事業者とは別建ての義務体系の下に置かれた。地方公共団体については、従来は団体ごとの個人情報保護条例で規律していたものが、全国共通のルールとして同法に取り込まれ、条例で独自に上乗せできる範囲が限定された。自治体が保有する保有個人情報の取扱い、開示・訂正・利用停止請求への対応、漏えい等の報告なども、この行政機関等向けの規律に従って運用される。