個人情報取扱事業者とは

個人情報保護法にて「個人情報データベースなどを事業の用に供している者」と定められています。
また、「国の機関」「地方公共団体」「独立行政法人」等は除外されます。
ちなみに、これまでは過去半年間で5000件以上の個人情報件数を扱わない事業者は対象外となっていましたが、改正法により小規模でも対象となりました。

プライバシーマークと個人情報取扱事業者

個人情報取扱事業者となると、取り扱う個人情報の利用目的を特定し、本人にそれを通知または公表しなければなりません。取得した個人情報は安全に管理し、従業員だけでなく委託先も監督し、第三者に提供することはできません。
また、本人から求められた場合には開示等（訂正や削除も含む）の対応、苦情・相談についても速やかに処理を行わなければなりません。
これらを含めて整備され文書化されたものを運用していくことが個人情報保護マネジメントシステムとなります。

ISO27001（ＩＳＭＳ）と個人情報取扱事業者

ISO27001（ＩＳＭＳ）でも個人情報の保護に関する要項があるため、個人情報取扱事業者として管理策を講じ、適切に取り扱わなければなりません。

まとめ

民間企業で個人情報を扱う事業者は個人情報取扱事業者と定められ、個人情報の取り扱いについて社内で規定し、その管理を維持・運用をしていかなければなりません。
マネジメントシステムに取り組み、個人情報を適切に扱っているかどうかが個人情報取扱事業者としての重要な使命となります。