◆SH0894◆中小規模事業者用の個人情報取扱規程・個人情報保護指針(連載第3回) 渡邉雅之(2016/11/24)

中小規模事業者用の個人情報取扱規程・個人情報保護指針 

弁護士法人三宅法律事務所

弁護士 渡 邉 雅 之

 改正個人情報保護法では、過去6月以内に5,000以下の個人情報を保有する者も個人情報取扱事業者としての義務を負うことになりますが、個人情報保護法ガイドライン(通則編)8((別添)講ずべき安全管理措置の内容)においては、「中小規模事業者」として、緩和された特例的な安全管理措置を許容されています。

 「中小規模事業者」とは、従業員の数が100人以下の個人情報取扱事業者のうち、①その事業の用に供する個人情報データベース等を構成する個人情報によって識別される特定の個人の数の合計が過去6月以内のいずれかの日において5,000を超える者、及び、②委託を受けて個人データを取り扱う者を除くもののことです。これも番号法の事業者ガイドラインに準拠した取扱いです。

 『個人情報取扱規程(中小規模事業者用)』では、個人情報保護法ガイドライン(通則編)において、中小規模事業者に適用される緩和された(組織的・人的・物理的・技術的)安全管理措置を下に可能な限りシンプルな規程として作成しております。中小規模事業者以外の一般事業者においては適用される管理区域・取扱区域という概念も使用しておりません。記録関係もできる限り要しない内容としております。

 また、中小規模事業者が通常利用することが考えられない、「オプトアウト手続」(改正法23条2項~4項)や外国の第三者への提供の制限(改正法24条)に関する規定はしておりません。『第三者提供に係る記録の作成等』(改正法25条)においても、オプトアウト手続による提供に関する規定をしておりません。

 さらに、中小規模事業者は『開示等の請求等に応じる手続』(改正法32条)を公表しない場合が多いと考えこれも規定しておりません。

 もちろん、中小規模事業者がそれ以外の一般事業者と同様の安全管理措置に基づく規定の整備をすることは望ましいことです。また、上記で省略した規定についても規定することも考えられます。

続きはこちらから

 

(わたなべ・まさゆき)

渡邉雅之 (弁護士法人三宅法律事務所)

1995年東京大学法学部卒業。2001年弁護士登録(54期)。2016年公認不正検査士。成蹊大学法科大学院非常勤講師(金融商品取引法担当)、株式会社王将フードサービス社外取締役(平成26年6月~)、日特建設株式会社社外取締役(平成28年6月~)

【弁護士会関係役職】日本弁護士連合会民事介入暴力対策委員会委員、第二東京弁護士会民事介入暴力対策委員 ほか

【主な取扱業務】金融規制法・コンプライアンス業務、プロジェクト・ファイナンス、保険法、民暴・マネロン対策、M&A業務、倒産関係業務

【関連著書】『マイナンバー制度 法的リスク対策と特定個人情報取扱規程』(日本法令、2015年3月)、『改訂版 マイナンバー制度 法的リスク対策と特定個人情報取扱規程』(日本法令、2015年9月)

 

 <連絡先>
 弁護士法人三宅法律事務所 東京事務所
 電話 03-5288-1021 E-mail m-watanabe@miyake.gr.jp




メールで情報をお届けします
(毎週火曜日・金曜日)

サイト内検索