【個人情報保護】法改正にどう対応するか(2)

適用範囲が拡大されました

 今回,個人情報保護法の初めての改正法が平成27年9月に成立し,平成29年5月30日に施行されました。
 中小事業者にとって重要な改正がされていますので,適切に対応することが必要です。

 前回,個人情報保護法に規定された保護義務について説明しました。
 今回は,法の適用範囲が拡大されたことについて説明します。

個人情報取扱事業者

 個人情報保護法上の保護義務を誰が負うかについて,法律は「個人情報取扱事業者」と定めています。
 この「個人情報取扱事業者」は,法2条において,「個人情報データベース等を事業の用に供している者」と定義されています。
 「個人情報データベース等」については前回も触れていましたが,個人情報を含む情報の集合物を検索できるように体系的に構成したものを言います(2条4項)。

 これについて,改正前同条3項5号においては,小規模のデータベースのみを取扱う事業者の負担を考え,「その取り扱う個人情報の量及び利用方法からみて個人の権利利益を害するおそれが少ないものとして政令で定める者」(個人情報データベースを構成する個人の数の合計が過去6か月5000を超えない者)は除かれていました。
 しかし,今回の改正でこの例外規定は削除されましたので,「個人情報データベース等を事業の用に供している者」は,例外なく法に規定された保護義務を負うことになりました。

「個人情報データベース等を事業の用に供している者」

 パソコンにインストールされたメールソフトのアドレス帳,顧客リスト,会員名簿などは,すべて「個人情報データベース等」に該当します。
 およそ何らかの事業者でありながら,これらを使っていないところはないでしょう。「供している者」とだけ規定されていますので,法人か個人か,営利か非営利かは関係ありません。

 したがって,個人事業者や,何らかの事業団体(同窓会やPTAも)について,ほぼ例外なく個人情報保護法が適用されることになりました。

 もっとも,個人情報取扱事業者に該当しても,「個人情報取扱事業者の義務」の適用除外になる場合があります(76条)。
 例えば,宗教団体が宗教活動のに用いる目的である場合は,義務規定の適用がありません。

コメント