「個人情報保護法③」

本日、ブログを担当するシステム開発課の鈴木です。

前回は「個人情報とは」について記載しました。
今回は「個人情報取扱事業者とは」について記載します。

個人のいろいろな情報が「守られる個人情報」である、ということは理解いただけましたね。
では、守るのは誰か、ということも知っておきましょう。

個人情報保護法では、この法律の対象となるのは法で定義するところの「個人情報取扱事業者」
であることを条件としています。
皆さんの企業が、個人情報取扱事業者に該当するかどうか、ということを判断しなくてはなりません。

法第二条第3項

　この法律において「個人情報取扱事業者」とは、個人情報データベース等を事業の用に供している者をいう。

　ただし、次に掲げる者を除く。

　　一　国の機関
　　二　地方公共団体
　　三　独立行政法人等（独立行政法人等の保有する個人情報の保護に関する法律（平成十五年法律第五十九号）第二条第一項に規定する独立行政法人等をいう。以下同じ。）
　　四　地方独立行政法人（地方独立行政法人法（平成十五年法律第百十八号）第二条第一項に規定する地方独立行政法人をいう。以下同じ。）
　　五　その取り扱う個人情報の量及び利用方法からみて個人の権利利益を害するおそれが少ないものとして政令で定める者

　「事業の用に供しているもの」
　個人情報保護法では、「『個人情報』を『事業の用に供している者』」をこの法律の対象としています。
　「事業」について、経済産業省のガイドラインでは、以下のように解説しています。

　「事業の用に供している」の「事業」とは、一定の目的を持って反復継続して遂行される
　同種の行為であって、かつ一般社会通念上事業と認められるものをいい、営業事業のみを
　対象とするものではない。
　法人格のない、権利能力のない社団（任意団体）又は個人であっても個人情報取扱事業者に該当し得る。

　例えば家庭内での年賀状印刷用の情報や学校のクラブ活動の名簿などは「社会通念上事業と
　認められない」と考えられますので、「事業」には当たらず、個人情報保護法適用外となります。
　とはいえ、個人が持っているものであっても個人情報であることに違いはないので、
　各個人が自宅にある個人情報の取り扱いについても意識を高めることが求められています。

　「取り扱う個人情報の量」
　法令では、第二条第3項の例外として、その取り扱う個人情報の量及び利用方法からみて
　個人の権利利益を害するおそれが少ないものとして政令で定める者とうたっています。
　「取り扱う個人情報の量」が少なければ、「個人情報取扱事業者」とはしない、ということです。
　経済産業省のガイドラインでは、この「取り扱う個人情報の量」について、以下のように解説しています。

　過去6ヶ月以内のいずれの日においても5000人を超えない者
　5000人の個人情報とは、同一人物の重複分は除くものとする。

企業が個人情報取扱事業者であるかは、現在持っている個人情報を整理し、
過去6カ月以内に5000人を超える日があるかを知ることからスタートします。
そして、これからもそれらの個人情報を保有する必要があるのか、ということを検討し、
場合によっては個人情報を廃棄することで、個人情報取扱事業者ではなくなる可能性もあるのです。
個人情報保護法により、個人情報取扱事業者に義務が課せられることになります。

次回は「個人・保有個人データとは」について記載したいと思います。