「デジタル社会の形成を図るための関係法律の整備に関する法律案」が令和3年5月19日に公布されました。

本整備法案50条及び51条により、個人情報保護法が大幅に改正され、デジタル社会におけるデータの流通のため、これまで民間部門と公的部門(行政機関及び独立行政法人等)、更には自治体の条例と、細かく分かれていた法規制が個人情報保護法のもとに一元化されるなど、個人情報保護の枠組みが大きく変化することになりました。

個人情報保護法は、既に令和2年に改正がなされ施行を待っている状況ですが、今回の整備法により、令和2年改正個人情報保護法がさらに上書きされて改正される形となります。

本項では、令和3年改正個人情報保護法(官民を通じた個人情報保護制度の見直し)①として、改正案の骨子に加え、今回の改正内容のうち、個人情報保護法制の一元化及び個人情報概念の統一に関する点を中心に解説します。

ポイント

改正法案骨子

本整備法案のうち、第50条及び51条が個人情報保護法の改正となります。各改正事項の概要は以下のとおりです。

1.整備法50条関連(公布から1年以内に施行、整備法案附則1条4号)
① 個人情報保護法制の一元化・個人情報の定義等の統一
② 医療分野・学術分野における規制の統一
③ 学術研究に係る適用除外規定の見直し(精緻化)
④ 匿名加工情報にかかる規律の統一

2.整備法51条関連(公布から2年以内に施行、整備法案附則1条7号)
・地方公共団体に関する規定

本整備法は、これまで民間のみを対象としていた個人情報保護法に行政機関、独立行政法人等、地方公共団体に関する規定を追加するものですので、条文番号が変更されることになります。令和2年改正法の条文についても条文番号が変更となるうえ、整備法51条の施行と同52条の施行の時期がずれる場合、条文が2段階で変更となりますので、注意が必要です。

改正法案概要

法律案名 デジタル社会の形成を図るための関係法律の整備に関する法律案
法律番号 令和2年法律第44号(「個人情報の保護に関する法律等の一部を改正する法律」)
成立日 令和3年5月12日
公布日 令和3年5月19日
施行日 50条につき令和4年8月まで
51条につき令和5年8月まで

解説

個人情報保護法制の一元化

現在、個人情報保護に関する法律は、個人情報を扱う主体によって、以下の通り異なる法律が適用されている状況です。

① 民間部問
法律:個人情報の保護に関する法律(「個情法」)
所管:個人情報保護委員会

② 公的部門

国の行政機関

法律:行政機関の保有する個人情報の保護に関する法律(「行個法」)
所管:総務大臣(非識別加工情報の取扱いを除く)

独立行政法人等

法律:独立行政法人等の保有する個人情報の保護に関する法律(「独個法」)
所管:総務大臣(非識別加工情報の取扱いを除く)

③ 地方公共団体等
各地方公共団体が制定した個人情報保護条例により規律

しかし、データ利活用が活発化した近年においては、上記のような縦割りの現行法制はデータ利活用の支障となりかねません。そこで、今回の改正では、個情法、行個法、独個法の3法を統合して1本の法律とすることになりました。具体的には、これまで民間のみを対象としていた個人情報保護法に行政機関、独立行政法人等、地方公共団体に関する規定を追加することとなりました。

更に、地方公共団体等の個人情報保護制度についても、統合後の法律において、共通ルールを設定し、条例によってまちまちになっていた取扱いを統一することとなりました。

また、現行法上、公的部門の監視権限は原則として所管大臣である総務大臣となっています(行個法第49条から第51条まで等)が、一元化後は、行政機関等における個人情報等の取扱い全般についての監視権限を個人情報保護委員会に付与することになりました(新法153条~155条、162条【整備法52条施行後156~159条、165条】)。

ただし、行政機関等の開示決定等に係る審査請求の裁決機関は、情報公開・個人情報保護審査会のままとなっています(新法105条)。

個人情報の定義等の統一

個人情報保護法における個人情報の定義(個情法2条1項)においては、①当該情報それ自体から本人を識別できるものに加え、②他の情報と容易に照合することができ(容易照合性)、それにより特定の個人を識別することができることとなるものを含むこととされています。

この法律において「個人情報」とは、生存する個人に関する情報であって、次の各号のいずれかに該当するものをいう。

一 当該情報に含まれる氏名、…(略)により特定の個人を識別することができるもの(他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。)
二 個人識別符号が含まれるもの

これに対し、行政機関個人情報保護法における個人情報の定義(行個法2条2項)においては、「容易照合性」は要求されていないため、行政機関等においては、照合が「容易」でなくとも、個人情報として扱われるという違いがありました

この法律において「個人情報」とは、生存する個人に関する情報であって、次の各号のいずれかに該当するものをいう。

一 当該情報に含まれる氏名、…(略)により特定の個人を識別することができるもの(他の情報と照合することができ、それにより特定の個人を識別することができることとなるものを含む。
二 個人識別符号が含まれるもの

官民で個人情報の定義にずれがあるのはデータの利活用の観点からも好ましくないことから、今回の改正により、行政機関においても、現行の個人情報保護法の定義(容易照合性を要件とするもの)を採用することになりました(新法2条1項)。これにより、公的部門における個人情報の範囲は現行法より縮小することとなります(照合性はあるが容易照合性のない情報が個人情報から外れることとなります)。

行政機関等匿名加工情報

1.改正の背景
匿名加工情報とは、特定の個人を識別することができないように個人情報を加工し、当該個人情報を復元できないようにした情報のことをいいます。

現在の行個法では、匿名加工情報に相当する情報を「非識別加工情報」と称し、行政機関による取扱いにつき(行個法上の)個人情報としての性質を有しうることを前提としてルールが設けられています。これは、行個法においては個人情報保護法とは異なり、照合禁止義務(個人情報保護法第36条第5項)を定めておらず、また、行政機関における「個人情報」は、民間とは異なり、容易照合性までは求められなかったためです。

しかし、改正後においては、個人情報の定義が民間と同一になり、非識別加工情報は民間と同様、個人情報としての性質はないものとして扱われることになります。そのため、行政機関等が保有する匿名加工情報について、新たにルールを設ける必要が生じました。

2.名称の統一
個人情報の定義が民間と同一になり、民間における匿名加工情報と用語上区別すべき理由はなくなることから、「非識別加工情報」ではなく、「行政機関等匿名加工情報」と名称が変更されています(改正法60条)。

3.行政機関等匿名加工情報の作成・取得
行政機関等による非識別加工情報の作成は、他の個人情報と同様、原則として、利用目的の範囲内でのみ可能(行個法第8条第1項)となっていました。

今回の改正では、「匿名加工情報の作成それ自体が個人の権利利益を侵害する危険性はなく、行政機関等が保有個人情報に対する安全管理措置の一環として匿名加工情報を作成することが必要な場合もあり得ることから、柔軟な取扱いを認めるべき」として、法令の定める所掌事務又は業務の遂行に必要な範囲内であれば、作成を認めることが適当と考えられました(新法107条1項【整備法52条施行後109条】)。

また、非識別加工情報を取得することについても、「行政機関等(特に独立行政法人等)が民間事業者等から匿名加工情報を取得して業務を遂行することが必要な場合もあり得ることから、柔軟な取扱いを認めるべき」であるとして、「法令の定める所掌事務又は業務の遂行に必要な範囲内であれば、取得を認めることが適当とされました。

ただし、民間の匿名加工情報取扱事業者に準じた識別行為禁止義務及び安全管理措置義務が課されます(新119条、121条【整備法52条施行後121条、123条】)。

4.行政機関等匿名加工情報の提供
現行法においては、行政機関等匿名加工情報は個人情報ではなくなりましたが、民間部門とは異なり、現行法においても、これを第三者に提供できるのは、①法令の規定に基づく場合(提案募集を経る場合も含む)、②加工元の個人情報の提供が可能な場合に限られています(新法107条2項【整備法52条施行後109条2項】)。

5.行政機関情報公開法第5条2号ただし書に規定する情報について
現行法は、行政機関情報公開法第5条第2号ただし書に規定する情報(法人等に関する情報のうち、一般的には不開示情報に該当するが、公益的理由から例外的に開示対象となるもの)を非識別加工し提供を行う場合には、意見書の提出が義務付けられていました。
改正法では、行政機関情報公開法第5条2号ただし書に規定する情報についても不開示条項として削除されることとなっています(新60条3項柱書)。

コメント

今回紹介した改正箇所は事業者の方々にとっては大きなインパクトはないと考えられますが、公的部門と民間部門で個人情報の定義が統一されたことで、官民のデータの流通がよりスムーズになることが期待されます。

本記事に関するお問い合わせはこちらから

(文責・秦野)