改正個人情報保護法が、平成29年5月30日より全面施行されます。
改正前の個人情報保護法では、5,000件を超える個人情報を保有する事業者のみが個人情報保護法の適用対象でした。
しかし、改正個人情報保護法では、保有している個人情報が5,000件以下の事業者であっても、適用の対象になります。
これまで個人情報保護法の適用対象ではなかった小規模事業者も、個人情報保護法の規制を把握し、対応する必要があります。
小規模取扱事業者も規制対象となる背景
インターネットの急速な普及などにより、取り扱う個人情報の件数が少なくても個人の権利利益を侵害する危険性が高まっています。
そのため、今回の改正により、5,000件以下の個人情報と取り扱う事業者についても、個人情報保護法が適用されることになります。
個人情報保護法の義務を負うのは?
個人情報保護法上の義務を負うのは、「個人情報取扱事業者」とされています。
「個人情報取扱事業者」とは、個人情報データベース等をその事業活動に利用している者のことです。
情報処理やソフトウェア開発等をしている会社のみが対象ではありません。
例えば、
- メールソフトのアドレス帳、仕事で使う携帯電話の電話帳、ソフトウェア等でリスト化された従業員や顧客台帳
- 五十音順に整理し、インデックスを付してファイルしている登録カード
などを使っている会社は、「個人情報取扱事業者」となります。
また、法人に限定されず、営利か非営利かも問われないため、個人事業主やNPO・自治会等の非営利組織であっても、「個人情報取扱事業者」となります。
現実には、ほとんどの事業者が「個人情報取扱事業者」に該当すると考えられます。
個人情報保護法の3つの概念
個人情報保護法では、保護が必要な情報を「個人情報」「個人データ」「保有個人データ」の3つの概念に分けています。
そして、3つの概念ごとに、実施しなければならない義務が定められています。
個人情報よりも個人データ、個人データよりも保有個人データのほうが、守るべき義務の範囲が広がります。
(1)個人情報
生存する特定の個人を識別できる情報
- 個人識別符号が含まれるもの
- 他の情報と容易に照合でき、その結果、特定個人を識別できることとなる情報も含む
(2)個人データ
個人情報のうち、紙媒体、電子媒体を問わず、特定の個人情報を検索できるように体系的に構成したもの(個人情報データベース等)に含まれる個人情報
(3)保有個人データ
個人データのうち、開示、訂正、消去等の権限を有し、かつ、6カ月を超えて保有するもの
改正個人情報保護法で知っておきたいことはこちら!
・改正個人情報保護法「個人情報の定義」が明確化。企業に求められる対応は?
・改正個人情報保護法「小規模事業者も対象に」5,000件要件の撤廃