視点
どうする?小規模個人情報取扱企業
2005/04/11 16:41
週刊BCN 2005年04月11日vol.1084掲載
個人情報保護法によって、企業が5001件以上の個人データを取り扱っている場合、「個人情報取扱事業者」として扱われて、この4月から個人情報保護法の適用が始まった。自らの事業のために個人情報を取得(収集)して、データベース化した個人データを保有して利用する「個人情報取得利用企業」にはもちろんこの法律が適用される。また、業務委託によって個人情報データベースが預託され、その個人データを加工したり運用管理するような「個人情報預託請負企業」にも適用される。
ただし、取得した個人データを6か月を超えて保有していない「個人情報一時取扱企業」の場合や、6か月の間、1度も5001件以上の個人データを取り扱ったことがない「個人情報小規模取扱企業」の場合は、個人情報保護法上の「個人情報取扱事業者」にはならず、法律は適用されない。これら個人情報の一時・小規模取り扱い企業は、法律による規制を直接受けないが、しかし「個人情報取扱事業者」である発注者からの要請に基づいて契約上、預託された個人データに対する安全保護義務が発生する。
このような一時・小規模取扱企業から、「発注者からプライバシーマーク(Pマーク)の取得を推奨された」とよく聞かされる。私は、なぜ「プライバシーマーク」なのかとこれを疑問視している。「プライバシーマーク」は、個人情報を収集してそれを個人データベースとして保有している場合に、開示要求に応じるなどの個人の権利保護と、正確性や安全管理などの個人情報の適正管理について、仕組みを構築して運用し、継続改善していくことである。
業務委託で預託された個人データは、「自ら保有する個人データ」ではないので、開示要求への対応など個人の権利保護は該当しない。この意味で、この推奨は的がずれている。
個人情報保護法による「個人情報取扱事業者」の規制を直接受けない個人情報の一時取扱企業、小規模取扱企業が、個人データの保護についてどんな管理をすべきか、その実施をどのように評価すべきか、この辺のガイドができていないことが問題といえる。個人情報保護法に対するガイドラインなどで、個人情報の一時取扱企業や小規模取扱企業も、「個人情報取扱事業者」と同様な実施を推奨すると記載して済ますだけでは不十分といえる。これらに何らかの管理基準と評価基準が望まれる。
ただし、取得した個人データを6か月を超えて保有していない「個人情報一時取扱企業」の場合や、6か月の間、1度も5001件以上の個人データを取り扱ったことがない「個人情報小規模取扱企業」の場合は、個人情報保護法上の「個人情報取扱事業者」にはならず、法律は適用されない。これら個人情報の一時・小規模取り扱い企業は、法律による規制を直接受けないが、しかし「個人情報取扱事業者」である発注者からの要請に基づいて契約上、預託された個人データに対する安全保護義務が発生する。
このような一時・小規模取扱企業から、「発注者からプライバシーマーク(Pマーク)の取得を推奨された」とよく聞かされる。私は、なぜ「プライバシーマーク」なのかとこれを疑問視している。「プライバシーマーク」は、個人情報を収集してそれを個人データベースとして保有している場合に、開示要求に応じるなどの個人の権利保護と、正確性や安全管理などの個人情報の適正管理について、仕組みを構築して運用し、継続改善していくことである。
業務委託で預託された個人データは、「自ら保有する個人データ」ではないので、開示要求への対応など個人の権利保護は該当しない。この意味で、この推奨は的がずれている。
個人情報保護法による「個人情報取扱事業者」の規制を直接受けない個人情報の一時取扱企業、小規模取扱企業が、個人データの保護についてどんな管理をすべきか、その実施をどのように評価すべきか、この辺のガイドができていないことが問題といえる。個人情報保護法に対するガイドラインなどで、個人情報の一時取扱企業や小規模取扱企業も、「個人情報取扱事業者」と同様な実施を推奨すると記載して済ますだけでは不十分といえる。これらに何らかの管理基準と評価基準が望まれる。
- 1
