平成29年5月30日に施行される個人情報保護法について,不定期で取り上げます。今回は個人情報取扱事業者の定義について取り上げます。

個人情報取扱事業者

 個人情報保護法の規制の対象になるのは,個人情報取扱事業者です。個人情報取扱事業者は次のように規定されています。

個人情報保護法2条

5 「個人情報取扱事業者」とは,個人情報データベース等を事業の用に供している者をいう。ただし次に掲げる者を除く。

 ①国の機関

 ②地方公共団体

 ③独立行政法人等

 ④地方独立行政法人

 個人情報データベース等を事業の用に供していれば,個人情報取扱事業者に該当します。法人か個人かを問いません。事業についても,営利か非営利を問いません。

5000件要件はなくなる

 改正前の個人情報保護法は,個人情報取扱事業者について,取扱う個人情報の量,利用方法からみて個人の権利利益を害する恐れが少ないと政令で定める者を除外していました。これが5000件要件です。個人情報で識別される個人の数が5000を超えない場合は,個人情報取扱事業者から除外されていました。

 改正個人情報保護法では,この5000件要件はなくなります。取扱う個人情報の量が少ないからといって,個人情報が漏洩すれば,自己の権利利益が侵害されることに変わりはありません。インターネットを通じた取引が急増している中,取扱う個人情報の量が少ない事業者からも購入履歴やクレジットカード情報が漏洩する可能性が高まっています。そこで,5000件要件をなくし,個人情報取扱事業者であれば,すべて個人情報保護法の規制が及ぶことになります。

個人情報データベース等

 個人情報データベースについて,個人情報保護法は次のように規定しています。

個人情報保護法2条

4 「個人情報データベース等」とは,個人情報を含む情報の集合物であって,次に掲げるもの(利用方法からみて個人の権利利益を害するおそれが少ないものとして政令で定めるものを除く)をいう。

 ①特定の個人情報を電子計算機を用いて検索することができるように体系的に構成したもの

 ②前号に掲げるもののほか,特定の個人情報を容易に検索することができるように体系的に構成したものとして政令で定めるもの

 個人情報データベース等は,個人情報の部分集合です。ハードディスク等の記録媒体を指すのではなく,記録されている個人情報の総体を指します。分散型データベースでも仕様が統一されていて,データの共有が可能である場合は,一つの個人情報データベース等と解されます。

利用方法からみて個人の権利利益を侵害するおそれが少ないもの

 改正個人情報保護法は,5000件要件をなくし,個人情報の量による個人情報取扱事業者の適用除外を排除しています。その代わり,利用方法からみて個人の権利利益を害するおそれが少ないものを個人情報データベース等から除外しています。

 この要件に該当すれば,個人情報データベース等に該当しないので,この要件に該当するもののみを事業の用に供している者は,個人情報取扱事業者には当たらないことになります。

 政令は,次のいずれにも該当するものを個人情報データベース等から除外することにしています。

 ①不特定かつ多数の者に販売することを目的として発行されたものであって,かつ,その発行が個人情報保護法に違反して行われたものでないこと

 ②不特定かつ多数の者により随時に購入することができ,またはできたものであること

 ③生存する個人に関する他の情報を加えることなくその本来の用途に供しているものであることの

 この要件を充足するものとしては,政官要覧,市販の職員録,弁護士会名簿,医師名簿,会社四季報などが該当すると考えられます。