1 はじめに

　学術研究分野における個人情報保護は、それ自体学術研究機関が頭を悩ます問題であり、特に、個人情報の保護に関する法律（平成15年法律第57号、以下、「個人情報保護法」という）の2020年改正^［1］および2021年改正^［2］が直撃する公的分野の研究機関は、その対応準備に追われている時期であろう。さらに、学術研究機関は国際的な活動も多く、COVID-19（新型コロナウイルス感染症）の流行下において、物理的な移動は減少しているものの、オンラインでの活動は活発であり、むしろ、より外国とのデータのやり取りが増えたということもあり得よう。
　本稿では、学術研究分野における個人情報保護の課題のうち、特に海外のデータ保護法との関係で気を付けるべき点をごくかいつまんで解説する^［3］。

2 外国のデータ保護法について気を付けるべき場面

1  総論

　学術研究分野に限らず、外国のデータ保護法について気を付けるべき場面は、大きく分けて2つである。1つは、当該外国のデータ保護法が、当該外国に所在していない（日本に所在している場合を含む）学術研究機関に適用される場面（域外適用）である。もう1つは、当該外国から、当該外国以外の国または地域（日本を含む）に所在する学術研究機関にデータを移転する場合である（越境データ移転）。なお、外国のデータ保護法は無数にあり、どれを意識すべきかについてもお困りであろう。
　基本的には、やり取りがある国のデータ保護法に気を付けるべき点は当然であるが、1つあげるのであれば、欧州の一般データ保護規則（GDPR）^［4］であろう。GDPRは多額の制裁金で知られており、学術研究機関への適用例もあるほか^［5］、これを範とした外国法も多い（スイス法、タイ法など）。米国のデータ保護法も気になるところであると思うが、米国は連邦レベルでは包括的なデータ保護法を有さない^［6］。州レベルでは、カリフォルニア州消費者プライバシー法（CCPA）^［7］などが著名であり、CCPAと類似する他の州法も立法が相次ぐが、国際的な適用はあまり聞かれない。以下では、GDPRを例として、域外適用と越境データ移転について留意点を述べよう。

2−1  域外適用

　GDPR3条2項（a）および（b）は、EU域内に拠点のない管理者または処理者にGDPRが適用される場面として、EU域内のデータ主体（個人デー タの本人）に対する物品またはサービスの提供（（a）、有償無償を問わない）と、データ主体の行動がEU域内で行われる場合の行動の監視（（b））を挙げる。いずれも、EU域内のデータ主体を標的にしているかどうかが問題となり、「標的基準」と称される。
　例えば、学術研究機関が、ドイツ国内の学生に対し、ドイツ語で、留学説明会をオンラインで開催する場合は、（a）に該当し、当該説明会のために収集した学生の個人データについては、GDPRに従って取り扱う必要がある。（a）の適用の有無はサービスの提供のみでなくそのような意図があるかどうかで判断されるため、全世界的に英語で開催されるような場合には適用はないが、EUの特定の国を「標的」にすると適用が生じるということになる。また、日本からアプリを配布し、EUの被験者の位置情報や健康情報を継続的に取得する実験をする場合は、行動の監視（（b））に該当する。
　GDPRが域外適用されると、当該個人データに関しては、日本でも著名な消去権（忘れられる権利）やデータポータビリティの権利といった特有の権利行使を含む、GDPR上のすべての義務に対応しなければならないほか、EU域内への代理人設置義務なども生じる。

2−2  例外規定はあるか

　GDPRが適用されるとしても、学術研究に関する何らかの例外規定はないか、というのは気になるところであろう。日本の個人情報保護法でも、学術研究機関が学術研究目的で個人情報を取り扱う場合には、義務規定は適用されず、学問の自由に配慮されている（2021年改正ではより規定が精緻化される）。GDPRでは、学術研究に関する例外規定として、2つの条文が用意されている。
　1つは85条（取扱いと表現の自由及び情報伝達の自由）であり、1項で「加盟国は、法律によって、本規則による個人データ保護の権利と、報道目的のための取扱い、及び、学術上、芸術上又は文学上の表現の目的のための取扱いを含め、表現の自由及び情報伝達の自由の権利との調和を保つ。」とし、具体的には、第2項で、「報道の目的、又は、学術上の表現、芸術上の表現又は文学上の表現の目的のために行われる取扱いに関し、加盟国は、個人データの保護の権利と表現の自由及び情報伝達の自由との調和を保つ必要がある場合、第2章（基本原則）、第3章（データ主体の権利）、第4章（管理者及び処理者）、第5章（第三国及び国際機関への個人データの移転）、第6章（独立監督機関）、第7章（協力と一貫性）及び第9章（特別のデータ取扱いの状況）の例外又は特例を定める。」とする。ここでは、加盟国は、学術上の表現の自由とGDPRとの調整のため、例外規定または特例規定を定め「なければならない」。
　もう1つは89条（公共の利益における保管の目的、科学調査若しくは歴史調査の目的又は統計の目的のための取扱いと関連する保護措置及び特例）であり、1項で「公共の利益における保管の目的、科学調査若しくは歴史調査の目的又は統計の目的のための取扱いは、本規則に従い、データ主体の権利及び自由のための適切な保護措置に服する。それらの保護措置は、とりわけ、データの最小化の原則に対する尊重を確保するため、技術的及び組織的な措置を設けることを確保する。それらの措置は、それらの目的がそのような態様で充足されうる限り、仮名化を含むことができる。データ主体の識別を許容しない又は許容することのない別の目的による取扱いによってそれらの目的が充足されうる場合、それらの目的は、その態様によって充足される。」とし、具体的には2項で「個人データが科学調査若しくは歴史調査の目的又は統計の目的で取扱われる場合、EU法又は加盟国の国内法は、そのような権利が、個別具体的な目的を達成できないようにしてしまうおそれがある場合、又は、その達成を深刻に阻害するおそれがある場合であり、かつ、そのような特例がそれらの目的を果たすために必要である場合に限り、本条第1項に規定する条件及び保護措置に従い、第15条、第16条、第18条及び第21条に規定する権利の特例を定めることができる。」とする。EU又は加盟国は、「科学調査若しくは歴史調査の目的又は統計の目的で取扱われる場合」に、GDPR上のデータ主体の権利に関する条項の特例を定めることが「できる」。
　このように、学術研究の発表等、学術上の表現の自由に関する個人データの処理については、加盟国が必要的に例外規定を設けることになり、表現行為を伴わなくても、科学調査もしくは歴史調査の目的、または統計の目的のための個人データの処理については、EUまたは加盟国により、GDPR上のデータ主体の権利に関する条項の例外規定が設けられていることがある。そして、具体的には、加盟国における学術上の表現の自由に関する例外規定や、科学調査等の目的のための例外規定を調査し、それが域外適用されるかを確認しなければならない。
　例えば、アイルランドデータ保護法^［8］43条1項は、学術上の表現の自由についての適用除外の要件として、「民主主義社会における表現および情報の自由の権利の重要性に鑑み、当該規定を遵守することが当該目的と両立しない場合」としており、具体的な比較考量が必要である。また、同44条は、科学調査もしくは歴史調査の目的または統計の目的のための個人データの処理についてGDPRに定める条項の適用除外を認めるが、「データ主体の識別を許可しない、またはもはや許可しない処理によって達成できる場合、かかる目的のための情報の処理は、当該方法で達成されるものとする。」としており（3項）、匿名化を行っても目的が達せられる場合にはこれを義務付けるという要件を加えている。
　以上みてきたように、学術研究機関にGDPRが域外適用される場合にも、学術研究に関する例外規定を期待しても良いが、その内容については加盟国法まで確認する必要がある。しかも、当該加盟国法の解釈の下での比較衡量となると、なかなかリスクを取り切れない場合もあるであろう［9］。

3  越境データ移転

　域外適用は日本から外国にアプローチするような場合に問題となることが多いが、越境データ移転は、外国から日本へのデータ移転の際に問題となる。GDPRは、個人データの処理と越境移転を原則禁止し、いずれも適法化事由（同意等）が必要という体系を採用している。GDPRにおける越境移転の原則的な適法化事由が、十分性認定であり、これは、十分なレベルの保護措置を備えた国または地域について、一括して越境移転を許すものである。
　日本はEUから十分性認定を得ているが、その範囲は個人情報保護法の適用範囲に限られている。個人情報保護法が適用除外となっている、私立大学の研究活動や、そもそも現時点では個人情報保護法が適用されない（独立行政法人等の保有する個人情報の保護に関する法律（平成15年法律第59号）が適用される）国立大学法人、国立研究開発法人、NIIが属する大学共同利用機関法人などは、十分性認定を理由とする移転が行えない。この点は、個人情報保護法2021年改正により解消されることが期待されているが、2021年改正が2022年春に施行されるまでは、EUが認定したひな型である標準契約約款（SCC）を用いるか、反復継続的な移転には推奨されないが、越境移転の同意を得るなどしてしのぐほかない。
　越境データ移転についてどのような根拠で行うかは、EU側のカウンターパートが決めることであるが、適切な適法化事由が存在しなければ、受領側の日本の学術研究機関の違法性も生じかねないため、共同研究契約等の検討のなかで聴取しておく必要があろう。
　また、GDPRには存在しないが、中国、ロシア、ベトナムなど、非民主的なデータ保護法制やサイバーセキュリティ法制を有する国では、当該国民のデータ等について、当該国内での保存義務が存在する場合がある（データローカライゼーション規制）。これは一般的に除外事由が狭く、越境データ移転の規制よりもさらに厄介である（両方の規制がある国もある）。当該国の学術研究機関との共同研究等の際には気を付ける必要がある。

【用語解説】

［1］個人情報の保護に関する法律等の一部を改正する法律（令和2年法律第44号）による改正。いわゆる3年ごと見直しに基づく初の改正。

［2］デジタル社会の形成を図るための関係法律の整備に関する法律（令和3年法律第37号）による改正。個人情報保護制度の官民一元化、学術研究機関への適用法制の変更（原則として個人情報取扱事業者の義務の適用）、学術目的例外の精緻化等を含む。

［3］詳細は、国立大学法人政策研究大学院大学（令和2年度文部科学省委託業務）「国立研究開発法人及び国立大学法人等が研究目的により国内外の個人データを取り扱う場合の動向及び今後の課題等に関する調査分析報告書」（令和3年3月）を参照されたい。

［4］GDPR：Regulation(EU) 2016/679 of the European Parliament and of the Council of 27 April 2016 on the protection of natural persons with regard to the processing of personal data and on the free movement of such data、 and repealing Directive 95/46/EC (General Data Protection Regulation).なお、本文中のGDPRの訳文は個人情報保護委員会による仮訳による。

［5］ポーランドのデータ保護機関が、データ侵害通知違反（漏えいについての報告義務違反）で大学に制裁金を課した例。https://edpb.europa.eu/news/national-news/2021/polish-dpa-university-fined-lackdata-breach-notifications_en。

［6］米国の連邦レベルでのデータ保護法の詳細は、クリス・フーフナグル著・宮下紘他訳『アメリカプライバシー法 連邦取引委員会の法と政策』（勁草書房、2018年）参照。

［7］CCPA：California Consumer Privacy Act of 2018.

［8］アイルランドデータ保護法：Data Protection Act 2018(Number7 of 2018).

［9］より詳細には前掲注3・報告書、板倉陽一郎・寺田麻佑「欧州一般データ保護規則（GDPR）における学術目的例外規定の分析」情報処理学会研究報告電子化知的財産・社会基盤（EIP）2019-EIP-84巻6号1頁、板倉陽一郎・寺田麻佑「欧州一般データ保護規則（GDPR）における各国実施法の学術研究除外についての動向」情報処理学会研究報告電子化知的財産・社会基盤（EIP）2018-EIP-80巻7号1頁、第3回個人情報保護制度の見直しに関する検討会（令和2年6月16日）【資料1】⽣⾙直⼈「欧州データ保護法における学術・研究⽬的適⽤除外」（2020年6⽉16⽇）を参照されたい。