転換期となった2020年個人情報保護法改正~抑えておきたい経緯とポイント【第3回】

このエントリーをはてなブックマークに追加

個人情報保護法を改正する法律が2020年6月12日公布され、施行を待っていますが、個人情報保護法体系の整理の議論が進み、現在開会中の令和3年通常国会で「公民一元化」の法案審議中です。
個人情報保護法制の「3法統一」という議論も進んでいましたので、単に“個人情報保護法改正”と書くとどれを差すのか紛らわしいことになりました。

そこで、「転換期となった2020年個人情報保護法改正~抑えておきたい経緯とポイント」と題し、何がどうしてどうなっているのか整理しよう、という試みがこの連載記事です。
さて、全体もくじは以下になります。

連載記事もくじ(第1回~4回)
  • 第1回:3法統一から公民一元化に転換した2020年記事はこちら
  • 第2回:現状の個人情報保護制度記事はこちら
  • 第3回:個人情報保護制度の公民一元化(★今回はこちら)
    ・公民一元化の全体像
    ・規律移行法人等の規律
    ・地方公共団体等の規律
  • 第4回:この先のデータ社会に向けた課題記事はこちら

長くなりますので、公民一元化の概要や背景、さらに内容に少し触れながら、今後の課題までを4回に分けて解説しておりますが、あくまで予定ですので内容や回数に変更があるかもしれません。予めご了承ください。

連載第3回は公民一元化の内容に入ります。記事中で、最終報告概要、最終報告は以下から引用しています。

【出典】

第1回あらまし

  • 公民一元化の概要
    行政機関個人情報保護法(行個法)、独立行政法人等個人情報保護法(独個法)、個人情報保護法(個情法)、個人情報保護条例(個条例)を一元化して新個人情報保護法とし、個人情報保護委員会が一括して所管することを「公民一元化」という。
  • 3法統一から公民一元化への経緯
    2020年6月に改正されたのは「個情法」、2020年前半までは「行個法」「独個法」「個情法」を統一する「3法統一」を検討していたが、2000個問題を解決するため個条例を含めた「公民一元化」に転換した。
  • 新型コロナ禍で露呈した2000個問題の不都合
    2000個問題により、自治体が提供するコロナアプリや厚労省のコロナ感染管理システムの全国展開速度を遅らせることになった。

第1回の記事はこちら

第2回あらまし

  • 個人情報保護制度の制定経緯
    現在の日本の個人情報保護制度は1980年の「OECDプライバシー8原則」が端緒になって、1988年行政機関個人情報保護法、1984年福岡県春日市個人情報保護条例からの地方公共団体での条例制定の広がり、2003年個人情報保護法の制定に至ったことで今日の骨格が形作られた。
  • 地方公共団体等が定める個人情報保護条例の”2000個の”姿
    地方公共団体が定める個人情報保護条例は都道府県47、市区町村1741合わせて1788団体あるが
    一部事務組合等が1562団体あるため3000を越えている。
    ほとんどの地方公共団体の規律は、”国の規律に対して少なく” 且つ ”国の規律より多く” 且つ ”手続きを付加”したものとなっている。
  • 2000個問題の整理とその影響
    2000個問題は、規律がバラバラであるとともに、たとえ同じ規律であっても事案ごとに都道府県あるいは市区町村が個別解釈し独自に運用を決めることも問題になっている。これは、個人データの広域連携のみならず、オープンデータ政策、グローバル経済に関係する越境データ問題にも関係する。

第2回の記事はこちら

そして連載第3回は「個人情報保護制度の公民一元化」を紐解いていきたいと思います。

3.個人情報保護制度の公民一元化
(1)公民一元化の全体像

図3-1は最終報告概要から抜粋しました。連載第1回第1章で概要を紹介しましたが、このページだけでも沢山の情報が盛り込まれています。

図3-1 個人情報保護制度見直しの全体像
出典:最終報告概要

解説を細かく見ていきましょう。
改めて図3-1の上段にある囲みを拡大すると以下になります。

  1. 個人情報保護法、行政機関個人情報保護法、独立行政法人等個人情報保護法の3本の法律を1本の法律に統合するとともに、地方公共団体の個人情報保護制度についても統合後の法律において全国的な共通ルールを規定し、全体の所管を個人情報保護委員会に一元化。
  2. 医療分野・学術分野の規制を統一するため、国公立の病院、大学等には原則として⺠間の病院、大学等と同等の規律を適用。
  3. 学術研究分野を含めたGDPRの十分性認定への対応を目指し、学術研究に係る適用除外規定について、一律の適用除外ではなく、義務ごとの例外規定として精緻化。
  4. 個人情報の定義等を国・⺠間・地方で統一するとともに、行政機関等での匿名加工情報の取扱いに関する規律を明確化。
引用3-1:個人情報保護制度見直しの全体像概要(図3-1上段)
※表示フォントの関係で、丸付き数字は1.に置き換えています。

1.は大方針、2.は国公立機関の中で民間の規律に寄せる範囲、3.と4.は付帯事項といいましょうか、宿題の回収でしょうか。ここでは2.が指す規律移行法人等と4.に係る規律移行法人等における匿名加工情報の扱いについて深堀します。

規律移行法人等とは

規律移行法人等とは2.の対象となる「今般の一元化の機に、⺠間の個人情報取扱事業者と原則として同様の規律を適用すべき独立行政法人等、地方公共団体の病院・大学等及び地方独立行政法人」を設定したものです。
最終報告を見ながら公民一元化後の規律を整理すると図3-2になります。図3-2の原図は図3-1で、その中から見直し後の対象になっている所を拡大したのが図3-2拡大図、拡大図右側の民間事業者枠に納まっている「国立病院、公立病院、、、」を整理したのが図3-2詳細図になります。
図3-2拡大図では2つの規律で成り立ち、2.項で示している国公立の病院、大学等は民間の中に入っているように表していますが、詳しく見ると民間事業者と異なる規律を持つ括りであることが判りました。つまり公民一元化後の規律は図3-2詳細図のように「公的部門」「規律移行法人等」「民間事業者」の3種類になります。

図3-2 公民一元化の規律イメージ(原図は図3-1、詳細図は筆者作成)

(2)規律移行法人等の規律

最終報告でハッキリしていただけていない、規律移行法人等の規律について整理してみます。
図3-3は最終報告概要に示された見直し後の規律の適用関係です。「参考」とある通り最終形ではありませんが、規律移行法人等に注目してみると民間事業者と公的部門の規律が入り交じっている雰囲気と注釈4が規律移行法人等にも影響しているのが見えます。

そこで図3-4として、図3-3の注釈を入れ込み、左右の配置を図3-2の詳細図に合わせて入れ換え再構成してみました。規律移行法人等の規律は、公的部門と民間事業者の規律が入り交じったものになり、データの利活用に関わる規律は民間、データ管理に関わる規律は公的部門とも見えます。

図3-3 一元化後の規律の適用関係
出典:最終報告概要

図3-4 公民一元化後の規律の適用関係(図3-3を元に筆者が再構成)

匿名加工情報の取扱いに関する規律

匿名加工情報は公的部門と民間事業者で分かれて規律するようになりますが、現行の行個法では「非識別加工情報」としていたデータ類型を個情法の「匿名加工情報」の扱いに一本化すべく抜本的な見直しが行われ、運用上の障壁は大分取り払われたと思います。非識別加工情報が匿名加工情報になって変わったことは別の機会に解説したいと思います。

と、評価しつつ残念なことが2点です。

匿名加工情報の取扱が細分化

規律移行法人等は図3-4の通り公的部門の規律としながら、その中で地方公共団体が「経過措置」を取るという細分化された形になり、一元化は叶わずとなりました。背景として、非識別加工情報(一元化後の匿名加工情報)の事例の蓄積が乏しいことと地方公共団体での知見が乏しいこともあって、指定都市20市※を除く市区町村では「当分の間、任意で提案募集を実施することができる」(最終報告p39)という緩い規定になりそうです。
※指定都市:札幌市、仙台市、新潟市、さいたま市、千葉市、川崎市、横浜市、相模原市、浜松市、静岡市、名古屋市、京都市、大阪市、堺市、神戸市、岡山市、広島市、北九州市、福岡市、熊本市
https://www.soumu.go.jp/main_sosiki/jichi_gyousei/bunken/shitei_toshi-ichiran.html

匿名加工情報の提供条件

注目は、公的部門、特に規律移行法人等での匿名加工情報の提供の際、原則として提案募集から契約締結に至る一連の手続きを求めていることです(引用3-2)。行個法(現行法)の非識別加工情報を提供する際に民間からの提案募集を行うことが義務となっており、民間の匿名加工情報は自主的に提供を行うことができることと比較して提供を制限していました。

その提供制限に対して、規律移行法人等からの民間事業者と同様の自由な匿名加工情報の提供形態を望む声を聞きつつ判断(引用3-2、注52)をしており残念至極です。これは例えば、規律移行法人等が主体となって匿名加工情報を作成する、あるいは外部提供することで広がるデータ利活用の広がりを阻害するものと考えます。ただ、提供できる条件「ウ 加工元の個人情報の提供が可能な場合」が匿名加工情報を指している(引用3-2、注51)のは光明とも思えますが、評価は法制化を待ちたいと思います。

最終報告p24より抜粋
2-2 行政機関等における匿名加工情報の取扱い
(2)改正の方向性

~中略~

6.他方、「提供」については、現行法が非識別加工情報の提供を公平かつ適正に実施するための手続として提案募集から契約締結に至る一連の手続を定めていることを踏まえれば、一元化後においても当該手続に従った提供を原則とすべきであり、行政機関等が匿名加工情報を外部に提供できるのは、基本的に、
ア 提案募集手続を経て契約を締結した者に提供する場合
イ 法令の規定に基づく場合
ウ 加工元の個人情報の提供が可能な場合*注51
に限られるとするのが適当である*注52。

~中略~

注51 「加工元の個人情報の提供が可能な場合」とは、~中略~ 当該個人情報を匿名加工した情報を提供する場合を意味する。
注52 なお、一部の規律移行法人から、「現行法の提案募集手続は、非識別加工情報の自由な提供の妨げとなっており、規律移行法人については、⺠間部門と同様に自由に匿名加工情報を提供できるようにすべき」旨の意見が寄せられている。しかしながら、提案募集手続は、広義のオープンデータ政策の一環として、公的部門の各組織に対して非識別加工情報の積極的な提供を促すものであり、それ自体が提供の妨げとなるとは本来考えられない。一方、現場からそのような意見が出ていることは事実であるため、今後は、提案募集手続の運用について、現場の声を踏まえた所要の改善(例:提案募集の通年化、手数料設定における自由度の向上)を図ることが適当である。

引用3-2:行政機関等における匿名加工情報の取扱い
出典:最終報告

昨年3月のブログ※に公的部門における匿名加工情報の取扱の面倒なことを書きました、公民一元化でその面倒なことが大分解消される方向にはあることは確かです。また、経過措置となっている匿名加工情報の地方公共団体での扱いも課題にはなりますが、所管が地方公共団体から個人情報保護委員会になることで見通しは遥かに良いと思われます。
私の論考が問題解決のヒント、あるいはモチベーションになったに違いないと一人合点していますが、解決するか否かの見極めは法制化を待つしかありません。

調査研究ノート「匿名加工されたデータの利活用に向けた課題」サマリとその課題解決に向けた動き
(黒政敦史 2020年3月24日)

地方公共団体等の規律

個人情報保護制度の見直しに関する最終報告概要に以下のスライドが記載されています。
これも一枚のスライドのたくさんの情報が詰め込まれていますので、解きほぐしながら順に解説していきます。

図3-5 地方公共団体の個人情報保護制度の在り方(改正の概要)
出典:最終報告概要

地方公共団体の共通ルール

図3-5の下枠「概要」に以下の文言があります。(丸付き数字は1.に置き換えています)

  1. 適用対象
    ・地方公共団体の機関及び地方独立行政法人を対象とし、国と同じ規律を適用
    ・病院、診療所及び大学には、民間と同じ規律を適用
※4. 5. 6.に係る部分は除く

赤字の部分「4. 5. 6.に係る部分は除く」について図3-4にある通り国の行政機関と同じ規律となります。図3-6左上で地方公共団体は国の行政機関と同じ赤色の規律枠に納め、図3-6右上で地方公共団体の共通ルールを国と同じとして青色にしていますが、共通ルール化後の中身は図3-6下のように公的部門と規律移行法人等の2色になります。

図3-6 地方公共団体の共通ルール化(上2つは最終報告概要、下は筆者作成)
  • B組合
    規律移行法人を持たない組合は独立行政法人等と同じ規律になります。
  • A市、C市、D市、E市
    2章(第2回)で解説した各市、組合のバラバラは是正され基本的には共通ルールになりますが、
    その下で規律移行法人等になるものは規律が異なり、さらにD市の追加規定あるいはE市の追加
    手続きが加わります。
    規律移行法人には県立大学や県立病院、市立病院等の教育機関、医療機関が該当します。
    一つの地方公共団体に二つの規律が存在することで、例えばA市立病院とC市立病院が、A市健康医療局、C市健康医療局を介して情報をやり取りする時に規律移行法人等と公的部門の規律の違いがハードルになりそうです。しかし、今はA市とC市が別個に審議していることが、一元化後には個人情報保護委員会がA市とC市を合わせて監督してくれるので、今より遥かにスムースになることが期待されます。
  • C市
    国より少ない規律であったC市は一気に是正されますが、「匿名加工情報の作成・提供」の扱いは例外として事例の蓄積や人材の懸念から前述した経過措置ということになります。
  • D市の追加規定:行政機関個人情報保護法に無い制限規定を条例等で定める独自の保護措置
    最終報告によれば、「共通ルールよりも保護の水準を高めるような規定を条例で定めることは、必ずしも否定されるものではないと考えられる。ただし、特にそのような措置を講ずる必要がある場合に限ることとするのが適当である。」としています。
    具体的には、死者に関する情報とオンライン結合制限は廃止、場合によっては要配慮個人情報の追加はあるかもしれないとしています。ただ、要配慮個人情報の追加事項で例示されている「生活保護の受給」など全国の自治体で行われている事業に関わる項目は一元化される項目に入れるべきと思いますし、自治体の個別事業で取り扱う項目があるならばその個別事業に関する条例で保護規則を定めればいいだけのような気がしますが、いかがでしょうか。

図2-7 主な規律の対象が国より多い例【再掲】
出典:個人情報の保護に関する条例(地方自治研究機構)
  • E市の追加手続き:審査会等の役割の見直し
    ほとんどの地方公共団体で運用されている審査会等は役割を変えて継続し、全国共通の追加手続きとなると思われます。

図2-8「個人情報取扱業務に開始等に関する規定」の導入状況【再掲】
出典:地方自治情報管理概要 令和元年度(令和2年3月30日発表)

審査会等の役割に関する最終報告での整理(最終報告より)

今後、審議会等の役割は、上記のような個別の個人情報の取扱いの判断に際して諮問を受けるものから、定型的な事例についての事前の運用ルールの検討も含めた地方公共団体等における個人情報保護制度の運用やその在り方についての調査審議に重点が移行していくことになるものと考えられる。
-地方公共団体等にも行個法と同等の規定を適用し、「相当な理由」や「特別な理由」の具体的な判断に資するために国が定めるガイドライン等に基づき運用を行う
-個別利用の判断に際して審査会の諮問を受けるものから、定型的な事例についての事前の運用ルールの検討も含めた地方公共団体における個人情報保護制度の運用やその在り方についての調査審議に重点が移行していく

以上、第3回は公民一元化の全体像を見てきました。
さて、なぜここまで共通ルール化=公民一元化をがんばるのでしょうか。それは、図3-5「地方公共団体の個人情報保護制度の在り方(改正の概要)」上枠にある趣旨にあります。

趣旨
  • 社会全体のデジタル化に対応した「個人情報保護」と「データ流通」の両立が要請される中、
    ・団体ごとの個人情報保護条例の規定
    ・運用の相違がデータ流通の支障となりうる
    ・求められる保護水準を満たさない団体がある 等の指摘。(いわゆる「2000個問題」)
  • 独立した機関による監督等を求めるEUにおけるGDPR(一般データ保護規則)十分性認定など国際的な制度調和とG20大阪首脳宣言におけるDFFT(信頼ある自由なデータ流通)など我が国の成⻑戦略への整合の要請。
  • こうした課題に対応するため、地方公共団体の個人情報保護制度について、全国的な共通ルールを法律で規定するとともに、国がガイドライン等を示すことにより、地方公共団体の的確な運用を確保。

第4回は、公民一元化の背景にあるキーワード「国際的な制度調和」、「我が国の成長戦略」を紐解いていきたいと思います。

つづく

【ご参考】
  • 令和3年通常国会に提出された新個人情報保護法について

【無料ebookのご案内】
弊社とライオン株式会社様との事例から学ぶAIサービス開発

ライオン株式会社様が2019年5月に法人向けにリリースした、舌の画像を撮影するだけでAIが口臭リスクを判定してくれるアプリ「RePERO」。
弊社は以前よりこちらのアプリのAI開発に携わっており、その開発プロセスについてライオン株式会社様とお話したインタビュー記事が、「日経 xTECH Active」に掲載されました。

本ebookにて、こちらの記事の一部をご覧いただけます。AIサービスの開発に関して、弊社の強みも踏まえながらお話しております。AIやデータのビジネス活用でお悩みの方は、無料でダウンロードが可能ですのでぜひご覧ください。

ebookダウンロードはこちら

WRITER
Atsushi Kuromasa

Atsushi Kuromasa

黒政   敦史 Atsushi Kuromasa

●外部参加団体や活動・・・情報処理学会 電子化知的財産・社会基盤研究会(EIP) 幹事、CSS2020 PWS2020実行委員、情報法制学会 会員など。 ●最近の論文・寄稿・・・「"匿名加工されたデータの利活用に向けた課題","黒政敦史","学術雑誌『情報通信政策研究』3巻2号"」、「"PWSCUP2020コンテスト:AMIC ("Anonymity against Membership Inference" Contest)", "千田 浩司 , 荒井 ひろみ , 井口 誠 , 小栗 秀暢 , 菊池 浩明 , 黒政 敦史 , 中川 裕志 , 中村 優一 , 西山 賢志郎 , 野島 良 , 長谷川 聡 , 波多野 卓磨 , 濱田 浩気 , 古川 諒 , 山田 明 , 渡辺 知恵美","コンピュータセキュリティシンポジウム2020論文集,1245-1252 (2020-10-19) "」、「"PWS Cup 2019: ID識別・トレース推定に強い位置情報の匿名加工技術を競う", "村上 隆夫,荒井 ひろみ,井口 誠,小栗 秀暢,菊池 浩明,黒政 敦史,中川 裕志,中村 優一,西山 賢志郎,野島 良,波多野 卓磨,濱田 浩気,山岡 裕司,山口 高康,山田 明,渡辺 知恵美","コンピュータセキュリティシンポジウム2019論文集,2019,1485-1492 (2019-10-14) "」、 「"匿名加工情報および非識別加工情報の運用整理と利活用に関する考察", "黒政 敦史", "情報処理学会 研究報告電子化知的財産・社会基盤(EIP),2019-EIP-84(2),1-8 (2019-05-27) , 2188-8647"」、「"個人データの保護と流通を目的とする匿名化と再識別コンテスト:PWSCup", "小栗 秀暢 ,黒政 敦史,中川 裕志,菊池浩明,門田 将徳", "情報処理学会デジタルプラクティス Vol.9 No.3 (July 2018)"」、「"ビッグデータの加工・取扱 -匿名加工情報の役割と活かし方-", "黒政 敦史", "情報処理Vol.59No.4Apr.2018 小特集 情報社会 -今そこにある課題-"」、「"匿名加工情報の加工方法と有用性・安全性指標の考察~匿名加工・再識別コンテスト2017から~", "黒政 敦史 , 小栗 秀暢 , 門田 将徳", "情報処理学会 研究報告電子化知的財産・社会基盤(EIP),2017-EIP-78(9),1-8 (2017-11-22),2188-8647"」

SNSで最新情報を発信しています

最新記事

ページTOPへ