令和3年改正個人情報保護法で統一された個人情報の定義とは

IT・情報セキュリティ

 令和3年改正個人情報保護法において、個人情報の定義はどのように改正されましたか。また、行政機関等での匿名加工情報の取扱いについても教えてください。

 個人情報の定義等が国・民間・地方で統一されるとともに、行政機関等での匿名加工情報の取扱いに関する規律が明確化されました。なお、民間事業者と行政機関等の匿名加工情報の取扱いが完全に同じになるわけではありません。

解説

目次

  1. 「個人情報」の定義の一元化
    1. 現行法の規律(照合性について)
    2. 改正法の規律
  2. 個人情報保護法と同様の規定の追加
  3. 行政機関等における匿名加工情報の取扱い
    1. 現行法の下での取扱い
    2. 令和3年改正法による改正後の規律
<編注>
本稿の凡例は以下のとおりです。
  • 現行法:「個人情報の保護に関する法律等の一部を改正する法律」(令和2年法律第44号)に基づく令和2年改正前の個人情報保護法
  • 改正法:「デジタル社会の形成を図るための関係法律の整備に関する法律」(令和3年法律第37号)施行後の個人情報保護法
  • 行政機関個人情報保護法:「行政機関の保有する個人情報の保護に関する法律」(平成15年法律第58号)
  • 独立行政法人等個人情報保護法:「独立行政法人等の保有する個人情報の保護に関する法律」(平成15年法律第59号)
    政法人等の保有する個人情報の保護に関する法律」(平成15年法律第59号)
 令和3年改正の第1弾改正と第2弾改正で条番号が変わる場合は、「〇条/△条」(「第1弾改正/第2弾改正」の意味)と表記します。

「個人情報」の定義の一元化

現行法の規律(照合性について)

 個人情報保護法の「個人情報」においては、他の情報との照合により個人情報となる場合について、「他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む」(現行法2条1項1号)とされています。

 これに対して、行政機関個人情報保護法および独立行政法人等個人情報保護法の「個⼈情報」においては、「他の情報と照合することができ、それにより特定の個人を識別することができることとなるものを含む」(各法律の2条2項1号)とされています。

改正法の規律

 改正法では、公的部門と民間部門とで個⼈情報の定義が異なることは、国民の目から見て極めて分かりにくく、両部門の間でのデータ流通の妨げともなり得ることから、一元化の機会に、両部門における「個⼈情報」の定義を統一することになります。

 定義変更に伴う影響を最小化する観点から、一元化後の定義は、現行の個⼈情報保護法の定義(=容易照合可能性を要件とするもの)が採用されます
 すなわち、行政機関、独立行政法人、地方公共団体のいずれにも、以下の個人情報保護法2条1項の「個人情報」の定義が適用されることになります

この法律において「個人情報」とは、生存する個人に関する情報であって、次の各号のいずれかに該当するものをいう。

一 当該情報に含まれる氏名、生年月日その他の記述等(文書、図画若しくは電磁的記録(電磁的方式(電子的方式、磁気的方式その他人の知覚によっては認識することができない方式をいう。次項第二号において同じ。)で作られる記録をいう。第十八条第二項において同じ。)に記載され、若しくは記録され、又は音声、動作その他の方法を用いて表された一切の事項(個人識別符号を除く。)をいう。以下同じ。)により特定の個人を識別することができるもの(他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。)

二 個人識別符号が含まれるもの

(注:令和3年7月時点での条文)

 なお、個人情報、データベース、主体、保有する個人データの定義については、以下のとおり改正前と同様に別の定義が設けられます。
 「行政機関等」の定義には、行政機関および独立行政法人等が含まれます(改正法2条11項)。また、第2弾の改正後は、地方公共団体および地方独立行政法人も「行政機関等」の定義に該当することになります(改正法2条11項2号・4号)。

令和3年改正後の個人情報・データベース・主体・保有する個人データに関する定義

※かっこ内は令和3年改正法の条番号

民間事業者 行政機関等・独立行政法人等・
地方公共団体等
個人情報 共通の定義(容易照合性)(2条1項)
データベース 個人情報データベース等(16条1項) 個人情報ファイル(60条2項):
保有個人情報を含む情報の集合物で体系化されたもの
主体 個人情報取扱事業者(16条2項) 行政機関等(行政機関および独立行政法人等)(2条11項)
※第2弾の改正後は、地方公共団体および地方独立行政法人も「行政機関等」に該当
保有する個人データ 個人データ(16条3項):
個人情報データベースを構成する個人情報
保有個人情報(60条1項):
行政機関等の職員が職務上作成、取得した個人情報で、当該行政機関等の職員が組織的に利用するものとして、当該行政機関が保有しているもの(行政文書(行政機関)・法人文書(独立行政法人等)に記載されているものに限る)
保有個人データ(16条4項):
開示等請求の対象となる個人データ

個人情報保護法と同様の規定の追加

 令和3年改正後は、行政機関個人情報保護法および独立行政法人等個人情報保護法には規定されていなかった、以下の個人情報保護法と同様の規律が置かれます。

  • 不適正な利用の禁止(改正法63条)
  • 適正な取得(改正法64条)
  • 漏えい等報告等(改正法68条)
  • 外国にある第三者への提供の制限(改正法71条)
  • 個人関連情報の提供を受ける者に対する措置要求(改正法72条)
  • 仮名加工情報の取扱いに係る義務(改正法73条)
  • 不正な利益を図る目的での盗用(改正法175条/178条)

行政機関等における匿名加工情報の取扱い

現行法の下での取扱い

 現行の行政機関等における非識別加工情報の取扱いに関する規律は、非識別加工情報が個人情報に該当し得ることを前提としています。

 具体的には、行政機関等による非識別加工情報の作成・提供は、他の個人情報の利用・提供と同様、原則として利用目的の範囲内でのみ可能であることが前提とされています(行政機関法人個人情報保護法8条1項、44条の2第2項等)。行政機関個人情報保護法第4章の2等が定める提案募集手続は、当該手続に従った非識別加工情報の作成・提供を、「法令に基づく場合」として例外的に許容するものと位置付けています。

 また、行政機関等による匿名加工情報の取得は、他の個人情報の取得と同様、原則として利用目的の範囲内でのみ可能です(行政機関個人情報保護法3条2項)。
 なお、個人情報の管理についての規律が適用されると考えられるため、行政機関等が民間事業者等から匿名加工情報を取得した場合の安全管理措置や識別行為禁止については、規定が置かれていません。

 独立行政法人等の独立行政法人等非識別加工情報についても、独立行政法人等個人情報保護法に同様の規律が置かれています(同法第4章の2)。

匿名加工情報と非識別加工情報の規律

匿名加工情報 行政機関非識別加工情報
根拠法 個人情報保護法 行政機関個人情報保護法
個人情報該当性 非個人情報であることが前提 個人情報に該当することが前提
利用・提供の制限 利用目的による制限なし 利用目的の範囲内のみ可能
➡提案募集手続(法令に基づく場合として例外的に許容)
安全管理措置・
識別行為の禁止
規定あり 規定なし

※独立行政法人非識別加工情報も非識別加工情報と同様の取扱い

令和3年改正法による改正後の規律

(1)第1弾の改正(施行日:令和4年4月1日)

  1. 行政機関等匿名加工情報
    行政機関等による匿名加工情報の「作成」「取得」「提供」のそれぞれについて、匿名加工情報が非個人情報である前提で、法律上のルールが再構成されます。「非識別加工情報」ではなく、「行政機関等匿名加工情報」(改正法60条3項)の定義が用いられることになります

  2. 行政機関等匿名加工情報の作成
    「行政機関等匿名加工情報」の「作成」については、匿名加工情報の作成それ自体が個人の権利利益を侵害する危険性はなく、行政機関等が保有個人情報に対する安全管理措置の一環として匿名加工情報を作成することが必要な場合もあり得ることから、柔軟な取扱いを認めるべきであり、法令の定める所掌事務または業務の遂行に必要な範囲内であれば、作成を認められます(改正法107条1項/109条1項)。

  3. 匿名加工情報の取得・識別
    「匿名加工情報」や「行政機関等匿名加工情報」の「取得」についても、行政機関等(特に独立行政法人等)が民間事業者等から匿名加工情報を取得して業務を遂行することが必要な場合もあり得ることから、柔軟な取扱いを認めるべきであり、法令の定める所掌事務又は業務の遂行に必要な範囲内であれば、取得を認められます

     その際、「行政機関等匿名加工情報」は非個人情報であるという前提で、民間の匿名加工情報取扱事業者に準じた識別行為禁止義務および安全管理措置義務が課されます(改正法119条1項・2項/121条1項・2項、121条2項・3項/123条2項・3項)。

  4. 行政機関等匿名加工情報の提供
    「行政機関等匿名加工情報」の「提供」については、現行法が非識別加工情報の提供を公平かつ適正に実施するための手続として提案募集から契約締結に至る一連の手続を定めていることを踏まえ、一元化後においても当該手続に従った提供が原則とされ、行政機関等が匿名加工情報を外部に提供できるのは、基本的に、以下の場合に限られます(改正法107条2項/109条2項)。
  • 法令に基づく場合(提案募集手続を経て契約を締結した者に提供する場合を含む)
  • 保有個人情報を利用目的のために第三者に提供することができる場合において、当該保有個人情報を加工して作成した行政機関等

 なお、現行法は、行政機関情報公開法5条2号ただし書に規定する情報(法人等に関する情報のうち、一般的には不開示情報に該当するが、公益的理由から例外的に開示対象となるもの)も、非識別加工の対象に概念上は含まれ得ることを前提に、当該情報を非識別加工して提供する場合には、手続保障の観点から、当該法人等に対して意見書提出の機会を与えることを義務付けています(行政機関個人情報保護法44条の8が準用する行政機関情報公開法13条2項)。

 改正後は、行政機関情報公開法5条2号ただし書に規定する情報も、他の不開示情報と同様に加工元情報からあらかじめ削除することとしたうえで、第三者への意見聴取はすべて任意とされます(行政機関情報公開法13条2項を準用する規定なし)

(2)第2弾の改正(施行日:令和5年5月18日までの政令で定める日)

 第2弾の改正によって、地方公共団体も「行政機関等」(改正法2条11項)に該当することになり、上記(1)の行政機関等匿名加工情報の取扱いの規律が適用されます。
 ただし、経過措置として、当分の間、都道府県および政令指定都市以外の地方公共団体については、行政機関等匿名加工情報の提案の募集(改正法111条/113条)、提案の募集に関する事項の個人情報ファイル簿への記載(改正法110条/112条)は、任意の取扱いとされます(改正法51条による個人情報の保護に関する法律附則7条の改正)。

この実務Q&Aを見ている人はこちらも見ています

無料会員登録で
リサーチ業務を効率化

1分で登録完了

無料で会員登録する