令和3年改正個人情報保護法における医療分野・学術分野の規制統一

現行法制の問題点

　医療分野・学術分野では、実質的に民間事業者と同等の立場で個人情報を取得・保有している法人であっても、当該法人が公的部門に属するか（独立行政法人、国立大学法人等）、民間部門に属するか（私立大学、民間病院、民間研究機関等）によって、適用される法律上の規律が大きく異なっており、これが、公的部門と民間部門との垣根を超えた医療や共同研究の実施を躊躇させる一因となっています。

医療分野・学術分野における規制の統⼀（現在の状況）

改正法の下での医療分野・学術分野の規律

　改正法では、公的部門と民間部門の規律の一元化により、現行の独立行政法人等個人情報保護法の規律対象となっている独立行政法人等のうち、民間部門において同種の業務を行う法人との間で個人情報を含むデータを利用した共同作業を行うもの等、本人から見て官民で個人情報の取扱いに差を設ける必要が乏しいもの（例：国立研究開発法人、独立行政法人国立病院機構、国立大学法人、大学共同利用機関法人）については、原則として、民間事業者と同様の規律が適用されます。

　これに対して、行政機関に準ずる立場で（公権力の行使に類する形で）個人情報を取得・保有するもの（例：行政執行法人、日本年金機構等）については、行政機関と同様の規律が適用されます。

　ただし、現行の独立行政法人等個人情報保護法の規律のうち、①「本人からの開示等請求に係る規律」は、情報公開法制において本人開示が認められていない点を補完する側面を有しており、また、②「行政機関等匿名加工情報の提供に係る規律」は、公的部門が有するデータを広く民間事業者に開放し活用を促す広義のオープンデータ政策としての性格を有しています。

　そのため、公的部門と民間部門の規律の一元化後も、①「本人からの開示等請求に係る規律」および②「行政機関等匿名加工情報の提供に係る規律」の規律は現行法制と同様に、すべての独立行政法人等が行政機関に準じて扱われます。

一元化の下での医療分野・学術分野における規制の統一

民間分野の規律が適用される法人と規律

個人情報取扱事業者の規律が適用される独立行政法人等

（1）独立行政法人労働者健康安全機構が行う病院

　第1弾の改正により、独立行政法人労働者健康安全機構が行う病院（いわゆる労災病院）の運営業務における「個人情報」、「仮名加工情報」または「個人関連情報」については、個人情報取扱事業者、仮名加工情報取扱事業者、個人関連情報取扱事業者による個人情報、仮名加工情報または個人関連情報の取扱いとみなして、第4章（個人情報取扱事業者等の義務等）、第6章（個人情報保護委員会）、第7章（雑則）、第8章（罰則）が適用されます（改正法58条2項）。
　すなわち、労災病院は、「個人情報取扱事業者」ではなく「独立行政法人等」に該当するものの、その運営業務には、個人情報取扱事業者等の規定が適用されます。

　また、第2弾の改正により、地方公共団体の機関によって設置・運営される病院、診療所、大学も同様の取扱いを受けることになります。

（2）個人情報取扱事業者に該当する法人

　第1弾の改正により、「独立行政法人等」の定義から、別表第2に掲げられる以下の法人が除外されます（改正法2条9項）。
　「個人情報取扱事業者」の定義（改正法16条2項）からは「独立行政法人等」が除外されるので（改正法2条9項3号）、以下の独立行政法人は「個人情報取扱事業者」に該当することになります（改正法58条1項）。

　また、第2弾の改正により、地方独立行政法人のうち、大学等、病院事業に係る業務を目的とするものも、「個人情報取扱事業者」に該当することになります。

上記3-1の法人に適用されない個人情報取扱事業者に関する規定

　上記3−1（1）（2）に掲げる法人には、以下の個人情報取扱事業者の規定は適用されません（改正法58条1項・2項）。

上記3-1の法人に適用される行政機関等に関する規定

　上記3−1（1）の法人（労災病院）の運営業務および上記3-1（2）の法人には、行政機関等に関する以下の規定が適用されます（令和3年改正法123条1項・2項／125条1項・2項）。