トピックス

2016.05.01
NEWS

改正個人情報保護法ニュース⑬:小規模事業者の適用除外の廃止

(執筆者 渡邉雅之
改正個人情報保護法ニュース①:改正の概要とスケジュール

改正個人情報保護法ニュース②:要配慮個人情報の取得制限と本人確認書類の取得に際しての実務上の影響
改正個人情報保護法ニュース③:EUのデータ保護指令の要請による改正
改正個人情報保護法ニュース④:匿名加工情報(ビックデータ)に関する改正
改正個人情報保護法ニュース⑤:個人情報の定義の拡充
改正個人情報保護法ニュース⑥:利用目的の制限の緩和
改正個人情報保護法ニュース⑦:要配慮個人情報と機微情報(センシティブ情報)
改正個人情報保護法ニュース⑧:第三者提供に係る確認及び記録の作成の義務付け
改正個人情報保護法ニュース⑨:不正な利益を図る目的による個人情報データベース提供罪の新設
改正個人情報保護法ニュース⑩:オプトアウトの要件の厳格化
改正個人情報保護法ニュース⑪:外国にある第三者への提供の制限
改正個人情報保護法ニュース⑫:国境を越えた個人情報の取扱いに対する適用範囲

今回は、改正個人情報保護法により、小規模事業者も個人情報取扱事業者となり、個人情報保護法上の規律の適用を受けることになることについて解説します。

〇現行の個人情報保護法上の規律
現行の個人情報保護法においては、同法2条3項5号において、「その取り扱う個人情報の量及び利用方法からみて個人の権利利益を 害するおそれが少ないものとして政令で定める者」は、個人情報データベース等を事業の用に供している者であっても「個人情報取扱事業者」に該当しないこととされています。個人情報保護法施行令において、「その取り扱う個人情報の量及び利用方法からみて個人の権利利益を 害するおそれが少ないものとして政令で定める者」とは、「個人情報データベース等に含まれる 個人情報によって識別される特定の 個人の数の合計が、過去6ヶ月以内 のいずれの日においても 5,000 を超 えない者」とされています。
したがって、個人情報データベース等に含まれる個人情報によって識別される特定の個人の数の合計が、過去6ヶ月以内のいずれの日においても5,000を超えない事業者は、「個人情報取扱事業者」に該当しないことになります。
これにより、多くの中小企業やB to Bの事業者は、個人情報取扱事業者に該当せず、個人情報保護法上の規律を受けません。
なお、金融分野において個人情報データベース等を事業の用に供している者のうち、「個人情報取扱事業者」から除かれる者については、「金融分野における個人情報保護に関するガイドライン」において、同ガイドラインの遵守に努めるものとされています。

〇改正の背景
改正個人情報保護法ニュース③:EUのデータ保護指令の要請による改正」において説明したとおり、EUのデータ保護指令では、EU域内から個人データを第三国に移転できる場合について、EUから見て十分なレベルの保護措置を確保している場合に限定しています(「十分性の認定」)。EUのデータ保護指令では、小規模事業者であっても、同指令の適用を受けることとされています。
日本は現在のところ、「十分性の認定」の申請をしておりませんが、日本政府は、EUから十分性の認定を得るために必要な要件の一つとして、「小規模事業者への法の適用」について定める必要があると考えました。これが改正の背景です。


〇改正の内容
改正個人情報保護法においては、「個人情報取扱事業者」の例外である「その取り扱う個人情報の量及び利用方法からみて個人の権利利益を 害するおそれが少ないものとして政令で定める者」が削除されることになります(改正個人情報保護法2条5項)。
これにより、事業者はその個人情報データベース等に含まれる個人情報の数にかかわらず、「個人情報取扱事業者」に該当することになります。
すなわち、多くの中小企業やB to Bの事業者も、改正の施行日(平成29年9月8日までの政令で定める日)後は、「個人情報取扱事業者」に該当することになります。
これらの事業者には、「個人情報取扱事業者」に対する以下の規律が新たに適用されることになります。
✓利用目的の特定(15条)、目的外利用の禁止(16条)、不正の手段による取得の制限(17条)、利用目的の通知・公表(18条)
✓データ内容の正確性の確保(19条)、安全管理措置(20条)、従業者の監督(21条)、委託先の監督(22条)、第三者提供の制限(23条)
外国にある第三者への提供の制限(24条)、第三者提供に係る確認及び記録の作成・保存(25条・26条)、保有個人データに関する事項の公表(27条)、開示、訂正等及び利用停止等の請求(28条~33条)
✓違反には、報告徴収及び立入検査(40条)、指導・助言(41条)、勧告・命令(42条)、虚偽報告・立入検査忌避の30万円以下の罰金(85条1項)、開示、訂正等及び利用停止等の請求(28条~33条)

〇緩和された安全管理措置の適用
上記のとおり、中小企業やB to Bの事業者も個人情報取扱事業者となるため、これらの事業者は、プライバシーポリシーの策定、個人情報取扱規程の整備、安全管理措置の整備など一定の事項を改正法の施行日(平成29年9月8日までの政令で定める日)までにする必要があります。
もっとも、改正法においては、個人情報保護委員会は、「新個人情報保護法第8条に規定する事業者等が講ずべき措置の適切かつ有効な実施を図るための指針」(いわゆるガイドライン)を策定するに当たっては、これらの新たに個人情報取扱事業者となる者に関して、特に小規模の事業者の事業活動が円滑に行われるように配慮することとされています(改正法附則11条)。
これにより、個人情報保護委員会は、事業規模の小さな事業者に対し、大量の個人情報をデータベース化して取り扱っていることが想定される事業規模の大きな事業者と同様の措置まで求めるものではないことを周知した上で、事業規模の小さな事業者がとるべき措置をガイドラインにおいて明示する予定です(「一問一答 平成27年改正個人情報保護法」(商事法務))
中小企業やB to Bの事業者は、個人情報保護委員会の策定するガイドラインの公表を待つ必要があります。

〇マイナンバーの安全管理措置に与える影響
マイナンバー(個人番号)については、事業者は、個人情報保護委員会の「特定個人情報の適正な取扱いに関する ガイドライン(事業者編)」(以下「事業者ガイドライン」といいます。)に基づいて安全管理をする必要があります。
個人情報の管理と異なり、マイナンバーについては、事業者は取り扱う特定個人情報(個人番号を含む個人情報)の数にかかわらず、番号法の求める安全管理措置を講ずる必要があります。
しかしながら、「事業者ガイドライン」において、事業者のうち従業員の数が100人以下の事業者については、「中小規模事業者」として緩和された安全管理措置の適用が認められています。
もっとも、従業員の数が100人以下の事業者であっても、以下の①~④のいずれかに該当する場合は、「中小規模事業者以外の事業者」として厳格な安全管理措置に服します。
 ①個人番号利用事務実施者
 ②委託に基づいて個人番号関係事務又は個人番号利用事務を業務として行う事業者
 ③金融分野(金融庁作成の「金融分野における個人情報保護に関するガイドライン」第1条第1項に定義される金融分野)の事業者
 ④個人情報取扱事業者
今回の改正により、全ての事業者が「個人情報取扱事業者」になるため、④の例外は認められないことになります。
これにより、全ての事業者が「中小規模事業者以外の事業者」となり、事業者ガイドラインの厳格な安全管理措置に服することになってしまいそうです。
もっとも、上記で述べたとおり、個人情報保護委員会は、小規模事業者については、緩和された安全管理措置を適用することを予定していますので、中小規模事業者の特例は何らかの形で存置される可能性はあります。そこで、今後のガイドラインの改正・策定を注視していく必要があります。

*********************
改正個人情報保護法につきましてご相談等につきましては、下記にご連絡ください。
弁護士法人三宅法律事務所
弁護士 渡邉 雅之
(東京事務所)〒100-0006
東京都千代田区有楽町1丁目7番1号
有楽町電気ビルヂング北館9階
TEL : 03-5288-1021
FAX :03-5288-1025
Email:m-watanabe@miyake.gr.jp