令和3年改正個人情報保護法における医療分野・学術分野の規制統一
IT・情報セキュリティ令和3年改正法において、医療分野・学術分野の規制については、どのような点が改正されましたか。
医療分野・学術分野の規制を統一するため、国公立の病院、大学等には原則として民間の病院、大学等と同等の規律を適用することとされました。
解説
目次
本稿の凡例は以下のとおりです。
- 現行法:「個人情報の保護に関する法律等の一部を改正する法律」(令和2年法律第44号)に基づく令和2年改正前の個人情報保護法
- 改正法:「デジタル社会の形成を図るための関係法律の整備に関する法律」(令和3年法律第37号)施行後の個人情報保護法
- 行政機関個人情報保護法:「行政機関の保有する個人情報の保護に関する法律」(平成15年法律第58号)
- 独立行政法人等個人情報保護法:「独立行政法人等の保有する個人情報の保護に関する法律」(平成15年法律第59号)
現行法制の問題点
医療分野・学術分野では、実質的に民間事業者と同等の立場で個人情報を取得・保有している法人であっても、当該法人が公的部門に属するか(独立行政法人、国立大学法人等)、民間部門に属するか(私立大学、民間病院、民間研究機関等)によって、適用される法律上の規律が大きく異なっており、これが、公的部門と民間部門との垣根を超えた医療や共同研究の実施を躊躇させる一因となっています。
医療分野・学術分野における規制の統⼀(現在の状況)
改正法の下での医療分野・学術分野の規律
改正法では、公的部門と民間部門の規律の一元化により、現行の独立行政法人等個人情報保護法の規律対象となっている独立行政法人等のうち、民間部門において同種の業務を行う法人との間で個人情報を含むデータを利用した共同作業を行うもの等、本人から見て官民で個人情報の取扱いに差を設ける必要が乏しいもの(例:国立研究開発法人、独立行政法人国立病院機構、国立大学法人、大学共同利用機関法人)については、原則として、民間事業者と同様の規律が適用されます。
これに対して、行政機関に準ずる立場で(公権力の行使に類する形で)個人情報を取得・保有するもの(例:行政執行法人、日本年金機構等)については、行政機関と同様の規律が適用されます。
ただし、現行の独立行政法人等個人情報保護法の規律のうち、①「本人からの開示等請求に係る規律」は、情報公開法制において本人開示が認められていない点を補完する側面を有しており、また、②「行政機関等匿名加工情報の提供に係る規律」は、公的部門が有するデータを広く民間事業者に開放し活用を促す広義のオープンデータ政策としての性格を有しています。
そのため、公的部門と民間部門の規律の一元化後も、①「本人からの開示等請求に係る規律」および②「行政機関等匿名加工情報の提供に係る規律」の規律は現行法制と同様に、すべての独立行政法人等が行政機関に準じて扱われます。
一元化の下での医療分野・学術分野における規制の統一
民間分野の規律が適用される法人と規律
個人情報取扱事業者の規律が適用される独立行政法人等
(1)独立行政法人労働者健康安全機構が行う病院
第1弾の改正により、独立行政法人労働者健康安全機構が行う病院(いわゆる労災病院)の運営業務における「個人情報」、「仮名加工情報」または「個人関連情報」については、個人情報取扱事業者、仮名加工情報取扱事業者、個人関連情報取扱事業者による個人情報、仮名加工情報または個人関連情報の取扱いとみなして、第4章(個人情報取扱事業者等の義務等)、第6章(個人情報保護委員会)、第7章(雑則)、第8章(罰則)が適用されます(改正法58条2項)。
すなわち、労災病院は、「個人情報取扱事業者」ではなく「独立行政法人等」に該当するものの、その運営業務には、個人情報取扱事業者等の規定が適用されます。
また、第2弾の改正により、地方公共団体の機関によって設置・運営される病院、診療所、大学も同様の取扱いを受けることになります。
(2)個人情報取扱事業者に該当する法人
第1弾の改正により、「独立行政法人等」の定義から、別表第2に掲げられる以下の法人が除外されます(改正法2条9項)。
「個人情報取扱事業者」の定義(改正法16条2項)からは「独立行政法人等」が除外されるので(改正法2条9項3号)、以下の独立行政法人は「個人情報取扱事業者」に該当することになります(改正法58条1項)。
- 沖縄科学技術大学院大学学園
- 国立研究開発法人(国立がん研究センター等)
- 国立大学法人・大学共同利用機関法人
- 独立行政法人国立病院機構(東京医療センター等)
- 独立行政法人地域医療機能推進機構(東京新宿メディカルセンター等)
- 放送大学学園
また、第2弾の改正により、地方独立行政法人のうち、大学等、病院事業に係る業務を目的とするものも、「個人情報取扱事業者」に該当することになります。
上記3-1の法人に適用されない個人情報取扱事業者に関する規定
上記3−1(1)(2)に掲げる法人には、以下の個人情報取扱事業者の規定は適用されません(改正法58条1項・2項)。
- 保有個人データの取扱いに関する規定(開示等請求等)(令和3年改正法32条~39条)
- 匿名加工情報取扱事業者等の義務(令和3年改正法第4章第4節:43条~46条)
上記3-1の法人に適用される行政機関等に関する規定
上記3−1(1)の法人(労災病院)の運営業務および上記3-1(2)の法人には、行政機関等に関する以下の規定が適用されます(令和3年改正法123条1項・2項/125条1項・2項)。
- 行政機関等の義務等の総則(令和3年改正法第5章第1節:60条)
- 個人情報ファイル簿の作成・公表(改正法75条)
- 開示等請求手続(改正法第5章第4節:76条~106条/108条)
- 行政機関等匿名加工情報の提供等(改正法第5章第5節:107条/109条~121条/123条)
- 保有されていないものとみなす保有個人情報(改正法122条2項/124条2項)
- 開示請求等をしようとする者に対する情報提供(改正法125条/127条)

弁護士法人三宅法律事務所
- コーポレート・M&A
- IT・情報セキュリティ
- 人事労務
- 危機管理・内部統制
- ファイナンス
- 国際取引・海外進出
- 訴訟・争訟
- 不動産
- 資源・エネルギー
- ベンチャー