「デジタル社会の形成を図るための関係法律の整備に関する法律案」が令和3年2月9日に閣議決定されました。
本整備法案50条及び51条により、個人情報保護法が大幅に改正され、デジタル社会におけるデータの流通のため、これまで民間部門と公的部門(行政機関及び独立行政法人等)、更には自治体の条例と、細かく分かれていた法規制が個人情報保護法のもとに一元化されるなど、個人情報保護の枠組みが大きく変化することになりました。
個人情報保護法は、既に令和2年に改正がなされ施行を待っている状況ですが、今回の整備法により、令和2年改正個人情報保護法がさらに上書きされて改正される形となります。
本稿では、令和3年改正個人情報保護法(官民を通じた個人情報保護制度の見直し)②として、今回の改正内容のうち、医療分野・学術分野における見直し(「医療分野・学術分野における規制の統一」及び「学術研究に係る適用除外規定の見直し(精緻化)」)を整理して解説します。
改正法案概要
| 法律案名 | デジタル社会の形成を図るための関係法律の整備に関する法律案 |
|---|---|
| 法律番号 | 令和2年法律第44号(「個人情報の保護に関する法律等の一部を改正する法律」) |
| 成立日 | 令和3年5月12日 |
| 交付日 | 令和3年5月19日 |
| 施行日 | 50条につき令和4年8月まで 51条につき令和5年8月まで |
| 主な改正項目 |
|
改正ポイント
医療分野・学術分野における規制の統一
改正の背景
現行法では、国立大学法人等は、「政府の一部を構成するとみられる法人」として、「独立行政法人等の個人情報の保護に関する法律」(以下「独立行政法人等個人情報保護法」といいます。)という、個人情報保護法とは別の法律により行政機関に準じた規律を受けており、「個人情報の保護に関する法律」が適用される民間とは規律が異なります。しかし、特に医療分野・学術分野において官民の枠を超えたデータ利活用が広がった現在においては、規制の不均衡による弊害が指摘されていました。
改正の概要
個人情報に関する規律は、上述の通り、これまで民間部門と公的部門(行政機関及び独立行政法人等)に分かれており、更には自治体の条例によっても規定されていました。今回の改正個人情報保護法は、これらの法規制を個人情報保護法のもとに一元化しました。従って、これまで独立行政法人等個人情報保護法の対象であった独立行政法人等についても、個人情報保護法の規制対象となりました。
その上で、改正個人情報保護法は、独立行政法人等を、①行政機関に準ずる立場の法人と、②国立大学法人など、個人情報の取扱いに差を設ける必要性の乏しい法人(いわゆる「規律移行法人」)に分けています(2条9項・11項2号(整備法51条施行後同3号))。
そして、前者については「行政機関等」に含むものとして行政機関等の義務を課し(60条以下)、後者の規律移行法人については行政機関等として扱わず、基本的に民間事業者と同じ義務を課すことになりました(16条2項3号)。
| 独立行政法人等 | 規律移行法人以外の独立行政法人等 | 行政機関等の義務 |
|---|---|---|
| 規律移行法人(国立大学法人など) | 個人情報取扱事業者としての義務(例外有) |
2条(略)
9 この法律において「独立行政法人等」とは、独立行政法人通則法(平(新設)成十一年法律第百三号)第二条第一項に規定する独立行政法人及び別表第一に掲げる法人をいう。
(略)
11 この法律において「行政機関等」とは、次に掲げる機関をいう。
・・・
二 独立行政法人等(別表第二に掲げる法人を除く。第十六条第二項第三号、第六十三条、第七十八条第七号イ及びロ、第八十九条第三項から第五項まで、第百十七条第三項から第五項まで並びに第百二十三条第二項において同じ。)
すなわち、今回の改正で、国立大学法人等の規律移行法人も、個人情報データベース等を事業の用に供している民間事業者と同様、「個人情報取扱事業者」に該当することとなり(16条2項3号)、民間事業者と同様の個人情報保護法上の義務を負うこととなります。
一方で、行政機関等に関する規定については、規律移行法人には基本的には適用されません。
ただし、①本人開示等請求の規律、及び②匿名加工情報の取扱いについては、規律移行法人も現行法と同様、行政機関に準じて扱うこととされています(法58条1項(整備法51条施行後58条1項1号)、123条2項(整備法51条施行後125条2項))。
開示決定等に係る審査請求の裁決機関についても、情報公開・個人情報保護審査会のままとなります(104条)。また、個人情報ファイル簿の制度も維持されています(74条以下)。
| 規律移行法人に適用される規律 | |
|---|---|
| 個人情報取扱事業者に関する規律 | 行政機関等に関する規律 |
| ・利用目的の特定等、不適正利用・取得の禁止 ・正確性確保、安全管理措置 ・第三者提供の制限 |
・個人情報ファイル簿の作成・公表 ・開示等請求 ・匿名加工情報の作成・提供 |
学術研究に係る適用除外規定の見直し(精緻化)
改正の背景
個人情報保護法は、第4章において、個人情報取扱事業者に対し、以下のような義務を課しています。
- 利用⽬的の特定・公表
- 不適正利用・取得の禁止
- 利用⽬的による制限
- 要配慮個人情報の取得制限
- 第三者提供の制限
- 安全管理措置等
- 漏えい報告
- 保有個人データの開示等
他方、現行の個人情報保護法(以下、「現行法」といいます。)は、大学その他の学術研究を目的とする機関(注)が学術研究目的で個人情報を取り扱う場合においては、上記の各種義務の適用を包括的に除外しています(現行法76条第1項第3号)。
また、学術研究機関等に対し個人情報取扱事業者が個人情報を提供する行為については、個人情報保護委員会は、監督権限を行使しない(現行法43条第2項)こととなっています。
これらの例外規定は学問の自由へ配慮したものでしたが、一律に義務が除外されているがゆえに、GDPRの十分性認定の効力が及ばず、EU諸国との間の共同研究等につき支障が生じると指摘されていました。
(注)国立大学については現行法では行政機関に準じて取り扱われていたため、現行法でいう「学術研究機関等」はいわゆる私立の大学や学会になります。なお、今回の改正により、国公立大学や国立研究開発法人についても規律が一元化され、これに合わせて「学術研究機関等」に含まれることになります(第16条8項)。
改正の概要
(1)適用除外規定の整理
改正法は、上記問題を受けて、学術研究に係る一律の適用除外規定を削除し(57条)、大学その他の学術研究を目的とする機関にも、原則として個人情報保護法第4章に規定する各義務規定を適用することとしつつ、例外的にその適用が除外される場合を、以下のアないしウの3つの場合に整理しました。
ア 利用目的による制限
(ア)利用目的による制限とは
個人情報保護法上、個人情報取扱事業者は、利用目的の達成に必要な範囲で個人情報を利用することが求められており、利用目的を超えた利用については、本人の同意が必要とされています(現行法16条1・2項、改正法18条1・2項)。
(イ)現行法
他方、学術研究機関等が学術研究目的で個人情報を取り扱う場合について、現行法は、個人情報保護法第4章に定める個人情報取扱事業者の各種義務の適用を包括的に除外しており、利用目的の制限についても学術研究機関等が学術研究目的で個人情報を取り扱う場合においては適用がありませんでした。
(ウ)改正法
改正法は、この点について、包括的な適用除外を改め、以下の要件を満たす場合につき、例外的に適用除外とする取り扱いとしました(18条3項5号・6号)。もっとも、術研究機関等以外の個人情報取扱事業者から学術研究機関等に個人データを提供する場合についても適用除外となっている(下記②)点では、現行法よりも適用除外が広くなっています。
① 当該個人情報取扱事業者が学術研究機関等である場合であって、当該個人情報を学術研究の用に供する目的(以下この章において「学術研究目的」という。)で取り扱う必要があるとき(当該個人情報を取り扱う目的の一部が学術研究目的である場合を含み、個人の権利利益を不当に侵害するおそれがある場合を除く。)。
② 学術研究機関等に個人データを提供する場合であって、当該学術研究機関等が当該個人データを学術研究目的で取り扱う必要があるとき(当該個人データを取り扱う目的の一部が学術研究目的である場合を含み、個人の権利利益を不当に侵害するおそれがある場合を除く。)。
一定の要件のもとで適用除外が認められているのは、利用目的の制限が、研究活動の自由及び研究結果の発表の自由を直接制約し得る制限であるからです。
イ 要配慮個人情報の取得制限
本人の人種、信条、病歴など本人に対する不当な差別又は偏見が生じる可能性のある個人情報を「要配慮個人情報」といい、個人情報保護法は、要配慮個人情報を取得するにあたって、本人の同意を必要としています(現行法17条2項柱書、改正法20条2項柱書)。
上述の通り、学術研究機関等が学術研究目的で個人情報を取り扱う場合においては、個人情報保護法第4章に定める個人情報取扱事業者の各種義務の適用を除外しています。従って、要配慮個人情報の取得の際の本人同意の取得についても学術研究機関等が学術研究目的で個人情報を取り扱う場合においては適用がありませんでした。改正法においても、現行法と同様、学術研究目的の場合については適用除外事由が設けられ、本人の同意は不要となっています(20条2項5号・6号)。
ウ 個人データの第三者提供の制限
(ア)個人データの第三者提供の制限とは
個人データを第三者に提供する場合は、原則として本人の同意が必要とされています(現行法23条、改正法27条)。
(イ)現行法
現行法は、上述の通り、学術研究機関等が学術研究目的で個人情報を取り扱う場合においては、個人情報保護法第4章に定める個人情報取扱事業者の各種義務の適用を包括的に除外しています。従って、第三者提供の場合の同意の取得についても学術研究機関等が学術研究目的で個人情報を取り扱う場合においては適用がありませんでした。
(ウ)改正法
改正法は、この点について、包括的な適用除外を改めつつ、以下の場合につき例外的に適用を除外し、個人データの第三者提供に際し、同意を不要とする取り扱いとしました(27条1項5号6号7号)。もっとも、学術研究機関等が個人データを提供する場合のみならず、学術研究機関等以外の個人情報取扱事業者から学術研究機関等に個人データを提供する場合についても適用除外としている(下記③)点では、現行法よりも適用除外が広くなっています。
① 当該個人情報取扱事業者が学術研究機関等である場合であって、当該個人データの提供が学術研究の成果の公表又は教授のためやむを得ないとき(個人の権利利益を不当に侵害するおそれがある場合を除く。)
② 当該個人情報取扱事業者が学術研究機関等である場合であって、当該個人データを学術研究目的で提供する必要があるとき(当該個人データを提供する目的の一部が学術研究目的である場合を含み、個人の権利利益を不当に侵害するおそれがある場合を除く。※③も同様)(当該個人情報取扱事業者と当該第三者が共同して学術研究を行う場合に限る。)。
③ 当該第三者が学術研究機関等である場合であって、当該第三者が当該個人データを学術研究目的で取り扱う必要があるとき。
(2)規制権限の行使
現行法は、個人情報保護委員会は、個人情報取扱事業者が学術研究機関等に対して個人情報を提供する行為について、監督権限を行使しないこととしています(現行法43条第2項)。
これに対し、改正法は、学術研究機関等につき、個人情報を利用した研究の適正な実施のための自主規範を単独で又は共同して策定・公表することを求めた上で(59条)、個人情報保護委員会が監督権限を行使することができるものとしました(146条(整備法51条施行後149条)、57条)。
ただし、学術研究機関等による個人情報の取扱いが当該自主規範に則っているときは、個人情報保護委員会は、原則として、その監督権限を行使しないこととされています。
コメント
これまで、医療・学術の分野においては、設立主体によって適用される法律が異なり、特に独立行政法人等と民間の間において、研究や連携の障壁となっていることが指摘されてきました。今回の法改正により、医療分野・学術分野におけるデータの利活用がよりスムーズになることが期待されます。
一方で、個人情報取扱事業者としての義務が一部課されることとなる国立大学法人を含む学術研究機関等においては、今後、個人情報の取扱いについて、注意が必要になります。
本記事に関するお問い合わせはこちらから。
(文責・秦野)
- 投稿タグ
- 個人情報保護法
