ページの先頭です。

2005/04/11 11:00

連載

[週刊BCN 2005年04月11日付 Vol.1084 掲載]

どうする?小規模個人情報取扱企業
TBCソリューションズ 主任コンサルタント 植野俊雄

 個人情報保護法によって、企業が5001件以上の個人データを取り扱っている場合、「個人情報取扱事業者」として扱われて、この4月から個人情報保護法の適用が始まった。自らの事業のために個人情報を取得(収集)して、データベース化した個人データを保有して利用する「個人情報取得利用企業」にはもちろんこの法律が適用される。また、業務委託によって個人情報データベースが預託され、その個人データを加工したり運用管理するような「個人情報預託請負企業」にも適用される。

 ただし、取得した個人データを6か月を超えて保有していない「個人情報一時取扱企業」の場合や、6か月の間、1度も5001件以上の個人データを取り扱ったことがない「個人情報小規模取扱企業」の場合は、個人情報保護法上の「個人情報取扱事業者」にはならず、法律は適用されない。これら個人情報の一時・小規模取り扱い企業は、法律による規制を直接受けないが、しかし「個人情報取扱事業者」である発注者からの要請に基づいて契約上、預託された個人データに対する安全保護義務が発生する。

 このような一時・小規模取扱企業から、「発注者からプライバシーマーク(Pマーク)の取得を推奨された」とよく聞かされる。私は、なぜ「プライバシーマーク」なのかとこれを疑問視している。「プライバシーマーク」は、個人情報を収集してそれを個人データベースとして保有している場合に、開示要求に応じるなどの個人の権利保護と、正確性や安全管理などの個人情報の適正管理について、仕組みを構築して運用し、継続改善していくことである。

 業務委託で預託された個人データは、「自ら保有する個人データ」ではないので、開示要求への対応など個人の権利保護は該当しない。この意味で、この推奨は的がずれている。

 個人情報保護法による「個人情報取扱事業者」の規制を直接受けない個人情報の一時取扱企業、小規模取扱企業が、個人データの保護についてどんな管理をすべきか、その実施をどのように評価すべきか、この辺のガイドができていないことが問題といえる。個人情報保護法に対するガイドラインなどで、個人情報の一時取扱企業や小規模取扱企業も、「個人情報取扱事業者」と同様な実施を推奨すると記載して済ますだけでは不十分といえる。これらに何らかの管理基準と評価基準が望まれる。

■おすすめの記事





PR

週刊BCN購読のお申し込みはこちら

Bizline会員サービス(無料)のご案内 新規会員登録はこちら

PR










ITジュニアの広場

「ITセミナー・イベント」コーナーで注目商品・サービスなどのセミナーを一挙公開!

過去の掲載記事一覧

ITビジネス情報紙「週刊BCN」

ITビジネス情報誌「週刊BCN」
2017年04月10日付 vol.1673
Survive or Die !? AI時代のIT業界 2017 今、知っておくべきAIとのつき合い方

2017年04月10日付 vol.1673 Survive or Die !? AI時代のIT業界 2017 今、知っておくべきAIとのつき合い方

「週刊BCN」購読お申し込み
BCN Bizline ITを売るパートナービジネスの創造を

「BCN Bizline」は、株式会社BCNが保有する登録商標です。(商標登録番号第5388735号)