こんにちは。今回は個人情報保護法の適用を受ける事業者についてお話ししたいと思います。
会社の保有する個人データが5000件以上であれば、その会社は個人情報取扱事業者となり、個人情報保護法が適用されます。
個人データとは、個人情報すべてを指すわけではありません。会社が利用するために体系的に整理された個人情報が個人データとなります。
例えば、氏名、住所、生年月日、電話番号などを記載した従業員名簿や顧客名簿は個人データとなります。もちろん、株主の情報データも個人データとなります。また、5000件とは、従業員名簿や顧客名簿等を合計した数となります。従業員数だけで5000件を越える企業は多くはないでしょうが、顧客名簿を加算すれば、個人業法取扱事業者に該当する企業は少なくないと考えられます。
個人情報取扱事業者には、①利用目的を特定し、目的外の利用は原則として禁止されます(個人情報保護法15条、16条)。また、不正の手段によって個人情報を取得することは禁止されており、個人情報取扱事業者が個人情報を取得するときは、本人に利用目的を通知しなければなりません(同17条、18条)。さらに、個人データは本人の要求に応じて、開示、訂正、利用停止等の処置をしなければならない等(同24条から27条まで)、個人情報取扱事業者にはさまざまな義務が課せられています。
なお、個人情報保護法の個人データとは、6カ月を超えて保有するもののうち、個人情報取扱事業者が開示などをできる情報を指しています。ですから、6カ月以内に削除や廃棄をすること明白である個人データは含まれないことになります。
企業としては、個人データを管理するコストを軽減するため、保有すべき個人情報を定期的に整理し、保有する必要性のない個人データを消去、廃棄することが重要であると言えるでしょう。