|
個人情報保護法の要点 4/9
定義:個人情報取扱事業者
個人情報保護法において、個人情報を管理するする上で義務を課せられる対象となる人、会社等を、「個人情報取扱事業者」と表現しております。
自社が、個人情報取扱事業者であるかどうかを見極める必要がありそうです。
■「個人情報取扱事業者」とは
第二条3項に次のように定義されています。
この法律において「個人情報取扱事業者」とは、個人情報データベース等を事業の用に供している者をいう。
ただし、次に掲げる者を除く。
一 国の機関
二 地方公共団体
三 独立行政法人等
四 その取り扱う個人情報の量及び利用方法からみて個人の権利利益を害するおそれが少ないものとして政令で定める者
|
この条文で書かれている幾つかの文言も理解しておきましょう。
■「個人情報データベース」とは
この法律の中では「個人情報を含む情報の集合物」であって、「電子計算機を用いて検索可能な体系的に構成したもの」に加えて「個人情報を容易に検索可能な体系的に構成したもので政令で定めるもの」とあります。
コンピュータ上(電子媒体)で管理する個人情報全てと、紙ベースであっても、住所録等はそのその対象となります。
それでは「名刺」は?というと、きちんと整理・管理された「名刺ホルダー」などは対象になりそうですが、少数枚の名刺を乱雑に保管した場合は?など、細かな点については、個々に社会通念に従って判断されることになるものと思います。
■「事業に用に供している」とは
「事業の用に供している」ということは、事業運営に必要な情報ということになります。
ここでいう「事業」とは、「一定の目的をもって反復継続して遂行される同種の行為の総体を指し、営利、非営利の別を問わない。」とされています。しかし、事業に当たるか否かの判断は、その実態を踏まえて、社会通念に従って行われることになります。(156回国会質問答弁より)
企業(個人事業者も含む)の場合、企業の存続という目的を持って、反復的継続的に事業を行なっているわけですから、この部分では、全ての企業は、個人情報取扱事業者の対象となり得ることになります。
■適用外となる「政令で定める者」
四項で、個人情報の量及び利用法によっては政令で適用外とすることが書かれていますが、後に制定された政令によって、「個人情報が数の合計が過去六月以内のいずれの日においても五千を超えない者とする。」となりました。
この「5000」という数字は5000人ということになります。
5000人以下であれば、適用除外というわけですが、個人情報には顧客に関する情報はもちろん、取引先の方の情報、従業員に関する情報なども含まれますから、よほどの小規模事業者以外はこの対象となる得ると考えていいでしょう。
事実、5000とのいう数字は、商店街の個人商店程度の方々を対象外とすることを想定してはじき出されたそうで、「"会社"と呼ばれるような組織は全てが対象である。」とぐらいに考えておいたほうがいいと思います。
但し、数多い個人情報の活用が「事業の用に供している」か、あるいは否かを判断することが難しものも沢山あり、今後も、いろいろと議論され、政令等で示されていくものと思います。
例えば、「古本屋さんが、個人から購入した名簿を販売する行為は、個人情報そのものの売買を業としているわけでないので適用外とする。」「名簿を有料コピーさせる事業者は、その個人情報を業に供しているから適用する」(156回国会
質問答弁より)など、状況に応じて、判断されることと思います。
■適用除外
更に、第五十条で示された、放送機関、新聞社、通信社その他の報道機関、著述を業として行う者、大学その他の学術研究を目的とする機関若しくは団体又はそれらに属する者、宗教団体、政治団体などが、その活動目的に供する個人情報は適用除外となります。
ただし、それぞれの事業の目的外に収集された個人情報は対象となります。
以上を踏まえて、この法律の適用範囲を図で示すと次のようになります。(赤色部分)
「個人情報取扱事業者」を一事で言えば、「顧客情報、取引先情報、従業員情報等において、5000人以上の個人情報を有し、それらを事業を営む上で利用している事業者」となります。
|
|