2017年7月3日月曜日

中小規模事業者には緩和措置が、でも・・

本日より正式にこちらで書いていきます。
よろしくお願いいたします。

2003年に公布された個人情報保護法は、
過去6ヶ月以内に取り扱う個人情報が
5,000件を超えない事業者は、
義務規定の対象からはずされていました。

2017年5月30日に全面施行された
改正個人情報保護法では
その措置がなくなり、
中小企業や自治会や同窓会などを含めて、
実質すべての事業者が
義務を負うことになりました。

しかし、個人情報保護委員会が作成した
「個人情報保護法ガイドライン(通則編)」
において、
「中小規模事業者」は、
安全管理措置について、特例的に
緩和された内容の対応が許容されています。

安全管理措置とは、
事業者が実質的に対応すべき内容ともいえる
とても重要なことです。

そして「中小規模事業者」とは、
従業員数が100人以下の個人情報取扱事業者で、
①以前から対象外ではなかった、取り扱う
個人情報の数が過去6ヶ月以内に5,000を超える者
と、
②委託を受けて個人データを取り扱う者
以外のことを指します。

これはマイナンバー法と同様です。

つまり、
改正前まで、この除外規定にあてはまっていた
中小規模事業者は、安全管理措置については、
委員会のガイドラインに示されているとおりの
緩和措置レベルで対応すればよい、
ということになります。

というのが、一般的なよくある説明。


では、現実的にどう対応すればよいのか
というと、

結局、ガイドラインをしっかり読まないと
いけないわけです。
そして、緩和内容に関しても、
何となく、引き算的な記載がされているように
思えますので、実質的には、
本来求められている対応内容を理解した上で、
中小だからこの程度でよいのだ、
という理解をしないと、
結局、わかりにくいように思います。

そのあたりも考慮して、
できるだけわかりやすいように
ボチボチ書いて行こうと思います。

0 件のコメント:

コメントを投稿