Scrap Notes

第4章前半 義務等 - 個人情報保護法

🤝 Written with AI Assistance最終更新日: 28 min read

個人情報保護法 第4章 個人情報取扱事業者等の義務等(第1節:第15条~第35条)

生成日: 2026-02-15 出典: 個人情報の保護に関する法律 重要度: ★★★(最重要・個人情報保護士試験頻出)

第1節 個人情報取扱事業者等の義務

第4章第1節は、個人情報保護法の最重要部分であり、データを保有する事業者がどのような義務を負うのかを規定しています。全21条(第15条~第35条)で構成され、以下の3つの層構造になっています:

  1. データ取扱いの基本原則(第15条~第20条)
  2. 事業者組織の内部統制(第21条~第26条)
  3. 本人の権利保護(第27条~第35条)

データ取扱いの基本原則(第15条~第20条)

第15条(利用目的の特定)

条文

個人情報取扱事業者は、個人情報を取り扱うに当たっては、その利用の目的をできる限り特定しなければならない。

分析

主体: 個人情報取扱事業者

要件: 個人情報を取り扱う場合

対象: 個人情報全般の利用目的

効果:

  • 利用目的を「できる限り特定」することが義務
  • 特定した目的の範囲内での利用が前提となる

例外:

  • 目的変更時:変更前の目的と「関連性を有すると合理的に認められる範囲」内での変更は可能

第16条(利用目的による制限)

条文

個人情報取扱事業者は、第15条の規定により特定された利用目的の達成に必要な範囲を超えて、個人情報を取り扱ってはならない。

分析

主体: 個人情報取扱事業者

要件: 利用目的が第15条で特定されている場合

対象: 個人情報の取扱い範囲

効果: 特定目的の達成に「必要な範囲」を超えた取扱いを禁止

例外:

  • 法令に基づく場合
  • 人の生命、身体又は財産の保護が必要な場合
  • 公衆衛生又は児童の健全な育成推進のため必要な場合
  • 国の機関又は地方公共団体が行う事務に協力する必要がある場合

第17条(適正な取得)

条文

個人情報取扱事業者は、偽りその他不正の手段により個人情報を取得してはならない。

分析

主体: 個人情報取扱事業者

対象: すべての個人情報(特に要配慮個人情報)

効果:

  • 詐欺的、不正な手段による取得を禁止
  • 要配慮個人情報は原則として本人の同意が必須

例外:

  • 法令に基づく場合
  • 人の生命、身体又は財産の保護が必要な場合
  • 公衆衛生又は児童の健全な育成のため必要な場合
  • 本人が同意を与えることが困難な場合で、本人の利益のために明らかに必要と認められる場合

第18条(取得に際しての利用目的の通知等)

条文

個人情報取扱事業者は、個人情報を取得したときは、速やかに、その利用の目的を本人に通知し、又は公表しなければならない。

分析

主体: 個人情報取扱事業者

要件: 個人情報を新たに取得した時点

対象: 利用目的の通知・公表

効果:

  • 取得後「速やかに」本人に通知するか公表すべき義務
  • 契約に際して取得する場合は「あらかじめ」本人に明示が必須

例外:

  • 本人から直接取得した場合で既に通知・公表されている場合
  • 緊急時で本人の生命身体財産保護が必要な場合
  • 書類等から書き写した情報で既に公表されている場合

第19条(データ内容の正確性の確保等)

条文

個人情報取扱事業者は、利用する個人データを正確かつ最新の内容に保つとともに、利用する必要がなくなったときは、当該個人データを遅滞なく消去するよう努めなければならない。

分析

主体: 個人情報取扱事業者

要件:

  • 個人データを利用している場合
  • 利用が不要になった場合

対象:

  • 個人データの正確性と鮮度
  • 不要データの消去

効果:

  • 「努力義務」として正確性・最新性の維持が求められる
  • 不要データは「遅滞なく」消去する努力義務

例外:

  • 法令で保存を求められている情報
  • 公益上の必要性がある場合

第20条(安全管理措置)

条文

個人情報取扱事業者は、個人データの漏えい、滅失又はき損の防止その他の個人データの安全管理のために必要かつ適切な措置を講じなければならない。

分析

主体: 個人情報取扱事業者

要件: 個人データを保有している場合

対象: 個人データ全般の安全管理

効果:

  • 「必要かつ適切な措置」の実施が義務
  • 漏えい防止、滅失防止、き損防止を目的とする具体的措置が必要
  • 組織的安全管理措置、人的安全管理措置、技術的安全管理措置の実装が実務上求められる

例外: なし(すべての事業者に適用される基本的義務)

事業者組織の内部統制(第21条~第26条)

第21条(従業者に対する監督)

条文

個人情報取扱事業者は、その従業者に個人データの安全管理が図られるよう、当該従業者に対する必要かつ適切な監督を行わなければならない。

分析

主体: 個人情報取扱事業者(雇用主)

要件: 従業者が個人データを扱う場合

対象: 従業者の監督・教育

効果:

  • 従業者に対する「必要かつ適切な監督」が義務
  • 教育、訓練、規則の策定等が実務的な措置
  • 従業者による不正な個人データ取扱いについて事業者は責任を負う

例外: なし

第22条(委託先に対する監督)

条文

個人情報取扱事業者は、個人データの取扱いを委託する場合には、その委託を受けた者に個人データの安全管理が図られるよう、委託先に対する必要かつ適切な監督を行わなければならない。

分析

主体: 個人情報取扱事業者(委託元)

要件: 個人データの処理を委託する場合

対象: 委託先(受託事業者)の監督

効果:

  • 委託先に対する「必要かつ適切な監督」が義務
  • 委託契約の締結、定期的な監査、報告徴収などが必要
  • 委託先の不正行為についても委託元が責任を負う可能性あり

例外: なし

第23条(第三者提供の制限)

条文

個人情報取扱事業者は、本人の同意を得ないで、個人データを第三者に提供してはならない。

分析

主体: 個人情報取扱事業者(個人データの保有者)

要件: 個人データを第三者に提供する場合

対象: 個人データの第三者提供

効果:

  • 原則として「本人の同意」が必須
  • 同意なしの提供は禁止

例外:

  • 法令に基づく場合
  • 人の生命、身体又は財産の保護のため必要な場合
  • 公衆衛生又は児童の健全な育成のため必要な場合
  • 国の機関又は地方公共団体が行う事務に協力する必要がある場合で本人の同意を得ることが支障となる場合
  • 併合、分社などで相手方が「同一の個人情報として利用」する場合
  • オプトアウト制度による提供(一定の事業者規模以上)

第24条(提供を受ける際の確認等)

条文

個人情報取扱事業者は、個人データの提供を受ける場合には、その提供者について、その者が本人の同意を得たこと又は前条の例外に該当すること等の確認をしなければならない。

分析

主体: 個人情報取扱事業者(提供を受ける者)

要件: 他の事業者から個人データの提供を受ける場合

対象: 個人データの正当な取得確認

効果:

  • 提供者が適正に同意を得ているか確認する義務
  • 例外要件に該当するか確認する義務
  • 確認を怠った場合は責任を負う可能性がある

例外:

  • 提供者が遵法義務を果たしていることが明らかな場合
  • 提供元の合法性が明確な場合

第25条(第三者提供時の確認)

条文

個人情報取扱事業者は、個人データを第三者に提供する場合には、その提供者と提供を受ける者が本人の同意の有無、その他法令上の義務の遵守状況等の確認をしたことを記録しなければならない。

分析

主体: 個人情報取扱事業者(提供する者)

要件: 個人データを第三者に提供する場合

対象: 提供に関する記録の作成・保存

効果:

  • 提供事実の記録が義務
  • 同意の有無や例外事由の記録が必須
  • 事業者間でトレーサビリティを確保
  • 記録は一定期間保存が求められる

例外: なし

第26条(準用)

条文

第24条及び第25条の規定は、個人情報取扱事業者が個人データの取扱いを委託する場合について準用する。

分析

主体: 個人情報取扱事業者(委託元)

要件: 個人データの処理を委託する場合

対象: 委託契約における記録・確認義務

効果:

  • 第24条、第25条の規定が委託時にも適用される
  • 委託先の適正性確認と記録が義務化される

例外: なし

本人の権利保護(第27条~第35条)

第27条(個人データの保有状況の公表)

条文

個人情報取扱事業者は、本人の求めに応じて、当該本人が識別される個人データを保有しているかどうかを明らかにするための措置を講じなければならない。

分析

主体: 個人情報取扱事業者

要件: 本人から個人データの保有状況について問い合わせがある場合

対象: 本人が識別される個人データの有無確認

効果:

  • 本人の求めに応じて「速やかに」確認する体制整備が義務
  • 実務的には照会受付システムの構築が必要

例外: なし

第28条(開示請求権)

条文

本人は、個人情報取扱事業者に対し、当該本人が識別される個人データについて、開示を求めることができる。

分析

主体:

  • 本人(個人データの対象者)
  • 個人情報取扱事業者(開示義務者)

要件: 本人の明確な開示請求

対象: 本人が識別される個人データ全般

効果:

  • 事業者は本人の開示請求に応じる義務
  • 請求から「速やかに」開示すべき
  • 請求に応じない場合は違反となる

例外:

  • 他人の情報を含む場合で他人の権利等が害されるおそれがある場合
  • 事業者自身の権利等が害されるおそれがある場合
  • 法令で開示が禁止されている場合
  • 開示に多大な負担を要する場合(ただしその旨を通知すべき)

第29条(訂正請求権)

条文

本人は、個人情報取扱事業者に対し、当該本人が識別される個人データについて、その内容が事実でないと思料するときは、当該個人データの訂正、追加又は削除を求めることができる。

分析

主体:

  • 本人(個人データの対象者)
  • 個人情報取扱事業者(訂正義務者)

要件: 本人が個人データの内容が不正確であると考える場合

対象: 個人データの訂正・追加・削除

効果:

  • 事業者は正当な訂正請求に応じる義務
  • 事実でない内容は訂正すべき
  • 請求に応じない場合でも理由説明が必須

例外:

  • 訂正等の実施に著しい支障をきたすおそれがある場合
  • 事業者自身の権利等が害されるおそれがある場合
  • 法令で修正等が禁止されている場合
  • 訂正内容の真実性が不明な場合

第30条(利用停止請求権)

条文

本人は、個人情報取扱事業者に対し、当該本人が識別される個人データについて、第15条又は第16条の規定に違反して取り扱われているときは、当該個人データの利用の停止又は消去を求めることができる。

分析

主体:

  • 本人(個人データの対象者)
  • 個人情報取扱事業者(義務者)

要件: 個人データが第15条(目的特定)又は第16条(目的制限)に違反して取扱われている場合

対象: 違法に取扱われている個人データの利用停止又は消去

効果:

  • 違法取扱いが確認されれば利用停止・消去義務が発生
  • 請求に応じない場合は違反となる

例外:

  • 停止・消去に著しい支障をきたすおそれがある場合
  • 事業者自身の権利等が害されるおそれがある場合
  • 法令で保存義務がある場合
  • 利用停止が困難な場合

第31条(理由説明義務)

条文

個人情報取扱事業者は、本人からの開示、訂正、利用停止の求めに応じないときは、その理由を説明するよう努めなければならない。

分析

主体: 個人情報取扱事業者

要件: 開示、訂正、利用停止請求に応じられない場合

対象: 不応諾理由の説明

効果:

  • 「努力義務」として理由説明が求められる
  • 本人の納得を得るための説明が期待される
  • 透明性・説明責任の向上

例外: なし(努力義務なので実行困難な場合もあるが説明は努めるべき)

第32条(開示等の手続)

条文

個人情報取扱事業者は、前条までの規定による本人の求めに応じるに当たっては、その求めをした者が本人であることを確認し、その求めについて妥当性を判断した上で、適切に対応しなければならない。

分析

主体: 個人情報取扱事業者

要件: 本人から開示・訂正・利用停止等の請求がある場合

対象: 請求への適切な対応手続

効果:

  • 本人確認が義務化される
  • 請求内容の妥当性判断が義務化される
  • 申立者が本人であることを確認してから対応すべき
  • 明らかに悪質な場合は対応を拒否できる可能性

例外: 本人確認が困難な場合

第33条(手数料)

条文

個人情報取扱事業者は、開示、訂正又は利用停止の求めに応じるに当たって、通常必要とされる実費を超える手数料を本人に対して請求してはならない。

分析

主体: 個人情報取扱事業者

要件: 開示・訂正・利用停止請求への対応

対象: 請求対応に際する手数料の上限制限

効果:

  • 「通常必要とされる実費」を超える手数料請求は禁止
  • 過度な手数料により請求権を実質化できないようにする保護
  • 基本的には無料又は最小限の費用負担が期待される

例外: なし

第34条(実施機関)

条文

開示、訂正及び利用停止の求めは、個人情報取扱事業者に対して行うものとし、個人情報保護委員会に対して行うことはできない。

分析

主体:

  • 本人(申立者)
  • 個人情報取扱事業者(対応義務者)

要件: 開示・訂正・利用停止を求める場合

対象: 請求の窓口

効果:

  • 直接請求は事業者が窓口(委員会ではない)
  • 事業者が一次的な対応責任を負う
  • 事業者が不応当した場合に委員会に申し立てられる

例外: 事業者が対応困難な場合は委員会へのあっせん申立が可能

第35条(苦情の処理)

条文

個人情報取扱事業者及び個人情報保護委員会は、個人情報の取扱いに関する苦情の適切かつ迅速な処理に努めなければならない。

分析

主体:

  • 個人情報取扱事業者
  • 個人情報保護委員会

要件: 個人情報取扱いに関する苦情が発生した場合

対象: 苦情の処理体制の整備

効果:

  • 「努力義務」として苦情処理体制の構築が求められる
  • 苦情受付窓口の設置が実務的には必須
  • 迅速で適切な対応が期待される
  • 苦情処理により事業者の信頼を確保

例外: なし(努力義務)

第1節の義務体系まとめ

義務の強度分類

法的義務(「しなければならない」)

  • 第15条:目的特定
  • 第16条:目的制限
  • 第17条:適正取得
  • 第18条:通知
  • 第20条:安全管理
  • 第21条:従業者監督
  • 第22条:委託先監督
  • 第23条:第三者提供制限
  • 第24条、第25条、第26条:記録・確認

努力義務(「努めなければならない」)

  • 第19条:正確性・消去
  • 第31条:理由説明
  • 第35条:苦情処理

個人情報保護士試験対策のポイント

第15条・第16条(目的特定・制限)

  • 「できる限り特定」: 抽象的すぎる目的はNG(「事業活動に用いる」だけでは不十分)
  • 目的外利用の例外: 法令、生命身体財産保護、公衆衛生、行政協力の4つを暗記
  • 関連性: 目的変更は「関連性を有すると合理的に認められる範囲」内のみ

第17条(適正取得)

  • 偽り・不正: 騙して取得、盗んで取得などが該当
  • 要配慮個人情報: 原則として本人の明示的同意が必須

第18条(通知・公表)

  • 速やかに: 取得後すぐに(具体的期限なし)
  • あらかじめ: 契約時は事前明示が必須
  • 通知 vs 公表: 通知=個別連絡、公表=HP掲載等

第20条(安全管理)

  • 組織的措置: 責任者設置、規程整備
  • 人的措置: 従業者教育、機密保持契約
  • 技術的措置: アクセス制御、暗号化、ログ管理

第23条(第三者提供制限)

  • 原則: 本人同意必須
  • 例外4つ: 法令、生命身体財産、公衆衛生、行政協力
  • オプトアウト: 本人が拒否できる仕組みがあればOK

第28条~第30条(本人の権利)

  • 開示請求: 原則応じる義務(例外あり)
  • 訂正請求: 事実でない場合に訂正義務
  • 利用停止請求: 違法な取扱いの場合に停止義務

重要判例・ガイドライン

個人情報保護委員会ガイドライン

  • 通則編
  • 外国第三者提供編
  • 匿名加工情報編
  • 認定個人情報保護団体編

参考URL: https://www.ppc.go.jp/personalinfo/legal/guidelines/

グラフビュー