• Home
  • 改正個人情報保護法による「個人情報取扱事業者」の拡大について

改正個人情報保護法による「個人情報取扱事業者」の拡大について

個人情報保護法の改正

平成29年5月30日、改正された個人情報保護法が全面的に施行されます。
個人情報保護法は、事業者に個人情報を適切に管理等させることで、個人情報についての個人の利益保護と個人情報を利用できることによる事業者の利益のバランスを取ろうとしている法律です。
今回の改正によって変わった点はいくつかあるのですが、そのひとつとして「個人情報取扱事業者」の範囲が広くなりました。このため、これからは、インターネットを通じたサービスを展開する中・小規模の事業者も、「個人情報取扱事業者」としての義務を負うこととなります。

個人情報取扱業者の範囲の拡大

個人情報保護法は、同法上種々の義務を負うものとして「個人情報取扱事業者」というものを定めています。「個人情報取扱業者」とは、基本的に「個人情報データベース等を事業の用に供している者」(*1)をいうのですが(改正前法2条3項本文、改正後法2条5項本文)、改正前においては、この者のうち一定以上の規模の事業者のみが「個人情報取扱業者」にあたるものされていました(*2)。
しかし、今回の改正においてはこのような限定が撤廃され、あらゆる規模の事業者が「個人情報取扱事業者」にあたることととなりました(改正後法2条5項参照)。これにより、これまで個人情報保護法上の義務を負わなかった大部分の中小企業は、平成29年5月30日から「個人情報取扱事業者」として初めて義務を負うこととなりました。

*1 おおまかにいえば、個人の氏名や住所等を取り扱っている事業者のことを指します。
*2 改正前の個人情報保護法においては、例外的に「個人情報取扱事業者」にあたらないものとして、「その取り扱う個人情報の量及び利用方法からみて個人の権利利益を害するおそれが少ないものとして政令で定める者」を挙げていました(改正前法2条3項5号)。そして、この「政令」にあたる「個人情報の保護に関する法律施行令」では、保有する個人情報の合計が「過去6月以内のいずれの日においても5000を超えない」場合が定められていました(施行令2条1号)。すなわち、過去6か月間いずれの日をとっても5000人分以下の個人情報しか扱っていない業者については、「個人情報取扱事業者」にあたらないものとされていました。

個人情報保護に関するガイドライン

「個人情報取扱事業者」にあたると、個人情報の取得、利用、保管、第三者への提供、また本人からの開示請求等があった際の対応などについて、種々の義務が課されることになります。そして、この義務自体が課されることは、中小企業においても同様です。
もっとも、改正前に多量の個人情報を扱っていた事業者と同じレベルのシステム構築が求められているわけではなく、事業の規模に応じた対応がされていれば義務を履行したこととなります。これにつき、内閣府の外局である個人情報保護委員会は、義務の履行の方法の例を、以下のガイドライン等において明確にしています。
ⅰ 個人情報保護に関する法律についてのガイドライン(通則編)
https://www.ppc.go.jp/files/pdf/guidelines01.pdf
ⅱ 個人情報保護に関する法律についてのガイドライン(外国にある第三者への提供編)
https://www.ppc.go.jp/files/pdf/guidelines02.pdf
ⅲ 個人情報保護に関する法律についてのガイドライン(第三者提供時の確認・記録義務編)
https://www.ppc.go.jp/files/pdf/guidelines03.pdf
ⅳ 個人情報保護に関する法律についてのガイドライン(匿名加工情報編)
https://www.ppc.go.jp/files/pdf/guidelines04.pdf
ⅴ 個人データの漏えい等の事案が発生した場合等の対応について
https://www.ppc.go.jp/files/pdf/iinkaikokuzi01.pdf
ⅵ 「個人情報の保護に関する法律についてのガイドライン」及び「個人データの漏えい等の事案が発生した場合等の対応について」に関するQ&A
https://www.ppc.go.jp/files/pdf/kojouhouQA.pdf
(以上、個人情報保護委員会HP)

このガイドラインで触れられている内容は多岐に渡りますが、事業者としては、以下の事項を特に確認すべきことになります。

①「個人情報」についてのもの

→何が個人情報保護法にいう「個人情報」となるのかを定めるものです。法2条1項に定められています。上記ガイドラインのⅰ(5頁~)に記載があります。

①個人情報の取得、利用についてのもの

→個人情報をどのように取得すればよいか、どのように利用すればよいかを定めるものです。法15条から18条までに定められています。上記ガイドラインのⅰ(26頁~)に記載があります。

②個人情報の管理についてのもの

→取得した個人情報をどのように保管等すればよいかを定めるものです。法19条から22条までに定められています。上記ガイドラインのⅰ(40頁~)に記載があります。

③個人情報の第三者提供についてのもの

→取得した個人情報を第三者に提供できる場合は限定されているところ、誰に対し、どのような方法で提供すればよいかを定めるものです。法23条から26条までに定められています。上記ガイドラインのⅰ(44頁~)、ⅲに記載があります。

④本人からの開示、訂正または利用停止の請求等についてのもの

→本人から開示、訂正、利用停止等の請求があった場合、事業者としてどのように対処すべきかを定めるものです。法27条から34条までに定められています、上記ガイドラインのⅰ(60頁~)に定められています。

おわりに

もはや、インターネットを通じたサービスを展開するのに、個人情報保護法を避けて通ることはできません。今回の改正を踏まえて、各事業者は、あらためて、自社のサービスや個人情報保護への取り組みが、改正法に合致しているか見直す必要があるといえます。