転換期となった2020年個人情報保護法改正~抑えておきたい経緯とポイント【第1回】

このエントリーをはてなブックマークに追加

個人情報保護法を改正する法律が2020年6月12日公布され、施行を待っていますが、個人情報保護法体系の整理の議論が進み、2月9日閣議決定され令和3年通常国会に「公民一元化」の法案が提出されました。
個人情報保護法制の「3法統一」という議論も進んでいましたので、単に“個人情報保護法改正”と書くとどれを差すのか紛らわしいことになりました。

そこで、「転換期となった2020年個人情報保護法改正~抑えておきたい経緯とポイント」と題し、何がどうしてどうなっているのか整理しよう、という試みがこの連載記事です。
さて、全体もくじは以下になります。

連載記事もくじ(第1回~4回)

  • 第1回:3法統一から公民一元化に転換した2020年(★今回はこちら)
    ・個人情報保護法の「公民一元化」の概要
    ・「3法統一」から「公民一元化」への転換経緯
    ・新型コロナ禍で露呈した2000個問題の不都合
  • 第2回:現状の個人情報保護制度記事はこちら
  • 第3回:個人情報保護制度の公民一元化記事はこちら
  • 第4回:この先のデータ社会に向けた課題記事はこちら

長くなりますので、公民一元化の概要や背景、さらに内容に少し触れながら、今後の課題までを4回に分けて解説したいと思いますが、あくまで予定ですので内容や回数に変更があるかもしれません。予めご了承ください。

それでは、連載第1回「3法統一から公民一元化に転換した2020年」についてお伝えします。

(1)個人情報保護法の「公民一元化」の概要

現行の個人情報保護法の体系と「3法統一」「公民一元化」の関係は以下の図1-1になります。

<現行の個人情報保護法の体系>

  • 総務省が所管し、国や省庁など国の機関を対象とした行政機関個人情報保護法(行個法)
  • 総務省が所管し、国立大学や国立病院などを対象とした独立行政法人等個人情報保護法(独個法)
  • 個人情報保護委員会が所管し、民間事業者を対象と個人情報保護法(個情法)
  • それぞれの都道府県、市区町村等の地方公共団体が所管し定める個人情報保護条例(個条例)

 

そして令和3年通常国会に提出するのは、個人情報保護委員会が所管し、国の行政機関と独立行政法人さらに民間と地方公共団体をまとめた=いわゆる公民一元化した新個人情報保護法になります。


図1-1 個人情報保護制度の3法統一と公民一元化

 

個人情報保護法改正のポイント

  • 2020年に改正されたのは「個情法」
  • 所管や対象が分かれているといろんな問題があるので2021年に向けて統合しようとしていた
    →2020年前半までは「行個法」「独個法」「個情法」を統一する「3法統一」を検討した
    2020年後半から「3法統一」に加え、「個条例」も統一する「公民一元化」に変更した

コロナ禍以前は「3法統一」が主に推進され「公民一元化」まではあまり進んでいませんでしたが、コロナ禍によって地方公共団体(自治体)が個別に個条例を定めることによる弊害、いわゆる2000個問題が露呈し、「公民一元化」の動きが加速しました。

【2000個問題とは】

都道府県、市区町村、広域連合など個人情報保護条例を設ける自治体が約2000個存在し、それぞれが定めた条例の下、それぞれの解釈基準をもってそれぞれが運用している。
そのためデータ流通、データ利活用で不都合が生じることを2000問題としていた。
東日本大震災時にカルテ情報や投薬情報が公立病院と民間医院で共有できなかったり、行方不明者の捜索情報や被災者情報の公開や運用に一貫性が無く、メディアや国民が混乱していた。
その後、災害対策基本法改正により災害時に対応可能になったものの、災害に至る直前の状況を
含む平常時の対応は自治体毎にバラバラであることは変わっていない。

 

(2)「3法統一」から「公民一元化」への転換経緯

図1-2 個人情報保護制度の検討経緯

3法統一で進んでいた2019年

個人情報保護委員会は、2019年暮れに個情法改正に向けて改正大綱を公表しました。その中で、行政機関、独立行政法人等に係る法制と民間部門に係る法制との一元化に着手、個条例については検討を進める、としていました。
・個人情報保護制度の見直しに関するタスクフォース(第1回)議事次第(令和元年12月25日)
https://www.cas.go.jp/jp/seisaku/kojinjyoho_hogo/dai1/gijisidai.html

その後政府の「個人情報保護制度の見直しに関するタクスフォース」下に置かれた6回の「個人情報保護制度の見直しに関する検討会」を経て令和2年8月23日に中間整理が公表され、3法統一の全体像が明らかになりました。
・個人情報保護制度の見直しに向けた中間整理概要
https://www.cas.go.jp/jp/seisaku/kojinjyoho_hogo/pdf/r0208chukanseiri_gaiyou.pdf

2020年8月~2000個問題の解決に向けて始まった公民一元化

個人情報保護法制の公民一元化に大きな方向性が出されたのは令和2年8月28日「個人情報保護制度の見直しに関するタスクフォース(第2回)」です。ここで、地方公共団体の個人情報保護条例を含めた改正法案の令和3年通常国会提出に向けて検討開始されました。
https://www.cas.go.jp/jp/seisaku/kojinjyoho_hogo/dai2/gijisidai.html

その後、令和2年10月23日経済財政諮問会議にて武田総務大臣が公民一元化を報告し報道陣に公表されました。
・令和2年第15回経済財政諮問会議 令和2年10月23日
資料4-2 行政のデジタル化の加速化について~地方行政のデジタル化を中心に~(武田議員提出資料)
https://www5.cao.go.jp/keizai-shimon/kaigi/minutes/2020/1023/shiryo_04-2.pdf

それと前後して以下の新聞報道があります。

日本経済新聞
・個人情報保護、自治体ルール共通化 総務省検討2020年10月12日 22:00
https://www.nikkei.com/article/DGXMZO6491018012102020EE8000
・個人情報保護、国・地方でルール統一大学研究も適用2020年10月26日 2:00
https://www.nikkei.com/article/DGKKZO65437380V21C20A0PE8000
・[社説]個人情報保護を「国と地方」考える機会に脱・デジタル後進国2020年11月2日 19:05
https://www.nikkei.com/article/DGXMZO6575882002112020SHF000

そして令和2年12月23日第3回個人情報保護制度の見直しに関するタスクフォースにて個人情報保護制度の見直しに関する最終報告がまとめられ12月26日にパブコメを募集しました。「公民一元化」によって2000個問題の改善はもちろん、ガバナンス体制の確立という効果もありますが、デジタル庁が描くであろうデータ社会の第一歩になります。きっと。

【出典】

(3)新型コロナ禍で露呈した2000個問題の不都合

3法統一から公民一元化に方針転換したきっかけは、コロナ対策の施策が2000個問題のため実施に遅れを取る事態が発生したことでした。

自治体が民間と個人情報をやり取りするためには、渡すにしても受け取るにしても条例による根拠もしくは個人情報保護審議会の判断を経る手続きが必要になります。これまで各自治体の個別事業の一環で各自治体が運営してきた実績があり、その運営に支障が出ていないと見られていました。

システムの導入が滞る例:システムのコピーで済まない自治体対応

LINE社が体験した2000個問題の根深さ

都道府県とLINEの新型コロナ対策が苦戦、立ちはだかる「2000個問題」(長倉 克枝 日経クロステック2020.05.14)

記事によれば、LINE社が開発し自治体が提供するコロナ対策アプリは利用者が年齢や既往歴を入力する仕組みで、システムは自治体のルール(個人情報保護条例等)に則って運用されるとのことです。
3月5日神奈川県で提供開始したものの、4月9日までに24都道府県の展開で止まってしまいました。原因は自治体ごとに微妙に異なる条例による個別サポートがボトルネックになったようです。

<個別サポートの要因>

  • アプリに入力する情報が自治体によって要配慮個人情報になったり、ならなかったりする
  • データ分析機関へのデータ提供が第三者提供に相当し、それに関連する条例が異なる
  • 審査会のやり方、審議事項が自治体ごとに異なる
  • システム運用の保健所担当と個人情報保護関連の担当とのすり合わせ

元になるシステムに技術的な問題が無くても、導入時での調査や調整に時間と工数がかかることで普及を阻害する例になりました。

同様の問題はHER-SYSでも起こりました。

ニュースで目にした方もいらっしゃると思いますが、HER-SYSは、厚生労働省が開発した「新型コロナウイルス感染者等情報把握・管理支援システム(HER-SYS):Health Center Real-time information-sharing System on COVID-19」で、全国の医療機関、保健所、各自治体、国等が情報の即時共有を行えます。
今年5月から稼働を開始し全国の医療機関などに導入が始まりましたが、なかなか普及しませんでした。

阻害要因の一つに自治体における“電子計算機との通信回線による外部結合制限”、いわゆるオンライン結合規制があります。条例により表現は変わりますが、自治体システムは外部システムとオンラインで接続することが各自治体の個人情報保護条例で制限している場合があり、その制限を解除するために自治体ごとに審議会を開催して判断を行っています。“HER-SYS 審議会”で検索すると自治体で開催された審議会の議事録などを見ることができます。

審議会では個々の自治体の条例や規則、解釈に沿って審議されるため、他の自治体がOKを出している事例であってもNGになることがあります。
仕様上の問題もあり、HER-SYSでは東京都港区がシステムの安全管理上の問題※により一旦接続を留保しました。

※「新型コロナ対策のデータ活用に遅れの懸念、感染者情報の管理システムに不備と不信感」
(大豆生田 崇志 日経クロステック/日経コンピュータ2020.09.18)

国民の命を守るシステムを一日も早く展開しなければならない事態において、阻害要因がそこかしこにあることを放置してきたことは、事実として受け止めて前に進まなければなりません。この2000個問題を長年提唱してきた先生が解決に向けて奔走しながらも遅々として進展しないことに、他の先生から「穴に落ちないと気が付かない問題」と諭されたということをおっしゃっていました。2020年はまさに穴に落ちたことに気が付いた年でした。

2000個問題に対する自治体の認識

一方、当の自治体の反応は鈍く、令和2年7月3日に開催された第4回 地方公共団体の個人情報保護制度に関する懇談会において2000個問題に関する課題認識が無い発言がありました。自治体は「住民の要望に沿って滞り無く処理し困っていないので問題ありません。」ということでしょうか。

  • 東京都
    「2,000個問題などについては事業者のほうからニーズ的なものもあるということなのですが、あまりそういうことで実態として受けているということがなく、その辺りはどこまでまとめられているのかという点について教えていただきたい」
  • 神奈川県
    「県の条例を現在、運用している状況において、特に支障事例とか何か大きな課題があるというようには認識してはございません。」
    「地方公共団体のパーソナルデータに係る利活用の期待は高いという記述があるのですが、~(中略)~実感としては、県に対してこのような利活用の要望ですとかというのはあまり聞いたことがない」
  • 神戸市
    「自治体の中においての運用ということになれば特に支障はないということで認識しておるのですが、~(中略)~全国レベルで見たときにということになれば、多少の支障なりがあるものと認識をしております。」
  • 知事会
    「地方公共団体における個人情報保護制度の見直しは地方自治、地方分権との関係において議論となる部分もありますので、慎重な検討をぜひよろしくお願いしたい」

【出典】

2000個問題は、自治体毎の人的リソースと運用体制がそれぞれ異なった事情があり、その中で見えている事業を処理することを目的化した上で最適化していることが背景にあると思います。小規模団体における運用、人員不足が一番の課題になっており、人事異動によって担当者が一から勉強するケースもあります。

2000個問題には直接関係しませんが、COCOA開発で右往左往したことや、定額一時給付金のオペレーションを巡り日本中でアタフタしていたことなど日本のIT戦略がハリボテだったことが晒された2020年のコロナ禍でした。

第2回へつづく

筆者注:2021年2月9日 公民一元化の法案が閣議決定されたためその旨の情報を追加しました。(2021.2.10)

【参考資料】

  • 「個人情報保護制度の見直しに関するタスクフォース」について
    個情法改正は個人情報保護委員会が行いましたが、3法統一や公民一元化は内閣官房が開催する「個人情報保護制度の見直しに関するタスクフォース」で検討を行っています。
    このタスクフォースは内閣官房の中に設けられた会議体で、資料、議事録が公開されています。
    https://www.cas.go.jp/jp/seisaku/kojinjyoho_hogo/index.html
  • HER-SYSへのコロナ感染関連データ入力について
    HER-SYSへの入力は感染症法に基づく措置としていますが、これは陽性患者の情報が対象となるのは明らかですが、第15条積極的疫学調査の対象者に疑義があるようです。厚生労働省 事務連絡令和2年11月16日
    「新型コロナウイルス感染者等情報把握・管理支援システム(HER-SYS)を活用した感染症発生動向調査について」に関するQ&Aについて(その5)
    https://www.mhlw.go.jp/content/000695264.pdf

    P4

    1 HER-SYSへの入力は、法令上の根拠があるのでしょうか。入力情報には個人情報が含まれますが、個人情報保護法との関係で問題ないですか。
    (答)
    ○[HER-SYSへの入力は、感染症法第12条(発生届)、第15条(積極的疫学調査)、第19条(入院勧告)、第20条(入院勧告)等に基づく事務です。法令に基づく第三者提供(HER-SYSの場合は国への提供等)は、個人情報保護法で認められています。

    P5

    1-2 保健所設置市ではない市町村でも個人情報保護条例を制定している場合が通常ですが、HER-SYSへの入力は、当該市町村の個人情報保護条例との関係で問題ないですか。
    (答)
    ○個人情報保護条例は各自治体で策定されるものですが、通常は、個人情報の取得・利用・提供の制限について、法令の規定に基づく場合は適用除外とする旨の規定が設けられています。
    ○HER-SYSへの入力は、感染症法第12条(発生届)、第15条(積極的疫学調査)、第19条(入院勧告)、第20条(入院勧告)等に基づくものであり、個人情報保護条例上の「法令の規定に基づく」事務であることから、問題はありません。

  • 個人情報保護条例で定める適用除外の条項
    大阪市個人情報保護条例
    https://www.city.osaka.lg.jp/somu/page/0000020339.html

    (利用及び提供の制限)
    第10条実施機関は、事務の目的の範囲を超えて保有個人情報を当該実施機関の内部で利用し、又は保有個人情報を当該実施機関以外のものに提供してはならない。
    ただし、次の各号のいずれかに該当するときは、この限りでない。
    (1) 法令等に定めがあるとき
    ~ 以下 略 ~

【建築業向け】事例ウェビナー動画のお知らせ

「DXをどのように始めれば良いのかわからない」「建設業におけるAI活用について知りたい」方に最適なウェビナーを企画しました。

建設業界では、人手不足を解消するために、DXによって作業の自動化や工数削減を実現するような取り組みが加速しています。
そこで今回、「DXの実践事例」や「成功するDXプロジェクトの進め方」について、伐採木の採寸から調書作成までを自動で行うアプリの開発に関わったメンバーが対談形式でお伝えしていきます。

タイトル:建設業におけるDXの実践例

視聴形式:動画配信(フォーム入力不要)

今すぐ視聴する

WRITER

Atsushi Kuromasa

黒政   敦史 Atsushi Kuromasa

●外部参加団体や活動・・・情報処理学会 電子化知的財産・社会基盤研究会(EIP) 幹事、CSS2021 PWS2021実行委員、情報法制学会 会員など。 ●最近の論文・寄稿・・・「"匿名加工されたデータの利活用に向けた課題","黒政敦史","学術雑誌『情報通信政策研究』3巻2号"」、「"PWSCUP2020コンテスト:AMIC ("Anonymity against Membership Inference" Contest)", "千田 浩司 , 荒井 ひろみ , 井口 誠 , 小栗 秀暢 , 菊池 浩明 , 黒政 敦史 , 中川 裕志 , 中村 優一 , 西山 賢志郎 , 野島 良 , 長谷川 聡 , 波多野 卓磨 , 濱田 浩気 , 古川 諒 , 山田 明 , 渡辺 知恵美","コンピュータセキュリティシンポジウム2020論文集,1245-1252 (2020-10-19) "」、「"PWS Cup 2019: ID識別・トレース推定に強い位置情報の匿名加工技術を競う", "村上 隆夫,荒井 ひろみ,井口 誠,小栗 秀暢,菊池 浩明,黒政 敦史,中川 裕志,中村 優一,西山 賢志郎,野島 良,波多野 卓磨,濱田 浩気,山岡 裕司,山口 高康,山田 明,渡辺 知恵美","コンピュータセキュリティシンポジウム2019論文集,2019,1485-1492 (2019-10-14) "」、 「"匿名加工情報および非識別加工情報の運用整理と利活用に関する考察", "黒政 敦史", "情報処理学会 研究報告電子化知的財産・社会基盤(EIP),2019-EIP-84(2),1-8 (2019-05-27) , 2188-8647"」、「"個人データの保護と流通を目的とする匿名化と再識別コンテスト:PWSCup", "小栗 秀暢 ,黒政 敦史,中川 裕志,菊池浩明,門田 将徳", "情報処理学会デジタルプラクティス Vol.9 No.3 (July 2018)"」、「"ビッグデータの加工・取扱 -匿名加工情報の役割と活かし方-", "黒政 敦史", "情報処理Vol.59No.4Apr.2018 小特集 情報社会 -今そこにある課題-"」、「"匿名加工情報の加工方法と有用性・安全性指標の考察~匿名加工・再識別コンテスト2017から~", "黒政 敦史 , 小栗 秀暢 , 門田 将徳", "情報処理学会 研究報告電子化知的財産・社会基盤(EIP),2017-EIP-78(9),1-8 (2017-11-22),2188-8647"」

SNSで最新情報を発信しています

最新記事

ページTOPへ