1.デジタル改革関連法案の提出
2021年2月9日、デジタル社会形成基本法案(以下「基本法案」という。)及びデジタル庁設置法案とともに、デジタル社会の形成を図るための関係法律の整備に関する法律案(以下「整備法案」という。)が閣議決定され、第204回通常国会に提出された(※1)。基本法案は、デジタル社会の形成に関し、基本理念、国、地方公共団体及び事業者の責務等、施策の策定に係る基本方針、デジタル庁の設置及び重点計画の作成等について定めている。施策の策定に係る基本方針の中では、個人情報の有用性及び保護の必要性を踏まえた規制の見直しを図るために必要な措置が講じられるべき旨が定められている(基本法案第26条)。
整備法案は、成立した基本法に基づきデジタル社会の形成に関する施策を実施するため、個人情報保護制度の見直し、マイナンバーを活用した情報連携の拡大等による行政手続の効率化、マイナンバーカードの利便性の抜本的向上、マイナンバーカードの発行・運営体制の抜本的強化、押印・書面の交付等を求める手続の見直しを定めている。「デジタル改革関連法案」は、これらを含めた6本の法案の総称である。
本稿では、個人情報保護法制の見直しに焦点を当てて概説する。
※1 内閣官房「国会提出法案(第204回通常国会)」
(https://www.cas.go.jp/jp/houan/204.html)
2.個人情報保護法改正案
(1)個人情報保護法改正案の構成
個人情報保護法改正案(以下「改正法案」という。)は、個人情報の保護に関する法律(以下「個人情報保護法」という。)、行政機関の保有する個人情報の保護に関する法律(以下「行政機関個人情報保護法」という。)、独立行政法人等の保有する個人情報の保護に関する法律(以下「独立行政法人等個人情報保護法」という。)を1本の法律に統合するとともに、地方公共団体の個人情報保護制度に関する共通ルールを規定し、個人情報保護委員会に一元的に監督権限を付与することを内容とする(※2)。統合後の法律名は「個人情報の保護に関する法律」となる予定である。
改正法案の構成は図表1の通りである。
図表1 改正法案の構成(第51条改正後の条文による)
(2)改正法案の概要
改正法案の提出に先だって、2019年12月、内閣官房に「個人情報保護制度の見直しに関するタスクフォース」(議長:内閣官房副長官補(内政担当))が設置され、2020年12月、「個人情報保護制度の見直しに関する最終報告」(以下「最終報告」という。)が取りまとめられた(※3)。
個人情報保護制度見直しの全体像は図表2に示されている。
図表2 個人情報保護制度見直しの全体像
(出典)個人情報保護制度の見直しに関するタスクフォース「個人情報保護制度の見直しに関する最終報告(概要)」2頁(令和2年12月)
(https://www.cas.go.jp/jp/seisaku/kojinjyoho_hogo/pdf/r0212saisyuhoukoku_gaiyou.pdf)
個人情報保護関連法は設置主体によって適用法を異にしてきたが、その一元化は、官民共通ルールに基づくデータ流通基盤を整備し、行政のデジタル化を制度面で実現するものとなる。また、一元化された新法は、欧州連合(European Union)のいわゆる十分性認定を公的部門に拡大するための制度的基盤を整えるものでもあり、越境データ移転を円滑に行う役割を果たす。
個人情報保護法制の一元化は、国レベルの法律の一元化と、地方公共団体の各条例に関する共通ルールの策定に分けて見る必要がある。
国レベルの法律の一元化については、次のような改正事項が盛り込まれている(※4)。
・医療分野・学術分野については、独立行政法人等のうち、民間のカウンターパートとの間で個人情報を含むデータを利用した共同作業を継続的に行うもの等(本人から見て官民で個人情報の取扱いに差を設ける必要性の乏しいもの)には、原則として民間事業者と同様の規律を適用する(※5)。
・国の公的部門(行政機関、独立行政法人等)と民間部門との間で、「個人情報」の定義を統一し、新法では民間部門の法律の定義を採用する。
・民間部門で導入済みの匿名加工情報・仮名加工情報の識別行為禁止義務等の規律を公的部門にも導⼊し、「匿名加工情報」の名称も定義も官民で統一する。
・個人情報保護委員会が、民間事業者、国の行政機関、独立行政法人等、地方公共団体等に対して、一元的にに監督権限を行使する(改正法案第146条~第160条)。
・行政機関等の開示決定等への不服申立については、一元化後も、情報公開・個人情報保護審査会の機能を基本的に維持するが、個人情報保護委員会は、特に必要と認める場合には、開示決定等の当否について、行政機関等に対して勧告を行い得ることとする(改正法案第158条)。
・個人情報の取扱いに関する規律は、民間部門については個人情報保護法第4章の「個人情報取扱事業者の義務等」、国の行政機関については行政機関個人情報保護法第2章の「行政機関における個人情報の取扱い」に関する規定が新法にも盛り込まれるが、行政機関については、それらに加えて、不適正な利用の禁止(改正法案第63条)、適正な取得(同第64条)、漏えい等の報告等(同第68条)、外国にある第三者への提供の制限(同第71条)、個人関連情報の提供を受ける者に対する措置要求(同第72条)、仮名加工情報の取扱いに係る義務(同第73条)が規定されている。
地方公共団体の各条例に関する共通ルールの策定は地方公共団体に大きな影響を与える改正である(図表3)。
図表3 地方公共団体に関する個人情報保護法制の改正概要
(出典)個人情報保護制度の見直しに関するタスクフォース「個人情報保護制度の見直しに関する最終報告(概要)」9頁(令和2年12月)
(https://www.cas.go.jp/jp/seisaku/kojinjyoho_hogo/pdf/r0212saisyuhoukoku_gaiyou.pdf)
改正法案は、地方公共団体毎に個人情報保護条例が異なるという問題(いわゆる「2000個問題」)を解消し、適切なデータ流通基盤を設けることを意図している。改正法案の中では、地方公共団体の機関は「行政機関等」に含まれ(改正法案第2条11項)(※6)、国の行政機関に適用される個人情報等の取扱いに関する規定及び開示、訂正、利用停止に関する規定は、地方公共団体にも適用される。前記の通り、個人情報保護委員会による監督権限も及ぶ。
個別論点について見ると、現行の行政機関個人情報保護法には定めがなく、地方公共団体の条例に多く見られるものに、オンライン結合(通信回線を通じた電子計算機の結合)制限規定がある。これに関しては、最終報告において、「ITの活用は行政サービスの向上や行政運営の効率化に大きく寄与しており、個人情報の流通に限り物理的な結合を禁止することは合理性を欠くものであり、場合によっては、個人情報の円滑な利用を阻害して国民に不利益を被らせるおそれもある。また、行個法(筆者注:行政機関個人情報保護法)においては、オンライン結合制限規定がなくとも、第6条、第8条(※7)等により、個人情報の安全性の確保等が図られている。このため、オンライン結合制限規定を置くことは不要になると考えられ、共通ルールには当該規定は設けないこととすることが適当である。」(※8)との考えが示され、改正法案には盛り込まれていない。
改正法案は個人情報保護法制を一本化することを主眼とするため、地方公共団体が独自の保護措置を定められる範囲は限定される。最終報告は、「共通ルールよりも保護の水準を下げるような規定を条例で定めることは、法律の趣旨に反するものとして認められない」とする一方、「共通ルールよりも保護の水準を高めるような規定を条例で定めることは、必ずしも否定されるものではない」が、「共通ルールを設ける趣旨が個人情報保護とデータ流通の両立を図る点にあることを踏まえると、地方公共団体が条例で独自の保護措置を規定できるのは特にそのような措置を講ずる必要がある場合に限ることとするのが適当である」と整理している(※9)。具体例として、要配慮個人情報に「LGBTに関する事項」「生活保護の受給」「一定の地域の出身である事実」等を条例で追加することが挙げられている。これを受け、改正法案には「条例要配慮個人情報」の定めが置かれている(改正法案第60条5項)。但し、条例で定める独自の保護措置が特に必要であることを担保するため、地方公共団体は、独自の保護措置を条例で定めたときは、遅滞なく、個人情報保護委員会に届け出るとともに、届出事項をインターネット等により公表することを義務付けられている(改正法案第167条1項、2項)。
法改正に伴い、地方公共団体における個人情報の取扱いは国の行政機関の規律に沿うこととなるため、個別の個人情報の取扱いの判断に際して審議会等(※10)に諮問を行う場面は大きく減少する。現行の個人情報保護条例では、個人情報の収集事項、収集方法、目的外利用、外部提供、外部委託の各制限及び
電子計算組織への記録等について審議を行う例(※11)が見られるものの、こうした審議事項を残してしまうと、共通ルールの策定の趣旨が損なわれてしまう。そのため、審議会等の役割は、個人情報保護制度の運用についての調査審議やそのあり方についての意見を述べるものに変容していくと考えられる(※12)。改正法案では、地方公共団体がその施策を講ずる場合等において、専門的な知見に基づく意見を聴くことが特に必要な場合に、審議会等への諮問を認める規定が設けられている(改正法案第129条)。
改正法案では、保有個人情報の開示、訂正及び利用停止の手続並びに審査請求の手続に関する事項については、新法の規定に反しない限り、条例で必要な規定を定めることが認められている(改正法案第108条)。地方公共団体では、開示決定等に対する不服申立手続において、審査会等への諮問手続を設けている例が多く、こうした制度は継続が認められるものと考えられる。但し、国の情報公開・個人情報保護審査会の場合と同様、地方公共団体が行う開⽰決定等の当否についても個人情報保護委員会による勧告の対象となる(改正法案第158条)。
※2 内閣官房「個人情報保護制度の見直しに関するタスクフォース」(https://www.cas.go.jp/jp/seisaku/kojinjyoho_hogo/)。
※3 具体的な検討は、「個人情報保護制度の見直しに関する検討会」(座長:髙橋滋法政大学法学部教授)において行われた(https://www.cas.go.jp/jp/seisaku/kojinjyoho_hogo/)。
※4 最終報告、最終報告概要及び改正法案参照。
※5 本人からの開示等請求に係る規律及び非識別加工情報の提供に係る規律については、全ての独立行政法人等を行政機関に準じて扱うこととされた。
※6 「行政機関の長等」には、地方公共団体の機関、独立行政法人等及び地方独立行政法人が含まれる(改正法案第63条)。
※7 第6条は安全確保の措置、第8条は利用及び提供の制限を定める。
※8 最終報告37頁。
※9 最終報告39~40頁。
※10 地方自治法第138条の4第3項の附属機関。
※11 中野区個人情報の保護に関する条例第7条。
※12 最終報告40~41頁。
3.今後の展望
基本法案第2条は、「デジタル社会」を、インターネットその他の高度情報通信ネットワークを通じて自由かつ安全に多様な情報又は知識を世界的規模で入手し、共有し、又は発信するとともに、AI関連技術、IoT活用関連技術、クラウド・コンピューティング・サービス関連技術等の先端的な技術をはじめとする情報通信技術を用いて電磁的記録として記録された多様かつ大量の情報を適正かつ効果的に活用することにより、あらゆる分野における創造的かつ活力ある発展が可能となる社会をいうと定義しており、個人情報は、デジタル社会の中で行き交う情報の中核を担うものである。個人情報保護法制の一元化に関しては、全ての国民にIT技術の恵沢を与え、経済構造改革の推進及び産業の国際競争力を強化させ、国民が安全で安心して暮らせる社会を実現させる等、デジタル社会の目指す姿を支えるための改革となることが期待される。
改正法案は、デジタル社会を流通する個人情報の保護と利活用に関する統一ルールを形成し、国内外でシームレスなデータ流通を図るための大改正である。改正法案が法律として成立すれば、国の行政機関、地方公共団体に加えて、規律移行法人(※13)にも新たな規律が適用され、国全体の個人情報保護のあり方が大きく変わることとなる。施行期日は公布から1年以内(地方公共団体関係は公布から2年以内)を予定している。
行政のデジタル化のための改革は個人情報保護にとどまらない。地方公共団体については、改正法案の提出と同日に、地方公共団体情報システムの標準化に関する法律案が提出されている。同法案が法律として成立すれば、2021年9月1日に施行される。地方公共団体は、個人情報保護法の一元化対応に先だって、まずは地方公共団体情報システムの標準化を推進するために必要な対応を取らなければならない。行政のデジタル化の動きはますます加速しており、国の行政機関、地方公共団体ともに多分野での集中的な取組が求められる。
※13 法の一元化によって、民間の個人情報取扱事業者と原則として同様の規律を適用すべき独立行政法人等、地方公共団体の病院・大学等及び地方独立行政法人を指す。最終報告の概要(https://www.cas.go.jp/jp/seisaku/kojinjyoho_hogo/pdf/r0212saisyuhoukoku_gaiyou.pdf)11頁より。