「個人情報取扱事業者」とは～～中小企業と個人情報保護法２

　個人情報保護法は、第4章（15条以下）に個人情報取扱事業者の義務を定めています。

　そして、２条５項で「個人情報取扱事業者」を次のように定めています。

　この法律において「個人情報取扱事業者」とは、個人情報データベース等を事業の用に供している者をいう。ただし、次に掲げる者を除く。
　一　国の機関
　二　地方公共団体
　三　独立行政法人等（独立行政法人等の保有する個人情報の保護に関する法律（平成十五年法律第五十九号）第二条第一項に規定する独立行政法人等をいう。以下同じ。）
　四　地方独立行政法人（地方独立行政法人法（平成十五年法律第百十八号）第二条第一項に規定する地方独立行政法人をいう。以下同じ。）

　「個人情報データベース等」を事業の用に供している（事業に利用している）者であれば、営利・非営利、規模の大小、取り扱うデータの数の多寡、個人・法人を問わず、「個人情報取扱事業者」となり、個人情報保護法上の義務を負うことになります。

　したがって、個人事業主であっても、NPO法人であっても、同窓会や自治会、ＰＴＡやサークルなどであっても、事業に「個人情報データベース等」を利用しているのであれば「個人情報取扱事業者」となります。

　以前は、5,000人分以下の個人情報しか取り扱っていない者は、「個人情報取扱事業者」から除外されていましたが、平成27年改正（平成29年5月30日施行）により、この例外規定が削除され、「個人情報データベース等」を事業に利用している者すべてが「個人情報取扱事業者」とされることになりました。