個人情報保護法が改正されます。施行日も２０１７年５月３０日と決まりました。

メディア等で騒がれるのはまだまだ先のことだと思いますが、お客さまの個人情報を預かる事業者としては先に情報を抑えておいたほうがいいです。

改正個人情報保護法の全面施行日は平成29年5月30日です。
また、オプトアウトによる第三者提供（法第23条第2項）に関する個人情報保護委員会への届出は平成29年3月1日からとなります。※平成28年12月20日に閣議決定されました。https://www.ppc.go.jp/personal/preparation/

改正個人情報保護法関連をインターネットで調べようと思っても何が大切なのかイマイチ分からないという事業者様も多いのではと思います。

実は、今回の改正法で大切なのはたった一つ。

超重要！！　改正後は個人情報取扱事業者の５０００人制限が撤廃されます！

Ｑ１－３どのような者が「個人情報取扱事業者」に該当しますか。また「個人情報取扱事業者」に該当する場合、届出等の手続は必要ですか。
Ａ１－３個人情報データベース等を事業の用に供している者が「個人情報取扱事業者」に該当します。

ただし、

①国の機関、
②地方公共団体、
③独立行政法人等、
④地方独立行政法人、

⑤個人情報によって識別される特定の個人の数の合計が過去６か月以内のいずれの日においても５千を超えない者は「個人情報取扱事業者」に該当しません（※）。
また「個人情報取扱事業者」に該当する場合であっても、届出等の手続は必要ありません。
（※）改正法の全面施行日（改正法の公布（平成27年９月９日）から２年以内の範囲で政令で定める日）以降は、⑤の適用除外はなくなり、個人情報データベース等を事業の用に供している者は、当該個人情報データベース等を構成する個人情報によって識別される特定の個人の数の多寡にかかわらず「個人情報取扱事業者」に該当することとなります（上記①から④までの主体は引き続き「個人情報取扱事業者」には該当しません。）。https://www.ppc.go.jp/personal/faq/jigyosha/#j1-3

御社は、国でしょうか？、自治体でしょうか？、独立行政法人ですか？

違いますよね。それ以外の事業者ですよね。

国、自治体、独立行政法人のいずれにも該当せす、かつ、お客さまの個人情報を預かる事業者であれば個人情報保護法上の個人情報取扱事業者になるのです。

従前のように、

５０００人もお客さまが居ないから関係ない

という言い訳は、５月３０日からは成り立ちません。

改正法施行前に適用対象外だった事業者は、改正後も適用外なのでしょうか？

Ｑ８－３改正法が全面施行された場合、現在、個人情報取扱事業者に該当しない中小企業も適用対象になりますか。
Ａ８－３改正法が全面施行された場合、適用除外規定（政令によって５千人以下の個人情報を取り扱う事業者について法の適用を除外）が廃止されることになるため、現在、個人情報取扱事業者に該当しない中小企業であっても、個人情報データベース等を事業の用に供している場合には、個人情報保護法の適用対象となります。
個人情報取扱事業者となった場合には、

①利用目的の特定と適正な取得（改正法第15条、第17条、第18条）、

②利用目的による制限（改正法第16条）、

③安全管理措置（改正法第20条）、

④第三者提供の制限（改正法第23条）、

⑤本人からの開示請求への対応（改正法第28条）

等の規定が適用されることになります。
改正法が全面施行される前に、取引先や従業員等の個人情報等を適切に取り扱っている場合には、改正法が全面施行され、個人情報取扱事業者として個人情報保護法上の義務を負うことになった場合であっても、従来に比べて大きな負担となるものではありません。
ただし、事業者の規模及び取り扱う個人データの数量によって、例えば、個人データの安全管理措置の内容はおのずと異なると考えられます。
このため、特に小規模の事業者の事業活動が円滑に行われるように配慮した上で、安全管理措置等について中小企業における特例的な対応を検討することが予定されています。https://www.ppc.go.jp/personal/preparation/