個人情報取扱事業者の範囲はどのように変わったか

IT・情報セキュリティ 公開 更新

 改正個人情報保護法により、これまで個人情報取扱事業者でなかった小規模事業者にも個人情報保護法の規定が適用されるようになるとのことですが具体的に教えてください。

 改正前の個人情報保護法では、個人情報データベース等に含まれる個人情報によって識別される特定の個人の数の合計が、過去6か月以内のいずれの日においても5,000を超えない者は、個人情報取扱事業者に該当せず、個人情報取扱事業者としての義務等が課せられませんでした。

 改正個人情報保護法では、これらの事業者も個人情報取扱事業者に該当することとなり、個人情報取扱事業者としての義務等が課せられます。ただし、中小規模事業者についてはガイドラインで緩和された安全管理措置が許容される予定です。

解説

目次

  1. 改正前個人情報保護法
  2. 改正の背景
  3. 改正の内容
  4. マンションの管理組合も「個人情報取扱事業者」に該当する可能性がある
  5. 小規模事業者への配慮

目次

  1. 改正前個人情報保護法
  2. 改正の背景
  3. 改正の内容
  4. マンションの管理組合も「個人情報取扱事業者」に該当する可能性がある
  5. 小規模事業者への配慮

※本QAの凡例は以下の通りです。

  • 改正個人情報保護法:個人情報の保護に関する法律及び行政手続における特定の個人を識別するための番号の利用等に関する法律の一部を改正する法律(平成27年9月9日法律第65号)に基づく改正後の個人情報保護法
  • 改正前個人情報保護法:全面改正前の個人情報の保護に関する法律
  • 改正前個人情報保護法施行令:全面改正前の個人情報の保護に関する法律施行令
  • PC:「個人情報の保護に関する法律施行令の一部を改正する政令(案)」及び「個人情報の保護に関する法律施行規則(案)」に関する意見募集結果(個人情報保護委員会:平成28年10月5日)
  • 個人情報保護ガイドライン(通則編):個人情報の保護に関する法律についてのガイドライン(通則編)(平成28年11月30日個人情報保護委員会告示第6号)

改正前個人情報保護法

 改正前個人情報保護法においては、個人情報データベース等を事業の用に供している者であっても「個人情報データベース等に含まれる個人情報によって識別される特定の個人の数の合計が、過去6か月以内のいずれの日においても 5,000 を超えない者」は、「個人情報取扱事業者」に該当しないこととされていました(改正前個人情報保護法2条3項5号、改正前施行令2条)。
 これにより、多くの個人事業者、中小企業、BtoBの事業者等は、個人情報取扱事業者に該当せず、個人情報保護法上の個人情報取扱事業者としての義務等を負いません。
 なお、金融分野において個人情報データベース等を事業の用に供している者のうち、「個人情報取扱事業者」から除かれる者については、「金融分野における個人情報保護に関するガイドライン」において、同ガイドラインの遵守に努めるものとされています。

改正の背景

 EUのデータ保護指令では、EU域内から個人データを第三国に移転できる場合について、EUから見て十分なレベルの保護措置を確保している場合に限定しています(「十分性の認定」)。EUのデータ保護指令では、小規模事業者であっても、同指令の適用を受けることとされています。
 日本は現在のところ、「十分性の認定」の申請をしていませんが、日本政府は、EUから十分性の認定を得るために必要な要件の一つとして、「小規模事業者への法の適用」について定める必要があると考えました。これが改正の背景です。

改正の内容

 改正個人情報保護法においては、「個人情報取扱事業者」の例外である「その取り扱う個人情報の量及び利用方法からみて個人の権利利益を害するおそれが少ないものとして政令で定める者」が削除されることになります(改正個人情報保護法2条5項)。
 これにより、事業者はその個人情報データベース等に含まれる個人情報の数にかかわらず、「個人情報取扱事業者」に該当することになります。
 すなわち、改正前個人情報保護法では個人情報取扱事業者に該当しない多くの個人事業者、中小企業、BtoBの事業者等は、改正の施行日後は、「個人情報取扱事業者」に該当することになります。
 これらの事業者には、「個人情報取扱事業者」に対する以下の規律が新たに適用されることになります。

【「個人情報取扱事業者」に対する規律】

利用目的の特定・適性取得 利用目的の特定(15条)
目的外利用の禁止(16条)
不正の手段による取得の制限(17条)
利用目的の通知・公表(18条)
安全管理措置 データ内容の正確性の確保(19条)
安全管理措置(20条)
従業者の監督(21条)
委託先の監督(22条)
第三者提供 第三者提供の制限(23条)
外国にある第三者への提供の制限(24条)
第三者提供に係る確認及び記録の作成・保存(25条・26条)
保有個人データに関する事項の公表(27条)
開示、訂正等及び利用停止等の請求(28条~33条)
違反した場合 報告徴収及び立入検査(40条)
指導・助言(41条)
勧告・命令(42条)
虚偽報告・立入検査忌避の30万円以下の罰金(85条1項)
開示、訂正等及び利用停止等の請求(28条~33条)

マンションの管理組合も「個人情報取扱事業者」に該当する可能性がある

 「個人情報取扱事業者」とは、「個人情報データベース等を事業の用に供している者」をいい、営利・非営利の別は問いません。したがって、分譲マンションの区分所有者(居住者)で構成される管理組合のように営利を目的としない活動を行う団体等も、その活動のために個人情報データベース等を利用していれば「個人情報取扱事業者」に該当します
 ただし、個人情報の取扱いについては、一定の規律に服すことになりますが、マンション管理業務を運営する会社に委託する場合には第三者提供に当たらず、本人の同意を得る必要はありません(PC386)。

小規模事業者への配慮

 上記のとおり、これまで個人情報取扱事業者ではなかった個人事業者、中小企業、BtoBの事業者等も個人情報取扱事業者となるため、これらの事業者は、プライバシーポリシーの策定個人情報取扱規程の整備安全管理措置の整備など一定の事項を改正法の施行日までにする必要がありました。
 もっとも、改正法においては、個人情報保護委員会は、「新個人情報保護法第8条に規定する事業者等が講ずべき措置の適切かつ有効な実施を図るための指針」を策定するにあたっては、これらの新たに個人情報取扱事業者となる者に関して、特に小規模の事業者の事業活動が円滑に行われるように配慮することとされています(改正個人情報保護法附則11条)。

(事業者等が講ずべき措置の適切かつ有効な実施を図るための指針の策定に当たっての配慮)

第11条 個人情報保護委員会は、新個人情報保護法第8条に規定する事業者等が講ずべき措置の適切かつ有効な実施を図るための指針を策定するに当たっては、この法律の施行により旧個人情報保護法第2条第3項第5号に掲げる者が新たに個人情報取扱事業者となることに鑑み、特に小規模の事業者の事業活動が円滑に行われるよう配慮するものとする。

 具体的には、個人情報保護法ガイドライン(通則編)別添「講ずべき安全管理措置の内容」において、「中小規模事業者」については、その他の個人情報取扱事業者と同様に、個人情報保護法20条に定める安全管理措置を講じなければなりませんが、取り扱う個人データの数量および個人データを取り扱う従業員数が一定程度にとどまること等を踏まえ、円滑にその義務を履行できるよう、少なくとも必要であると考えられる手法の例を示しています。

 「中小規模事業者」の範囲は以下のとおり、「従業員の数が100人以下の事業者」であって、「取扱う個人情報の数が5,000人分超の事業者」および「委託に基づいて個人データを取り扱う事業者」以外の事業者とされる予定です。

 これは、番号法の安全管理措置と、個人情報保護法の安全管理措置とで、その基本的な要素(漏えい、滅失または毀損の防止その他の安全管理のために必要かつ適切な措置)、および、特例的な対応を定めることが必要と考えられる事業者の規模・取り扱う情報量はおおむね共通することによるものです。

個人情報保護法ガイドラインの
「中小規模事業者」
番号法ガイドラインの
「中小規模事業者」
従業員の数が100人以下の事業者であって、次に掲げる事業者を除く事業者
その事業の用に供する個人情報データベース等を構成する個人情報によって識別される特定の個人の数の合計が過去6か月以内のいずれかの日において5,000を超える者
②委託に基づいて個人データを取り扱う事業者
従業員の数が100人以下の事業者であって、次に掲げる事業者を除く事業者
①個人情報取扱事業者
(≒取り扱う個人情報の数が5,000人分超の事業者)
②委託に基づいて個人番号関係事務又は個人番号利用事務を業務として行う事業者
③金融分野の事業者
④個人番号利用事務実施者
<追記>
2017年12月28日(木)12:20:改正個人情報保護法の施行により、内容面を一部修正・追加いたしました。

無料会員にご登録いただくことで、続きをお読みいただけます。

1分で登録完了

この実務Q&Aを見ている人はこちらも見ています

無料会員登録で
リサーチ業務を効率化

1分で登録完了

無料で会員登録する