個人情報取扱事業者
平成29年5月30日に改正個人情報保護法が施行されます。個人情報保護法の規制対象である個人情報取扱事業者の定義を取り上げます。
個人情報取扱事業者
個人情報保護法の規制の対象となるのは,個人情報取扱事業者です。個人情報取扱事業者は,次のように規定されています。
個人情報保護法2条
5 「個人情報取扱事業者」とは,個人情報データベース等を事業の用に供している者をいう。ただし次に掲げる者を除く。
①国の機関
②地方公共団体
③独立行政法人等
④地方独立行政法人
事業の用に供している
個人情報データベース等を事業の用に供していれば,個人情報取扱事業者に該当します。法人か個人かは問いません。また,事業は,営利か非営利を問いません。
事業の用に供するとは,ある者が行う事業に利用する目的で個人情報データベース等を役立たせることを意味します。個人情報データベース等を利用する者と供する者が一致している必要はありません。利用方法等についても限定されません。
外部の利用者に情報を提供する事業に供する目的で個人情報データベース等を構築している場合,自らの事業の顧客管理・雇用管理に利用する目的で個人情報データベース等を構築して,自ら利用する場合が典型です。
事業は,単に一定の目的をもって反復継続的に遂行される同種の行為であるだけではなく,社会通念上それが事業をみられる程度の社会性があることが必要と解されています。そのため,個人がプライベートで自分のPCで個人情報データベースを利用している場合,一定の目的の下に反復継続して行われていても,ここでいう事業には当たらず,個人情報取扱事業者には該当しません。
5000件要件はなくなる
改正前の個人情報保護法は,個人情報取扱事業者について,取扱う個人情報の量,利用方法からみて個人の権利利益を害する恐れが少ないと政令で定める者を除外していました。これが5000件要件です。個人情報で識別される個人の数が5000件を超えない場合は,個人情報取扱事業者から除外されていました。
改正個人情報保護法では,この5000件要件はなくなります。取扱う個人情報の量が少ないからといって,個人情報が漏洩すれば,自己の権利利益が侵害されることに変わりはありません。インターネットを通じた取引が急増している中,取扱う個人情報の量が少ない事業者からも購入履歴やクレジットカード情報が漏洩する可能性が高まっています。そこで,5000件要件をなくし,個人情報取扱事業者であれば,すべて個人情報保護法の規制が及ぶことになります。
個人情報データベース等
個人情報データベースについて,個人情報保護法は次のように規定しています。
個人情報保護法2条
4 「個人情報データベース等」とは,個人情報を含む情報の集合物であって,次に掲げるもの(利用方法からみて個人の権利利益を害するおそれが少ないものとして政令で定めるものを除く)をいう。
①特定の個人情報を電子計算機を用いて検索することができるように体系的に構成したもの
②前号に掲げるもののほか,特定の個人情報を容易に検索することができるように体系的に構成したものとして政令で定めるもの
個人情報データベース等は,個人情報の部分集合です。ハードディスク等の記録媒体を指すのではなく,記録されている個人情報の総体を指します。分散型データベースでも仕様が統一されていて,データの共有が可能である場合は,一つの個人情報データベース等と解されます。
利用方法からみて個人の権利利益を侵害するおそれが少ないもの
改正個人情報保護法は,5000件要件をなくし,個人情報の量による個人情報取扱事業者の適用除外を排除しています。その代わり,利用方法からみて個人の権利利益を害するおそれが少ないものを個人情報データベース等から除外しています。
この要件に該当すれば,個人情報データベース等に該当しないので,この要件に該当するもののみを事業の用に供している者は,個人情報取扱事業者には当たらないことになります。
政令は,次のいずれにも該当するものを個人情報データベース等から除外することにしています。
①不特定かつ多数の者に販売することを目的として発行されたものであって,かつ,その発行が個人情報保護法に違反して行われたものでないこと
②不特定かつ多数の者により随時に購入することができ,またはできたものであること
③生存する個人に関する他の情報を加えることなくその本来の用途に供しているものであることの
この要件を充足するものとしては,政官要覧・市販の職員録・弁護士会名簿・医師名簿・会社四季報などが該当すると考えられます。