小規模事業者に大きな影響のある改正個人情報保護法は平成29年5月30日が施行日に決定

改正個人情報保護法の全面施行日は平成29年5月30日に決定しました(12/20公表)

新たに適用となる「小規模事業者」向けのガイドライン

「保有する個人情報が5000人以下の企業」は適用除外の例外規定がありましたが、このたびの改正法では撤廃されたことから、基本的にはすべての事業者が個人情報取扱事業者となります。

取り扱う個人情報は、顧客だけでなく、従業員も含みます。なお、従業員を雇用していた場合は「マイナンバー」も取り扱うことになるので、「個人情報取扱事業者」よりも厳しい管理が求められる「個人番号取扱事業者」にもなります。マイナンバー制度はすでに施行されています。

ただし、小規模事業者に対して、これまでのような対応を求めることが難しい場合もあるので、今後、ガイドラインの策定にあたっては「小規模事業者に配慮する」旨が規定されています。

具体的には、管理者の体制などが簡素化されます。

11/30以降、順次ガイドラインが公表されていますが、上記の基本原則が示されている『個人情報の保護に関する法律についてのガイドライン(通則編)』を参照してください。

個人情報保護委員会 > 個人情報保護法について > 改正法の施行準備について
http://www.ppc.go.jp/personal/preparation/

ガイドライン(平成28年11月30日公表)

  • 個人情報の保護に関する法律についてのガイドライン(通則編) (PDF:1188KB)
    http://www.ppc.go.jp/files/pdf/guidelines01.pdf
  • 個人情報の保護に関する法律についてのガイドライン(外国にある第三者への提供編) (PDF:553KB)
  • 個人情報の保護に関する法律についてのガイドライン(第三者提供時の確認・記録義務編) (PDF:547KB)
  • 個人情報の保護に関する法律についてのガイドライン(匿名加工情報編) (PDF:385KB)

※改正個人情報保護法の全面施行の日から施行

小規模事業者(=中小規模事業者)の定義

従業員の数が100人以下の事業者(「取り扱う個人情報の数が5000人を超える事業者」や「委託に基づいて個人データを取り扱う事業者」を除きます」

個人情報保護法ガイドライン(通則編)86ページより引用

(※1)「中小規模事業者」とは、従業員(※2)の数が 100 人以下の個人情報取扱事業者をいう。ただし、次に掲げる者を除く。
・その事業の用に供する個人情報データベース等を構成する個人情報によって識別される特定の個人の数の合計が過去 6 月以内のいずれかの日において 5,000 を超える者
・委託を受けて個人データを取り扱う者
(※2)中小企業基本法(昭和 38 年法律第 154 号)における従業員をいい、労働基準法(昭和 22 年法律第 49 号)第 20 条の適用を受ける労働者に相当する者をいう。ただし、同法第 21 条の規定により同法第 20 条の適用が除外されている者は除く。

平成28年11月~平成28年2月にかけて行われる説明会の日程・資料

個人情報保護委員会のHP・・・https://www.ppc.go.jp/

個人情報保護委員会 > 個人情報保護法について > 広報資料・各種説明会等 > 中小企業向け個人情報保護法の全国説明会(平成28年度)
http://www.ppc.go.jp/personal/pr/28_national-briefing_chusho/

説明会資料

説明資料 (PDF:898KB)

参考:中小規模事業者向け 個人情報保護法の5つの基本チェックリスト(平成28年10月)
(PDF:1138KB)

改正個人情報保護法の施行までのスケジュール

  • 平成27年3月に改正個人情報保護法が閣議決定されましたが、マイナンバーの情報漏えい事件の余波もあり審議が遅れていました。
  • その後、平成26年9月3日に改正個人情報保護法の成立し、9日に公布されました。同時に改正マイナンバー法も成立しました。
    改正個人情報保護法の施行日は確定していませんが、1年6ヶ月以内に施行となっています。
  • 改正内容については、平成27年3月の段階での改正案から、特に大きな改正内容の変更はなく、成立しました。
  • 平成28年10月に法律を所管している個人情報保護委員会が「小規模事業者向け説明会」の開催告知をしましたが、その中で、改正個人情報保護法は「平成29年春頃予定」と書かれています。
    ⇒平成29年5月30日施行に決定しました
  • おそらく、9月を待たず、早ければ、平成28年4月1日施行になるのではないかと思います。ただし、中途半端な施行日もありうるので、4/9、5/1などが考えられます。
  • 10月末現在、ガイドライン案が公表されており、意見募集がされています。今読むと混乱しそうなので、正式決定してから読み込んで記事を書きたいと思います。
    ⇒11/30以降、順次、各種ガイドラインが公表されています

【2015年3月15日に書いた記事です】個人情報保護法の改正により小規模事業者に大きな影響

個人情報保護法の改正が今国会で成立することが確実となりました。
今回の改正は法制定以来の大きな改正となり、さまざまな視点から報道されているので、耳にした方も多いのではないかと思います。
報道では、ビッグデータからの個人情報の利用やマイナンバー制度への対応などを中心に報じられていますが、ほかにも影響度の大きい改正がされています。

事業者を対象として消費者法関係の支援をしている視点から見ると、個人事業主を含めた小規模事業者にとってかなり重要な改正がありました。多くの改正があるのですが、個人的に思う一番重大な点だけ簡単にまとめてみました。

270315-kojin

最初に、NHKと毎日新聞のWEBの記事を紹介します。
なんとなく改正の全体像や趣旨が分かると思います。特に、他社ではあまり報じられていない改正事項が毎日新聞の最後の2行で報じられた部分が注目です。今回はその2行に関する解説です。

NHK NEWESWEB

政府 「ビッグデータ」有効活用へ改正案決定
3月10日 8時40分
政府 「ビッグデータ」有効活用へ改正案決定
政府は10日の閣議で、「ビッグデータ」と呼ばれる膨大な電子情報を有効に活用するため、個人情報を個人が特定できないように加工すれば、本人の同意がなくても第三者に提供できるなどとした個人情報保護法などの改正案を決定しました。
個人情報保護法などの改正案では、「ビッグデータ」を有効に活用して、ビジネスチャンスの拡大を図る環境を整備するため、名前や住所、生年月日に加え、顔を認識するデータなどを個人情報として明確に位置づけています。
そのうえで、こうした個人情報を事業者が個人が特定されないように加工すれば、本人の同意がなくても第三者に提供できるとしています。
また、プライバシーの保護を強化するため、データが適切に管理されているか検証する第三者機関を内閣府の外局として設け、事業者への指導や立ち入り検査を行う権限を与えるほか、事業者らが不正な目的で情報を漏らした場合の罰則を設けるなどとしています。
さらに、改正案には国民一人一人に番号を割りふる「共通番号制度」、いわゆる「マイナンバー制度」の運用が来年1月から始まるのを前に、税の徴収漏れを防ぐため、金融機関に対し預金残高をはじめ、個人の預金情報をマイナンバーで検索できるよう管理することを義務づける内容なども盛り込まれています。

(引用)http://www3.nhk.or.jp/news/html/20150310/k10010009941000.html

毎日新聞

個人情報保護法:人種や信条は特別配慮 改正案を閣議決定
毎日新聞 2015年03月10日 22時03分(最終更新 03月11日 01時48分)

◇「匿名加工情報」、本人の同意なしに第三者提供が可能に

政府が10日に閣議決定した個人情報保護法改正案は、個人が特定できないように情報を加工したデータについて、本人の同意がなくても第三者に提供することを可能にした。一方で人種や信条などを「要配慮個人情報」と位置づけ、特別な保護の対象とした。

個人情報保護法改正案を巡っては、購買履歴など個人の行動に関する「パーソナルデータ」を蓄積する事業者が、本人の同意なしにデータを第三者に提供できる仕組みについて、検討が進められた。改正案では、個人を識別できる情報を削除したデータを「匿名加工情報」とし、本人の同意なしに第三者への提供ができるとした。

匿名加工情報を第三者に提供する事業者には、そのことを公表するよう義務付けた。提供を受けた側が、個人の特定を目的に、他の情報と照合することを禁止した。

人種、信条や前科・前歴など差別や偏見につながるおそれのある情報を「要配慮個人情報」として新たに定義し、取り扱いの制限を他の情報より厳格にした。

個人情報を扱う事業者を監督する「個人情報保護委員会」は、消費者団体や民間企業の関係者、学識経験者ら9人で構成。事業者への立ち入り検査や指導、命令などの権限を持つ。同委員会は、個人情報を匿名加工する基準の策定も担う。

個人情報の保護を強化するために創設する「データベース提供罪」は、不正な利益を得る目的で情報を提供したり、盗用したりする行為を処罰の対象とする。罰則は「1年以下の懲役または50万円以下の罰金」とした。

データベース提供罪は、2014年7月に発覚したベネッセの情報漏えい事件が契機となった「名簿屋」対策の一環。個人情報を受け取った者は、提供した者の名前や情報を取得した経緯を記録し、一定期間、保存することを義務付けた。

これまでは5000人を超える個人情報を保有する事業者のみが同法の規制対象だったが、5000人以下でも規制対象となる。

(引用)http://mainichi.jp/select/news/20150311k0000m010118000c.html

個人情報保有件数が5000人以下の適用除外規定が削除

これまでは、「個人情報取扱事業者」の定義として、保有している個人情報の数が5000人以下の場合は、個人情報保護法が適用されませんでした。←このこと自体を知らない事業者が多いでしょうね。

今回の改正で、この適用除外規定が削除されました。

したがって、個人事業主で、1件でも個人情報を保有していた場合は、個人情報保護法の「個人情報取扱事業者」として、法律を守る必要があるということです。

つまり、小規模事業者でも、全国展開している通販ショップであれば従前から法適用対象でしたが、今後は、ちょっとした手作り品を販売したり、料理教室やヨガサロン、セミナー講師など、数人から数百人規模での個人情報を保有している場合も、法の適用対象となります。

当然、私も一般の消費者を対象とした事業をしているので、改正後は「個人情報取扱事業者」になります。

今後の消費者対応はどうなっていくのか

コンプライアンス(法令遵守)の観点から見ると、多くの小規模事業者は、通信販売の特定商取引法に基づく表示をしていないことはこれまでにも指摘してきましたが、事業者が違反状態でも、消費者はあまり関心がないこともあり、そのことについて消費者に突っ込まれることもなかったと思います。
しかし、個人情報となると、多くの消費者が法律の存在を知っています(法律の中身を知っているかとは別の話です)。

消費者は個人情報に敏感なので、消費者から問い合わせや苦情があったときに、きちんと対応できないと、トラブルに発展します。消費者センターから問い合わせがあったり、違反がひどいと法律により行政処分される可能性もあります。これまでは、5000人以下という適用除外で、結果的に法律の対象外だったということで、準用してくださいよというぐらいの指導を受けるぐらいですが、厳格に法律の適用対象となります。
なによりも、小規模事業者だと法務担当者なんていないので、問い合わせや苦情に対して、どう対応したらいいのかわからないというところでしょう。
何よりも法律がどんな内容かを理解することから始まりますが、それ自体が大きなハードルです。
(たとえば、通信販売はクーリングオフの適用除外だということを法的に理解していないと、消費者かクーリングオフがなぜできないのかという苦情に的確に対応できず、時間を要してしまいます。それと同じで、個人情報保護法でも簡単な定義自体も消費者が知らずに苦情を申し出ることもあるので、基本知識は必須です)

そして、個人情報に関する事故は社会的反響が大きく、小さな事件でも報道されたりしているので、そのような事件をおこしたときはダメージが大きいでしょうし、さらに、法律の中身を知らないとなれば、社会的信用も失墜してしまいます。

施行は2年後?

附則として、2年以内に施行するとあります。猶予期間を目いっぱい取るとして、2年後ぎりぎりに施行されると思います。今後、運用面や例外などの細かい部分は、政省令やガイドラインが公表されてくると明らかになると思います。

施行されるまでに、全国各地で事業者向け説明会が開催されるでしょうね。

ちなみに説明会は無料なので行こうと思う事業者もいるかもしれませんが、国の説明会は行っても寝てしまうだけです。というのも、改正事項をもれなくすべて伝えることが目的ですので理解できるかどうかは考えていません。しかも、ある程度法律を分かってないと説明も分かりません。たんたんと資料を読み上げる説明は子守唄の世界ですね。
メリットとしては、HPでも公表されるであろう資料をもらえるのことと、ぶっちゃけの法の改正目的や運用実務が聞けるかもしれないところです。

法律を理解したければ、分かりやすいセミナー等に有料でも参加することです。ただし、弁護士や役人が講師になると、説明が難しいので、理解できないかもしれませんね。

個人情報保護法に関する企業研修やセミナーの開催

景品表示法の改正についての講師同様、個人情報保護法についても講師をしたいと思います。特に、個人情報保護法が改正された場合は、個人事業主などの小さいビジネスでも法規制対象となるのでしっかり対応しておくことが必要です。

法律改正案

内閣官房HP
トップページ > 国会提出法案
http://www.cas.go.jp/jp/houan/189.html
国会提出法案
第189回 通常国会
個人情報の保護に関する法律及び行政手続における特定の個人を識別するための番号の利用等に関する法律の一部を改正する法律案
H27.3.10
内閣官房情報通信技術(IT)総合戦略室 概要
要綱
法律案・理由
新旧対照表
参照条文

「個人情報の保護に関する法律及び行政手続における特定の個人を識別するための番号の利用等に関する法律の一部を改正する法律案要綱」より

第一 個人情報の保護に関する法律の一部改正関係

二 定義に関すること(第二条関係)
5 「個人情報取扱事業者」の定義からその取り扱う個人情報の量及び利用方法からみて個人の権利利
益を害するおそれが少ないものとして政令で定める者を除く旨の規定を削るものとすること。

第三 附則

一 施行期日(附則第一条関係)
この法律は、一部の規定を除き、公布の日から起算して二年を超えない範囲内において政令で定める
日から施行するものとすること。
二 経過措置等(附則第二条から第十二条まで関係)
この法律の施行に伴う経過措置等について定めるものとすること。
三 その他関係法律について所要の改正を行うものとすること。(附則第十三条から第三十七条まで関係)

http://www.cas.go.jp/jp/houan/150310/siryou2.pdf

個人情報保護法(現行法)

個人情報の保護に関する法律

(平成十五年五月三十日法律第五十七号)
最終改正:平成二一年六月五日法律第四九号
http://law.e-gov.go.jp/htmldata/H15/H15HO057.html

(定義)
第二条
3  この法律において「個人情報取扱事業者」とは、個人情報データベース等を事業の用に供している者をいう。ただし、次に掲げる者を除く。
一  国の機関
二  地方公共団体
三  独立行政法人等(独立行政法人等の保有する個人情報の保護に関する法律 (平成十五年法律第五十九号)第二条第一項 に規定する独立行政法人等をいう。以下同じ。)
四  地方独立行政法人(地方独立行政法人法 (平成十五年法律第百十八号)第二条第一項 に規定する地方独立行政法人をいう。以下同じ。)
五  その取り扱う個人情報の量及び利用方法からみて個人の権利利益を害するおそれが少ないものとして政令で定める者

個人情報の保護に関する法律施行令

(平成十五年十二月十日政令第五百七号)
最終改正:平成二〇年五月一日政令第一六六号
http://law.e-gov.go.jp/htmldata/H15/H15SE507.html

(個人情報取扱事業者から除外される者)
第二条  法第二条第三項第五号 の政令で定める者は、その事業の用に供する個人情報データベース等を構成する個人情報によって識別される特定の個人の数(当該個人情報データベース等の全部又は一部が他人の作成に係る個人情報データベース等であって、次の各号のいずれかに該当するものを編集し、又は加工することなくその事業の用に供するときは、当該個人情報データベース等の全部又は一部を構成する個人情報によって識別される特定の個人の数を除く。)の合計が過去六月以内のいずれの日においても五千を超えない者とする。
一  個人情報として次に掲げるもののみが含まれるもの
イ 氏名
ロ 住所又は居所(地図上又は電子計算機の映像面上において住所又は居所の所在の場所を示す表示を含む。)
ハ 電話番号
二  不特定かつ多数の者に販売することを目的として発行され、かつ、不特定かつ多数の者により随時に購入することができるもの又はできたもの

はりまコーチング協会では、HPに表示するプライバシーポリシー(個人情報保護法)、特定商取引法に基づく表示(通信販売)、利用規約等に関するセミナーや個別相談を承っています。個別相談はこちら

関連記事

個人情報保護法への具体的な対応 その1 法律の内容(2015年3月18日)」
個人情報保護法への具体的な対応 その2 事業者の義務(2015年4月1日)」

人気記事

タカショーの「日よけネット」で景品表示法の不当表示
「サイトに住所を出したくない」という個人事業主の悩み

フォローする