令和3年改正個人情報保護法における学術研究分野に係る適用除外

IT・情報セキュリティ

 令和3年改正個人情報保護法において、学術分野に係る適用除外については、どのような点が改正されましたか。

 学術研究分野を含めたGDPRの十分性認定への対応を目指し、学術研究に係る適用除外規定について、一律の適用除外ではなく、義務ごとの例外規定として精緻化することとされました。

解説

目次

  1. 現行法の規律
  2. 現行法の規律の問題点
  3. 改正法の規律
    1. 学術研究に係る適用除外規定の精緻化
    2. 義務規定の適用
<編注>
本稿の凡例は以下のとおりです。
  • 現行法:「個人情報の保護に関する法律等の一部を改正する法律」(令和2年法律第44号)に基づく令和2年改正前の個人情報保護法
  • 改正法:「デジタル社会の形成を図るための関係法律の整備に関する法律」(令和3年法律第37号)施行後の個人情報保護法
  • 行政機関個人情報保護法:「行政機関の保有する個人情報の保護に関する法律」(平成15年法律第58号)
  • 独立行政法人等個人情報保護法:「独立行政法人等の保有する個人情報の保護に関する法律」(平成15年法律第59号)
    政法人等の保有する個人情報の保護に関する法律」(平成15年法律第59号)
 令和3年改正の第1弾改正と第2弾改正で条番号が変わる場合は、「〇条/△条」(「第1弾改正/第2弾改正」の意味)と表記します。

現行法の規律

 現行法は、憲法が保障する学問の自由への配慮から、大学その他の学術研究を目的とする機関もしくは団体またはそれらに属する者(以下「学術研究機関等」といいます。)が、学術研究目的で個人情報を取り扱う場合を、一律に個人情報保護法第4章に定める各種義務の適用除外としています(現行法76条1項3号)。

 その一方、現行法は、学術研究機関等に対し、安全管理措置等の個人情報の適正な取扱いを確保するために必要な措置を自ら講じ、その内容を公表する努力義務を課しています(現行法76条3項)。

 また、個人情報保護委員会は、個人情報取扱事業者に対して立入検査や勧告・命令等の監督権限を行使する際は、「学問の自由を妨げてはならない」とされています(現行法43条1項)。その趣旨に照らし、個人情報取扱事業者が学術研究機関等に対して個人情報を提供する行為に対しては、監督権限を行使しないこととされています(現行法43条2項)。

現行法の規律の問題点

 現行法が、学術研究機関等が学術研究目的で個人情報を取り扱う場合を一律に各種義務の適用除外としている結果、我が国の学術研究機関等に対してEU圏から移転される個人データについては、GDPR(EU一般データ保護規則)の十分性認定の効力が及ばないこととなっています。このような事態は、我が国の研究機関がEU圏の研究機関と個人データを用いた共同研究を行う際の支障ともなり得るものです。

 そこで、令和3年改正法による公的部門と民間部門の規律の一元化を機に、学術研究に係る適用除外規定の内容を見直し、我が国の学術研究機関等に移転された個人データについても、GDPRの十分性認定の効力が及ぶような素地を作ることが求められています。

学術研究に係る適用除外規定の見直し(精緻化)

学術研究に係る適用除外規定の見直し(精緻化)

出所:個人情報保護制度の見直しに関するタスクフォース「個人情報保護制度の見直しに関する最終報告(概要)

改正法の規律

学術研究に係る適用除外規定の精緻化

 以下のとおり、「利用目的による制限の適用除外」(現行法16条3項)、「要配慮個人情報の取得の同意の例外」(現行法17条2項)、「第三者提供の制限の例外」(現行法23条1項)に、学術研究に係る適用除外が追加されます
 いずれも、「目的の一部が学術研究目的(「学術研究の用に供する目的」)である場合」を含み、「個人の権利利益を不当に侵害するおそれがある場合」を除くこととされています。

 この適用除外は、令和3年改正個人情報保護法における医療分野・学術分野の規制統一で解説した医療分野・学術分野の規制統一に伴い、個人情報取扱事業者として扱われる国公立大学や国立研究開発法人にも適用されます

(1)利用目的による制限の適用除外

 以下に該当する場合に、利用目的による制限の適用除外とされます(改正法18条3項5号・6号)。

  1. 当該個人情報取扱事業者が学術研究機関等である場合であって、当該個人情報を学術研究目的で取り扱う必要があるとき(当該個人情報を取り扱う目的の一部が学術研究目的である場合を含み、個人の権利利益を不当に侵害するおそれがある場合を除く。)。

  2. 学術研究機関等に個人データを提供する場合であって、当該学術研究機関等が当該個人データを学術研究目的で取り扱う必要があるとき(当該個人データを取り扱う目的の一部が学術研究目的である場合を含み、個人の権利利益を不当に侵害するおそれがある場合を除く。)。

(2)要配慮個人情報の取得の同意の例外

 以下に該当する場合に、要配慮個人情報を取得する際の同意取得義務の例外とされます(改正法20条2項5号・6号)。

  1. 当該個人情報取扱事業者が学術研究機関等である場合であって、当該要配慮個人情報を学術研究目的で取り扱う必要があるとき(当該要配慮個人情報を取り扱う目的の一部が学術研究目的である場合を含み、個人の権利利益を不当に侵害するおそれがある場合を除く。)。

  2. 学術研究機関等から当該要配慮個人情報を取得する場合であって、当該要配慮個人情報を学術研究目的で取得する必要があるとき(当該要配慮個人情報を取得する目的の一部が学術研究目的である場合を含み、個人の権利利益を不当に侵害するおそれがある場合を除く。)(当該個人情報取扱事業者と当該学術研究機関等が共同して学術研究を行う場合に限る。)。

(3)第三者提供の制限の例外

 以下に該当する場合に、第三者提供の制限の例外とされます(改正法27条1項5号~7号)。

  1. 当該個人情報取扱事業者が学術研究機関等である場合であって、当該個人データの提供が学術研究の成果の公表または教授のためやむを得ないとき(個人の権利利益を不当に侵害するおそれがある場合を除く。)。

  2. 当該個人情報取扱事業者が学術研究機関等である場合であって、当該個人データを学術研究目的で提供する必要があるとき(当該個人データを提供する目的の一部が学術研究目的である場合を含み、個人の権利利益を不当に侵害するおそれがある場合を除く。)(当該個人情報取扱事業者と当該第三者が共同して学術研究を行う場合に限る。)。

  3. 当該第三者が学術研究機関等である場合であって、当該第三者が当該個人データを学術研究目的で取り扱う必要があるとき(当該個人データを取り扱う目的の一部が学術研究目的である場合を含み、個人の権利利益を不当に侵害するおそれがある場合を除く。)。

義務規定の適用

 現行法のような包括的な適用除外でなくなることから、学術研究機関にも、個人情報取扱事業者として以下の規定が適用されることになります。

  • 利用目的の特定・公表(改正法17条・21条)
  • 不適正な利用・取得の禁止(改正法19条・20条)
  • 安全管理措置等(改正法23条~25条)
  • 漏えい報告等(改正法26条)
  • 保有個人データの開示等請求手続(改正法32条~39条)※
※ 国公立大学や国立研究開発法人には、行政機関等としての開示等請求手続(改正法第5章第4節:76条~106条/108条)が適用されます。

この実務Q&Aを見ている人はこちらも見ています

無料会員登録で
リサーチ業務を効率化

1分で登録完了

無料で会員登録する