個人情報保護法の対象者とは
個人情報保護法が施行されて10年近くが経ち、2017年5月30日に改正法の全面施行が予定されています。
個人情報保護法はプライバシー意識が高まるきっかけとなり、至る所で「それって個人情報保護法違反なんじゃないの?」との過剰ともとれる反応が起きて、学校や地域の連絡網を作るのにも支障が生じたなどの事例があったようです。
では、そもそも個人情報保護法が適用されるのはどのような場合でしょうか。例えば、私が友人から連絡先を聞いて、自分のスマホに登録するような場合、個人情報保護法の適用対象となるのでしょうか。
個人情報取扱事業者とは
個人情報保護法が適用され、同法上の義務を負うのは「個人情報取扱事業者」とされています。では個人情報取扱事業者とは、どのような者を指すのでしょうか。
簡単に言えば、個人情報をデータベースなどの形で有しており、自らの事業に用いている者を指します。典型的には、顧客名簿や従業員名簿、株主名簿などの形で個人情報のデータベースを持っている事業者などをいいます。
データベースと言ってもコンピューターなどで管理されている必要はなく、紙の名簿なども該当します。また、一覧できる表でまとめられている必要もないので、例えば、患者さんのカルテを紙の状態で管理しているような場合も該当する事になります。
従前は、管理している個人情報の人数が5000名以下であれば、小規模な事業と言うことで個人情報保護法規制の対象から除外していましたが、今回の法改正によってこの例外が撤廃される事になったため注意が必要です。
個人情報取扱事業者の具体例
会社等の法人に限らず、個人事業主なども個人情報取扱事業者となります。また、「事業に用いている」というとビジネス(営利活動)をイメージしがちですが、この場合の「事業」とは「社会生活上の地位に基づいて反復継続している」事を指しますから、ビジネスとして行っていないNPOや自治会なども対象になります(例えば、マイカーで事故を起こしても”業務上”過失致傷等となるのと同じロジックです。)。これまでは5000人以下の個人情報データベースは例外としてきたことから、個人事業主や非営利のNPOや自治会などの組織は、結果として個人情報取扱事業者には該当しなかった場合が多かったと思いますが、この例外要件が撤廃されたことで、今後は、ほぼ全ての事業者が個人情報取扱事業者に該当することになるので、個人情報保護法に則った対応をする必要があります。
では、私が友人の連絡先を自分のスマホに登録すると「個人情報取扱事業者」になるのでしょうか。スマホの連絡帳もデータベースの一種ですから個人情報等データベースには該当しますが、私が私生活上の活動として友人の連絡先を登録する場合には「事業に用いている」ことにはなりませんから、結論としては「個人情報取扱事業者」には該当しない事になります。但し、私が無闇に友人の連絡先を公開すれば、プライバシーの侵害ということで不法行為責任を負う可能性があります。
また、非営利の「個人情報取扱事業者」の例として、同窓会が挙げられる事があります。例えば学校単位の同窓会組織で、毎年の卒業生の名簿を管理しているのであれば、「社会生活上の地位に基づいて反復継続している」といえますので、「個人情報取扱事業者」に該当する事になりますが、例えば特定のクラスの単発の同窓会の幹事として名簿を作ることになったという場合には「反復継続」とは言えないので、「個人情報取扱事業者」には該当しない事になります。
何らかの組織であれば、通常は「事業」性が認められますが、個人の場合は特にこの「事業」として行っているか、即ち「社会生活上の地位に基づいて反復継続しているか」が「個人情報取扱事業者」に該当するかのポイントとなります。なので、毎週の様に合コンをしていて参加者をスマホの連絡帳にグループ分けして登録しているような人は「個人情報取扱事業者」に該当するかも知れません。ご注意を!