(第69回コラムのつづき)もっとも、[1] 及び [2] の要件を満たす場合であっても、[3] 法令によって個人情報取扱事業者から除外される場合があります。すなわち、国の機関、地方公共団体、独立行政法人、さらに、その事業の用に供する個人情報データベース等(第69回コラム参照)を構成する個人情報によって識別される特定の個人の数の合計が過去6か月以内のいずれの日においても5000を超えない者については、個人情報取扱事業者から、除外されています(個人情報保護法2条3項ただし書、同法施行令2条)。(第69回コラムのつづき)もっとも、[1] 及び [2] の要件を満たす場合であっても、[3] 法令によって個人情報取扱事業者から除外される場合があります。すなわち、国の機関、地方公共団体、独立行政法人、さらに、その事業の用に供する個人情報データベース等(第69回コラム参照)を構成する個人情報によって識別される特定の個人の数の合計が過去6か月以内のいずれの日においても5000を超えない者については、個人情報取扱事業者から、除外されています(個人情報保護法2条3項ただし書、同法施行令2条)。
このように、一定限度の個人情報しか保有していない事業者は、個人情報取扱事業者には該当せず、個人情報保護法上の義務(第68回コラム参照)を負いません。しかし、個人情報取扱事業者に該当するか否かにかかわらず、個人情報の漏えい等があった場合は、損害賠償を請求される可能性があり、また、信用も失います。したがって、個人情報を取り扱う全ての事業者は、個人情報の安全管理措置等を講じる必要があるといえます。