改正個人情報保護法が平成29年5月30日に全面施行されます。(その1)
1 個人情報保護法の改正と全面施行
事業者が個人情報を扱うにあたって守らなければならないルール等を定めた法律が個人情報の保護に関する法律(以下「個人情報保護法」といいます。)です。この個人情報保護法は、平成27年9月に改正されています。
しかしながら、その施行については法改正の影響が大きく、準備・対応に時間がかかるため、全面施行は平成29年春ころを予定、とされていましたが、正式に平成29年5月30日に全面施行されることが決定しました。
2 「小規模取扱事業者」も個人情報保護法の適用を受けます。
これまで、個人情報保護法の適用を受ける事業者(これを「個人情報取扱事業者」といいます。)の範囲については、「個人情報によって識別される特定の個人の数の合計が過去6ヵ月以内のいずれの日においても5000を超えない者」を除外していました。これを小規模取扱事業者と呼びます。
しかしながら、全面施行後は小規模取扱事業者も個人情報取扱事業者となります。よって、これまで小規模取扱事業者であった企業等においては、個人情報保護法にしたがった個人情報の取得、管理、提供、開示請求への対応を行う必要があります。
それでは、具体的に何をすれば良いのか、ということが気になるところですが、個人情報保護委員会から「個人情報の保護に関する法律についてのガイドライン」が公表されていますので、基本的にはこのガイドラインを参照して、現在手当ができていない部分を抽出し、必要な措置を講じていくことになります。
3 中小規模事業者の安全管理措置
なお、このガイドラインの中で、個人情報取扱事業者が講じなければならないとされている安全管理措置に関して、「中小規模事業者」(従業員の数が100人以下の個人情報取扱事業者のことですが、個人情報によって識別される特定の個人の数の合計が過去6月以内のいずれかの日において5000を超える者と委託を受けて個人データを取り扱う者は除外されます。)については、その負担も考慮して講じなければならない安全管理措置の手法の例示がされていますので、まずはこの例示を参考に、ルールの整備をしていくことが第一段階となるでしょう。