2022年改正個人情報保護法の施行－学術研究機関への規制共通化、法律の統合　|ニッセイ基礎研究所

1――はじめに

2021年の第204回通常国会において「デジタル社会の形成を図るための関係法律の整備に関する法律（整備法）」が成立し、5月19日に公布された。整備法により、分立していた個人情報保護法制の一本化、および条例については法律による原則共通ルール化のための整備が図られることとなった。

現在、個人情報保護法制としては以下のような規律が存在している（図表1）。

(1) 主に民間事業者を対象とする「個人情報の保護に関する法律」（個情法）
(2) 国の行政機関を対象とする「行政機関の保有する個人情報の保護に関する法律」(行個法)
(3) 独立行政法人を対象とする「独立行政法人等の保有する個人情報の保護に関する法律」(独個法)
(4) 地方公共団体（地方独立行政法人を含む）におけるそれぞれの個人情報保護条例（条例）

また、所管官庁は個情法が個人情報保護委員会、行個法と独個法が総務省、条例は各地自体の関係部署と別れている。

上記改正は、(1)～(3)の一本化については2022年4月1日より施行される。また(4)に関する整備については2021年5月より2年以内で政令が定める日から施行されることとなっている（政令未制定）。

2――問題の所在

1｜法律の相違等による問題
今回改正となった背景としては、(1)官・民の情報共有にあたっては適用法令の相違があることによる問題、(2)いわゆる2000個問題、(3)EUとの情報共有の問題がある。

(1)について、デジタル社会においては、官および民にある個人情報が適切な形で利活用されることが必要であるところ、適用法令には相違がある。たとえば行政機関の情報を研究目的で活用する場合には、主な情報の出し手である政府の行政機関には行個法が適用される（自治体は条例）一方で、民間研究機関および私立大学には個情法（一部条例あり、以下同じ）の、国立大学には独個法の、公立大学には条例の適用がある。また、医療情報についても国の機関は行個法であるが、私立病院は個情法、国立病院は独個法である。そして地方の機関は条例である。後述するが、適用法令が違うと「個人情報」の定義そのものが違うなど円滑な情報共有に支障がある。

ところで、個情法の適用がある学術研究機関が学術目的で個人データを利用する際には、個情法の各種義務関係の規定適用からは除外されている（個情法76条1項3号）。これは学問の自由を確保する目的のためのものである。しかし、規制がないわけではなく、文科省、厚労省、経産省の告示「人を対象とする生命科学・医学系研究に関する倫理指針（以下倫理指針）」が定められており、学術研究機関において、人から試料や情報を取得する際、対象者のインフォームドコンセントが求められる¹。

(2)について、もともと個人情報保護はプライバシーの権利として裁判上認められるようになったが、立法化の動きは地方から始まった。1700を超える各自治体が個人情報保護に関する条例をそれぞれ制定したので、条例はおおむねの内容は一緒だとしても、どうしても相違点が生じてきてしまい、その遵守に困難が伴うところとなり、これが2000個問題とも批判されるようになった。

(3)について、欧州の個人情報保護規則であるGeneral Data Protection Regulation(GDPR)では、EU内の個人データを国外に移転するときには、当局の承認を得た内容での個別契約を結ぶ（前提となる体制整備が必要）か、国全体として同等性評価を受けることをしたうえで、移転を受けることとされている。日本が関係するところでは、個情法の適用のある民間事業者については同等性評価を受けている。しかし、それ以外について、主に監督機関による監督が十分行われていないこと等を理由として、同等性評価を受けられていない。そのため、民間事業者がEU域内より取得した個人データを、たとえば国立大学に提供することはできないという問題がある。

¹ 倫理指針は単なる個人情報の取得だけでなく、研究倫理全般を規律するものであり、研究計画の立案や倫理委員会の設置なども定められている。

2｜個人情報保護法の仕組み
今回の改正は基本として個情法に一本化する方式をとっている。そこで若干遠回りではあるが、個情法の仕組みを本件改正に関連するところに限定したうえで、解説することとしたい（次葉図表2）。まず、個人情報をデータベースとして事業に利用する事業者を個人情報取扱事業者と定義している（個情法2条5項）。法律は大きく分けて(1)個人情報取扱事業者の義務、(2)本人（＝個人情報で識別される人）の権利、(3)個人情報保護委員会の権限を定めている²。

(1)個人情報取扱事業者の義務　個人情報取扱事業者（以下、民間事業者または事業者という）には、適正な取得、適正な利用、適正な第三者提供という義務が定められている。個人情報の取得にあたっては利用目的を特定したうえで、利用目的を明示又は通知して行う（＝本人同意までは不要、個情法18条）が、要配慮個人情報（人種、信条、医療情報など）については本人の同意なしに個人情報を取得してはならない（個情法17条2項）。当然のことながら個人情報を不正に取得してはならない（個情法17条1項）。

次に、適正な利用としては、当初に特定された目的内での利用を行うべきこと（個情法16条）、従業者や委託先を含む安全管理措置の実施（個情法19条～22条）が求められる。さらに情報の利活用という観点から個人データの第三者提供のルールが定められている。具体的には、本人の事前の同意を得る（オプトイン）か、本人が求めた場合に第三者提供を停止することを前提として、あらかじめの同意なくして第三者提供する方法（オプトアウト、本人への通知等・個人情報保護委員会への届出が必要）が認められている（個情法23条2項）。ただし、要配慮個人情報についてオプトアウトは認められない（同項）。ちなみに、第三者提供に該当しないとされるケースがいくつかある。重要なものとしては、1) 業務の委託に伴って個人データが提供される場合（個情法23条5項1号）、2) 複数の事業者による共同利用に該当する場合（個情法23条5項3号）、3) 個人を識別できないように加工した情報(匿名加工情報)を提供するもの（個情法36条～39条）がある。このうち、3) の匿名加工情報とは本人と識別できる氏名や符号を削除等することにより個人情報に復元できなくした情報であり、そもそも個人情報ではなくなっているため、第三者提供には該当しないとされている。

（2）本人の権利　本人は事業者が保有する個人データ（保有個人データ）について開示を求める権利を有し（個情法28条）、情報が間違っていたときの訂正等を請求できる権利（個情法29条）、不法に取得された情報の利用停止等を求める権利（個情法30条）などを有する。

（3）個人情報保護委員会の権限　個人情報保護委員会は一定の例外（個情法46条）を除き、事業者に対する監督権限を有する。具体的には事業者に対する報告徴収権、立入検査権、指導・助言、違反行為の是正勧告および命令権を有する（個情法40条～42条）。なお、個人情報保護委員会は学問の自由等を妨げてはならず（個情法43条1項）、学術研究機関が学術研究目的で個人情報を取り扱う場合には、その権限を行使しないこととされている(同条2項）。

² なお、本文で述べたところに加え2020年公布（2022年4月同時施行）の改正個人情報保護法では、仮名加工情報（社内での利用について仮名化して利用しやすくする）および個人関連情報（事業者では個人情報ではないが、提供先で個人情報となる場合の義務）などが定められている。

3――改正の概要

今回の改正は(1)学術研究機関・医療領域の規制の共通化と、(2)個人情報保護法制の個情法への一本化である。上述の通り、改正法は二段階で施行されることになっていて、まず法律を統合した後に、現在は条例で規制されている地方公共団体や地方独立行政法人への適用が行われる。以下では、2022年4月施行の改正を新法、2023年に施行が予定される改正法を第二新法と呼ぶこととする。

そこで、上記(1)については、（地方）独立行政法人のうち研究機関等を行政機関等ではなく、民間事業者と位置付けたうえで、学術研究機関の特例を設けることで共通ルールを設けることとした。独立行政法人への適用については新法で、地方独立行政法人については第二新法で適用されることとなる。また、 (2)について、特に問題となるのは、上記で述べた2000個問題である。個別自治体で工夫を重ねて制定した条例に標準ルールを入れるという話であるため、相当な議論が行われた。その結果、第二新法により、基本ルールは個情法によるとされつつ、法律に反しない限り条例で規定を設けることを妨げるものではないとされた（第二新法108条）。新法、第二新法施行後の適用関係は図表3の通りである。

4――学術研究機関に対する規制の適用

1｜学術研究機関・医療における規律の標準化
今回の改正の眼目の一つが、学術研究機関・医療領域の規律の整備・統合である。具体的には、個情法の適用対象を国立大学などの学術研究機関に広げるとともに、学術研究機関を各種義務から適用外としている規定（個情法76条1項3号）を削除し、個情法のうち必要な規定を適用するものである。以下（1)対象となる主体と規定、(2)適用対象外または特例規定のある規定、および(3)個人情報保護委員会の権限の順で解説を行う。

2｜対象となる主体と規定
個情法は現在、私立大学や民間研究機関などにのみ適用されている。逆に言うと国の機関、地方公共団体、独立行政法人、地方独立行政法人に適用がない（個情法2条5項）。

今回の改正では、独立行政法人のうち、国立大学や国立病院など独立行政法人法別表二に掲げる学術研究機関又は医療領域に係る法人³について個情法の民間事業者向け規定の部分が適用されることとなった（新法2条11項3号）。これらを規律移行法人という。また、2023年には地方独立行政法人である県立大学等にも個情法が同様に適用されることとなる（第二新法同項4号）。

これらの大学・研究機関に適用される規定は、学問の自由確保に対して拘束的ではないと判断されたものに限定されている。具体的には、(1)個人情報の取得にあたっての利用目的の特定・明示・通知（新法17条、21条）、(2)不適正な利用の禁止（新法18条）、(3)安全確保措置（新法22条～25条）、(4)漏洩の際の個人情報保護委員会への報告・本人への通知（新法26条（なお、当規定は2020年の通常国会で成立したもので2022年4月1日に新法と同時施行される））がある。また、本人からの開示請求等についても対応する必要が法的に生ずることとなった（新法33条～39条）⁴。

³ 国立研究開発法人、国立大学法人、大学共同利用機関法人、独立行政法人国立病院機構、独立行政法人地域医療機能推進機構、独立行政法人労働者健康安全機構、沖縄科学技術大学院大学、放送大学学園
⁴ ただし、規律移行法人および地方独立行政法人については、本人からの開示請求（新法76条）、訂正請求（新法90条）、利用停止請求（新法98条）、不服申立審査（新法104条）、および個人情報ファイル（新法74条）の規定が適用される（新法2条11項2号　第二新法2条11項4号）。

3｜適用対象外または特例のある規定
これは学問の自由確保の観点から、適用を一部変更または除外するものである。

まずⅰ）目的内利用に関する特則である。上記2｜(1)の通り、利用目的は特定されなければならないものの、学術研究機関が学術研究目的で利用する場合、および提供先の他の学術研究機関が学術研究目的で利用する場合（いずれも個人の利益を不当に侵害する場合を除く）には、利用目的による利用制限はかからない（新法18条3項5号、6号、図表４）。

次にⅱ）要配慮個人情報の取得に関する特則である。要配慮個人情報の取得には本人同意を要するのが原則であるが、学術研究機関が学術研究目的で取り扱う場合、学術研究機関から学術研究目的で要配慮個人情報を取得する場合、および国や学術研究機関が公開している情報については本人の同意がなくても取得することができる（新法20条2項、図表5）。

さらに、ⅲ）第三者提供についての特則である。第三者提供にあたって提供元が本人同意を要しない場合として、学術研究機関が成果発表又は教授のためやむを得ないとき、学術研究機関が学術研究目的で個人データを提供する必要があるとき、および学術研究機関に対して学術研究目的で利用するために個人データを提供するときが規定された（新法27条1項5号～7号、図表６）。

上記の解説の中で、たとえば学術研究機関から学術研究機関への情報提供をする際に、提供元が第三者提供の同意を本人から求めるかどうかという問題と、提供先が個人情報取得にあたって本人同意を得る必要があるかどうかという問題といういわば両方の側面から重複して規定されている。これは個人情報に該当するのが、提供元で必ずしも個人情報に該当しなくとも提供先で該当するケースと、その逆で、提供元では個人情報に該当するが、提供先で必ずしも個人情報に該当しなくなるというケースがあり、その両方をカバーするためのものと思われる（図表７）。

学術研究機関に関する特例をまとめると図表8の通りである。

なお、後述の通り、個人情報の定義については、個情法と行個法、独個法との間に相違があったが、これを個情法の定義に統一することとされた。それと同時に、行個法等で非識別加工情報とされていたものを、個情法が定義する匿名加工情報に一本化することとなった。

4｜個人情報保護委員会の権限
個人情報保護委員会の民間事業者に対する権限は従来と変更がなく、したがって民間事業者と同等の扱いを受ける学術研究機関に対しても同様に適用されることとなる。この改正により、EUからのデータの利活用が国立大学も含めて行われることが期待される。

なお、監督権の行使にあたっては従来通り「表現の自由、学問の自由、信教の自由及び政治活動の自由を妨げてはならない」とされている（新法146条1項）。