平成26年12月12日に経済産業省の個人情報保護ガイドラインが変更されたのを初めとして、各省庁の同ガイドラインが変更されました。そのうち、安全管理措置の責任者を役員に任命することとしている点に注目すべきです。個人情報取扱事業者(取り扱う個人情報数が5,000人を超える事業者。以下同じ)については、マイナンバーも個人情報に該当することから、マイナンバーの責任者は役員にする必要があると思われます。個人情報取扱事業者に当たらない事業者については、マイナンバーの責任者を扱う部門の部長・課長として問題ないといえます。
財務省「財務省所管分野における個人情報保護に関するガイドライン」の「6.個人データの管理に関する義務 (2)安全管理措置【法第20条関係】」では、責任の所在の明確化のための措置の例として、個人データの安全管理の実施及び運用に関する責任及び権限を有する個人情報保護管理者の設置(例えば、役員などの組織横断的に監督することのできる者を任命する)とされています。
平成27年3月27日 財務省告示第91号「財務省所管分野における個人情報保護に関するガイドライン」を基に作成
また、経済産業省「個人情報の保護に関する法律についての経済産業分野を対象とするガイドライン」の「2-2-3-2.安全管理措置(法第20条関係)」では、個人データの安全管理措置を講じるための組織体制の整備を実践するために講じることが望まれる手法の例として、個人データの安全管理の実施及び運用に関する責任及び権限を有する者として、個人情報保護管理者(いわゆる、チーフ・プライバシー・オフィサー(CPO))を設置し、原則として、役員を任命することとされています。
平成26年12月2日 厚生労働省・経済産業省告示第4号「個人情報の保護に関する法律についての経済産業分野を対象とするガイドライン」を基に作成
なお、平成27年8月28日、9月3日に、個人情報保護法及びマイナンバー法の改正案が、参議院と衆議院において可決されました。個人情報の小規模取扱事業者への対応については、扱う個人情報が5,000人以下でも個人の権利利益の侵害はあり得ることから、5,000人以下の取扱事業者にも個人情報保護法の適用がなされるようになると改正され、5,000人以下についての緩和措置は撤廃されます。
ただし、この実際に改正法が施行される日については、公布の日より2年以内の政令で定める日となっています。なお、同改正法附則第11条には次のとおり規定されており、今後、政令などによって経過措置が示されると考えられます。
個人情報保護委員会は、新個人情報保護法第8条に規定する事業者等が講ずべき措置の適切かつ
有効な実施を図るための指針を策定するに当たっては、この法律の施行により旧個人情報保護法第2条第3項第5号に掲げる者が新たに個人情報取扱事業者となることに鑑み、特に小規模の事業者の事業活動が円滑に行われるよう配慮するものとする。
