個人情報保護法の対象者

  • このエントリーをはてなブックマークに追加
前回は個人情報保護法で定義する「個人情報」を解説しました。
今回は個人情報保護法の規制の対象者を考えてみます。


個人情報保護法では「個人情報取扱事業者」と言うものが定義されており、この「個人情報取扱事業者」が個人情報保護法の規制の対象者となります。

「個人情報取扱事業者」とはどんな事業者でしょうか?
法律では次のようになっています。
この法律において個人情報取扱事業者とは、個人情報データベース等を事業の用に供している者をいう。ただし、次に掲げる者を除く。
1.国の機関
2.地方公共団体
3.独立行政法人等(独立行政法人等の保有する個人情報の保護に関する法律(平成十五年法律第五十九号)第二条第一項に規定する独立行政法人等をいう。以下同じ。)
4.地方独立行政法人(地方独立行政法人法(平成十五年法律第百十八号)第二条第一項に規定する地方独立行政法人をいう。以下同じ。)
5.その取り扱う個人情報の量及び利用方法からみて個人の権利利益を害するおそれが少ないものとして政令で定める者
となっています。

この条文を読み解くポイントは2つあります。

まず、1つ目のポイント。「個人情報データベース等を事業の用に供している者」の”等”とは何でしょう?
「ウチはデータベースなんか無いので関係ない」と思っていませんか?

実は次の項に次のような規定があります。
前号に掲げるもののほか、特定の個人情報を容易に検索することができるように体系的に構成したものとして政令で定めるもの
つまり、五十音順に整理されたカルテのように特定の個人情報を容易に検索可能なように体系的に構成されていると
紙媒体でなくても、個人情報取扱事業者になるのです。

そして、次のポイント。「ただし、次に掲げる者を除く」
1~4は鍼灸院、マッサージ院ではありませんので、5の文章に注目します。
この政令は
政令第2条
法第2条第3項第5号の政令で定める者は、その事業の用に供する個人情報データベース等を構成する個人情報によって識別される特定の個人の数(当該個人情報データベース等の全部又は一部が他人の作成に係る個人情報データベース等で個人情報として氏名又は住所若しくは居所(地図上又は電子計算機の映像面上において住所又は居所の所在の場所を示す表示を含む。)若しくは電話番号のみが含まれる場合であって、これを編集し、又は加工することなくその事業の用に供するときは、当該個人情報データベース等の全部又は一部を構成する個人情報によって識別される特定の個人の数を除く。)の合計が過去6月以内のいずれの日においても5000を超えない者とする。

つまり、直近半年間で、個人情報を一度も5,000件以上持っていなければ個人情報取り扱い事業者でないのです。


まとめると、
データベースもしくは整理されたカルテなどで、5,000件以上の個人情報を持っていれば個人情報取り扱い事業者に該当します。
5,000件未満の情報しかなければ個人情報取り扱い事業者にはなりません。



とはいえ、鍼灸院、マッサージ院で取り扱っているのは患者さんの病気や怪我の情報です。
個人情報の中でも機微な情報と言われるものです。
患者さんの立場からすると、「施術を受けに行ったら他の人のカルテが見える状態で置いてあった」ら、もうそのお店には行きたくなくなることでしょう。
5,000件以上であろうと未満であろうと情報が漏えいすれば、お店の信用は失墜してしまいます。
個人情報保護法に触れなくても、患者さんから損害賠償を請求される可能性もあります。

自分のお店の信用を高めて、患者さんを紹介していただけるようにするためにも、情報の管理はしっかりとやりましょう。


次回は、情報の管理方法について解説します。


※ 法律の解釈については議論があります。解釈についての詳細は弁護士さんなどにご確認ください。
  • このエントリーをはてなブックマークに追加

SNSでもご購読できます。