第６９４号コラム：「個人情報保護法の2021年改正について」

第６９４号コラム：小向　太郎　理事（中央大学 国際情報学部 教授）
題：「個人情報保護法の2021年改正について」

この数年で、個人情報保護法の改正が頻繁に行われている。2015年、2020年、2021年に改正法が成立しており、いずれも大改正である。私もそうだが、個人情報保護について研究したり、説明をしたりする立場の者は、改正をきちんとフォローできているか心配で、落ち着かない日々を過ごしているのではないだろうか。今回のコラムでは、このなかでも直近の2021年改正について、概要を紹介し、その課題について考えてみたい。

2021年の改正では、個人情報に関するルールが個人情報保護法に集約され、行政機関、独立行政法人、地方公共団体に関する個人情報の取扱いについても、原則として改正個人情報保護法が適用され、個人情報保護委員会が所轄することになった。

わが国の個人情報保護制度では、民間事業者、行政機関、独立行政法人、地方公共団体について、それぞれ異なる法律や条例が、別々のルールを定めてきた。例えば、同じ医療機関や学術機関でも、国立、公立、民間のいずれであるかによって個人情報保護のルールが異なるため、運用上も問題が生じうることが指摘されてきた。2021年の改正によって、国公立の病院・大学等には原則として民間の病院・大学等と同等の規律を適用されることになっている。その他にも、主体によって異なっていた個人情報の定義の統一や、行政機関等での匿名加工情報の取り扱いルールを明確化も行われている。

この改正では、EUのGDPRに基づく十分性の基準への対応も意識されている。EUは、十分なレベルの保護と認めた国以外の第三国（いわゆる「十分性の基準」を満たさない第三国）への個人データの移転を、原則として許されないという立場を取っている。2019年1月23日には、欧州委員会が、日本の個人情報保護制度について、十分性を認める決定をしているが、十分性が認められているのは、個人情報保護委員会の監督が及ぶ民間部門の個人情報保護に限られている。法律の所轄を個人情報保護委員会に統一することで、十分性認定を公的部門についても広げることも、当然視野に入っているはずだ。

なお、GDPRの関連では、学術研究における個人情報が十分性認定の対象にならないという問題もあった。従来の個人情報保護法では、学術研究の目的での利用が、個人情報取扱事業者の義務に関する規定全体について適用除外とされ、個人情報保護法による規律が及ばなかったからである。学術研究の自由度を保障するための規定が、国際的な研究の妨げになりかねないという、皮肉な効果を生じていた。これについても、一律の適用除外をやめて、利用目的による制限（18条）、要配慮個人情報の取得（20条2項）、第三者提供の制限（第27条）にそれぞれ適用除外を設けることで、自由度を確保しつつ義務規定の対象とするための対応を図っている。

こうした2021年の改正は、全体としては、従来の行政機関や独立行政法人に対する規制を、個人情報保護法に統一することに主眼が置かれており、行政機関の義務等については、改正前の規定を引き継いでいるものが多い。例えば、十分性認定の際にEU側から懸念が表明された法執行機関による個人情報へのアクセスについても、ほとんど議論がされていない。これは、制度を一元化して個人情報保護委員会が所轄できるようにすることを、まず優先した結果であろう。

官民について一本化された新しい個人情報保護制度は、その第一歩を踏み出したばかりである。行政機関の取扱う個人情報のルールは現行のもので十分なのか、個人情報保護委員会が行政機関に対してどのように監督を行うのかなど、ルールの具体的な内容に関する課題は多い。今後は、個人情報保護委員会が主導して、こうした課題について議論が行われていくことが期待される。ただし、所掌業務が増大しているのに対して、委員会の体制整備が十分と言えるかには不安がある。懸案事項の検討や取組を行っていくためには、個人情報保護委員会の体制強化が不可欠であろう。

【著作権は、小向氏に属します】