(画面は第9回個人情報保護委員会の資料より)
来年に予定されている個人情報保護法の改正に関して、個人情報保護委員会での議論が始まっているようですので、気になるところを取り上げていこうと思います。
今回の個人情報保護法の改正においては、下記の12のポイントで変わるのですが、その中の一つが「小規模事業者の特例の廃止」です。第9回個人情報保護委員会(5月26日開催)でこれについて、議論されたようです。
従来の個人情報保護法では「過去6か月以内に5001人分以上の個人データを保有したことがない」小規模事業者に対して、個人情報取扱事業者の全ての義務規定を免除する特例がありましたが、これが改正後の個人情報保護法では撤廃されます。ただし、改正法附則11条において、「個人情報保護委員会がガイドラインを作成するにあたっては、小規模事業者の事業活動が円滑に行われるように配慮する」とあり、何らかの緩和対応が必要となっていました。
結果的に、個人情報保護委員会の作成するガイドラインにおいて下記の「中小規模事業者」という概念を新設し、事業者が講ずべき「組織的」「人的」「物理的」「技術的」安全管理措置を記載する際に、中小規模事業者に対する特例的対応や手法の例示を行うことで、これを実現しようという話で検討が進んでいるようです。
中小規模事業者の定義(案)
- 従業員の数が100名以下
- 事業の用に供する個人データが5000人分以下
- 個人データの取扱いの委託を受けていない
すなわち、個人情報の取得の際の利用目的の明示、適正取得、利用目的の特定、目的外利用の禁止、安全管理措置、従業者の監督、委託先の監督、同意のない第三者提供の禁止、保有個人データの開示等の手続きなど、全ての個人情報取扱事業者の義務規定を、全ての事業者に規模を問わず義務付けながらも、実際に安全管理措置としてどこまで実施するかは中小規模事業者に対する特例を明記したガイドラインで示すということになりそうです。
第9回個人情報保護委員会・開催記録
http://www.ppc.go.jp/enforcement/minutes/2016/20160526/
(私のコメント)
お気づきの方も多いと思いますが、マイナンバーガイドラインの考え方を流用したことになります。今の個人情報保護委員会は番号法の導入に尽力してきた方が多いこともありますので、今後もマイナンバーガイドラインが参考にされるケースが続くのではないかと思います。