個人情報の取り扱い【Ｐマーク取得の基礎知識】

情報管理課の古橋でございます。

前回は「個人情報を知る」と題して記事を書きました。

今回は「個人情報の取り扱い」についてお話しします。

前回・前々回と頻出している「個人情報に関する法律」ですが、こちらには第一章から第六章まで様々な法文が書かれています。

今回は第四章「個人情報取扱事業者の義務等」より、個人情報の取り扱いについてお話しします。

個人情報取扱事業者の義務等

まずは条文を確認します。

個人情報取扱事業者は、個人情報を取り扱うに当たっては、その利用の目的（以下「利用目的」という。）をできる限り特定しなければならない。個人情報取扱事業者は、利用目的を変更する場合には、変更前の利用目的と相当の関連性を有すると合理的に認められる範囲を超えて行ってはならない。
(以上、個人情報の保護に関する法律 第二条より引用)

個人情報取扱事業者の条件

「個人情報取扱事業者」と書いてあるので勘違いされそうですが、こちらには条件があります。

第二条第三項第五号の政令で定める者は、その事業の用に供する個人情報データベース等を構成する個人情報によって識別される特定の個人の数
（当該個人情報データベース等の全部又は一部が他人の作成(に係る)当該届出に係る事項に係る個人情報データベース等であって、次の各号のいずれかに該当するものを編集し、
又は加工することなくその事業の用に供するときは、当該個人情報データベース等の全部又は一部を構成する個人情報によって識別される特定の個人の数を除く。）の合計が過去六月以内のいずれの日においても五千を超えない者とする。
(以上、政令第507号 第2条 個人情報取扱事業者から除外される者より引用

重要な点は「取り扱う個人情報の数が5000を超えない」という点です。

こちらの条件を満たしている場合、個人情報取扱事業者から除外されます。

ただ、個人情報の数の合計が過去六月以内の「いずれの日においても」五千を超えない者とする、という条件もあるので、一日でも取り扱う個人情報の数が5000を超えると個人情報取扱事業者となります。

以上が個人情報取扱事業者の条件です。

個人情報取扱事業者が守る義務

個人情報取扱事業者となった場合は、上記の通り個人情報保護法を守る義務が発生します。

それでは取り扱う個人情報の数が5000を超えない事業者は個人情報保護法を守らなくていいのかと言うと、そういうわけでもありません。

厳密には「個人情報保護法を守る義務」は課せられませんが、こういう条文があります。

個人情報は、個人の人格尊重の理念の下に慎重に取り扱われるべきものであることにかんがみ、その適正な取扱いが図られなければならない。
(以上、個人情報の保護に関する法律 第三条より引用)

「取り扱う個人情報の数が5000を超えない事業者に個人情報保護法を守る義務はないけど個人情報は慎重に扱いましょう」といったところでしょうか。

まとめ

今回の結論としては【個人情報を取り扱うのであれば数の大小に関わらずちゃんと管理するのが良い】ということですね。

個人情報の取り扱いについての話はこれにて終了となります。

★Pマークに関するこちらの記事もおすすめです！
→【シャレにならない新ルール（ＥＵの個人情報保護）【GDPRでISMS取得も有効な対策】】