(執筆:渡邉 雅之)
※令和3年改正法の施行日が間違えていましたので訂正いたします。
第1弾改正:令和4年(2022年)5月18日までの政令で定める日
第2弾改正:令和5年(2023年)5月18日までの政令で定める日
令和3年5月12日に国会で成立し、同年5月19日に公布された『デジタル社会の形成を図るための関係法律の整備に関する法律』(令和3年法律第37号)のうち、個人情報保護法関連の改正について解説いたします。
下記ニュースレターもご覧ください。
ニュースレター:【令和3年5月19日公布】デジタル社会の形成を図るための関係法律の整備に関する法律の解説(個人情報保護法関連の改正)(令和3年6月4日修正版)
〇改正条文・新旧対照表などについては下記をご覧ください。
「デジタル社会の形成を図るための関係法律の整備に関する法律案」の閣議決定について
〇法律案の審議経過情報は以下をご覧ください。
議案名「デジタル社会の形成を図るための関係法律の整備に関する法律案」の審議経過情報
〇以下のYoutube解説・解説資料もご覧ください。
Youtube解説:改正個人情報保護法(令和2年・令和3年改正)〜LINE問題・リクナビ問題を踏まえた実務対応・委員会規則等のパブコメ回答を踏まえて〜
解説資料(Youtube解説付):改正個人情報保護法(令和2年・令和3年改正)〜LINE問題・リクナビ問題を踏まえた実務対応・委員会規則等のパブコメ回答を踏まえて〜
【改正のポイント】
個人情報保護法、行政機関個人情報保護法、独立行政法人等個人情報保護法の3本の法律を1本の法律に統合するとともに、地方公共団体の個人情報保護制度についても個人情報保護法において全国的な共通ルールが規定され、全体の所管を個人情報保護委員会に一元化されます。また、学術研究分野の適用除外について一律の適用除外ではなく、義務毎の例外規定として精緻化されます。
【解説】
1.改正の経緯・背景
個人情報保護法は、主に個人情報を取り扱う民間事業者の遵守すべき義務等を定める法律です(保護法法第4章〜第7章)。
行政機関における個人情報の取扱いについては、「行政機関の保有する個人情報の保護に関する法律」(平成15年5月30日法律第58号、以下「行政機関個人情報保護法」といいます。)において、独立行政法人等における個人情報の取扱いについては、「独立行政法人等の保有する個人情報の保護に関する法律」(平成15年5月30日法律第59号、以下「独立行政法人等個人情報保護法」といいます。)において定められています。
都道府県庁や市町村役場、教育委員会、公立学校、公立病院等における個人情報の取扱いについては、各地方公共団体が策定する個人情報保護条例が適用されます。
このように、個人情報保護法制がバラバラになっていることが、問題となってきました。
平成27年改正法附則12条6項においては、「政府は、改正個人情報保護法の施行の状況、第1項の措置の実施の状況その他の状況を踏まえ、新個人情報保護法第2条第1項に規定する個人情報及び行政機関等保有個人情報の保護に関する規定を集約し、一体的に規定することを含め、個人情報の保護に関する法制の在り方について検討する。」と規定されました。
これを受けて、個人情報保護委員会の「個人情報保護法いわゆる3年ごと見直し制度改正大綱」(令和元年12月13日)において「行政機関、独立行政法人等に係る法制と民間部門に係る法制との一元化」や「地方公共団体の個人情報保護制度」について取り扱われました(第7節官民を通じた個人情報の取扱い)。
内閣官房に「個人情報保護制度の見直しに関するタスクフォース」(令和元年12月25日〜令和2年12月23日・計4回開催)及びその下に設けられた「個人情報保護制度の見直しに関する検討会」(令和2年3月9日~令和2年12月17日・計11回開催)において検討がなされ、令和2年8月28日に「個人情報保護制度の見直しに向けた中間整理」が、同年12月23日に「個人情報保護制度の見直しに関する最終報告」が出されました。
同最終報告を受けて、2021年(令和3年)2月9日に内閣提出法案として提出された「デジタル社会の形成を図るための関係法律の整備に関する法律案」(以下「2021年改正法」という。)における個人情報保護法関連の改正(同法案50条、51条)として、下記2(改正の概要)に掲げる改正がなされることになりました。2021年改正法は、令和3年5月12日に国会(衆議院可決:令和3年4月6日、参議院可決:同年5月12日)で成立し、同年5月19日に公布(令和3年法律第37号)されました。
2021年改正法においては、個人情報保護制度の見直しの背景について以下のとおり整理されています。
�@ 新たに「デジタル庁」を創設し、国や地_のデジタル業務改革を強力に推進していく方針であるところ、これに伴い、公的部門で取り扱うデータの質的・量的な増大が不可避となる。そこで、個_情報保護に万全を期すため、独立規制機関である個_情報保護委員会が、公的部_を含め、個_情報の取扱いを一元的に監視監督する体制の確立が必要となる。
�A 情報化の進展や個_情報の有用性の高まりを背景として、官民や地域の枠を超えたデータ利活用が活発化している。そこで、データ利活用の支障となり得る現_法制の不均衡・不整合を是正する必要がある。「不均衡・不整合」の例としては以下がある。
・民間部門と公的部門で「個_情報」の定義が異なる
・国立病院、民間病院、公立病院で、データ流通に関する法律上のルールが異なる
・国立大学と私立大学で学術研究に係る例外規定のあり方が異なる
・地方公共団体間で個人情報保護条例の規定やその運用が異なる(いわゆる「2000個問題」)
�B 国境を超えたデータ流通の増加を踏まえ、GDPR十分性認定への対応を始めとする国際的な制度調和を図る必要性が一層向上している。そこで、学術研究分野の適用除外を一律の適用除外とするのではなく、義務毎の例外規定として精緻化する必要がある。
2.改正項目の概要
2021年改正法における個人情報保護法関連の改正項目の概要は以下のとおりです。
�@個人情報保護法、行政機関個人情報保護法、独立行政法人等個人情報保護法の3本の法律を1本の法律に統合するとともに、地方公共団体の個人情報保護制度についても統合後の法律において全国的な共通ルールを規定し、全体の所管を個人情報保護委員会に一元化する。
�A医療分野・学術分野の規制を統一するため、国公立の病院、大学等には原則として民間の病院、大学等と同等の規律を適用する。
�B学術研究分野を含めたGDPR(EU一般データ保護規則)の十分性認定への対応を目指し、学術研究に係る適用除外規定について、一律の適用除外ではなく、義務ごとの例外規定として精緻化する。
�C個人情報の定義等を国・民間・地方で統一するとともに、行政機関等での匿名加工情報の取扱いに関する規律を明確化する。
_〇個人情報保護制度の見直しの全体像
出所:「個人情報保護制度の見直しに関する最終報告(概要)」(個人情報保護制度の見直しに関するタスクフォース)
3.改正法の成立・施行期日
2021年改正法は、2021年(令和3年)5月12日に国会において成立し、同年5月19日に公布されました(令和3年法律第37号)。
2021年改正法の原則的な施行期日は2021年(令和3年)9月1日とされていますが、第一弾の改正(個人情報保護法・行政機関個人情報保護法・独立行政法人等個人情報保護法の一元化等)は2022年(令和4年)5月18日までの政令で定める日、第二弾の改正(個人情報保護法と各地方公共団体の個人情報保護条例の一元化)は2023年(令和5年)5月19日までの政令で定める日に施行されます。
〇現行法・第一弾改正・第二弾改正の条文
※きれいなPDFファイルはこちらの『改正条文比較』をご覧ください。
第1弾改正の新旧対照表(2021年改正法50条)
第2弾改正の新旧対照表(2021年改正法51条)
第一弾の改正・第二弾の改正の改正事項はそれぞれ以下のとおりです。
(1)第一弾の改正(施行日:2022年(令和4年)5月18日までの政令で定める日)
�@法律の一元化・所管の一元化
・個人情報保護法、行政機関個人情報保護法、独立行政法人等個人情報保護法の3本の法律を個人情報保護法に統合するとともに、全体の所管を個人情報保護委員会に一元化。
�A個人情報の定義の統一
・容易照合性・個人識別行為について個人情報保護法の定義に合わせる。
�B匿名加工情報の定義の一元化・行政機関等における匿名加工情報の取扱いの明確化
・「非識別加工情報」から「行政機関等匿名加工情報」に変更
・「行政機関等匿名加工情報」に識別行為の禁止が求められることになる。
�C行政機関等に個人情報保護法の規律導入
・不適正な利用・不適正取得の禁止
・漏えい等報告等
・外国にある第三者への提供制限
・個人関連情報の提供を受ける者に対する措置要求
・仮名加工情報の取扱い
�D医療分野・学区術分野の規律の統一(個人情報取扱事業者と開示等・審査請求の手続・匿名加工情報の取扱いを除き同じ規律を適用)
・医療分野・学術分野の規制を統一するため、国公立の病院、大学等には原則として民間の病院、大学等と同等の規律を適用。
�E学術研究分野を含めたGDPR(EU一般データ保護規則)の十分性認定への対応を目指し、学術研究に係る適用除外規定について、一律の適用除外ではなく、義務ごとの例外規定として精緻化。
_
(2)第二弾の改正(施行日:2023年(令和5年)5月18日までの政令で定める日)
�@適用対象
・地方公共団体の機関及び地方独立_政法人を対象とし、国と同じ規律を適_
・病院、診療所及び大学には、民間部門と同じ規律を適_
�A定義の一元化
・個_情報の定義について、国・_間部_と同じ規律を適_
例) 容易照合可能性、個_識別符号、要配慮個_情報等
・条例で独自の要配慮個人情報を定められる。
�B個人情報の取扱い
・個_情報の取扱いについて、国と同じ規律を適_
例)保有の制限、安全確保措置、利_及び提供の制限等
�C個人情報ファイル簿の作成・公表
・個_情報ファイル簿の作成・公表について、国と同じ規律を適_
※個_情報ファイル簿の作成等を行う個人情報ファイルの範囲は国と同様(1,000人以上等)とする。
※引き続き、個_情報取扱事務登録簿を作成することも可能とする。
�D自己情報の開示、訂正及び利用停止の請求
・開示等の請求権や要件、_続きは国と同じ制度。主要な部分を法律で規定
�E匿名加工情報の提供制度の導入
・匿名加工情報の提供制度(定期的な提案募集)について、国と同じ規律を適_
※ただし、経過措置として、当分の間、都道府県及び指定都市について適_することとし、他の地方公共団体は任意で提案募集を実施することを可能とする。�F個人情報保護委員会と地方公共団体の関係
・個人情報保護委員会は、地_公共団体における個_情報の取扱い等に関し、国の_政機関に対する監視に準じた措置を行う
・地方公共団体は、個_情報の取扱い等に関し、個_情報保護委員会に対し、助_その他の必要な_援を求めることが可能
例)個_情報の提供を行う場合、匿名加_情報の作成を行う場合等
�G条例との関係
・保有個人情報の開示等の手続、審査請求の手続について、法律に反しない限り条例で必要な事項定められる。
4.「個人情報」の定義の一元化
(1)現行法の規律(照合性について)
個人情報保護法の「個人情報」においては、他の情報との照合により個人情報となる場合について、「他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。」(同法2条1項1号)とされています。
これに対して、行政機関個人情報保護法及び独立行政法人等個人情報保護法の「個_情報」においては、「他の情報と照合することができ、それにより特定の個人を識別することができることとなるものを含む」(各法律の2条2項1号)とされています。
(2)改正法の規律
改正法では、公的部門と民間部門とで個_情報の定義が異なることは、国民の目から見て極めて分かりにくく、両部門の間でのデータ流通の妨げともなり得ることから、一元化の機会に、両部門における「個_情報」の定義を統一することになります。
定義変更に伴う影響を最小化する観点から、一元化後の定義は、現行の個_情報保護法の定義(=容易照合可能性を要件とするもの)を採用されます。
すなわち、行政機関、独立行政法人、地方公共団体のいずれにも、以下の個人情報保護法2条1項の「個人情報」の定義が適用されることになります。
この法律において「個人情報」とは、生存する個人に関する情報であって、次の各号のいずれかに該当するものをいう。
一 当該情報に含まれる氏名、生年月日その他の記述等(文書、図画若しくは電磁的記録(電磁的方式(電子的方式、磁気的方式その他人の知覚によっては認識することができない方式をいう。次項第二号において同じ。)で作られる記録をいう。第十八条第二項において同じ。)に記載され、若しくは記録され、又は音声、動作その他の方法を用いて表された一切の事項(個人識別符号を除く。)をいう。以下同じ。)により特定の個人を識別することができるもの(他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。)
二 個人識別符号が含まれるもの
なお、個人情報のデータベース、保有する個人情報の定義については、以下のとおり改正前と同様に別の定義が設けられます。
「行政機関等」の定義には、行政機関および独立行政法人等が含まれます(法2条11項)。また、第2弾の改正後は、地方公共団体および地方独立行政法人も 「行政機関等」の定義に該当することになります。
〇改正後の個人情報・データベース・主体・保有する個人データに関する定義_
5.医療分野・学術分野における規制の統一
(1)現行法制の問題点
医療分野・学術分野では、実質的に民間事業者と同等の立場で個人情報を取得・保有している法人であっても、当該法人が公的部門に属するか(独立行政法人、国立大学法人等)、民間部門に属するか(私立大学、民間病院、民間研究機関等)によって、適用される法律上の規律が大きく異なっており、これが、公的部門と民間部門との垣根を超えた医療や共同研究の実施を躊躇させる一因となっている。
出所:「個人情報保護制度の見直しに関する最終報告(概要)」(個人情報保護制度の見直しに関するタスクフォース)
(2)改正法の下での医療分野・学術分野の規律
改正法では、公的部門と民間部門の規律の一元化により、現行の独立行政法人等個人情報保護法の規律対象となっている独立行政法人等のうち、民間部門において同種の業務を行う法人との間で個人情報を含むデータを利用した共同作業を行うもの等、本人から見て官民で個人情報の取扱いに差を設ける必要が乏しいもの(例:国立研究開発法人、独立行政法人国立病院機構、国立大学法人、大学共同利用機関法人)については、原則として、民間事業者と同様の規律を適用されます。
これに対して、行政機関に準ずる立場で(公権力の行使に類する形で)個人情報を取得・保有するもの(例:行政執行法人、日本年金機構等)、行政機関と同様の規律が適用されます。
ただし、現行の独立行政法人等個人情報保護法の規律のうち、�@「本人からの開示等請求に係る規律」は、情報公開法制において本人開示が認められていない点を補完する側面を有していること、�A「非識別加工情報の提供に係る規律」は、公的部門が有するデータを広く民間事業者に開放し活用を促す広義のオープンデータ政策としての性格を有しているため、公的部門と民間部門の規律の一元化後も、�@「本人からの開示等請求に係る規律」および�A「非識別加工情報の提供に係る規律」の規律は現行法制と同様に、全ての独立行政法人等が行政機関に準じて扱われます。
〇一元化の下での医療分野・学術分野における規制の統一
出所:「個人情報保護制度の見直しに関する最終報告(概要)」(個人情報保護制度の見直しに関するタスクフォース)
(3)民間分野の規律が適用される法人と規律
ア 個人情報取扱事業者の規律が適用される独立行政法人等
�@独立行政法人等と扱われるものの個人情報取扱事業者等の規定が適用されるもの(労災病院)
第一弾の改正により、独立行政法人労働者健康安全機構が行う病院(いわゆる労災病院)の運営業務における「個人情報」、「仮名加工情報」または「個人関連情報」については、個人情報取扱事業者、仮名加工情報取扱事業者、個人関連情報取扱事業者による個人情報、仮名加工情報または個人関連情報の取扱いとみなして、第4章(個人情報取扱事業者等の義務等)、第6章(個人情報保護委員会)、第7章(雑則)、第8章(罰則)が適用されます(法58条2項)。
すなわち、労災病院の運営業務には、「個人情報取扱事業者」ではなく、「独立行政法人等」に該当するものの、個人情報取扱事業者等の規定が適用されます。
また、第二弾の改正により、地方公共団体の機関による病院、診療所、大学の運営も同様の取扱いを受けることになります。
�A個人情報取扱事業者に該当する法人
第一弾の改正により、「独立行政法人等」の定義から別表第2に掲げられる以下の法人が除外されます(法2条9項)。個人情報取扱事業者の定義(法16条2項)からは「独立行政法人等」が除外(同項3号)されるので、以下の独立行政法人は「個人情報取扱事業者」に該当することになります(法58条1項)。
・沖縄科学技術大学院大学学園
・国立研究開発法人(国立がん研究センター等)
・国立大学法人
・独立行政法人国立病院機構(東京医療センター等)
・独立行政法人地域医療機能推進機構(東京新宿メディカルセンター等)
・放送大学学園
また、第二弾の改正により、地方独立行政法人のうち、(i)大学等、(ii)病院事業に掲げる業務を目的とするものも、「個人情報取扱事業者」に該当することになります。
イ 上記アの法人に適用されない個人情報取扱事業者に関する規定
上記ア�@・�Aに掲げる法人には、以下の個人情報取扱事業者の規定は適用されません(法58条1項、2項)。
・保有個人データの取扱いに関する規定(開示等請求等)(法32条〜39条)
・匿名加工情報取扱事業者等の義務(第4章第4節:法43条〜46条)
ウ 上記アの法人に適用される行政機関等に関する規定
�@上記ア�@の法人(労災病院)の運営業務に適用される規定(法123条1項)
・行政機関等の義務等の総則(第5章第1節・法60条)
・安全管理措置(法66条2項(3号・4号(同項3号に係る部分に限る。)に係る部分に限る)において準用する同条1項)
・個人情報ファイル簿の作成・公表(法75条)
・開示等請求手続(第5章第4節:法76条〜106条)
・行政機関等匿名加工情報の提供等(第5章第5節:法107条〜121条)
・保有していないものとみなされる保有個人情報(法122条2項)
・開示請求等をしようとする者に対する情報提供(125条)
・行政機関の職員に対する罰則(171条、175条)
下記�Aの法人との違いは、「行政機関等の安全管理措置」及び「行政機関等の職員に対する罰則」が適用される点です。
�A上記ア�Aの法人に適用される規定(法123条2項)
・行政機関等の義務等の総則(第5章第1節・法60条)
・個人情報ファイル簿の作成・公表(法75条)
・開示等請求手続(第5章第4節:法76条〜106条)
・行政機関等匿名加工情報の提供等(第5章第5節:法107条〜121条)
・保有していないものとみなす保有個人情報(法122条2項)
・開示請求等をしようとする者に対する情報提供(法125条)
・個人情報保護委員会(第6章:127条〜165条)
・雑則(第7章:166条〜170条)
・罰則(第8章、ただし、行政機関の職員に対する罰則(171条、175条、176条)は適用されない。)
6.個人情報保護法と同様の規定の追加
改正後は、行政機関等個人情報保護法および独立行政法人等個人情報保護法には規定されていなかった以下の個人情報保護法と同様の規律が置かれます。
・不適正な利用の禁止(63条)
・適正な取得(64条)
・漏えい等報告等(65条)
・外国にある第三者への提供の制限(71条)
・個人関連情報の提供を受ける者に対する措置要求(72条)
・仮名加工情報の取扱いに係る義務(73条)
・行政機関の職員による不正な利益を図る目的の盗用(175条)
7.行政機関等における匿名加工情報の取扱い
(1)現行法の下での取り扱い
現行の行政機関等における非識別加工情報の取扱いに関する規律は、非識別加工情報が個人情報に該当し得ることを前提としている。
具体的には、行政機関等による非識別加工情報の作成・提供は、他の個人情報の利用・提供と同様、原則として利用目的の範囲内でのみ可能であることが前提とされており(行政法人個人情報保護法8条1項、44条の2第2項等)、同法第4章の2等が定める提案募集手続は、当該手続に従った非識別加工情報の作成・提供を「法令に基づく場合」として例外的に許容するものと位置付けている。
また、行政機関等による匿名加工情報の取得は、他の個人情報の取得と同様、原則として利用目的の範囲内でのみ可能である(同法3条2項)。
なお、個人情報の管理についての規律が適用されると考えられるため、行政機関等が民間事業者等から匿名加工情報を取得した場合の安全管理措置や識別行為禁止については規定が置かれていない。
独立行政法人等の独立行政法人等非識別加工情報についても、独立行政法人等個人情報保護法に同様の規律が置かれている。
〇匿名加工情報と非識別加工情報の規律
_
匿名加工情報
行政機関非識別加工情報
根拠法
個人情報保護法
行政機関等個人情報保護法
個人情報該当性
非個人情報であること前提
個人情報に該当すること前提
利用・提供の制限
利用目的による制限なし
利用目的の範囲内のみ可能
_提案募集手続(法令に基づく場合として例外的に許容)
安全管理措置・識別行為の禁止
規定あり
規定なし
※独立行政法人非識別加工情報も非識別加工情報と同様の取扱い
_(2)改正後の規律
ア 第一弾の改正(施行日:2022年(令和4年)8月31日までの政令で定める日)
�@行政機関等匿名加工情報
行政機関等による匿名加工情報の「作成」「取得」「提供」のそれぞれについて、匿名加工情報が非個人情報である前提で、法律上のルールを再構成されます。「非識別加工情報」ではなく、「行政機関等匿名加工情報」(60条3項)の定義が用いられることになります。
�A行政機関等匿名加工情報の作成
「行政機関等匿名加工情報」の「作成」については、匿名加工情報の作成それ自体が個人の権利利益を侵害する危険性はなく、行政機関等が保有個人情報に対する安全管理措置の一環として匿名加工情報を作成することが必要な場合もあり得ることから、柔軟な取扱いを認めるべきであり、法令の定める所掌事務又は業務の遂行に必要な範囲内であれば、作成を認められます(法107条1項)。
�B匿名加工情報の取得・識別
「匿名加工情報」や「行政機関等匿名加工情報」の「取得」についても、行政機関等(特に独立行政法人等)が民間事業者等から匿名加工情報を取得して業務を遂行することが必要な場合もあり得ることから、柔軟な取扱いを認めるべきであり、法令の定める所掌事務又は業務の遂行に必要な範囲内であれば、取得を認められます。
その際、「行政機関等匿名加工情報」は非個人情報であるという前提で、民間の匿名加工情報取扱事業者に準じた識別行為禁止義務及び安全管理措置義務が課されます(法119条1項、・2項、121条2項・3項)。
�C行政機関等匿名加工情報の提供
「行政機関等匿名加工情報」の「提供」については、現行法が非識別加工情報の提供を公平かつ適正に実施するための手続として提案募集から契約締結に至る一連の手続を定めていることを踏まえ、一元化後においても当該手続に従った提供が原則とされ、行政機関等が匿名加工情報を外部に提供できるのは、基本的に、以下の場合に限られます(法107条2項)。
i. 法令に基づく場合(提案募集手続を経て契約を締結した者に提供する場合を含む)
_ _ii. 保有個人情報を利用目的のために第三者に提供することができる場合において、当該保有個人情報を加工して作成した行政機関等
_ _なお、現行法は、行政機関情報公開法第5条第2号ただし書に規定する情報(法人等に関する情報のうち、一般的には不開示情報に該当するが、公益的理由から例外的に開示対象となるもの)も、非識別加工の対象に概念上は含まれ得ることを前提に、当該情報を非識別加工して提供する場合には、手続保障の観点から、当該法人等に対して意見書提出の機会を与えることを義務付けています(行個法第44条の8が準用する行政機関情報公開法第13条第2項)。
改正後は、行政機関情報公開法第5条第2号ただし書に規定する情報も他の不開示情報と同様に加工元情報から予め削除することとした上で、第三者への意見聴取は全て任意とされます。
_
イ 第二弾の改正(施行日:2023年(令和5年)8月31日までの政令で定める日)
第二弾の改正によって、地方公共団体も「行政機関等」(法2条11項)に該当することになり、上記アの行政機関等匿名加工情報の取扱いの規律が適用される。
ただし、経過措置として、当分の間、都道府県および政令指定都市以外の地方公共団体については、行政機関等匿名加工情報の提案の募集(法111条)、提案の募集に関する事項の個人情報ファイル簿への記載(法110条)は、任意の取扱いとされます。(改正法第51条による個人情報の保護に関する法律附則第7条の改正)
8.個人情報取扱事業者に係る学術研究に係る適用除外規定の見直し(精緻化)
出所:「個人情報保護制度の見直しに関する最終報告(概要)」(個人情報保護制度の見直しに関するタスクフォース)
(1)現行の規律
現行法は、憲法が保障する学問の自由への配慮から、大学その他の学術研究を目的とする機関若しくは団体又はそれらに属する者(以下「学術研究機関等」という)が、学術研究目的で個人情報を取り扱う場合を、一律に個人情報保護法第4章に定める各種義務の適用除外としています(法76条1項3号)。
その一方、現行法は、学術研究機関等に対し、安全管理措置等の個人情報の適正な取扱いを確保するために必要な措置を自ら講じ、その内容を公表する努力義務を課しています(同条第3項)。
また、個人情報保護委員会は、個人情報取扱事業者に対して立入検査や勧告・命令等の監督権限を行使する際は、「学問の自由を妨げてはならない」とされており(法43条1項)、その趣旨に照らし、個人情報取扱事業者が学術研究機関等に対して個人情報を提供する行為に対しては、監督権限を行使しないこととされています(同条第2項)。
(2)現行法の規律の問題点
現行法が、学術研究機関等が学術研究目的で個人情報を取り扱う場合を一律に各種義務の適用除外としている結果、我が国の学術研究機関等がEU圏から移転される個人データについてはGDPRの十分性の認定の効力が及ばないこととなっています。このような事態は、我が国の研究機関がEU圏の研究機関と個人データを用いた共同研究を行う際の支障ともなり得るものです。
そこで、改正法による公的部門と民間部門の規律の一元化を機に、学術研究に係る適用除外規定の内容を見直し、我が国の学術研究機関等に移転された個人データについてもGDPRの十分性の認定の効力が及ぶような素地を作ることが求められています。
(3)改正法の規律
ア 学術研究に係る適用除外規定の精緻化
以下のとおり、「利用目的による制限の適用除外」(法18条3項)、「要配慮個人情報の取得の同意の例外」(法20条)、「第三者提供の制限の例外」(法27条1項)に学術研究に係る適用除外が追加されます。
いずれも、「目的の一部が学術研究目的である場合」を含み、「個人の権利利益を不当に侵害するおそれがある場合」を除くこととされています。
上記5の一元化に伴い、個人情報取扱事業者として扱われる国公立大学や国立研究開発法人にも適用されます。
�@利用目的による制限の適用除外(法18条3項5号・6号)
(i)当該個人情報取扱事業者が学術研究機関等である場合であって、当該個人情報を学術研究の用に供する目的(以下この章において「学術研究目的」という。)で取り扱う必要があるとき(当該個人情報を取り扱う目的の一部が学術研究目的である場合を含み、個人の権利利益を不当に侵害するおそれがある場合を除く。)。
(ii)学術研究機関等に個人データを提供する場合であって、当該学術研究機関等が当該個人データを学術研究目的で取り扱う必要があるとき(当該個人データを取り扱う目的の一部が学術研究目的である場合を含み、個人の権利利益を不当に侵害するおそれがある場合を除く。)。
�A要配慮個人情報の取得の同意の例外(法20条5号・6号)
(i)当該個人情報取扱事業者が学術研究機関等である場合であって、当該要配慮個人情報を学術研究目的で取り扱う必要があるとき(当該要配慮個人情報を取り扱う目的の一部が学術研究目的である場合を含み、個人の権利利益を不当に侵害するおそれがある場合を除く。)。
(ii)学術研究機関等から当該要配慮個人情報を取得する場合であって、当該要配慮個人情報を学術研究目的で取得する必要があるとき(当該要配慮個人情報を取得する目的の一部が学術研究目的である場合を含み、個人の権利利益を不当に侵害するおそれがある場合を除く。)(当該個人情報取扱事業者と当該学術研究機関等が共同して学術研究を行う場合に限る。)。
�B第三者提供の制限の例外(法27条1項5〜7号)
(i)当該個人情報取扱事業者が学術研究機関等である場合であって、当該個人データの提供が学術研究の成果の公表又は教授のためやむを得ないとき(個人の権利利益を不当に侵害するおそれがある場合を除く。)。
(ii)当該個人情報取扱事業者が学術研究機関等である場合であって、当該個人データを学術研究目的で提供する必要があるとき(当該個人データを提供する目的の一部が学術研究目的である場合を含み、個人の権利利益を不当に侵害するおそれがある場合を除く。)(当該個人情報取扱事業者と当該第三者が共同して学術研究を行う場合に限る。)。
(iii)当該第三者が学術研究機関等である場合であって、当該第三者が当該個人データを学術研究目的で取り扱う必要があるとき(当該個人データを取り扱う目的の一部が学術研究目的である場合を含み、個人の権利利益を不当に侵害するおそれがある場合を除く。)。
イ 義務規定の適用
現行法のような包括的な適用除外でなくなることから、学術研究機関にも個人情報取扱事業者として以下の規定が適用されることになります。
・利用目的の特定・公表(法17条・21条)
・不適正な利用・取得の禁止(法19条・20条)
・安全管理措置等(法23条〜25条)
・漏えい報告等(法26条)
・保有個人データの開示等請求手続(法32条〜39条)※
※国公立大学や国立研究開発法人には、行政機関等としての開示等請求手続(第5章第4節:法76条〜106条)が適用されます。
9.地方公共団体の個人情報保護制度
(1)現行法の地方公共団体の個人情報保護制度の課題
社会全体でデジタル化に対応した「個人情報保護」と「データ流通」の両立が要請される中、地方公共団体ごとの個人情報保護条例の規定・運用の相違がデータ流通の支障となっています。
中でも、医療分野や学術分野等の官民の共同作業が特に重要な分野について、地方公共団体の条例を含む当該分野の個人情報保護に関するルールが不統一であることが円滑な協働作業の妨げになっています。
また、一部事務組合等については、個別の個人情報保護条例を制定していないなど条例の適用関係が明らかでない団体が少なくとも613団体存在します。
さらに、独立した機関による監督を求めるEUのGDPR(一般データ保護規則)の十分性認定など国際的な制度調和とG20大阪首脳宣言におけるDFFT(信頼ある自由なデータ流通)など我が国の成長戦略への整合の要請もあります。
こうした課題に対応するため、地方公共団体の個人情報保護制度について、全国的な共通ルールを法律で規定するとおもに、国がガイドライン等を示すことにより、地方公共団体の的確な運用を確保することとされました。
(2)改正法における規律
上記1から8までにおいて説明したとおり、第二弾の改正(施行日:2023年(令和5年)8月31日までの政令で定める日)により、地方公共団体の機関および地方独立行政法人は、「行政機関等」の定義に含まれることになり、国の行政機関等や独立行政法人等と同様の規律に従うことになります。
(3)地方公共団体独自の保護措置
以下のとおり、地方公共団体の機関および地方独立行政法人には、独自の保護措置を設けることができます。
ア.条例要配慮個人情報(法60条5項)
「条例要配慮個人情報」とは、地方公共団体の機関又は地方独立行政法人が保有する個人情報(要配慮個人情報を除く。)のうち、地域の特性その他の事情に応じて、本人に対する不当な差別、偏見その他の不利益が生じないようにその取扱いに特に配慮を要するものとして地方公共団体が条例で定める記述等が含まれる個人情報をいいます。個人情報ファイル簿に条例要配慮個人情報が含まれる場合は、その旨を記載しなければなりません(法75条4項)。
イ.保有個人情報の開示義務(法78条2項)
保有個人情報の開示義務の対象から情報公開条例の規定により開示することとされている情報として条例で定めるものが除かれます。また、行政機関情報公開法第5条に規定する不開示情報に準ずる情報であって情報公開条例において開示しないこととされているもののうち当該情報公開条例との整合性を確保するために不開示とする必要があるものとして条例で定めるものについても開示義務の対象となりません。
ウ.手数料(法89条2項)
地方公共団体の機関に対し開示請求をする者は、条例で定めるところにより、実費の範囲内において条例で定める額の手数料を納めなければなりません。
エ.保有個人情報の開示等手続、審査請求手続(法108条)
地方公共団体は、保有個人情報の開示、訂正及び利用停止の手続並びに審査請求の手続に関する事項について、この節の規定に反しない限り、条例で必要な規定を定めることを妨げられません。
10.個人情報保護委員会による一元的な監督体制
出所:「個人情報保護制度の見直しに関する最終報告(概要)」(個人情報保護制度の見直しに関するタスクフォース)
現行の行政機関個人情報保護法等は、行政機関等における個人情報の取扱いについての監視権限を、原則として、所管大臣である総務大臣に付与しています。行政機関非識別加工情報(独立行政法人等については独立行政法人等非識別加工情報)の取扱いについては個人情報保護委員会に関し権限を付与しています。
地方公共団体の個人情報の取扱いについては各地方公共団体が監視権限を有しており、個人情報保護委員会には監督権限はありません。
改正法による公的部門と民間部門の規律の一元化後は、独立規制機関である個人情報保護委員会が、民間事業者、国の行政機関、独立行政法人等、地方公共団体等の4者における個人情報および匿名加工情報の取扱いを一元的に監視監督する体制が構築され、行政機関等における個人情報および匿名加工情報の取扱い全般についての監視権限が個人情報保護委員会に付与されます(法第6章第3款)。