個人データを、ビジネスを守る、IIJ

令和3年個人情報保護法改正のまとめ(2)


3.行政機関等に必要な対応

(1)「個人情報」の概念の統一

 「個人情報」の概念が個人情報保護法に規定されていた概念に統一される。具体的には、生存する個人に関する情報であって、次の各号のいずれかに該当するものをいう。

一 当該情報に含まれる氏名、生年月日その他<途中省略>により特定の個人を識別することができるもの(他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。)
二 個人識別符号が含まれるもの

「行個法」や「独個法」での「個人情報」の定義には下線部の「容易に」という修飾語がなく、単に「他の情報と照合することができ、・・・」という定義であった。したがって、行個法や独個法を基準にした「個人情報」を定義として用いている場合は変更をする必要がある。

また、定義の相違により、個人情報保護法上「個人情報」には該当せず「匿名加工情報」に該当する情報が行個法や独個法上は「個人情報」に該当する場合もあり、行個法や独個法では、匿名加工情報ではなく「非識別加工情報」としていたが、個人情報の定義の統一により名称も「匿名加工情報」となった。

(2)①行政機関と②独立行政法人等に必要な対応

現在、①行政機関には「行個法」が、②独立行政法人等には「独個法」が、それぞれ適用されている。これらの法律の規定を令和3年改正法「第5章 行政機関等の義務」と比較すると、行個法や独個法の条項の多くがそのまま第5章に規定されている。したがって、行個法や独個法とは異なる令和3年改正法の規定について対応が必要となり、大きく異なる条項は以下の条項である。

  • 68条 漏えい等の報告等
  • 71条 外国にある第三者への提供の制限
  • 72条 個人関連情報の提供を受ける者に対する措置要求
  • 73条 仮名加工情報の取扱に係る義務
  • 121【123】条 匿名加工情報の取扱いに係る義務(※9)

※9【】内は、令和3年改正から2年以内に施行される条文

(3)別表2の団体に必要な対応

令和3年改正法では、国立大学や国立病院等の別表2の団体と独立行政法人労働者健康安全機構が行う病院は、「②独立行政法人等」ではなく、「個人情報取扱事業者等」となる(みなされる)ため、原則として「第4章 個人情報取扱事業者等の義務」が適用される。もっとも、全て適用される訳ではなく、以下の条項のみが適用される(58条)。

  • 17条 利用目的の特定
  • 18条 利用目的による制限
  • 19条 不適正な利用の禁止
  • 20条 適正な取得
  • 21条 取得に際しての利用目的の通知等
  • 22条 データ内容の正確性の確保等
  • 23条 安全管理措置
  • 24条 従業者の監督
  • 25条 委託先の監督
  • 26条 漏えい等の報告等
  • 27条 第三者提供の制限
  • 28条 外国にある第三者への提供の制限
  • 29条 第三者提供に係る記録の作成等
  • 30条 第三者提供を受ける際の確認等
  • 31条 個人関連情報の第三者提供の制限等
  • 40条 苦情の処理
  • 第3節(41条~42条) 仮名加工情報取扱事業者等の義務

これを行個法や独個法と比較すると、大きな相違点があり、対応が必要となるのは以下の条項である。

  • 26条 漏えい等の報告等
  • 27条 第三者提供の制限
  • 28条 外国にある第三者への提供の制限
  • 29条 第三者提供に係る記録の作成等
  • 30条 第三者提供を受ける際の確認等
  • 31条 個人関連情報の第三者提供の制限等
  • 第3節(41条~42条) 仮名加工情報取扱事業者等の義務

そして、以下の第5章に規定された個人情報ファイル簿、個人情報に関する本人の請求への対応、匿名加工情報に関する条項等については、別表2の団体にも適用される。

  • 60条 定義
  • 66条 安全管理措置
  • 75条 個人情報ファイル簿の作成及び公表
  • 第4節(76条~106条【76条~107条】) 開示、訂正及び利用停止
  • 第5節(107条~121条【109条~123条】) 行政機関等匿名加工情報の提供等
  • 122条2項 適用除外等
  • 125条 開示請求等をしようとする者に対する情報の提供等

これを行個法や独個法と比較すると、大きく異なり対応が必要となるのは

  • 121【123】条 匿名加工情報の取扱いに係る義務

となる。

(4)③地方公共団体の機関と④地方独立行政法人に必要な対応

現在、③地方公共団体の機関や④地方独立行政法人地方公共団体に適用されている個人情報保護条例はそれぞれ異なるため、ここでは比較しないが、令和3年改正法と異なる点については、2年以内の施行までに対応が必要となる。

 また、③地方公共団体の機関や④地方独立行政法人地方公共団体は、条例で、保有する個人情報のうち、地域の特性その他の事情に応じて「条例要配慮個人情報」を定めたり(60条5項)、保有個人情報の開示、訂正及び利用停止の手続並びに審査請求の手続きに関する事項を定めたりすることができる(【108条】)。

(5)試験研究目的/大学/病院の地方独立行政法人に必要な対応

試験研究目的/大学/病院の地方独立行政法人も、別表2の団体と同様、令和3年改正法では「個人情報取扱者」に該当するので、原則として、「第4章 個人情報取扱事業者等の義務」が適用される。もっとも、(3)と同様、全て適用される訳ではなく、第5章の規定の一部も適用される(58条1項)。

現在適用されている個人情報保護条例は各々異なるため、ここでも令和3年改正法と比較しないが、令和3年改正法と異なる点については、2年以内の施行までに対応が必要となる。

(6)対照表

  • ※10 別表2・独立行政法人労働者健康安全機構・試験研究目的/大学/病院の地方独立行政法人にも適用される条文
  • 【】内は、令和3年改正から2年以内に施行される条文
  • ()は、令和3年改正法と完全に同じではない条文
  • 第6節雑則(122条~126条【124条~129条】)は省略
行個法 独個法 第5章 内容 ※10
2-5 2-5 60-1 「保有個人情報」の定義
2-6 2-6 60-2 「個人情報ファイル」の定義
2-9 2-9 60-3 「行政機関等匿名加工情報」の定義 (行個法では「行政機関非識別加工情報」)
2-10 2-10 60-4 「行政機関等匿名加工情報ファイル」の定義 (行個法では「行政機関非識別加工情報ファイル」)
3 3 61 個人情報の保有の制限等  
4 62 利用目的の明示  
    63 不適正な利用の禁止  
  5 64 適正な取得  
5 6 65 正確性の確保  
(6) (7) 66 安全管理措置
7 8 67 従事者の義務  
    68 漏えい等の報告等  
8 9 69 利用及び提供の制限  
9 10 70 保有個人情報の提供を受ける者に対する措置要求  
    71 外国にある第三者への提供の制限  
    72 個人関連情報の提供を受ける者に対する措置要求  
    73 仮名加工情報の取扱に係る義務  
(10)   74 個人情報ファイルの保有等に関する事前通知(行政機関のみ。独立行政法人等は対象外)  
11 (11) 75 個人情報ファイル簿の作成及び公表
12 12 76 開示請求権
13 13 77 開示請求の手続
(14) (14) 78 保有個人情報の開示義務
15 15 79 部分開示
16 16 80 裁量的開示
17 17 81 保有個人情報の存否に関する情報
18 18 82 開示請求に対する措置
19 19 83 開示決定等の期限
20 20 84 開示決定等の期限の特例
21 21 85 事案の移送
23 23 86 第三者に対する意見書提出の機会の付与等
24 24 87 開示の実施
25 25 88 他の法令による開示の実施との調整
26 26 89 手数料
27 27 90 訂正請求権
28 28 91 訂正請求の手続き
29 29 92 保有個人情報の訂正義務
30 30 93 訂正請求に対する措置
31 31 94 訂正決定等の期限
32 32 95 訂正決定等の期限の特例
33 33 96 事案の移送
35 35 97 保有個人情報の提供先への通知
36 36 98 利用停止請求権
37 37 99 利用停止請求の手続
38 38 100 保有個人情報の利用停止義務
39 39 101 利用停止請求に対する措置
40 40 102 利用停止決定等の期限
41 41 103 利用停止決定等の期限の特例
42 42 104 審理員による審理手続きに関する規定の適用除外等
43 43 105 審査会への諮問
    【106】 地方公共団体の機関等における審理員による審理手続きに関する規定の適用除外等
44 44 106【107】 第三者からの審査請求を棄却する場合等における手続等
    【108】 条例との関係
(44の2) (44の2) 107【109】 行政機関等匿名加工情報の作成及び提供等
(44の3) (44の3) 108【110】 提案の募集に関する事項の個人情報ファイル簿への記載
44の4 44の4 109【111】 提案の募集
44の5 44の5 110【112】 行政機関等匿名加工情報をその用に供して行う事業に関する提案
(44の6) (44の6) 111【113】 欠格事由
44の7 44の7 112【114】 提案の審査等
44の9 44の9 113【115】 行政機関等匿名加工情報の利用に関する契約の締結
44の10 44の10 114【116】 行政機関等匿名加工情報の作成等
44の11 44の11 115【117】 行政機関等匿名加工情報に関する事項の個人情報ファイル簿への記載
44の12 44の12 116【118】 作成された行政機関等匿名加工情報をその用に供して行う事業に関する提案等
44の13 44の13 117【119】 手数料
44の14 44の14 118【120】 行政機関等匿名加工情報の利用に関する契約の解除
    119【121】 識別行為の禁止等
44の16 44の16 120【122】 従業者の義務
    121【123】 匿名加工情報の取扱に係る義務

(ここから先は「令和3年個人情報保護法改正のまとめ(3)」に続きます)

おススメ

おススメコンテンツ

関連情報

コンテンツ

改正個人情報保護法関連ニュース

【ニュース】日本 デジタル改革関連法の成立による個人情報保護法改正

【ニュース】日本 令和2年改正ガイドライン案が公表される(通則編)

【ニュース】日本 令和2年改正ガイドライン案が公表される(仮名加工情報・匿名加工情報編、第三者提供時の確認・記録義務編、認定個人情報保護団体編)

【セミナー】第8回オンラインセミナー「改正個情法とデジタルマーケティング」

【セミナー】透明・公正〜データ利活用の内外規制環境変化と法遵守のポイント(主催:トレジャーデータ株式会社)

BizRis有料会員のメリット

有料会員様向けのアドバイザリーサービス

GDPRや中国CS法、カリフォルニア消費者プライバシー法に関するコンサルティングを行っている専門家が、プライバシー保護規制のちょっとした疑問からドキュメントの作成支援に至るまで、BizRis有料会員様の実務上の様々なご相談にお答えします。

関連記事