ITをめぐる法律問題について考える

弁護士水町雅子のIT情報法ブログ

安全管理措置が軽減されうる中小規模事業者(マイナンバーと通常の個人情報で違う)

中小規模事業者にまで、大企業と同様の安全管理措置を求めるのは事実上負担が重いことから、中小規模事業者への配慮として、安全管理措置が軽減されうることがガイドラインで明らかになっています。

ただ、論理的な整理は難しく、だって個人情報を持っている以上は、安全に管理する義務が生じるものであり、経営規模の大小によって、その義務が変わるわけではありません。そこで、ガイドラインでは、中小規模事業者だと、そもそも持っている個人データの数が少なかったり、種類が少なかったり、あとは、触れる従業者が少ないと管理が行き届く(目が届く)的な意味合いから、安全管理措置が軽減されうるよ、と書いたりしています。

 

で、その安全管理措置が軽減されうる中小規模事業者の定義が、マイナンバーと通常の個人情報とで違うと。これは結構わかりにくい。

 

どういうことかというと、

通常の個人情報は、

中小規模事業者(※1)については、その他の個人情報取扱事業者と同様に、法第 20 条に定める安全管理措置を講じなければならないが、取り扱う個人データの数量及び個人データを取り扱う従業者数が一定程度にとどまること等を踏まえ、円滑にその義務を履行し得るような手法の例を示すこととする。もっとも、中小規模事業者が、その他の個人情報取扱事業者と同様に「手法の例示」に記述した手法も採用することは、より望ましい対応である。
(※1)「中小規模事業者」とは、従業員(※2)の数が 100 人以下の個人情報取扱事業者をいう。ただし、次に掲げる者を除く。
・その事業の用に供する個人情報データベース等を構成する個人情報によって識別される特定の個人の数の合計が過去 6 月以内のいずれかの日において 5,000 を超える者
・委託を受けて個人データを取り扱う者
(※2)中小企業基本法における従業員をいい、労働基準法第 20 条の適用を受ける労働者に相当する者をいう。ただし、同法第 21 条の規定により同法第 20 条の適用が除外されている者は除く。

https://www.ppc.go.jp/files/pdf/guidelines01.pdf 86ページ

 

マイナンバーは、

中小規模事業者 (注) における対応方法:中小規模事業者については、事務で取り扱う個人番号の数量が少なく、また、特定個人情報等を取り扱う従業者が限定的であること等から、特例的な対応方法を示すものである。なお、中小規模事業者が、手法の例示に記載した手法を採用することは、より望ましい対応である。
(注)「中小規模事業者」とは、事業者のうち従業員の数が 100 人以下の事業者をい
う。ただし、次に掲げる事業者を除く。
・ 個人番号利用事務実施者
・ 委託に基づいて個人番号関係事務又は個人番号利用事務を業務として行う事業者
・ 金融分野(個人情報保護委員会金融庁作成の「金融分野における個人情報保護に関するガイドライン」第1条第1項に定義される金融分野)の事業者
・ その事業の用に供する個人情報データベース等を構成する個人情報によって識別される特定の個人の数の合計が過去6月以内のいずれかの日において5,000 を超える事業者
ここでいう「従業員」とは、「中小企業基本法」(昭和 38 年法律第 154 号)


における従業員をいい、「労働基準法」(昭和 22 年法律第 49 号)第 20 条の適用を受ける労働者に相当する者をいう。ただし、同法第 21 条の規定により同法第 20 条の適用が除外されている者は除く。

 https://www.ppc.go.jp/files/pdf/my_number_guideline_jigyosha.pdf 50ページ

 

違いとしては、下線部みたいな表現ぶりもありますが、大きな違いは、従業者数が100人以下なんだけど、中小規模事業者に当たらない人が違う点です。

 

個人情報の方は、以下の二パターンが、従業者数が100人以下でも中小規模事業者に当たらない人。

  • 大まかにいって5000人を超える個人データを持つ場合
  • 委託を受けて個人データを取り扱う場合

マイナンバーの方は、上記二パターンに、さらに二パターンが足されます。

  • 個人番号利用事務実施者
  • 金融事業者
  • 大まかにいって5000人を超える個人データを持つ場合
  • 委託を受けて個人データを取り扱う場合

個人番号利用事務実施者っていうのは、行政機関・自治体・独法がメインで、民間だと預金保険機構健康保険組合ぐらいなんで、まあ通常の個人情報の方に入っていなくてもそんなにおかしくない。

しかし、金融事業者がマイナンバーでは中小規模事業者にならないのに、通常の個人情報だとなるというのは変ではないか。

と思うけれども、そこは通常の個人情報については、金融事業者は金融庁ガイドラインが適用になって、金融庁ガイドラインの方で安全管理措置が特に軽減されないし、金融庁ガイドラインの安全管理措置をやることになるから、っていう整理なんでしょうね。

 

これ、FAQとかに載っているのでしょうか。載ってないとすると、通常はわかりづらいでしょうから、FAQに載せたほうが良いなと思いました。