個人データを、ビジネスを守る、IIJ

令和3年個人情報保護法改正のまとめ(官民を通じた個人情報保護制度の見直し)


2021年5月12日、「デジタル庁設置法案」「デジタル社会の形成を図るための関係法律の整備に関する法律案」等を含むデジタル改革関連法が成立した。これにより、個人情報の保護に関する法律も改正がなされる(以下「個人情報保護法令和3年改正法」という)。

個人情報保護法令和3年改正法により、個人情報保護法は以下の構成となる。

第1章 総則
第2章 国及び地方公共団体の責務等
第3章 地方公共団体の施策
第4章 個人情報取扱事業者等の義務
第5章 行政機関等の義務
第6章 個人情報保護委員会
第7章 雑則
第8章 罰則

第5章に行政機関等を対象にした義務の章が新設された。

  • 行政機関の保有する個人情報の保護に関する法律(平成15年法律第58号)(以下「行個法」という)
  • 独立行政法人等の保有する個人情報の保護に関する法律(平成15年法律第59号)(以下「独個法」という)
  • 地方公共団体の個人情報保護条例

を新設の第5章に集約する形で、個人情報保護に関する法律や条例を一元化する。また、第6章の個人情報保護委員会が、民間の個人情報取扱事業者のみならず、行政機関等も管轄する。さらに、医療分野・学術分野の規制を統一したり、学術研究に係る適用除外規定を精緻化したりする等あるが、以下、個人情報保護法令和3年改正法によって対応が必要な主体と内容について整理する。

1. 個人情報保護法が対象とする行政機関等

新設された第5章の対象である「行政機関等」とは、個人情報保護法令和3年改正法の成立から1年以内に施行される条文では ①行政機関 ②独立行政法人等 であり、個人情報保護法令和3年改正法の成立から2年以内に施行される条文では、①②に ③地方公共団体の機関 ④地方独立行政法人 が付加される。従って、①②は成立から1年以内の施行までに第5章に対応する必要があり、③④は成立から2年以内の施行までに第5章に対応する必要がある。

(1)①行政機関と②独立行政法人等

①行政機関は、内閣に置かれる機関や内閣の所轄の下に置かれる機関等をいう。現在、行個法が適用される機関である。

他方、②独立行政法人等は、式で表すと、

② = 独立行政法人 + 別表1(*1) – 別表2(*2)

となる。現在多くは独個法が適用される機関であるが、個人情報保護法令和3年改正法では、国立大学や国立病院等の別表2の団体は、「②独立行政法人等」ではなく、「個人情報取扱事業者等」となる(58条1項)。また、独立行政法人労働者健康安全機構(※7)が行う病院も個人情報取扱事業者等とみなされる(同条2項)。

※1 独立行政法人に該当する法人については、総務省の公式ウェブサイトで確認できる
https://www.soumu.go.jp/main_sosiki/hyouka/dokuritu_n/ichiran.html 

※2 別表1

  • 沖縄科学技術大学院大学学園
  • 沖縄振興開発金融公庫
  • 外国人技能実習機構
  • 株式会社国際協力銀行
  • 株式会社日本政策金融公庫
  • 株式会社日本貿易保険
  • 原子力損害賠償・廃炉等支援機構
  • 国立大学法人
  • 大学共同利用機関法人
  • 日本銀行
  • 日本司法支援センター
  • 日本私立学校振興・共済事業団
  • 日本中央競馬会
  • 日本年金機構
  • 農水産業協同組合貯金保険機構
  • 放送大学学園
  • 預金保険機構

※3 別表2

  • 沖縄科学技術大学院大学学園
  • 国立研究開発法人
  • 国立大学法人(※4)
  • 大学共同利用機関法人(※5)
  • 独立行政法人国立病院機構(※6)
  • 独立行政法人地域医療機能推進機構
  • 放送大学学園

※4 国立大学法人(86法人)
https://www.mext.go.jp/b_menu/houdou/31/06/attach/1418442.htm 

※5 大学共同利用機関法人一覧
https://www.mext.go.jp/b_menu/shingi/gijyutu/gijyutu4/008/siryo/attach/1342677.htm

※6 独立行政法人国立病院機構 病院一覧
https://nho.hosp.go.jp/about/cnt1-0_000103.html

※7 独立行政法人労働者健康安全機構
https://www.johas.go.jp/kiko/tabid/87/Default.aspx

(2)③地方公共団体の機関と④地方独立行政法人

個人情報保護法でいう③地方公共団体の機関とは、地方議会を除く地方公共団体の機関をいう。

他方、④地方独立行政法人とは、式で表すと

④ = 地方独立行政法人 - 試験研究目的/大学/病院の地方独立行政法人

となる。

(総務省の資料(※8)によると、ほとんどの地方独立行政法人が試験研究目的/大学/病院の地方独立行政法人なので、④に該当する法人はほとんどないように思われる。)

※8地方独立行政法人の設立状況(平成31年4月1日現在)
https://www.soumu.go.jp/main_content/000618377.pdf

2.行政機関等に必要な個人情報保護法上の対応

(1)「個人情報」の概念の統一

 「個人情報」の概念が個人情報保護法に規定されていた概念に統一される。具体的には、生存する個人に関する情報であって、次の各号のいずれかに該当するものをいう。

一 当該情報に含まれる氏名、生年月日その他<途中省略>により特定の個人を識別することができるもの(他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。)
二 個人識別符号が含まれるもの

「行個法」や「独個法」での「個人情報」の定義には下線部の「容易に」という修飾語がなく、単に「他の情報と照合することができ、・・・」という定義であった。したがって、行個法や独個法を基準にした「個人情報」を定義として用いている場合は変更をする必要がある。

また、定義の相違により、個人情報保護法上「個人情報」には該当せず「匿名加工情報」に該当する情報が行個法や独個法上は「個人情報」に該当する場合もあり、行個法や独個法では、匿名加工情報ではなく「非識別加工情報」としていたが、個人情報の定義の統一により名称も「匿名加工情報」となった。

(2)①行政機関と②独立行政法人等に必要な対応

現在、①行政機関には「行個法」が、②独立行政法人等には「独個法」が、それぞれ適用されている。これらの法律の規定を個人情報保護法令和3年改正法「第5章 行政機関等の義務」と比較すると、行個法や独個法の条項の多くがそのまま第5章に規定されている。したがって、行個法や独個法とは異なる個人情報保護法令和3年改正法の規定について対応が必要となり、大きく異なる条項は以下の条項である。

  • 68条 漏えい等の報告等
  • 71条 外国にある第三者への提供の制限
  • 72条 個人関連情報の提供を受ける者に対する措置要求
  • 73条 仮名加工情報の取扱に係る義務
  • 121【123】条 匿名加工情報の取扱いに係る義務(※9)

※9【】内は、令和3年改正から2年以内に施行される条文

(3)別表2の団体に必要な対応

個人情報保護法令和3年改正法では、国立大学や国立病院等の別表2の団体と独立行政法人労働者健康安全機構が行う病院は、「②独立行政法人等」ではなく、「個人情報取扱事業者等」となる(みなされる)ため、原則として「第4章 個人情報取扱事業者等の義務」が適用される。もっとも、全て適用される訳ではなく、以下の条項のみが適用される(58条)。

  • 17条 利用目的の特定
  • 18条 利用目的による制限
  • 19条 不適正な利用の禁止
  • 20条 適正な取得
  • 21条 取得に際しての利用目的の通知等
  • 22条 データ内容の正確性の確保等
  • 23条 安全管理措置
  • 24条 従業者の監督
  • 25条 委託先の監督
  • 26条 漏えい等の報告等
  • 27条 第三者提供の制限
  • 28条 外国にある第三者への提供の制限
  • 29条 第三者提供に係る記録の作成等
  • 30条 第三者提供を受ける際の確認等
  • 31条 個人関連情報の第三者提供の制限等
  • 40条 苦情の処理
  • 第3節(41条~42条) 仮名加工情報取扱事業者等の義務

これを行個法や独個法と比較すると、大きな相違点があり、対応が必要となるのは以下の条項である。

  • 26条 漏えい等の報告等
  • 27条 第三者提供の制限
  • 28条 外国にある第三者への提供の制限
  • 29条 第三者提供に係る記録の作成等
  • 30条 第三者提供を受ける際の確認等
  • 31条 個人関連情報の第三者提供の制限等
  • 第3節(41条~42条) 仮名加工情報取扱事業者等の義務

そして、以下の第5章に規定された個人情報ファイル簿、個人情報に関する本人の請求への対応、匿名加工情報に関する条項等については、別表2の団体にも適用される。

  • 60条 定義
  • 66条 安全管理措置
  • 75条 個人情報ファイル簿の作成及び公表
  • 第4節(76条~106条【76条~107条】) 開示、訂正及び利用停止
  • 第5節(107条~121条【109条~123条】) 行政機関等匿名加工情報の提供等
  • 122条2項 適用除外等
  • 125条 開示請求等をしようとする者に対する情報の提供等

これを行個法や独個法と比較すると、大きく異なり対応が必要となるのは

  • 121【123】条 匿名加工情報の取扱いに係る義務

となる。

(4)③地方公共団体の機関と④地方独立行政法人に必要な対応

現在、③地方公共団体の機関や④地方独立行政法人地方公共団体に適用されている個人情報保護条例はそれぞれ異なるため、ここでは比較しないが、個人情報保護法令和3年改正法と異なる点については、2年以内の施行までに対応が必要となる。

 また、③地方公共団体の機関や④地方独立行政法人地方公共団体は、条例で、保有する個人情報のうち、地域の特性その他の事情に応じて「条例要配慮個人情報」を定めたり(60条5項)、保有個人情報の開示、訂正及び利用停止の手続並びに審査請求の手続きに関する事項を定めたりすることができる(【108条】)。

(5)試験研究目的/大学/病院の地方独立行政法人に必要な対応

試験研究目的/大学/病院の地方独立行政法人も、別表2の団体と同様、個人情報保護法令和3年改正法では「個人情報取扱者」に該当するので、原則として、「第4章 個人情報取扱事業者等の義務」が適用される。もっとも、(3)と同様、全て適用される訳ではなく、第5章の規定の一部も適用される(58条1項)。

現在適用されている個人情報保護条例は各々異なるため、ここでも令和3年改正法と比較しないが、令和3年改正法と異なる点については、2年以内の施行までに対応が必要となる。

(6)対照表

  • ※10 別表2・独立行政法人労働者健康安全機構・試験研究目的/大学/病院の地方独立行政法人にも適用される条文
  • 【】内は、令和3年改正から2年以内に施行される条文
  • ()は、令和3年改正法と完全に同じではない条文
  • 第6節雑則(122条~126条【124条~129条】)は省略
行個法 独個法 第5章 内容 ※10
2-5 2-5 60-1 「保有個人情報」の定義
2-6 2-6 60-2 「個人情報ファイル」の定義
2-9 2-9 60-3 「行政機関等匿名加工情報」の定義 (行個法では「行政機関非識別加工情報」)
2-10 2-10 60-4 「行政機関等匿名加工情報ファイル」の定義 (行個法では「行政機関非識別加工情報ファイル」)
3 3 61 個人情報の保有の制限等  
4 62 利用目的の明示  
    63 不適正な利用の禁止  
  5 64 適正な取得  
5 6 65 正確性の確保  
(6) (7) 66 安全管理措置
7 8 67 従事者の義務  
    68 漏えい等の報告等  
8 9 69 利用及び提供の制限  
9 10 70 保有個人情報の提供を受ける者に対する措置要求  
    71 外国にある第三者への提供の制限  
    72 個人関連情報の提供を受ける者に対する措置要求  
    73 仮名加工情報の取扱に係る義務  
(10)   74 個人情報ファイルの保有等に関する事前通知(行政機関のみ。独立行政法人等は対象外)  
11 (11) 75 個人情報ファイル簿の作成及び公表
12 12 76 開示請求権
13 13 77 開示請求の手続
(14) (14) 78 保有個人情報の開示義務
15 15 79 部分開示
16 16 80 裁量的開示
17 17 81 保有個人情報の存否に関する情報
18 18 82 開示請求に対する措置
19 19 83 開示決定等の期限
20 20 84 開示決定等の期限の特例
21 21 85 事案の移送
23 23 86 第三者に対する意見書提出の機会の付与等
24 24 87 開示の実施
25 25 88 他の法令による開示の実施との調整
26 26 89 手数料
27 27 90 訂正請求権
28 28 91 訂正請求の手続き
29 29 92 保有個人情報の訂正義務
30 30 93 訂正請求に対する措置
31 31 94 訂正決定等の期限
32 32 95 訂正決定等の期限の特例
33 33 96 事案の移送
35 35 97 保有個人情報の提供先への通知
36 36 98 利用停止請求権
37 37 99 利用停止請求の手続
38 38 100 保有個人情報の利用停止義務
39 39 101 利用停止請求に対する措置
40 40 102 利用停止決定等の期限
41 41 103 利用停止決定等の期限の特例
42 42 104 審理員による審理手続きに関する規定の適用除外等
43 43 105 審査会への諮問
    【106】 地方公共団体の機関等における審理員による審理手続きに関する規定の適用除外等
44 44 106【107】 第三者からの審査請求を棄却する場合等における手続等
    【108】 条例との関係
(44の2) (44の2) 107【109】 行政機関等匿名加工情報の作成及び提供等
(44の3) (44の3) 108【110】 提案の募集に関する事項の個人情報ファイル簿への記載
44の4 44の4 109【111】 提案の募集
44の5 44の5 110【112】 行政機関等匿名加工情報をその用に供して行う事業に関する提案
(44の6) (44の6) 111【113】 欠格事由
44の7 44の7 112【114】 提案の審査等
44の9 44の9 113【115】 行政機関等匿名加工情報の利用に関する契約の締結
44の10 44の10 114【116】 行政機関等匿名加工情報の作成等
44の11 44の11 115【117】 行政機関等匿名加工情報に関する事項の個人情報ファイル簿への記載
44の12 44の12 116【118】 作成された行政機関等匿名加工情報をその用に供して行う事業に関する提案等
44の13 44の13 117【119】 手数料
44の14 44の14 118【120】 行政機関等匿名加工情報の利用に関する契約の解除
    119【121】 識別行為の禁止等
44の16 44の16 120【122】 従業者の義務
    121【123】 匿名加工情報の取扱に係る義務

3.個人情報保護法が対象とする学術研究機関等

個人情報保護法が対象とする「学術研究機関等」とは「大学その他の学術研究を目的とする機関若しくは団体又はそれらに属する者」(16条8項)をいい、別表2の国立大学等のみならず、私立大学等の現行法により「個人情報取扱事業者」に該当するものも含む。

現在の個人情報保護法76条1項3号では、「大学その他の学術研究を目的とする機関若しくは団体又はそれらに属する者」が「学術研究の用に供する目的」で個人情報等を取扱う場合には「第4章 個人情報取扱事業者の義務等」は適用されない、と学術研究目的の個人情報の取扱いは一律に適用除外となっている。

これに対して、個人情報保護法令和3年改正法57条1項では、個情報76条1項と同様に適用除外が列挙されているが、学術研究の用に供する目的の号が削除され、学術研究目的の個人情報の取扱いは一律の適用除外の対象から外れた。そして、利用目的の制限の例外に学術研究機関等が学術研究目的で取扱う必要がある場合等が設けられ(18条3項5号、6号)、要配慮個人情報の取得の例外として学術研究機関等が一定の場合に要配慮個人情報を取得でき(20条2項5号、6号)、第三者提供の制限の例外として学術研究機関等が一定の場合に個人データを第三者提供できる(27条1項5号、6号、7号)、として学術研究に関しては義務ごとの例外規定となった。

 学術研究機関等は、学術研究目的であっても、以下の条項等には対応が必要となる。

  • 17条 利用目的の特定
  • 19条 不適正な利用の禁止
  • 21条 取得に際しての利用目的の通知等
  • 22条 データ内容の正確性の確保等
  • 23条 安全管理措置
  • 24条 従業者の監督
  • 25条 委託先の監督
  • 26条 漏えい等の報告等
  • 28条 外国にある第三者への提供の制限
  • 29条 第三者提供に係る記録の作成等
  • 30条 第三者提供を受ける際の確認等
  • 31条 個人関連情報の第三者提供の制限等
  • 40条 苦情の処理
  • 第3節(41条~42条) 仮名加工情報取扱事業者等の義務

4.最後に

 今後、個人情報保護法令和3年改正法に伴う政令、規則、ガイドラインも今後公表されていくと思われる。

おススメ

おススメコンテンツ

関連情報

コンテンツ

改正個人情報保護法関連ニュース

【ニュース】日本 デジタル改革関連法の成立による個人情報保護法改正

【ニュース】日本 令和2年改正ガイドライン案が公表される(通則編)

【ニュース】日本 令和2年改正ガイドライン案が公表される(仮名加工情報・匿名加工情報編、第三者提供時の確認・記録義務編、認定個人情報保護団体編)

【セミナー】第8回オンラインセミナー「改正個情法とデジタルマーケティング」

【セミナー】透明・公正〜データ利活用の内外規制環境変化と法遵守のポイント(主催:トレジャーデータ株式会社)

BizRis有料会員のメリット

有料会員様向けのアドバイザリーサービス

GDPRや中国CS法、カリフォルニア消費者プライバシー法に関するコンサルティングを行っている専門家が、プライバシー保護規制のちょっとした疑問からドキュメントの作成支援に至るまで、BizRis有料会員様の実務上の様々なご相談にお答えしま

関連記事