転換期となった2020年個人情報保護法改正~抑えておきたい経緯とポイント【第2回】

このエントリーをはてなブックマークに追加

個人情報保護法を改正する法律が2020年6月12日公布され、施行を待っていますが、個人情報保護法体系の整理の議論が進み、現在開会中の令和3年通常国会で「公民一元化」の法案審議が進んでいます。
個人情報保護法制の「3法統一」という議論も進んでいましたので、単に“個人情報保護法改正”と書くとどれを差すのか紛らわしいことになりました。

そこで、「転換期となった2020年個人情報保護法改正~抑えておきたい経緯とポイント」と題し、何がどうしてどうなっているのか整理しよう、という試みがこの連載記事です。
さて、全体もくじは以下になります。

連載記事もくじ(第1回~4回)

  • 第1回:3法統一から公民一元化に転換した2020年記事はこちら
  • 第2回:現状の個人情報保護制度(★今回はこちら)
    ・個人情報保護制度の制定経緯
    ・地方公共団体等が定める個人情報保護条例の”2000個”の姿
    ・2000個問題の整理とその影響
  • 第3回:個人情報保護制度の公民一元化記事はこちら
  • 第4回:この先のデータ社会に向けた課題記事はこちら

長くなりますので、公民一元化の概要や背景、さらに内容に少し触れながら、今後の課題までを4回に分けて解説しておりますが、あくまで予定ですので内容や回数に変更があるかもしれません。予めご了承ください。

まずは第1回のおさらいから。

第1回(前回)あらまし

  • 公民一元化の概要
    行政機関個人情報保護法(行個法)、独立行政法人等個人情報保護法(独個法)、個人情報保護法(個情法)、個人情報保護条例(個条例)を一元化して新個人情報保護法とし、個人情報保護委員会が一括して所管することを「公民一元化」という。
  • 3法統一から公民一元化への経緯
    2020年6月に改正されたのは「個情法」、2020年前半までは「行個法」「独個法」「個情法」を統一する「3法統一」を検討していたが、2000個問題を解決するため個条例を含めた「公民一元化」に転換した。
  • 新型コロナ禍で露呈した2000個問題の不都合
    2000個問題により、自治体が提供するコロナアプリや厚労省のコロナ感染管理システムの全国展開速度を遅らせることになった。

前回の記事はこちら

そして連載第2回は「現状の個人情報保護制度」を紐解いていきたいと思います。

2.現状の個人情報保護制度
(1) 個人情報保護制度の制定経緯

個人情報保護法は、突然今の体系になったのではありません。時代の変遷につれ体系が作られてきました。
1980年代からの電子計算機(電算)技術と通信技術の進展、1990年代のPCとインターネットの普及、2010年代のスマホの普及、GAFAに代表されるグローバルネット企業の台頭により情報を扱う環境が様変わりしました。

図2-1 主な個人データに関わる保護制度の制定経緯

1980年に公表された、「OECDプライバシー8原則」が日本及び諸外国における個人情報保護制度整備の端緒になります。
国においては、1988年(昭和63年)に行政機関を対象として個人情報保護法が制定されましたが、電子計算機処理(電算処理)に係るものに限定されていました。それに先駆け、日本で最初の個人情報保護条例が1984年(昭和59年)7月に福岡県春日市で制定され、2006年(平成18年)に全ての市区町村で条例を制定し、都道府県では1990年(平成2年)に制定された神奈川県個人情報保護条例が最初となり、2003年(平成15年)に100%制定されました。

民間部門では、1997年に通商産業省(当時)がガイドラインを公表、民間団体によるプライバシーマークの運用が1998年に始まり、1999年(平成11年)に成立した住民基本台帳法改正に伴い、2003年5月基本法の個人情報保護法および行政機関個人情報保護法が制定されました。
このとき個情法で民間事業者に求めた規律は、不用意に第三者に提供したり目的を偽ったりしないでください、ということでした。個人情報を収集するときは目的を明らかにして、第三者に提供するときや利用目的を変更するときは同意が必要です、といったシンプルな枠組みに肉付けをしたようです。
地方公共団体の個人情報保護条例は、「その地方公共団体の区域の特性に応じて、個人情報の適正な取扱いを確保するために必要な施策を策定し、及びこれを実施する責務を有する。」とされました。(個情法第5条)

【参考資料】

現在の個人情報保護制度体系

図2-2は、個人情報保護委員会が公表している個人情報保護制度の体系イメージですが、公的分野が3つの枠に区切られていて3つの法律のように見えます。
しかし、行個法で1つ、独個法で1つですが、地方公共団体等の個人情報保護条例を“2000個”と呼んでいます。

図2-2:個人情報保護に関する法律・ガイドラインの体系イメージ
出典:個人情報保護に関する法律・ガイドラインの体系イメージ(個人情報保護委員会)

(2) 地方公共団体等が定める個人情報保護条例の”2000個”の姿

私たちは一般的に、地方公共団体いわゆる自治体は都道府県47、市区町村1741、合わせて1788団体あると認識していると思います。2000個の語源はそこから来たと思っていましたが、図2-3の調査がなされ、一部事務組合等1562団体あり、それを加えると3000を越えているのが実態のようです。

最終報告概要では個人情報保護条例で定めている規律を5つの類型で説明しています。(図2-4参照)

  • A市:国と同じ規律
  • B組合:規律なし
  • C市:規律の対象が国より少ない
  • D市:規律の対象が国より多い
  • E市:手続きを付加

図2-4には類型毎の団体数は書かれていませんので、5つの類型に対して類型別の数量比率イメージを図2-5に示します。A市、C市、D市、E市は都道府県+市区町村数1788団体を母数、B組合は一般事務組合等1562団体を母数として算出しました。
B組合に相当する一般事務組合等は図2-3に掲載されていますのでそれを採用しましたが、それぞれの市の数を類型比率から計算するとA市、C市、D市、E市のパターンはほぼゼロと推計できます。地方公共団体の規律はC市とD市およびE市の類型を混合した<C&D&E>が8割以上、C市とE市の混合<C&E>がいくつかあると思われます。

つまり、ほとんどの地方公共団体は国の規律に対して、いくつかの規定と手続きが多く且ついくつかの規定を少なく条例を定めていることになります。規定が少なくなっている団体の多くは、2015年の行個法改正で追加した規定を加えていません。(詳しくは【付録】参照)

(3) 2000個問題の整理とその影響

前回でも簡単に2000個問題に触れましたが、改めて鈴木教授、湯淺教授の報告※を参考にしながらこの問題を整理します。

※出典:規制改革推進会議第3回投資等ワーキング・グループ(平成28年11月15日)
https://www8.cao.go.jp/kisei-kaikaku/suishin/meeting/wg/toushi/20161115/agenda.html
資料1:個人情報保護法制2000個問題について(情報法制研究所、平成28年11月)
https://www8.cao.go.jp/kisei-kaikaku/suishin/meeting/wg/toushi/20161115/161115toushi01.pdf

2000個問題とは何か?

  • (問題1)法律や条例に書かれている文言(条文)のばらつき
  • (問題2)解釈権が2000個に分立していること
  • (問題3)各個人条保護審議会(審査会)の答申-手続き上の制約
  • (問題4)個人情報保護法の3年ごと見直し条項

問題1は、前項(2)でご紹介した通りですが、問題2が大きな影響要因になっています。たとえ同じ規律であっても事案ごとに都道府県あるいは市区町村が個別解釈し独自に運用を決めることになるので、同じ性質の情報であっても団体毎に使える使えない、出せる出せないの判断が分かれると計画が立たなくなります。

実際の条例を参照しながら適用、運用するケースを見てみましょう。
個人情報の目的外利用や第三者提供は禁じられていますが例外条項を満たすことで除外される場合があります。例えば北海道の条例で除外規定を定めている第8条3項には「やむを得ない」、第4項に「相当の理由」、第7項に「公益上の必要その他相当の理由」など解釈が入る余地は至る所にあります。

北海道個人情報保護条例(抜粋、太字は筆者がマーク)
第8条 実施機関は、個人情報取扱事務の目的以外に個人情報(特定個人情報を除く。以下この条において同じ。)を当該実施機関内において利用し、又は当該実施機関以外のものへ提供してはならない。ただし、次の各号のいずれかに該当するときは、この限りでない。
(1) 法令等の規定に基づくとき。
(2) 本人の同意があるとき。
(3) 個人の生命、身体又は財産の安全を守るため緊急かつやむを得ないと認められるとき。
(4) 実施機関内で利用する場合であって、事務の執行に必要な限度で利用し、かつ、利用することについて相当の理由があるとき。

~中略~

(7) 前各号に掲げる場合のほか、審査会の意見を聴いた上で、公益上の必要その他相当の理由があると実施機関が認めるとき。
出典:http://www.pref.hokkaido.lg.jp/sm/bgc/grp/02/kojin_jourei29_3_31.pdf

2000個問題の影響はどこに出るのか?

  • (影響1)個人データの広域連携及び利活用を阻害する大きな要因のひとつとなっている
  • (影響2)分野別の特別法では解決しない~ビッグデータ、IoT政策への大きな影響
  • (影響3)オープンデータ政策への影響
  • (影響4)情報公開制度との調整の必要性
  • (影響5)自治体の第三者提供の萎縮
  • (影響6)越境データ問題への影響

前回2章で紹介した事例は影響1が顕在化した例ですが、経済活動・社会活動への影響度合いが大きいのは影響2や影響3、さらにグローバル経済に関係するのは影響6になります。この辺は第4回でご説明したと思います。

第3回へつづく

【付録】ばらつく地方公共団体の個人情報保護条例の実態

類型分けの元になった規定を細かく見ていきましょう。

【再掲】図2-4:地方公共団体の現状
  • B組合

分かり易いので先に説明します。
一部事務組合等(全1562団体)については、個別の個人情報保護条例を制定していないなど条例の適用関係が明らかでない団体が少なくとも613 団体(約40%)存在することが報告されています。(「個人情報保護条例に係る実態調査結果」(令和2年55月、個人情報保護委員会事務局))

  • A市(青色):図2-6

国と同じ規律のA市ですが、非識別加工情報を定めていない団体が多数あるためA市になりうる候補はわずか11団体です。これに該当しなければC市になります。
非識別加工情報の規律を定めている二つの都道府県である鳥取県、和歌山県は該当しませんでした。市区町村では9つありますが、後述するD市やE市の要件が混ざるため、A市に該当するのは無いと思われます。ご興味ある方は探してもかまいませんが結果の保証はいたしません。

  • C市(緑色):図2-6

非識別加工情報のほか、要配慮個人情報、個人識別符号は平成28年行個法改正で入った規律ですが、個人識別符号が入っていないところは条例の見直しを行っていないと思われます。
非識別加工情報は運用が難しいこともあり審議の上で導入を見送った団体が多数あります。

図2-6:主な規律の対象が国より少ない例
出典:個人情報の保護に関する条例(地方自治研究機構)
  • D市(黄色):図2-7

死者に関する情報、情報の種類規制、外部機関とのオンライン結合制限が地方の独自規定として
採用している都道府県と市区町村が多数あります。規制や制限を越えて利用する場合には、審議会
で諮問を行ったりあるいは新たな条例を制定して対応することになります。
情報の種類規制の中で要配慮個人情報に相当する項目が異なったり、識別を要件としなかったり
するため黄色の中でもバラツキはあります。

図2-7:主な規律の対象が国より多い例
出典:個人情報の保護に関する条例(地方自治研究機構)
  • E市(ピンク色):図2-8

個人情報取扱業務開始等に関する規定が、全ての都道府県および98.5%の市区町村で定められています。手続きの規定については審議会等での審議や首長への報告など分かれています。

図2-8:「個人情報取扱業務に開始等に関する規定」の導入状況
出典:地方自治情報管理概要 令和元年度(令和2年3月30日発表)

【無料ebookのご案内】
弊社の金岡と株式会社Legolissの加藤氏による対談記事です

企業のマーケティング活動やプロダクト開発などにおいて欠かせない”データ活用”。
やみくもにデータを利用するのではなく、正しい方法で分析しなければ、真価を発揮することはできません。

そこで今回、弊社の金岡がマーケティング領域でのデータ活用に知見のある株式会社Legolissの加藤氏をお迎えして、「企業に必要なデータ活用」をテーマにお話しさせていただき、その様子をebookにいたしました。
これからデータ活用に取り組む方や、どのように取り組めばよいか悩んでいる方はぜひお読みください。

ebookダウンロードはこちら

WRITER

Atsushi Kuromasa

黒政   敦史 Atsushi Kuromasa

●外部参加団体や活動・・・情報処理学会 電子化知的財産・社会基盤研究会(EIP) 幹事、CSS2021 PWS2021実行委員、情報法制学会 会員など。 ●最近の論文・寄稿・・・「"匿名加工されたデータの利活用に向けた課題","黒政敦史","学術雑誌『情報通信政策研究』3巻2号"」、「"PWSCUP2020コンテスト:AMIC ("Anonymity against Membership Inference" Contest)", "千田 浩司 , 荒井 ひろみ , 井口 誠 , 小栗 秀暢 , 菊池 浩明 , 黒政 敦史 , 中川 裕志 , 中村 優一 , 西山 賢志郎 , 野島 良 , 長谷川 聡 , 波多野 卓磨 , 濱田 浩気 , 古川 諒 , 山田 明 , 渡辺 知恵美","コンピュータセキュリティシンポジウム2020論文集,1245-1252 (2020-10-19) "」、「"PWS Cup 2019: ID識別・トレース推定に強い位置情報の匿名加工技術を競う", "村上 隆夫,荒井 ひろみ,井口 誠,小栗 秀暢,菊池 浩明,黒政 敦史,中川 裕志,中村 優一,西山 賢志郎,野島 良,波多野 卓磨,濱田 浩気,山岡 裕司,山口 高康,山田 明,渡辺 知恵美","コンピュータセキュリティシンポジウム2019論文集,2019,1485-1492 (2019-10-14) "」、 「"匿名加工情報および非識別加工情報の運用整理と利活用に関する考察", "黒政 敦史", "情報処理学会 研究報告電子化知的財産・社会基盤(EIP),2019-EIP-84(2),1-8 (2019-05-27) , 2188-8647"」、「"個人データの保護と流通を目的とする匿名化と再識別コンテスト:PWSCup", "小栗 秀暢 ,黒政 敦史,中川 裕志,菊池浩明,門田 将徳", "情報処理学会デジタルプラクティス Vol.9 No.3 (July 2018)"」、「"ビッグデータの加工・取扱 -匿名加工情報の役割と活かし方-", "黒政 敦史", "情報処理Vol.59No.4Apr.2018 小特集 情報社会 -今そこにある課題-"」、「"匿名加工情報の加工方法と有用性・安全性指標の考察~匿名加工・再識別コンテスト2017から~", "黒政 敦史 , 小栗 秀暢 , 門田 将徳", "情報処理学会 研究報告電子化知的財産・社会基盤(EIP),2017-EIP-78(9),1-8 (2017-11-22),2188-8647"」

SNSで最新情報を発信しています

最新記事

ページTOPへ