Sep. 2021No.92

個人情報からプライバシーへ改正個人情報保護法とプライバシーガバナンス

Article

改正個人情報保護法においてアカデミアに求められること

信頼のもとで学術研究を進めるために

2015年の個人情報保護法の改正において、内閣官房「パーソナルデータに関する検討会」内に設置された技術検討ワーキンググループの主査を務めて以来、改正に関する主要作業部会のほぼすべてに関わってきた佐藤一郎教授。とくにアカデミアに大きな影響を与える2021年改正法を中心に、個人情報を学術研究に利用する際に留意すべきポイントについて聞いた。

佐藤 一郎

SATOH Ichiro

国立情報学研究所 情報社会相関研究系 教授
総合研究大学院大学 複合科学研究科 教授

Q1 個人情報保護法の改正のポイントは?

A 現行法は2015年に成立した改正法ですが、2020年と2021年に改正法が成立しており、2020年改正と2021年改正の一部が2022年4月に施行されます。2015年改正法では生体情報や一部の識別子を対象にした個人識別符号1や同意なしの第三者提供のためのデータ類型である匿名加工情報2、海外への越境データへの規制などが導入されました。以前は業種ごとに所管する省が決まっていましたが、民間事業者は個人情報保護委員会が一元的に所管することになるなど大きな変更がありました。
 2020年の改正法は、2015年改正法のマイナー変更という位置づけとなり、主に細かい部分を厳格化しています。一方で仮名加工情報3という、一定の加工をしたデータに関して、第三者提供をしない限りは制限を緩めるなど、新設された制度もあります。
 学術機関に関わる変更としては、開示、利用停止等の請求権は不正取得等の一部の法違反だけでなく、個人の権利または正当な利益が害されるおそれがある場合にも拡大され、6カ月以内に消去する短期保存データも開示、利用停止等の対象となりました。この他、個人関連情報というデータ類型を導入することで、第三者提供において提供元では個人情報でないデータも、提供先において提供先が保持する個人情報と突き合わされる場合は個人情報の第三者提供と同様に扱うことが明確化されました。

Q2 2021年の個人情報保護法の改正とは

A 学術分野には影響が大きい改正です。個人情報保護法は2021年の改正法以前までは民間部門、行政機関(中央省庁)、独立行政法人(独法人)ごとに違う法律となっていましたが、1本の法律に統合するとともに、地方公共団体の個人情報保護制度についても統合後の法律において全国的な共通ルールを規定し、全体の所管を個人情報保護委員会に一元化します。また、個人情報の定義も民間部門の定義に統一されます。
 さて、学術分野への影響ですが、医療分野・学術分野の規制を統一するため、国公立病院、国公立大学、大学共同利用機関法人、研究開発法人等には、原則として私立大学や民間病院等と同等の規律が適用されることになります。例えば国立大学法人の場合、独立行政法人個人情報保護法が適用されていましたが、今後は民間部門向けの個人情報保護法が適用されることとなります。さらに、個人情報の学術研究については、現行法において義務などが一律に適用除外とされていましたが、それが廃止される一方で、義務ごとの例外規定等を設けることで精緻化する内容となっています。

Q3 2021年改正法における法条例一元化の影響は?

A これまで民間事業者、行政機関、独法人、地方公共団体の法制度が相違していた結果、私立大学、国立大学、公立大学では個人情報の定義そのものが違うなど、組織間のデータの利用において問題となることがありました。これが一元化されることにより、例えば国立大学から私立大学へのデータ提供やその逆の場合にも、法制度の相違による障壁はほぼ解消されるはずです。ただし、国公立大学法人、大学共同利用機関法人、研究開発法人などはそれぞれの個人情報保護規定を当該法改正の施行時期となる2022年4月までに変更する必要があります。

Q4 2021年改正法における個人情報の学術研究利用の変更点は?

A 私立大学か、国公立大学かなどによって変更内容が相違します。現行法(2015年改正法)は私立大学を含む民間部門の学術研究機関等が学術研究目的で個人情報を取り扱う場合を一律に適用除外としていましたが、2021年法改正により、民間部門の学術研究機関にも、安全管理措置(改正法第23条)や本人からの開示等請求への対応が求められます。学術研究を行う独法人等や地方公共団体の機関、地方独立行政法人(公立大学を含む)は、民間部門の学術研究機関等と同様の規律が適用されることになりますが、開示等や匿名加工情報の提供等については、引き続き公的部門の規律が適用されます。民間部門、国公立を問わず、学術研究機関等には、前提として個人情報を利用した研究の適正な実施のための自主規範の策定・公表が求められます。
 なお、学術研究目的で個人情報を取り扱う場合には、利用目的による制限、要配慮個人情報4の取得制限、個人データの第三者提供の制限などの義務はありませんが、「個人の権利利益を不当に侵害するおそれがある場合を除き」という条件が課せられることになります。2021年改正に関わる内閣官房ほかの部会で、私が構成員として参加した際、学術利用において、学問の自由は尊重されるべきだが、学問のためには何をしてもいいわけではないと考え、「個人の権利利益を不当に侵害する場合を除くべき」などの条件を入れるべきだという旨の発言をしました。それに相当する条件が改正法の条文に入ったことになります。その背景には、①学術研究分野を含めたGDPR(EUの一般データ保護規制)の十分性認定への対応をめざすために一定の制限が必要だったこと、②学術研究を理由に個人の権利利益に無頓着となることがあったこと、③パーソナルデータの利用技術が高度化していることなどがあげられます。

Q5 自主規範はどのようなものになるのか

A 2021年改正法では、学術研究機関等に対して、学術研究目的で行う個人情報の取り扱いについて、同法の規定を遵守するとともに、その適正を確保するために必要な措置を自ら講じること、つまり自主規範の制定と、その公表を求めています。これは学術研究機関等に対する新たな義務に見えますが、むしろ大学の自治をはじめ、学術研究機関等の自律性を鑑みて、学術研究機関等の自律的な判断を尊重するための制度となります。学術研究機関等が自主規範に則って個人情報を扱う限りはそれが尊重されることとなり、個人情報保護委員会は個人の権利利益を不当に侵害するおそれがある場合にのみ監督権限を行使することになります。
 したがって学術研究機関等には、適切な自主規範をつくり、それを遵守することが求められます。例えば、学術研究機関等が個人情報を学術目的に利用する場合、特定された利用目的の範囲外の利用が認められるとしても、自主規範においてその範囲外に対する一定の制限や、個人の権利利益を不当に侵害しないようにする配慮が必要になるでしょう。
 ここで注意すべきなのは、個人の権利利益を不当に侵害するおそれがある場合に関する解釈です。民事法の損害賠償請求の対象という狭い範囲での解釈もあり得ますが、憲法の人権に関わるものを含める解釈もあり得ます。自主規範をつくる側がその条件を理解して、それぞれの自主規範を策定する必要があります。

Q6 自主規範さえつくればいいのか

A これまで学術研究機関等は、研究倫理指針等として個人情報保護やプライバシーに関わる規範を策定してきました。しかし、規範は策定すればいいというわけではなく、遵守されなければいけません。ここで注意すべきことは、個人情報やプライバシー情報は複雑であり、個々の研究者がその研究で個人の権利利益を侵害しないか否かを判断することは困難な点です。またプライバシーについては、プライバシーとされる情報の範囲は広く、当該情報の利用をすべて回避していると学術研究はできなくなりますから、プライバシーに相当する情報は利用しつつも、その利用方法を制限することで、プライバシー侵害を低減することなどが求められます。
 自主規範は研究を阻害することがありますが、研究機関は研究することが目的であり、規範よりも研究を優先してしまいがちです。このため、自主規範だけでは十分とはいえず、学術研究機関等が個々の活動が規範を守っているかどうかを監視・監督するため、組織ガバナンスを含めた仕組みもセットで整備しなければ立ち行かない時代になってきています。ただ、自主規範を遵守するためのガバナンスまで構築している学術研究機関等は少ないのが現状です。

Q7 個人情報の学術利用に関して留意すべきことは?

A 個人情報の学術利用において一部の義務が緩和されているのは、国民が学術研究機関を信頼し、データ利用が社会の役に立つことを期待してくれているという背景があります。その信頼や期待を少しでも裏切れば、その緩和もなくなってしまうかもしれません。学術研究者一人ひとりがその背景を理解して、適切なデータ利用を行うべきなのです。
 なお、改正法による個人情報の学術利用については、『ビッグデータが拓く医療AI』(新刊本・本誌19頁参照)で詳しく解説しています。

【用語解説】

[1]個人識別符号:指紋や掌紋、DNA、顔、指静脈、歩容、声紋など、特定の個人の身体の一部の特徴をデジタル変換した符号と、マイナンバーやパスポート、医療保険、年金、運転免許証など、本人確認のために用いられる識別子のうち、政令で定められたもの。

[2]匿名加工情報:法令に基づく加工基準により、特定の個人を識別することができる記述や個人識別符号などを削除することで、誰に関する情報なのかわからないように加工した情報のこと。利用目的の特定や本人の同意を得ることなく、自由に利活用することができる。

[3]仮名加工情報:法令に基づく加工基準により、他の情報と照合しない限り特定の個人を識別することができないように個人情報を加工して得られる個人に関する情報。あくまでも組織内部でデータを分析することを条件にしていて、第三者提供はできない。

[4]要配慮個人情報:個人に対する不当な差別または偏見、その他の不利益が生じないようにその取り扱いに特に配慮を要する記述のこと。人種や信条、社会的身分、犯罪の経歴、犯罪被害を受けた事実、病歴などが含まれる。

佐藤 一郎 個人情報保護法との関わり

 佐藤一郎教授は、システムソフトウエアが専門だが、2015年の個人情報保護法の改正の際に内閣官房の作業部会の構成員および主査として改正作業に関わった。その後も行政機関や独立行政法人の個人情報保護法改正などの主要な作業部会や、2021年改正に関与。「主要な作業部会のほぼすべてに関わったのは、法学者を含めて当方だけです。貴重な体験をさせていただいたと認識するとともに、責任の重さを感じています」と語る。なお、佐藤教授が法改正にどのように関わったかは、若江雅子(読売新聞編集委員)著『膨張GAFAとの闘い─デジタル敗戦 霞が関は何をしたのか』(中央公論新社)にその一部が紹介されている。

関連リンク
第92号の記事一覧