通信・金融・個人情報2026/1/13

【行政書士×税理士が解説】個人情報保護法に基づく対応と届出｜安全管理措置・漏洩報告義務まで完全解説

Q: プライバシーポリシーはWebサイトに1本あれば足りますか？

事業全体のプライバシーポリシーとは別に、サービス別・採用・取引先等の場面別で個別の取扱いを記載するケースが増えています。例えば、Webサービス提供・採用応募・取引先担当者の個人情報で利用目的や第三者提供の条件が異なれば、それぞれ別立ての通知・公表が望ましいです。利用目的の共通化で1本化できれば問題ありません。

【行政書士×税理士が解説】個人情報保護法に基づく対応と届出｜安全管理措置・漏洩報告義務まで完全解説

監

鮎澤パートナーズ代表　鮎澤竜哉
公認会計士第47928号・税理士第159175号・社会保険労務士第13240067号・行政書士第24061284号
年間100社以上の法人決算・会社設立・税務調査対応を支援。

個人情報保護法に基づく対応と届出｜安全管理措置・漏洩報告義務まで完全解説

Webサービス・EC・BtoB事業を運営する法人経営者、人事・総務担当者に向けて、個人情報保護法に基づく企業対応を完全ガイドします。この記事を読めば、安全管理措置の4分類、漏洩時の報告義務、2024年改正のポイント、プライバシーポリシー整備の実務がわかります。

🏆 結論：個人情報を1件でも扱う事業者は全員が「個人情報取扱事業者」、安全管理措置4分類と漏洩報告が必須

個人情報保護法では、個人情報を取り扱う全ての事業者が「個人情報取扱事業者」に該当します（2017年改正で5,000件要件が撤廃済み）。事業者は①組織的、②人的、③物理的、④技術的の4分類で安全管理措置を講じる義務があります。漏洩等が発生した場合、個人情報保護委員会への報告（速やか＋30日以内）と本人への通知が義務化されています。違反すると命令違反1年以下の拘禁刑または100万円以下の罰金、法人に対しては1億円以下の罰金。2024年4月改正ではウェブスキミング対策や漏洩報告対象の拡大が行われました。

個人情報保護法の概要と対象事業者

個人情報保護法（正式名称：個人情報の保護に関する法律）は、個人情報保護法第1条で「個人の権利利益を保護する」ことを目的に、事業者に様々な義務を課しています。主管庁は個人情報保護委員会で、具体的な運用指針は個人情報保護委員会ガイドライン通則編に詳細が示されています。

個人情報取扱事業者とは

かつては取扱件数5,000件以下の小規模事業者は適用除外でしたが、2017年改正で5,000件要件は撤廃。現在は「個人情報データベース等を事業に用いている者」全員が対象です。具体的には次のような事業者です。

顧客名簿を持つ全ての事業者（法人・個人事業主）
従業員名簿・給与情報を持つ全ての企業
問い合わせフォームで氏名・メールアドレスを取得するWebサイト運営者
取引先情報を持つBtoB事業者
病院・クリニック・薬局・学校・自治会

事実上、1人でも従業員を雇っている、または顧客がいる事業者はほぼ全て対象です。

「個人情報」と「個人データ」の違い

用語	定義	具体例
個人情報	生存する個人を識別できる情報	名刺1枚の情報・口頭で聞いた氏名
個人データ	個人情報データベース等を構成する個人情報	顧客リスト内の個別情報
保有個人データ	事業者が開示・削除等の権限を有する個人データ	事業者管理下の6か月超保管データ
要配慮個人情報	人種・信条・病歴・犯罪歴等の機微情報	健康診断結果・障害情報

💡 実務のポイント

個人情報と個人データの区別は、適用される義務の違いに直結します。「個人情報」段階では利用目的の特定・通知が主な義務ですが、「個人データ」段階になると安全管理措置・第三者提供制限・開示請求対応などの義務が追加されます。表計算ソフトで名簿化した時点で個人データに該当するため、名刺を整理した瞬間から安全管理措置の対象となります。

事業者が負う主な義務

個人情報保護法が事業者に課す主な義務は、大きく5つに分類できます。

5つの主要義務

①利用目的の特定・通知・公表（法第17〜21条）
②適正取得と要配慮個人情報の同意取得（法第20条）
③安全管理措置の実施（法第23条）
④第三者提供の制限と記録義務（法第27〜30条）
⑤開示・訂正・利用停止請求への対応（法第33〜37条）

これらは取得から廃棄までのライフサイクル全体で遵守する必要があります。

安全管理措置の4分類【実務の中核】

個人情報保護法第23条と個人情報保護委員会のガイドラインが求める安全管理措置は、4つのカテゴリに分類されます。中小企業でも規模に応じた対応が必要です。

4つの安全管理措置

分類	内容	具体例
①組織的	管理体制・規程類の整備	個人情報管理責任者の選任・取扱規程・点検手順
②人的	従業者への教育・監督	入社時教育・年次研修・守秘義務誓約書
③物理的	物理的なアクセス制限	施錠可能な書庫・入退室管理・シュレッダー処理
④技術的	情報システムのセキュリティ	アクセス権限管理・暗号化・ログ取得・ウイルス対策

中小企業向けの簡易化

個人情報保護委員会のガイドラインでは、従業員100人以下の中小規模事業者向けに簡素化された基準が設けられています。過剰な対策をせず、事業規模に応じた合理的な対応で足ります。ただし、簡素化されても「ゼロでよい」わけではなく、最低限の管理体制・教育・物理的対策・技術的対策は全て必要です。

🧮 中小企業の最低限セット

▼ 組織的：個人情報管理規程1本＋管理責任者1名の選任
▼ 人的：入社時の守秘義務誓約書＋年1回の簡易研修
▼ 物理的：書類ロッカー施錠＋PC紛失対策
▼ 技術的：PCパスワード設定＋ウイルス対策ソフト＋バックアップ
▼ 規程・誓約書・教育資料を整備するだけで、最低限の対応は可能です。

2024年4月改正のポイント

2024年4月1日施行の改正では、事業者の義務がさらに拡大されました。主要な変更点を押さえてください。

改正の3つの柱

漏洩等報告・本人通知の対象拡大：不正目的の漏洩等では、個人データだけでなく「取得しようとした個人情報」も対象となった
安全管理措置の対象明確化：ウェブスキミング（ECサイトへの不正コード注入）を踏まえた技術的安全管理措置の追加
保有個人データの公表事項の拡大：安全管理措置の内容の本人通知・公表がより詳細に

ウェブスキミング対策

ECサイトやフォームに悪意あるコードが仕込まれ、利用者の入力情報（クレジットカード番号・個人情報）が盗まれる攻撃手法への対応が明確化されました。事業者には、定期的なコードの点検・改ざん検知・委託先の監督が求められます。この点は「電気通信事業の届出・登録の手続きと要件」で解説した外部送信規律（Cookie規制）とも連動しています。

📢 2024年度の漏洩報告は1万9,056件（過去最多）

個人情報保護委員会の令和6年度年次報告によると、2024年度の民間事業者からの漏洩等の報告件数は過去最多の1万9,056件に達しました。報告徴収148件、立入検査47件、指導助言395件、勧告1件という行政処分実績。違反企業への対応は年々厳格化しており、形式的なプライバシーポリシー整備だけでは不十分です。

漏洩等が発生した場合の報告義務

個人データの漏洩・滅失・毀損（まとめて「漏洩等」）が発生した場合の対応は、個人情報保護法第26条で規定されています。

報告義務の対象となる漏洩等

以下のいずれかに該当する場合、個人情報保護委員会への報告と本人への通知が義務付けられています。

要配慮個人情報の漏洩等
財産的被害が生じるおそれがある漏洩等（クレジットカード番号・ID・パスワード等）
不正の目的をもって行われた漏洩等（外部攻撃・内部不正）
1,000人を超える個人データの漏洩等

報告の期限

対象	期限	内容
速報	速やかに（概ね3〜5日以内）	判明時点の情報で第一報
確報	30日以内（不正目的は60日以内）	原因・再発防止策を含む詳細報告
本人通知	速やかに	メール・書面・Web公表等

⚠️ 注意：報告漏れは信用失墜のリスク大

弊所が相談を受けた事例で、委託先のサイバー攻撃で約2,800件の顧客データが漏洩したにもかかわらず、社内で「委託先の問題だから自社報告不要」と判断して3か月放置したケースがありました。後日委託先が個人情報保護委員会に報告した際に元データ保有者（委託元）も調査対象となり、立入検査・勧告に発展。委託元には委託先監督義務があり、漏洩が生じた場合は委託元も報告対象という基本を徹底してください。

AYUSAWA PARTNERS

個人情報保護法対応のご相談は鮎澤パートナーズへ

初回相談無料。行政書士が規程・同意書・プライバシーポリシー整備を、税理士が漏洩時の損害賠償・補償金の税務処理まで一貫してサポートします。

鮎澤パートナーズに相談する

第三者提供と委託の区別

個人データを他社に渡す場合、「第三者提供」と「委託」を明確に区別する必要があります。

3つの類型

類型	内容	本人同意
第三者提供	他社が独立して利用（例：他社への顧客リスト販売）	原則必要
委託	委託元の業務遂行のために取り扱う（例：配送委託・クラウドサーバー利用）	不要（監督義務あり）
共同利用	特定の者との共同利用（グループ会社間等）	不要（事前公表必要）

委託先の監督義務

委託の場合、同意は不要ですが、代わりに委託先の監督義務が発生します。

適切な委託先の選定
委託契約における安全管理措置の明記
委託先の取扱状況の定期的な把握
再委託についての同意・監督

クラウドサービス利用や業務委託が当たり前の今、委託先監督の実効性確保が事業者の大きな負担となっています。

プライバシーポリシーの整備

個人情報取扱事業者は、プライバシーポリシー（個人情報保護方針）をWebサイト等で公表することが実務上の必須対応です。法律上明示的に義務化されてはいませんが、利用目的・保有個人データの公表事項を含めて網羅的に公表する最適な手段です。

プライバシーポリシーに含めるべき事項

事業者の氏名・住所・代表者
個人情報の利用目的（可能な限り具体的に）
第三者提供に関する事項
委託・共同利用の有無
外国にある第三者への提供の有無
開示等の請求に応じる手続・手数料
安全管理措置の内容（2024年改正で詳細化）
苦情の申出先
Cookieやアクセス解析に関する事項（電気通信事業法の外部送信規律対応）

個人情報保護法違反の罰則

個人情報保護法は、2022年改正で罰則が大幅に引き上げられました。特に法人重科による多額罰金リスクに注意が必要です。

罰則一覧

違反行為	個人の罰則	法人重科
命令違反（個人情報保護法第178条）	1年以下の拘禁刑または100万円以下の罰金	1億円以下の罰金
個人情報データベース等不正提供（個人情報保護法第179条）	1年以下の拘禁刑または50万円以下の罰金	1億円以下の罰金
虚偽報告等（個人情報保護法第182条）	50万円以下の罰金	50万円以下の罰金

民事責任（損害賠償）

刑事罰とは別に、被害者からの損害賠償請求も発生します。漏洩1件あたり数千〜5万円程度の慰謝料が判例上の目安で、1,000件漏洩なら数百万〜5,000万円規模の賠償となります。悪質な事例では10万円/件超の判決もあります。

個人情報保護法対応の税務処理

個人情報保護の体制整備に関連する費用は、原則として費用処理が可能です。

主な費用の税務処理

規程整備・弁護士行政書士報酬：支払事業年度の損金算入
Pマーク（プライバシーマーク）取得費用：ソフトウェア償却（5年）または研修費として損金算入
ISMS（ISO27001）認証取得費用：同上
セキュリティソフト：少額減価償却資産特例または損金処理
漏洩時の損害賠償金：和解金・見舞金は原則損金（悪質な場合は別途判断）
漏洩対応のコンサルティング費用：支払事業年度の損金算入

📊 記事固有の視点：漏洩被害時の税務対応

弊所が税務顧問として支援した事例で、漏洩事故により顧客3,200人へ見舞金として総額960万円（1人3,000円）を支出した中堅ECサイト運営会社のケース。被害者への見舞金は全額を損金算入できましたが、一部が「謝罪広告費用」として交際費と誤解されかけました。交際費ではなく「損害賠償金・見舞金」として処理する根拠資料（事故報告書・支出稟議書・被害者同意書）を揃えることで、税務調査で全額損金として認容されました。漏洩時は税務対応も含めた総合支援が不可欠です。

業種別の個人情報保護のポイント

EC・Webサービス事業者

Cookie・アクセス解析ツール利用に関する外部送信規律への追加対応。CMPツール導入を検討。決済機能がある場合は「資金決済法の登録・届出の要件と手続き」も並行確認。

人材派遣・紹介業

求職者・派遣登録者の要配慮個人情報（病歴・健康状態）の取得に本人同意が必要。書類保管期間と廃棄ルールの整備が重点。

医療・介護事業者

病歴・診療情報は要配慮個人情報として特に厳格な管理が必要。医療法人の税務と合わせて総合支援が効率的。

建設業・産廃業

従業員・下請職人の個人情報（マイナンバー含む）の管理。外国人労働者の在留資格情報は機微情報となり、特別管理が必要。詳細は「建設業許可の要件と申請手続き｜一般・特定の違い」「産業廃棄物収集運搬業の許可要件と申請手続き」「在留資格の種類と就労可能な職種」を参照。

よくある質問

顧客名簿が50件程度しかない個人事業主でも個人情報保護法は適用されますか？

はい、2017年改正で取扱件数による適用除外は撤廃されたため、1件でも個人情報を扱う事業者は全員対象です。個人事業主・フリーランス・自治会・PTA団体等も含まれます。ただし中小規模事業者向けの簡素化ガイドラインが適用されるため、大企業と同等の体制は不要です。

クラウドサービス（Google Workspace・AWS等）を利用する場合、何か追加対応は必要ですか？

クラウドサービスの利用が「委託」に該当する場合、委託先監督義務が生じます。ただし、クラウド提供者が個人データを「取り扱わない」契約（アクセスしない、暗号化されたまま保管するのみ等）であれば委託ではなく「単なるサーバー提供」とされ、監督義務は緩和されます。契約条件と実際の情報へのアクセス権限の有無で判断します。また、海外リージョンにデータを保管する場合は「外国にある第三者への提供」として本人同意または相当措置が必要です。

漏洩が発生した場合、必ず1,000件超でないと報告不要ですか？

いいえ、1,000件は一つの基準に過ぎません。要配慮個人情報の漏洩（1件でも）、財産的被害が生じるおそれの漏洩（1件でも）、不正目的の漏洩（1件でも）は、件数にかかわらず報告対象です。「1件だけだから報告不要」と即断するのは危険で、漏洩の種別・性質を確認してから判断する必要があります。

プライバシーポリシーはWebサイトに1本あれば足りますか？

事業全体のプライバシーポリシーとは別に、サービス別・採用・取引先等の場面別で個別の取扱いを記載するケースが増えています。例えば、Webサービス提供・採用応募・取引先担当者の個人情報で利用目的や第三者提供の条件が異なれば、それぞれ別立ての通知・公表が望ましいです。利用目的の共通化で1本化できれば問題ありません。

従業員の個人情報（履歴書・給与情報）は保有個人データとして本人からの開示請求の対象になりますか？

はい、対象となります。従業員・元従業員・応募者からの開示請求には、通常30日以内に対応する義務があります。在職中の人事評価情報の開示は例外事由（業務の適正な実施に著しい支障を及ぼすおそれ）で開示拒否できる場合もあります。実務では、保有個人データの開示請求対応フローを社内で定めておくことが推奨されます。

Pマーク（プライバシーマーク）を取得するメリットはありますか？

Pマークは個人情報保護法遵守に加えて、対外的な信頼性を示す認証制度です。主なメリットは：BtoB取引での取引条件クリア（大手企業がPマーク保有を要求）、入札での加点、従業員教育の体系化、漏洩リスクの低減です。取得・維持コストは初年度約80〜150万円、以後年間20〜50万円が相場。個人情報を大量に扱う事業者は検討価値があります。

個人情報保護法対応を行政書士に依頼する費用相場は？

範囲により大きく異なります。プライバシーポリシー整備：5万〜15万円、個人情報管理規程一式：20万〜50万円、Pマーク取得支援：80万〜150万円、ISMS認証取得支援：150万〜300万円が目安です。弊所ではRM・税理士・社労士との4士業連携により、労務規程とセットで整備するコース等も提供しています。

まとめ

📋 この記事のポイント

個人情報1件でも扱う事業者は「個人情報取扱事業者」として法適用
事業者の5主要義務：利用目的特定・適正取得・安全管理措置・第三者提供制限・開示請求対応
安全管理措置は4分類（組織的・人的・物理的・技術的）
2024年4月改正でウェブスキミング対応・漏洩報告対象拡大
漏洩は速報（3〜5日）＋確報（30日）＋本人通知が必須
1,000件超・要配慮個人情報・財産的被害・不正目的は件数問わず報告対象
違反は個人1年以下の拘禁刑、法人は1億円以下の罰金
民事賠償は漏洩1件あたり数千〜10万円超の判例相場
プライバシーポリシー整備とCMP導入が実務標準