個人のアパート経営者への個人情報保護法の適用
私は、アパートを3軒経営しています。各アパートの部屋数は6戸であり、合計18戸しかありません。私のような小規模な賃貸事業者でも個人情報保護法の適用があるのでしょうか?
- 事業規模や個人情報の取扱件数に関係なく個人情報保護法の適用があります。ただし、中小規模事業者として、適用について一定の配慮がされます。
- 改正前の個人情報保護法では、「その取り扱う個人情報の量及び利用方法からみて個人の権利利益を害するおそれが少ないものとして政令で定める者」は、個人情報取扱事業者から除外していました。具体的には、「過去6ヶ月以内のいずれかの時点で5000人分以下の個人情報しか扱っていない事業者」は、個人情報取扱事業者から除外され、個人情報保護法による規制を一切受けませんでした。
- ところが、平成29年5月30日から施行された改正個人情報保護法により、「過去6ヶ月以内のいずれかの時点で5000人分以下の個人情報しか扱っていない事業者」という適用除外要件が撤廃され、保有する情報量の大小に関係なく、個人情報を検索可能な形で整理された状態で保有している場合は、個人情報データーベースを保有している個人情報取扱業者とされ、個人情報保護法による規制を受けることになりました。
- そのため、アパートの個人オーナーでも、入居者名簿を検索可能な状態で整備していると個人情報データーベース等を事業の用に供していることとなり、個人情報取扱事業者に該当することになります。
- 5000人分以下要件の撤廃の理由としては、
- インターネット等の普及により、漏洩した個人情報が瞬時に拡散してしまう危険性が高まっており、個人情報を不適切に扱った場合の危険は、取り扱う情報量の大小に関係なくなっていること
- 諸外国では、取扱情報量の大小によって、個人情報保護規制の適用に差をもうけている例がないこと が挙げられています。
- もっとも、小規模な個人情報取扱事業者について、大規模事業者と同等の厳しい規制を課すことは、過度な負担を強いることになるため、改正附則11条では、「個人情報保護委員会が事業者が取るべき法律上の義務の具体的な履行方法等を示す本法の運用に関する指針(ガイドライン)を定めるに当たっては、特に事業規模の小さな事業者の事業活動が円滑に行われるよう配慮するもの」とされました。
- 具体的には、個人情報取扱事業者が講ずべき安全措置の内容について、大規模事業者と中小規模事業者で差を設けています(ガイドライン(通則編)p86)。なお、「中小規模事業者」とは、従業員の数が100人以下の個人情報取扱事業者をいいます。ただし、①その事業の用に供する個人情報データベース等を構成する個人情報によって識別される特定の個人の数の合計が過去6月以内のいずれかの日において5000を超える者②委託を受けて個人データを取り扱う者は除かれます。