2022年改正個人情報保護法の施行－学術研究機関への規制共通化、法律の統合　|ニッセイ基礎研究所

5――個人情報保護法制度の統合

1｜個人情報の定義の統一
そもそものスタートラインと言えるが、現行個情法における「個人情報」と行個法・独個法における「個人情報」は定義が異なる。個情法においては、個人情報には特定の個人を識別できる情報であって、他の情報と「容易に照合」できるものを含むとされている(個情法2条1項1号)。他方、たとえば独個法では個人情報には特定の個人を識別できる情報であって、他の情報と「照合」できるものを含むとされている（独個法2条2項1号）。

したがって、容易に照合はできないが、他の行政機関にある情報をも含めて、とにかく照合可能なものであれば、独立行政法人等においては個人情報に含まれることとされている。そして、独個法等における非識別加工情報（民間事業者における匿名加工情報に該当）は、個人情報としての性格を一部残したものとして整理されていた⁵。

そして、この結果として、民間事業者において匿名加工情報としたものを独立行政法人等で取得した場合においても、個人情報であると取り扱っている⁶（図表9）。

ただ、概念的にこう言えるとしても、上記差分に何が入るのは判然とせず、仮に差分があるとしても、それらは個情法の匿名加工情報あるいは仮名加工情報、または個人関連情報（＝提供した先でだけ個人情報となる情報）として整理することとされた⁷。

そして今回の改正においては、個人情報は個情法に従い「容易に照合」できるもののみを含むと定義し、非識別加工情報を匿名加工情報に統合することした（新法2条1項、114条）。なお、独立行政法人等において取得した匿名加工情報についての識別行為禁止規定がなかったため、新法において規定が置かれることとなった（新法45条）。

⁵ 個人情報保護制度の見直しに関する最終報告（令和2年12月）p20　 https://www.cas.go.jp/jp/seisaku/kojinjyoho_hogo/pdf/r0212saisyuhoukoku.pdf
⁶ 上記注5資料、p20注40参照
⁷ 「座談会　個人情報保護法の改正」（ジュリスト2021年8月号）ｐ22水野靖久総務省行政管理局管理官発言

2｜個人情報保護委員会による監督制度の整備
現状、行政分野における個人情報保護委員会の権限は、行政手続における特定の個人を識別するための番号の利用等に関する法律（マイナンバー法（33条～38条））、および行政機関・独立行政法人等の非識別加工情報の取り扱い（独個法48条の4～48条の8、行個法51条の4～51条の4）に限定されている。

新法は個人情報保護委員会の権限として行政機関等の監視という一款を設け、行政機関等の長に対して、資料提出の要求及び実地調査（新法153条）、指導及び助言（新法154条）、勧告（新法155条）、勧告に基づいてとった措置についての報告の要求（新法156条）が定められている。

新法では、行政機関には国の行政機関、独立行政法人等（規律移行法人除く）が該当し（新法2条11項1号、2号）、第二新法では地方公共団体（議会除く）と地方独立行政法人（県立大学などを除く）が該当することとなる（第二新法2条11項2号、4号）。

この監視規定は民間事業者へ対するものと異なり、勧告及び勧告への対応の報告要求までしかできないものの、個人情報保護委員会に監督権限を集中させるというもので、重要な改正となっている（図表10）。

このように行政機関や地方自治体などが、個人情報保護委員会の監督下に入ることで、今後EUの同等性評価を受けることが可能になるものと考えられている。

3｜行政機関に関する個人情報規律の個情法への一本化
本項では、行政機関に対する改正個情法の規制のうち、民間事業者と比較して特色のある項目を解説することにより、どのような規律がなされているかを確認したい。項目としては(1)個人情報の取得に関する規律、(2)個人情報の利用・第三者提供に関する規律、(3)個人情報ファイル、(4)本人からの開示請求等に関する規律、(5)行政機関等匿名加工情報である。なお、個人情報の定義の統一化については上記1｜、個人情報保護委員会による行政機関等への監督は上記2｜で述べた通りである。

(1)個人情報の取得に関する規律　行政機関においては、原則として法令事務の範囲内の目的でのみ個人情報を保有できることとされており（新法61条）、書面等による個人情報の取得にあたっては利用目的を明示しなければならない（新法62条）とされている。

(2) 個人情報の利用・第三者提供に関する規律　保有個人情報の利用及び第三者提供は法令および上記(1)で定めた目的の範囲内でのみ行うことが行うことができる（新法69条1項）。ただし、本人同意がある場合や本人に提供する場合（同条2項1号）、提供を受ける先が行政機関等で法令の定める事業として利用する相当の理由があるとき（同項3号）、またはもっぱら統計の作成または学術研究の目的のために提供することなどが可能である（同項4号）。

(3)個人情報ファイル　個人情報ファイルとは行政機関等が法令に定められた事務を行うため、検索できるように個人情報を体系的に構成したものである（新法60条2項）。行政機関等が個人情報ファイルを保有しようとするときは、一部例外を除き、あらかじめ個人情報保護委員会に所定の項目を通知しなければならない（新法74条）。個人情報ファイルを作成したときは原則として公表する（新法75条）。

(4)本人からの開示請求等に関する規律　「何人」も開示請求（新法76条）、訂正請求（新法90条）、利用停止請求（新法98条）ができるとされている。この点、開示請求権者を「本人」に限定している民間事業者についてと大きく異なる。これは行政情報の公開制度と平仄を合わせているためである。

開示請求権者を幅広く認める代わりに、たとえば第三者が個人情報の開示請求をした場合においては、その情報に関して個人が識別できるものについては原則として開示しないなどのルールが定められている（新法78条1項2号）。また、開示請求権等に対する行政機関等の決定に不服がある者は審査請求することができる（新法105条）。

(5)行政機関等匿名加工情報　行政機関等は、法令に基づく場合、あるいは利用目的のために第三者に利用させることができる場合に、そのことを目的として、個人情報ファイルを加工して行政機関等匿名加工情報として作成することができる(新法107条)。

個人情報ファイルについては、定期的に、事業の用に供するために利用しようとする事業者からの提案を募集することとされ(新法109条、110条)、審査(新法112条)の結果、法定基準に適合すると判断されれば契約を締結し、行政情報匿名加工情報として提供することとなる(新法113条)。また、個人情報ファイルから加工済の行政機関等匿名加工情報がある場合においては、事業者からの提案があれば審査し、法定基準に適合的であれば提供することとなる（新法116条）。

4｜地方公共団体の条例の法定標準化
地方公共団体⁸については第二新法の施行により、上記1｜～3｜の規律に従うこととなるが、「国の施策との整合性に配慮しつつ」「地方自治体の機関、地方独立行政法人及び当該区域内の事業者等」による個人情報の取り扱いに必要な施策を実施し（第二新法5条）、「地方公共団体が保有個人情報の開示、訂正及び利用停止の手続並びに審査請求の手続に関する事項について、この節の規定に反しない限り、条例で必要な規定を定めることを妨げ」ないとしている（第二新法108条）。言い換えれば法の規範の中であれば、条例で独自の定めを置くことも許される。たとえば開示手続の細則を定めたり、掲示決定期間（法は30日）を短縮したりすることもできる⁹。

逆に、第二新法では個人情報保護に関する全国ルールを導入するという目的があることから、これに照らして法の規律を超えると判断されるものは許容されない。たとえば「条例要配慮個人情報」という規定（第二新法60条5項）があり、地域の実情に即して配慮を要すべき情報の種類をより明確化するため、条例で定義することはできるが、条例で要配慮個人情報の取得や利用に関する規定を独自に加重することはできないとされている。

また、クッキーなどのオンライン識別子はそれ自体では個情法では個人情報とされていない。これを条例で個人方法に該当するものと定めることはできない。さらに、地方自治体の審議会は開示請求等にかかる審査にあたって諮問を受ける（第二新法第105条3項、行政不服審査法81条）とされているが、それを超えて審査を行うことは許容されない。

なお、公立大学や公立病院などの地方独立行政法人については、上記の規律移行法人と同様の取扱となる。

⁸ なお、地方議会は適用対象外である（第二新法2条11項2号）。
⁹ 以下の部分は、個人情報保護委員会「公的部門における個人情報保護の規律の考え方」P6～8参照https://www.ppc.go.jp/files/pdf/210623_kouteki_kiritsunokangaekata.pdf　

6――検討

1｜仮定のケース想定
今回の改正は大きなものであり、全体像をつかむのはなかなかむずかしい。そこで、仮定のケースを想定し、そこにどのような規律が課されるのかに絞って検討したい。なお、ここでは倫理指針については原則として考慮しない。

ケースとしては、ヘルスケア企業A社が、契約した個人に対して総合的な健康支援サービスを提供したいと考えている。その際に、基本となるデータの一部とすることを目的として、民間研究機関であるB研究所に対して研究委託を行った。ところで独立行政法人であるC大学はその付属病院で特定のがんについて、所定の生活指導と療法を実施し、結果をデータ化している。B研究所は独立行政法人であるC大学と共同研究を行うことを提案した。C大学はB研究所がEUで収集した医療データを保有していることを考慮して、療法の成果を検証し、学会に発表するため共同研究に参加することとした。なお、C附属病院で療法を実施するにあたって、研究目的でそのデータを利用することの同意（インフォームドコンセント）を患者より得ている。

これを図示すると、図表11の通りである。

2｜仮定ケースにおける法律の適用関係
ここでの個人情報は(1)C附属病院（C大学）における療法実施の経過及び結果、および(2)B研究所におけるEUの医療データである。

(1)については、診療情報でもあるが、同一法人であるC大学は学術研究機関であることから、学術研究目的であれば、法律上は利用目的の特定・明示でよく、患者の同意まで要しない（新法20条2項5号）。

加えて仮定ケースでは倫理指針も踏まえながら研究目的に利用することの同意を得ているので、C大学において匿名加工されていない情報の研究目的での利用は可能である。B研究所との共同研究はどうであろうか。B研究所が「学術研究機関等」に該当し、共同研究が「学術研究が主たる目的」であるとき¹⁰には、要配慮個人情報であっても本人の同意なしに提供を受けることができる（新法27条1項6号または7号）¹¹。

しかし、仮定ケースでは、B研究所は、ヘルスケア会社から研究委託を受け、ヘルスケア会社のサービス提供の基礎となるデータ提供を主目的にしているとも考えられ、学術研究機関に関する特則は使えないものと思われる。

そうすると共同研究に使用するデータとして、要配慮個人情報に該当する生データではなく、匿名加工情報としてB研究所に提供することが考えられる。この場合、C大学が匿名加工を行ってもよいし（新法43条以下）、認定匿名加工医療情報作成事業者に委託してもよい（医療分野の研究開発に資するための匿名加工医療情報に関する法律）。なお、C大学が匿名加工を行った場合にはC大学は所定の公表等の義務を負い（新法43条）、また匿名加工情報の提供を受けたB研究所は匿名加工情報取扱業者として安全管理措置をとる義務などが課される（新法46条）。

他方、(2)のB研究所の保有するEUで収集した医療データについては、EUからの同等性評価を得られることを前提とすると、C大学が学術研究目的で利用する限りにおいては、B研究所からC大学へ提供することが今後本人同意なしに提供することが可能になる（新法27条1項7号）¹²。このため、C大学がB研究所からデータ提供を受けて研究を行うことは可能である。ただし、この研究にC大学のデータも利用するとした場合、B研究所が関与することはできない。したがって共同研究を行うという目的は達成できない。

以上から、共同研究を実施するという企画のもとでは、B研究所がC大学より匿名加工情報の提供を受けることだけが可能であり、その範囲でA社へのデータ提供が行えることになる。

なお、B研究所からA社へのデータ提供は匿名加工情報としても提供できるが、仮にA社が匿名加工情報取扱事業者としての各種義務を負わないようにしたいのであれば、B研究所からA社への情報提供は、統計加工された情報のみに限定する必要がある（新法69条2項4号を参照）。

¹⁰ 学術研究分野における個人情報保護の規律のあり方（令和3年6月）個人情報保護委員会　P5　参照　https://www.meti.go.jp/shingikai/sankoshin/shomu_ryutsu/bio/kojin_iden/life_science_tf/pdf/002_01_00.pdf。
¹¹ この場合、そもそもの本人同意を研究目的であることだけでなく、B研究所の共同研究に利用することについてとっていれば、第三者提供に該当せず共同研究に要配慮個人情報の利用が可能である（新法27条5項3号）が、当初から想定していなかった共同研究なので、このような同意はないものとする。。
¹² EUのGDPR上の問題は今回省略する。

7――おわりに

個人情報保護法制の改正のスピードは速い。2020年の通常国会で改正個人情報保護法が可決、成立し、2022年4月施行予定であるのに、2021年でも改正法が可決、成立し、新法は2022年4月施行で追いついてしまった（第二新法は2023年の政令で定める日）。さらには、すでに現時点で次の改正案に向けた議論が行われている。

2021年改正は学術研究機関・医療領域を主眼とした改正となっている。つまるところ、官民の壁を取り払い、データを活用した健康年齢の伸長、QOLの向上といった目的に資することが目的である。

法的な問題がクリアされれば、次は実務の問題である。これには二つの問題があり、何をID（マイナンバーが想定される）として情報を統合するのかという点と、そもそも整合的なデータとして統合できるのかという点である。日本は長らく情報を公が保有することに後ろ向きであり、ましてやたくさんの医療・健康情報を複数の機関で共有することには否定的であったように思う。しかし、現代におけるデータは国民生活の向上に資する資源であることを考えれば、統合あるいは標準化に向けた取り組みは一刻も早い方がよいと考える。その意味で法律は一歩前に進んだということであると言える。次は実務の番である。