ブログ

改正個人情報保護法についてのお話し~その1~

冬になるとここ数年あったかいコーヒーを飲む量が増えました。

最近はコンビニのコーヒーもずいぶんおいしいものが増えましたものね。

さて先日東京ビッグサイトにて「中小企業向け個人情報保護法説明会」なるものが開催されました。

現地に行って説明会を聞いてきましたが、500名の定員は早めに埋まったようで当日会場はいっぱいでした。

さてなぜにこの時期に個人情報保護法、と思われる方もいらっしゃるかと思います。

実は昨年(平成27年)9月に個人情報保護法は改正されまして、その施行が来年(平成29年)の春に予定されています。

今回はけっこう大きな改正でして、その周知のために今現在全国で説明会が行われているというわけなんです。

私自身9月にご縁がありましてある勉強会でこの改正予定の個人情報保護法についてちょこっとだけお話しをさせていただく機会がありました。

そんな経緯でその後の施行までの状況等について何か新しいお話しが聴けるかなあ、と思って説明会に参加したのですが、正直目新しいお話しはなかったです。

まあこういう説明会はどうしても時間が限られているところもありますのでね。

とはいえせっかくですので、今日からしばらくこの個人情報保護法の改正についてお話しをしていきたいと思います。

ところでそもそも冒頭の説明会のタイトルに「中小企業向け」という言葉が入っています。

「あれ?中小企業って個人情報保護法って適用されるんだっけ?」と思った方、するどいですね。

ではこのあたりからお話ししていくことにします。

 

無くなった「5000件要件」

実は個人情報保護法においては今まで、取扱個人情報の件数が過去6か月間一度も5000件を超えたことがない事業者については個人情報保護法の規制の対象から外れていました。(個人情報の保護に関する法律施行令第2条に記載があります。)

中小企業さんや個人事業主さんに大企業さんと同じような個人情報保護法の規制を設けることは負担が大きいということが理由だったんですね。

俗に「5000件要件」なんていわれるこの規定のおかげで、おそらく中小企業さんや個人事業主さんで個人情報保護法の規制から外れていた事業者さん、けっこういらっしゃったかと思います。

この「5000件要件」が今回の改正によって廃止されることとなりました。

きつい言い回しをすれば1件でも個人情報を取り扱う事業者さんは個人情報取扱事業者として規制の適用を受けることになります。

では具体的にどんな規制があるのでしょうか?

 

大きな5つのポイント

個人情報保護法における個人情報取扱事業者の義務は条文の上で各種の細かな規定が設けられています。

ただ、大まかに分けると主に「5つの基本チェックリスト」なるものがあるとされています。

今年(平成28年)1月に発足した個人情報保護委員会のウェブサイトにこの「5つの基本チェックリスト」についてのPDFがありまして、冒頭の説明会当日でもチラシとして配られたものがあります。

先に当該PDFのリンクを貼っておきますね。

個人情報保護委員会「中小規模事業者向け 個人情報保護法の5つの基本チェックリスト(平成28年10月)」を見る。

このチェックリストの5つはつまりポイントになることなので、ここでもご紹介します。

①個人情報「取得」時の規制

②個人情報「利用」時の規制

③個人情報「保管」時の規制

④個人情報「第三者提供」時の規制

⑤本人からの個人情報「開示請求」時の規制

という5点です。

先程のPDFはもう少しくだけた感じにはなっていますが、同じことです。

これらのもう少し突っ込んだ内容についてはまた次回以降お話ししていきたいと思います。

とりあえず今の時点ではこういった点に注意して個人情報を取り扱っていかなければならない事業者に、すべての事業者が対象とされるようになったということを頭においていただきたいと思います。

すべての事業者ですから極端なことを言えばクリーニング屋さんとか床屋さんとかの街の商店さんが個人情報を取り扱っていればこの適用対象になっていくことになります。

ただし、先程もお話ししたように大きな会社と街の商店さんが同じ基準で個人情報を管理していくことは商店さん側の負担が大きくなりかねませんよね。

そこで先日平成28年11月30日に個人情報保護委員会のウェブサイトで公表されたガイドラインにおいて、「中小規模事業者」という定義を作り通常の事業者さんよりも安全管理措置といわれるものの例示を多少緩やかに規定しています。

ここでいう「中小規模事業者」というのは従業員数100人以下で先ほどの「5000件要件」ではありませんが、取扱個人情報の件数が過去6か月間一度も5000件を超えたことがない事業者さんや、委託されて個人データを取り扱う事業者さんでないことなどが要件です。

(特に「5000件」についての部分は厳密な表現はもう少し細かいのですが、先日の説明会でもこれに近い表現でレジメが配られていますのでこのような表現を使うことにします。)

とはいえ緩やかになってはいても個人情報取扱事業者であることには変わりません。

今までよりも慎重に個人情報を取り扱う必要がある点には十分に注意が必要です。

っと、さてここまでお話ししてきて今更感ありありなのですが、そもそも「個人情報」って何を指しているんでしょうかね?

ということで次回はこの「個人情報」の定義についてお話ししたいと思います。

 

 

 

 

 

 

 

 

関連記事

ページ上部へ戻る