ブログ
令和3年改正個人情報保護法の法律案の概要
2021.03.23
「デジタル社会の形成を図るための関係法律の整備に関する法律案」(注1)(以下「整備法案」といいます。)が令和3年2月9日に閣議決定され、その一部である個人情報保護法の改正案(以下「令和3年改正個人情報保護法」といいます。)が公表され、現時点において第204回通常国会にて審議されています。
本稿では、この令和3年改正個人情報保護法の概要について、現時点における情報を基に解説します。
(注1)デジタル社会の形成を図るための関係法律の整備に関する法律案(令和3年2月9日国会提出)
・法律案・理由
https://www.cas.go.jp/jp/houan/210209_3/siryou3.pdf
・新旧対照表
https://www.cas.go.jp/jp/houan/210209_3/siryou4.pdf
令和3年改正個人情報保護法の全体像
令和3年改正個人情報保護法は、内閣官房に設置された検討会においてその方向性が議論されてきたものであり、その検討会における「個人情報保護制度の見直しに関する最終報告」(注2)(以下「最終報告」といいます。)を基にして法律案が検討されています。
令和3年改正個人情報保護法は、主に以下の①~④の点について改正することになります。
① 法の形式及び法の所管の一元化
② 医療分野・学術分野における規制の統一
③ 学術研究に係る適用除外規定の見直し(精緻化)
④ 個人情報等の定義の統一及び非識別加工情報のルールの再構成
以下においては、上記①~④の点について、その概要をそれぞれ解説します。
(注2)個人情報保護制度の見直しに関するタスクフォース「個人情報保護制度の見直しに関する最終報告」(令和2年12月)https://www.cas.go.jp/jp/seisaku/kojinjyoho_hogo/pdf/r0212saisyuhoukoku.pdf
令和3年改正個人情報保護法の内容
① 法の形式及び法の所管の一元化
日本の個人情報保護法制は、適用される主体ごとに、個人情報保護法、行政機関個人情報保護法、独立行政法人等個人情報保護法、各自治体の個人情報保護条例に分かれており、その所管も異なっています。
このような状況の中で、現行法による規制の不均衡・不整合がデータ利活用の支障となる事例が顕在化、公的部門・民間部門の別を問わない新たな監視監督体制の確立の必要性、独立規制機関である個人情報保護委員会が一元的に所管する体制が国際的調和の観点から必要であること等から、「法の形式及び法の所管の一元化」が求められるようになりました。
令和3年改正個人情報保護法では、個人情報保護法、行政機関個人情報保護法、独立行政法人等個人情報保護法の3本の法律を1本の法律に統合するとともに、地方公共団体は統合後の法律において全国的な共通ルールを規定し、全体の所管を個人情報保護委員会に一元化することとなりました。
具体的には、個人情報保護法の中に、行政機関個人情報保護法と独立行政法人等個人情報保護法の規律を盛り込み、適用主体ごとに規律を定めました(例:民間部門の規律の適用主体は「個人情報取扱事業者」、公的部門の規律の適用主体は「行政機関等」「行政機関の長等」)。また、地方自治体は、公的部門の規律の適用主体に含まれることによって、現行の行政機関個人情報保護法及び独立行政法人等個人情報保護法と基本的に同様の規定が適用されるようにしました。
②医療分野・学術分野における規制の統一
医療分野・学術分野では、実質的に同等の立場で個人情報を取得・保有している法人でも、当該法人が公的部門に属するか、民間部門に属するかによって、適用される法律上の規律が異なっており、連携医療や共同研究の実施を躊躇させる一因となっているとの指摘があります。
このような状況の中で、公的・民間部門の規律の相違を維持し、かつ現行法制との整合性・連続性を保ちつつ、現在顕在化している医療分野・学術分野における規制の不均衡の是正を可能な限り速やかに、かつ現場の混乱なく円滑に実現するため、「医療分野・学術研究分野における規制の統一」が求められるようになりました。
令和3年改正個人情報保護法では、独立行政法人等のうち、本人から見て官民で個人情報の取扱いに差を設ける必要性の乏しいもの(例:独立行政法人等のうち、民間部門において同種の業務を行う法人との間で個人情報を含むデータを利用した共同作業を継続的に行うもの)については、原則として民間事業者と同様の規律を適用することになりました。
具体的には、以下の独立行政法人等は、「独立行政法人等」の定義から一定の場合に除外することによって(同法2条11項2号括弧書及び別表第二)、民間部門の規律の適用主体である「個人情報取扱事業者」の定義に含まれるとともに(同法16条2項3号)、公的部門の規律の適用主体である「行政機関等」「行政機関の長等」の定義から除外されることになり(同法2条11項、63条)、民間部門と原則として同様の規律を適用することになりました。
➀沖縄科学技術大学院大学学園
②国立研究開発法人
③国立大学法人
④大学共同利用機関法人
⑤独立行政法人国立病院機構
⑥独立行政法人地域医療機能推進機構
⑦放送大学学園
また、⑧独立行政法人労働者健康安全機構が行う病院の運営の業務における個人情報、仮名加工情報又は個人関連情報の取扱いについては、適用の特例によって、民間部門と原則として同様の規律を適用することになりました(同法58条2項)。
③学術研究に係る適用除外規定の見直し(精緻化)
現行法は、憲法が保障する学問の自由への配慮から、学術研究機関等が、学術研究目的で個人情報を取り扱う場合を、一律に個人情報保護法第4章に定める各種義務の適用除外としています。
このような状況の中で、一律の適用除外が規定されている結果、我が国の学術研究機関等にEUから移転される個人データにGDPRの十分性認定(注3)の効力が及ばず、EUの研究機関との共同研究を行う際の支障ともなり得ることから、改善を求める声が現場の研究者からも多数寄せられ、「学術研究に係る適用除外規定の見直し(精緻化)」が求められるようになりました。
令和3年改正個人情報保護法では、学術研究分野を含めたGDPRの十分性認定への対応を目指し、学術研究に係る適用除外規定について、一律の適用除外ではなく、義務ごとの例外規定として精緻化することになりました。
具体的には、利用目的による制限については、①個人情報取扱事業者が学術研究機関等である場合であって、学術研究目的で取り扱う必要があるとき、及び②学術研究機関等に提供する場合であって、学術研究目的で取り扱う必要性があるときという2つの類型に学術研究の例外を整理しました(同法18条3項5号・6号)。また、要配慮個人情報の取得制限については、①個人情報取扱事業者が学術研究機関等である場合であって、学術研究目的で取り扱う必要があるとき、及び②学術研究機関等から取得する場合であって、学術研究目的で取得する必要性があるとき(共同して学術研究する場合に限る。)という2つの類型に学術研究の例外を整理しました(同法20条2項5号・6号)。さらに、第三者提供の制限については、①個人情報取扱事業者が学術研究機関等である場合であって、学術研究成果の公表又は教授のためにやむを得ないとき、②個人情報取扱事業者が学術研究機関等である場合であって、学術研究目的で提供する必要性があるとき(共同して学術研究する場合に限る。)、及び③第三者が学術研究機関等である場合であって、当該第三者が学術研究目的で取り扱う必要があるときという3つの類型に学術研究の例外を整理しました(同法27条1項5号~7号)。
(注3)EUのデータ保護法であるGDPRでは、個人データの第三国移転が原則として禁止されていますが(GDPR44条)、欧州委員会が十分な個人データの保護のレベルを提供している国であるという決定(十分性認定)をした場合には、その国は第三国移転に係る規制の例外とされています(GDPR45条)。日本は、欧州委員会から2019年1月23日に十分性認定がされていますが、その際に個人情報保護法76条1項3号の学術研究の例外が適用される学術研究機関等が十分性認定の対象外とされています。
④個人情報等の定義の統一及び非識別加工情報のルールの再構成
ア 個人情報等の定義の統一
現行法では、民間部門・公的部門で「個人情報」の定義がいわゆる「容易照合性」の点で異なっております(注4)。また、データ利活用のための制度として、民間部門には「匿名加工情報」、公的部門には「非識別加工情報」がありますが(注5)、民間部門・公的部門における個人情報の定義の相違に起因して、「匿名加工情報」は非個人情報で「非識別加工情報」は個人情報であると整理されていたため、これまで異なる名称が用いられてきました。
このような状況の中で、「個人情報」の定義が異なると分かりにくく、データ流通の妨げにもなり、またその定義を統一すれば「匿名加工情報」と「非識別加工情報」の名称を区別する理由がなくなることから、「個人情報等の定義の統一」が求められるようになりました。
令和3年改正個人情報保護法では、民間部門・公的部門で「個人情報」の定義を統一し、また、「匿名加工情報」と「非識別加工情報」の名称を「匿名加工情報」に統一することとなりました。
具体的には、個人情報保護法において従前定められていた「個人情報」及び「匿名加工情報」の定義を民間部門・公的部門のいずれにも適用されるような建付けとし、「個人情報」の定義と「匿名加工情報」と「非識別加工情報」の名称を個人情報保護法全体で統一しました(同法2条1項及び6項)。
イ 非識別加工情報のルールの再構成
現行法では、非識別加工情報の取扱いに関する規律は、非識別加工情報が個人情報であることが前提となっています。
このような状況の中で、上記アのとおり個人情報の定義を民間部門・公的部門において統一することによって、非識別加工情報は匿名加工情報と同様に非個人情報であるとして整理されるようになったため、「非識別加工情報のルールの再構成」が求められるようになりました。
令和3年改正個人情報保護法では、行政機関等による非識別加工情報(改正後は「匿名加工情報」。以下同様)の「作成」「取得」「提供」のそれぞれについて、非識別加工情報が非個人情報である前提で法律上のルールを再構成することとなりました。
具体的には、改正後の行政機関等匿名加工情報は、①法令に基づく場合(提案募集に関する規定に従う場合を含む。)と②加工前の保有個人情報を利用目的のために第三者に提供することができる場合に提供が可能であると定められました(同法107条2項。ただし、整備法案51条の施行後は同法109条2項。)(注6)。
(注4)現行の個人情報保護法では、個人情報の定義に「他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む」という文言がありますが、行政機関個人情報保護法及び独立行政法人等個人情報保護法では、「容易に」という文言はありません。
(注5)「匿名加工情報」とは、個人情報保護法上の概念であり、匿名加工情報には、個人情報よりも緩やかなルールが適用されるため、データ利活用のための制度として位置づけられます。行政機関個人情報保護法及び独立行政法人等個人情報保護法には、「匿名加工情報」と同じ名称の概念はありませんが、これに相当するものとして「非識別加工情報」があります。
(注6)「作成」「取得」については、最終報告では、法令の定める所掌事務又は業務の遂行に必要な範囲内であれば、認めることが適当であるとされています。
令和3年改正個人情報保護法のまとめ
これまで述べた①~④の改正点を図(注7)にまとめますと、以下のとおりです。
(注7)個人情報保護制度の見直しに関するタスクフォース「個人情報保護制度の見直しに関する最終報告(概要)」(令和2年12月)2頁から抜粋
https://www.cas.go.jp/jp/seisaku/kojinjyoho_hogo/pdf/r0212saisyuhoukoku_gaiyou.pdf
令和3年改正個人情報保護法の施行日
令和3年改正個人情報保護法は、地方公共団体関係以外の改正を行う整備法案50条と地方公共団体関係の改正を行う整備法案51条があり、それぞれ施行日が異なっています。
地方公共団体関係以外(整備法案50条)については、公布の日から起算して1年を超えない範囲内において、政令で定める日とされています(整備法案附則1条1項4号)。
これに対して、地方公共団体関係(整備法案51条)については、公布の日から起算して2年を超えない範囲内において、政令で定める日とされています(整備法案附則1条1項7号)。
具体的なスケジュールは現時点において未定ですが、仮に第204回通常国会において令和3年改正個人情報保護法が成立する場合、地方公共団体関係以外(整備法案50条)については、令和4年春~6月頃までの政令で定める日となり、地方公共団体関係(整備法案51条)については、令和5年春~6月頃までの政令で定める日となることが想定されます(注8)。
(注8)なお、令和2年改正個人情報保護法の全面施行の日は、令和4年春~6月頃とされています。
令和3年改正個人情報保護法の概要は以上のとおりですが、今後情報のアップデート等がありましたら、改めて解説させていただきます。
以上