個人情報保護法の改正
平成２９年５月３０日、改正個人情報保護法が全面的に施行されました。
個人情報保護法は、事業者に個人情報を適切に管理等させることで、個人情報についての個人の利益保護と個人情報を利用できることによる事業者の利益のバランスを取ろうとしている法律です。
今回の改正によって変わった点はいくつかあるのですが、そのひとつとして「個人情報取扱事業者」の範囲が広くなりました。このため、これからは、インターネットを通じたサービスを展開する中・小規模の事業者も、「個人情報取扱事業者」としての義務を負うこととなります。

個人情報取扱業者の範囲の拡大
個人情報保護法は、同法上種々の義務を負うものとして「個人情報取扱事業者」というものを定めています。「個人情報取扱業者」とは、基本的に「個人情報データベース等を事業の用に供している者」（＊１）をいい（法２条５項本文）、あらゆる規模の事業者が「個人情報取扱事業者」にあたります（法２条５項参照）。これにより、以前は個人情報保護法上の義務を負わなかった大部分の中小企業も、平成２９年５月３０日から「個人情報取扱事業者」として初めて義務を負うこととなりました。

＊１　おおまかにいえば、個人の氏名や住所等を取り扱っている事業者のことを指します。
＊２　改正前の個人情報保護法においては、例外的に「個人情報取扱事業者」にあたらないものとして、「その取り扱う個人情報の量及び利用方法からみて個人の権利利益を害するおそれが少ないものとして政令で定める者」を挙げていました（改正前法2条3項５号）。そして、この「政令」にあたる「個人情報の保護に関する法律施行令」では、保有する個人情報の合計が「過去６月以内のいずれの日においても５０００を超えない」場合が定められていました（施行令２条1号）。すなわち、過去６か月間いずれの日をとっても５０００人分以下の個人情報しか扱っていない業者については、「個人情報取扱事業者」にあたらないものとされていました。

中小企業が負う義務
「個人情報取扱事業者」にあたると、個人情報の取得、利用、保管、第三者への提供、また本人からの開示請求等があった際の対応などについて、種々の義務が課されることになります。そして、この義務自体が課されることは、中小企業においても同様です。
もっとも、改正前に多量の個人情報を扱っていた事業者と同じレベルのシステム構築が求められているわけではなく、事業の規模に応じた対応がされていれば義務を履行したこととなります。事業者としては、以下の事項を特に確認すべきことになります。
①「個人情報」についてのもの
→何が個人情報保護法にいう「個人情報」となるのかを定めるものです。法２条1項に定められています。
①個人情報の取得、利用についてのもの
→個人情報をどのように取得すればよいか、どのように利用すればよいかを定めるものです。法１７条から２１条までに定められています。
②個人情報の管理についてのもの
→取得した個人情報をどのように保管等すればよいかを定めるものです。法２２条から２６条までに定められています。
③個人情報の第三者提供についてのもの
→取得した個人情報を第三者に提供できる場合は限定されているところ、誰に対し、どのような方法で提供すればよいかを定めるものです。法２７条から３１条までに定められています。
④本人からの開示、訂正または利用停止の請求等についてのもの
→本人から開示、訂正、利用停止等の請求があった場合、事業者としてどのように対処すべきかを定めるものです。法３１条から４０条までに定められています。

おわりに
もはや、インターネットを通じたサービスを展開するのに、個人情報保護法を避けて通ることはできません。今回の改正を踏まえて、各事業者は、あらためて、自社のサービスや個人情報保護への取り組みが、改正法に合致しているか見直す必要があるといえます。

弊所では個人情報保護法に関するご相談やご依頼をお受けしておりますので、ご気軽にお問合せください。
お問い合わせフォームはこちら