もう少しで改正された個人情報保護法が全面施行されます

個人情報保護法(個人情報の保護に関する法律)については、マンション管理の視点からだけではなく、平素から税理士補助業務としても関連のある中小企業実務にも影響があることなどから注目しており、昨年から少しずつ記事にしてきました。

この法律、一昨年に改正された法律ですが、準備期間が必要とのことから、実際に法律が適用される日(施行日)は、改正時点から段階的に行われることが予定されており、据え置かれていた最後の部分が、昨年12月20日の閣議決定により、いよいよ今年5月30日に施行されることになりました。

 

ガイドライン

実務上、法律の次に実質的な運営指針となるのがガイドラインです。

このガイドラインについては、個人情報保護法委員会で検討され、パプリックコメントによる意見募集が実施されていました。

前回記事にした昨年10月20日のパブリックコメントは、11月2日に締め切られ、11月30日にパブリックコメント後のガイドラインが公表されました。

なお、この個人情報保護法委員会は、特定個人情報保護法委員会の業務を引き継いでおり、個人情報保護法に関する業務だけではなく、マイナンバー(特定個人情報、すなわち「マイナンバー(個人番号)」に関する情報)に関する監視・監督や苦情あっせん相談窓口業務の他、ガイドラインなど個人情報保護法に関連する基本方針の策定などを行っています。

 

案文と公表されたガイドラインには気になる違いがあります

以前にも記事にした通り、このガイドラインでは、「別添」として、多くの中小企業が該当することになると考えられる「中小規模事業者」に対する一定の配慮が行われており、この次の要件に該当すれば、保有する個人情報に対して、必要な安全管理措置が緩和されています。

「中小規模事業者」とは、従業員(※2)の数が 100人以下の個人情報取扱事業者をいう。ただし、次に掲げる者を除く。

・その事業の用に供する個人情報データベース等を構成する個人情報によって識別される特定の個人の数の合計が過去 6月以内のいずれかの日において5,000を超える者

・委託を受けて個人データを取り扱う者

(※2)中小企業基本法(昭和38年法律第154号)における従業員をいい、労働基準法(昭和 22 年法律第 49 号)第 20 条の適用を受ける労働者に相当する者をいう。ただし、同法第21条の規定により同法第20条の適用が除外されている者は除く。

 

ところがこの部分の記載が、案文と公表文とでは、次の部分に違いがありました。

[案文:86ページ(太字・下線は、筆者加筆)]

8 (別添)講ずべき安全管理措置の内容

法第 20 条に定める安全管理措置として、個人情報取扱事業者が具体的に講じなければならない措置や当該措置を実践するための手法の例等を次に示す。

安全管理措置を講ずるための具体的な手法については、個人データが漏えい等をした場合に本人が被る権利利益の侵害の大きさを考慮し、事 業の規模及び性質、個人データの取扱状況(取り扱う個人データの性質及び量を含む。)、個人データを記録した媒体の性質等に起因するリスクに応じて、必要かつ適切な内容とすべきものであるため、必ずしも次に掲げる例示の内容の全てを講じなければならないわけではなく、また、 適切な手法はこれらの例示の内容に限られない。

なお、中小規模事業者(※1)については、その他の個人情報取扱事業者と同様に、法第 20 条に定める安全管理措置を講じなければならないが、取り扱う個人データの数量及び個人データを取り扱う従業員数が一定程度にとどまること等を踏まえ、円滑にその義務を履行できるよう、 少なくとも必要であると考えられる手法の例を示すこととする。もっとも、中小規模事業者が、その他の個人情報取扱事業者と同様に「手法の例示」に記述した手法も採用することは、より望ましい対応である。

 

[公表文:同ページなお書き以下]

なお、中小規模事業者(※1)については、その他の個人情報取扱事業者と同様に、法第 20 条に定める安全管理措置を講じなければならないが、取り扱う個人データの数量及び個人データを取り扱う従業者数が一定程度にとどまること等を踏まえ、円滑にその義務を履行し得るような手法の例を示すこととする。もっとも、中小規模事業者が、その他の個人情報取扱事業者と同様に「手法の例示」に記述した手法も採用するこ とは、より望ましい対応である。

 

公表文では、案文の太文強調部分のうち、下線部分が削除されています。

他にどのような意図があったのかはわかりませんが、案文で示されていた「少なくとも必要であると考えられる」という部分は、素直に読むと、「少なくとも手法例の通り対処すれば、法令違反はない」と読めることに対し、公表文では、「手法の例の通り対処すると、その義務を履行できる可能性がある」と読めます。

深読みしすぎかもしれませんが、裏を返せば、公表文の記載通りだと、「手法例の通り行っても履行できない可能性もある」と読めます。

もちろん、反面「手法例の通りではなくも、法令違反にはならない場合もある」と読めるともいえます。

ただ、この修正がどのような理由から行われたのかはわかりませんが、ガイドライン通りにさえすれば良いというものではなくなったとは読めると考えますので、この部分が気になっています。

 

まとめ

いよいよ全面施行が迫ってきました。

以前にも書いた通り、過剰に心配する必要はありませんが、個々の事情を踏まえ、法令をクリアできる最低限の処置は必要です。

ガイドラインを参考に、中小規模事業者のみならず、マンション管理組合でも必要な対処について協議をされることをお勧めします。