個人情報保護法改正で撤廃された“5,000件要件”について

個人情報

2017年に完全施行された個人情報保護法改正により、様々な定義の変更が行われました。
その中の1つに、“個人情報取扱事業者”の定義があります。
今回は個人情報保護法改正によって撤廃された、個人情報取扱事業者の定義における“5,000件要件”と、その他変更された定義について解説します。

個人情報取扱業者の定義における“5,000件要件”とは?

2017年以前に施行されていた個人情報保護法の“個人情報取扱事業者の定義”には、“5,000件要件”というというものが含まれていました。
つまり以前は、個人情報取扱事業者として認められるのは“5,000件以上の個人情報を保有している事業者”に限定されていたのです。
この5,000件要件が、個人情報保護法改正によって撤廃されました。
顧客・従業員など個人情報を1件でも保有していれば、個人情報取扱事業者に該当するようになったという事です。
個人情報保護法改正によって、個人情報保護の強化が行われた1つの例だと言えるでしょう。

個人情報取扱事業者の定義はどう変更された?

変更された個人情報取扱事業者の定義は、“個人情報データベースを事業の用に供している者”とされています。
この“個人情報データベース”、“事業”に関しても細かい定義があるのですが、少し複雑になるので割愛します。
簡単に言うと、保有する個人情報の数は関係なく、“事業に個人情報を利用している事業者”という定義に変更されたのです。
改正された個人情報保護法に記されている“個人情報取扱事業者の判断の注意点”にも、保有数は関係ないという旨の記載がされています。
ただ“個人情報を保管しているだけ”の事業者は、上記の“個人情報データベースを事業の用に供している者”に該当しません。
つまり個人情報を保管しているだけの事業者は、個人情報取扱事業者に当てはまらないのです。
“個人情報データベースを事業の用に供している者”とされるのは、個人情報の検索が可能であったり、体系的な個人情報管理をしていたりする事業者です。

法人でなくても個人情報取扱事業者に該当する要件

事業に個人情報を利用している場合は、法人でなくても個人情報取扱事業者に該当すると定義されています。
つまり個人事業主にとっても、個人情報保護法はより注意しなくてはいけない法律になったのです。
逆に団体であっても、公的機関は個人情報取扱事業者に該当しません。
対象外になる公的機関として、国の機関や地方公共団体、独立行政法人等が挙げられます。

まとめ

5,000件要件を始め、個人情報保護法改正によって対象企業が増えるような定義変更は、数多く実施されています。
その他にもGDPR(EUデータ保護規則)等、自社が対象となり得る法律の施行が少しずつ増加しています。
企業は自社の個人情報保護体制を強化する為、または自社が当てはまる法律を把握する為に、“JAPHICマーク”等の取得を検討しましょう。
自社が適切な個人情報保護体制を取っていれば、遵守すべき法律を見逃す心配もなくなるでしょう。
例え故意でなくても、自社が対象となる法律の遵守を怠っていれば、企業の信頼性低下に繋がったり罰則を受けたりという事に繋がってしまうので、注意が必要です。

タイトルとURLをコピーしました