令和3年個人情報保護法改正とは?改正項目の全体像と施行スケジュールを解説(新旧対照表つき)
IT・情報セキュリティ令和3年個人情報保護法改正のポイントについて教えてください。
ポイント①
個人情報保護法、行政機関個人情報保護法、独立行政法人等個人情報保護法の3本の法律を1本の法律に統合
ポイント②
地方公共団体の個人情報保護制度についても個人情報保護法において全国的な共通ルールが規定され、全体の所管を個人情報保護委員会に一元化
ポイント③
学術研究分野の適用除外について一律の適用除外ではなく、義務ごとの例外規定として精緻化
解説
目次
本稿の凡例は以下のとおりです。
- 現行法:「個人情報の保護に関する法律等の一部を改正する法律」(令和2年法律第44号)に基づく令和2年改正前の個人情報保護法
- 改正法:「デジタル社会の形成を図るための関係法律の整備に関する法律」(令和3年法律第37号)施行後の個人情報保護法
- 行政機関個人情報保護法:「行政機関の保有する個人情報の保護に関する法律」(平成15年法律第58号)
- 独立行政法人等個人情報保護法:「独立行政法人等の保有する個人情報の保護に関する法律」(平成15年法律第59号)
令和3年改正個人情報保護法の制定経緯・背景
制定経緯
個人情報保護法は、主に個人情報を取り扱う民間事業者の遵守すべき義務等を定める法律です(同法第4章~第7章)。
行政機関における個人情報の取扱いについては「行政機関個人情報保護法」において、独立行政法人等における個人情報の取扱いについては「独立行政法人等個人情報保護法」において定められています。
都道府県庁や市町村役場、教育委員会、公立学校、公立病院等における個人情報の取扱いについては、各地方公共団体が策定する「個人情報保護条例」が適用されます。
このように、個人情報保護法制がバラバラになっていることが問題となってきました。
平成27年改正法附則12条6項においては、「政府は、新個人情報保護法の施行の状況、第1項の措置の実施の状況その他の状況を踏まえ、新個人情報保護法第2条第1項に規定する個人情報及び行政機関等保有個人情報の保護に関する規定を集約し、一体的に規定することを含め、個人情報の保護に関する法制の在り方について検討する」と規定されました(下線筆者)。
これを受けて、個人情報保護委員会の「個人情報保護法 いわゆる3年ごと見直し 制度改正大綱」(令和元年12月13日)において、「行政機関、独立行政法人等に係る法制と民間部門に係る法制との一元化」や「地方公共団体の個人情報保護制度」について取り扱われました(第7節 官民を通じた個人情報の取扱い )。
いわゆる令和2年改正(「個人情報の保護に関する法律等の一部を改正する法律」(令和2年法律第44号))では、保有個人データに関する取扱いが強化されるとともに、リクナビ問題を契機に個人情報以外の個人に関する情報(個人関連情報)の取扱いについて定められました。また、外国の第三者への個人データの提供に際しての情報提供の充実が求められることになりますが、機を同一にして海外の委託先の個人データのアクセスが問題となったLINE問題がおこりました。
令和3年改正法(デジタル社会の形成を図るための関係法律の整備に関する法律」(令和3年法律第37号))では、今まで縦割りだった国・独立行政法人・地方公共団体の個人データの取扱いがようやく個人情報保護法に一元化されます。
そして、内閣官房に「個人情報保護制度の見直しに関するタスクフォース」(令和元年12月25日~令和2年12月23日・計3回開催)およびその下に設けられた「個人情報保護制度の見直しに関する検討会」(令和2年3月9日~令和2年12月17日・計11回開催)において検討がなされ、令和2年8月28日に「個人情報保護制度の見直しに向けた中間整理」が、同年12月23日に「個人情報保護制度の見直しに関する最終報告」が出されました。
同最終報告を受けて、令和3年2月9日に内閣提出法案として提出されて同年5月12日に可決、成立し、同月19日に公布された「デジタル社会の形成を図るための関係法律の整備に関する法律」に基づく個人情報保護法関連の改正(同法50条、51条)として、下記「2. 改正項目の概要」に掲げる改正がなされることになりました(令和3年改正法)。
背景
令和3年改正法においては、個人情報保護制度の見直しの背景について以下のとおり整理されています。
- 新たに「デジタル庁」を創設し、国や地⽅のデジタル業務改革を強力に推進していく方針であるところ、これに伴い、公的部門で取り扱うデータの質的・量的な増大が不可避となる。そこで、個⼈情報保護に万全を期すため、独立規制機関である個⼈情報保護委員会が、公的部⾨を含め、個⼈情報の取扱いを一元的に監視監督する体制の確立が必要となる。
- 情報化の進展や個⼈情報の有用性の高まりを背景として、官民や地域の枠を超えたデータ利活用が活発化している。そこで、データ利活用の支障となり得る現⾏法制の不均衡・不整合を是正する必要がある。「不均衡・不整合」の例としては以下がある。
- 民間部門と公的部門で「個⼈情報」の定義が異なる
- 国立病院、民間病院、公立病院で、データ流通に関する法律上のルールが異なる
- 国立大学と私立大学で学術研究に係る例外規定のあり方が異なる
- 地方公共団体間で個人情報保護条例の規定やその運用が異なる(いわゆる「2000個問題」)
- 国境を越えたデータ流通の増加を踏まえ、GDPR(EU一般データ保護規則)十分性認定への対応をはじめとする国際的な制度調和を図る必要性がいっそう高まっている。そこで、学術研究分野の適用除外を一律の適用除外とするのではなく、義務ごとの例外規定として精緻化する必要がある。
令和3年改正個人情報保護法の改正項目
令和3年改正法における個人情報保護法関連の改正項目の概要は以下のとおりです。
- 個人情報保護法、行政機関個人情報保護法、独立行政法人等個人情報保護法の3本の法律を1本の法律に統合するとともに、地方公共団体の個人情報保護制度についても統合後の法律において全国的な共通ルールを規定し、全体の所管を個人情報保護委員会に一元化する。
- 医療分野・学術分野の規制を統一するため、国公立の病院、大学等には原則として民間の病院、大学等と同等の規律を適用する。
- 学術研究分野を含めたGDPRの十分性認定への対応を目指し、学術研究に係る適用除外規定について、一律の適用除外ではなく、義務ごとの例外規定として精緻化する。
- 個人情報の定義等を国・民間・地方で統一するとともに、行政機関等での匿名加工情報の取扱いに関する規律を明確化する。
個人情報保護制度の見直しの全体像
令和3年改正個人情報保護法の施行期日
令和3年改正法は、令和3年5月12日に国会(衆議院可決:令和3年4月6日、参議院可決:同年5月12日)で成立し、同年5月19日に公布されました(令和3年法律第37号)。
令和3年改正法の原則的な施行期日は令和3年9月1日とされていますが、2段階に分けて施行されます。
第1弾の改正(個人情報保護法・行政機関個人情報保護法・独立行政法人等個人情報保護法の一元化等)は、令和4年4月1日とされ、令和2年改正法と同日に施行されます。
第2弾の改正(個人情報保護法と各地方公共団体の個人情報保護条例の一元化)は、令和5年5月18日までの政令で定める日に施行されます。
施行スケジュール
| 改正概要 | 施行期日 | |
|---|---|---|
| 令和2年改正法 | 個人情報の不適正な利用の禁止、仮名加工情報の創設等 | 令和4年4月1日 |
| 令和3年改正法の第1弾 | 個人情報保護法・行政機関個人情報保護法・独立行政法人等個人情報保護法の一元化等 | 令和4年4月1日 |
| 令和3年改正法の第2弾 | 個人情報保護法と各地方公共団体の個人情報保護条例の一元化 | 令和5年5月18日までの政令で定める日 |
第1弾の改正・第2弾の改正の改正事項はそれぞれ以下のとおりです。
令和3年改正個人情報保護法、第1弾の改正事項
- 法律の一元化・所管の一元化
- 個人情報保護法、行政機関個人情報保護法、独立行政法人等個人情報保護法の3本の法律を個人情報保護法に統合するとともに、全体の所管を個人情報保護委員会に一元化
- 個人情報の定義の統一
- 容易照合性・個人識別行為について個人情報保護法の定義に合わせる
- 匿名加工情報の定義の一元化・行政機関等における匿名加工情報の取扱いの明確化
- 「非識別加工情報」から「行政機関等匿名加工情報」に変更
- 「行政機関等匿名加工情報」に識別行為の禁止が求められることになる
- 行政機関等に個人情報保護法の規律導入
- 不適正な利用・不適正取得の禁止
- 漏えい等報告等
- 外国にある第三者への提供制限
- 個人関連情報の提供を受ける者に対する措置要求
- 仮名加工情報の取扱い
- 医療分野・学区術分野の規律の統一(個人情報取扱事業者と開示等・審査請求の手続・匿名加工情報の取扱いを除き同じ規律を適用)
- 医療分野・学術分野の規制を統一するため、国公立の病院、大学等には原則として民間の病院、大学等と同等の規律を適用
- 学術研究分野に係る適用除外規定の見直し(精緻化)
- 学術研究分野を含めたGDPRの十分性認定への対応を目指し、学術研究に係る適用除外規定について、一律の適用除外ではなく、義務ごとの例外規定として精緻化
令和3年改正個人情報保護法、第2弾の改正事項
第2弾の改正は、地方公共団体の機関および地方独立⾏政法人を対象とするものです。
- 適用対象
- 地方公共団体の機関および地方独立⾏政法人を対象とし、国と同じ規律を適⽤
- 病院、診療所および大学には、民間部門と同じ規律を適⽤
- 定義の一元化
- 地方公共団体の機関および地方独立⾏政法人が保有する個⼈情報の定義について、国・⺠間部⾨と同じ規律を適⽤
- 条例で独自の要配慮個人情報を定められる
例)容易照合可能性、個⼈識別符号、要配慮個⼈情報等 - 個人情報の取扱い
- 地方公共団体の機関および地方独立⾏政法人が保有する個⼈情報の取扱いについて、国と同じ規律を適⽤
例)保有の制限、安全確保措置、利⽤および提供の制限等 - 個人情報ファイル簿の作成・公表
- 地方公共団体の機関および地方独立⾏政法人による個⼈情報ファイル簿の作成・公表について、国と同じ規律を適⽤
※個⼈情報ファイル簿の作成等を行う個人情報ファイルの範囲は国と同様(1,000人以上等)とする
※引き続き、個⼈情報取扱事務登録簿を作成することも可能とする
- 地方公共団体の機関および地方独立⾏政法人による個⼈情報ファイル簿の作成・公表について、国と同じ規律を適⽤
- 地方公共団体の機関および地方独立⾏政法人に対する自己情報の開示、訂正および利用停止の請求
- 開示等の請求権や要件、⼿続は国と同じ制度。主要な部分を法律で規定
- 地方公共団体の機関および地方独立⾏政法人における匿名加工情報の提供制度の導入
- 匿名加工情報の提供制度(定期的な提案募集)について、国と同じ規律を適⽤
※ただし、経過措置として、当分の間、都道府県および指定都市について適⽤することとし、他の地方公共団体は任意で提案募集を実施することを可能とする
- 匿名加工情報の提供制度(定期的な提案募集)について、国と同じ規律を適⽤
- 個人情報保護委員会と地方公共団体の関係
- 個人情報保護委員会は、地⽅公共団体における個⼈情報の取扱い等に関し、国の⾏政機関に対する監視に準じた措置を行う
- 地方公共団体は、個⼈情報の取扱い等に関し、個⼈情報保護委員会に対し、助⾔その他の必要な⽀援を求めることが可能
- 条例との関係
- 保有個人情報の開示等の手続、審査請求の手続について、法律に反しない限り条例で必要な事項を定められる
最後に、令和2年改正と令和3年改正による条番号の変更をまとめた一覧表を掲載しますので、ご参照ください。
条番号の新旧対照表
※令和2年改正法と令和3年改正法第1弾改正は、いずれも令和4年4月1日に施行されるので、同日後は令和3年改正法第1弾改正の条文によることになります。
| 令和2年改正による改正後 | 令和3年改正法による第1弾改正後 | 令和3年改正による第2弾改正後 |
|---|---|---|
| 第1章 総則(1条~3条) | 第1章 総則(1条~3条) | 第1章 総則(1条~3条) |
| 第2章 国及び地方公共団体の責務(4~6条) | 第2章 国及び地方公共団体の責務(4~6条) | 第2章 国及び地方公共団体の責務(4~6条) |
| 第3章 個人情報の保護に関する施策 | 第3章 個人情報の保護に関する施策 | 第3章 個人情報の保護に関する施策 |
| 第1節 個人情報の保護に関する基本方針(7条) | 第1節 個人情報の保護に関する基本方針(7条) | 第1節 個人情報の保護に関する基本方針(7条) |
| 第2節 国の施策(8条~10条) | 第2節 国の施策(8条~11条) | 第2節 国の施策(8条~11条) |
| 第3節 地方公共団体の施策(11条~13条) | 第3節 地方公共団体の施策(12条~14条) | 第3節 地方公共団体の施策(12条~14条) |
| 第4節 国及び地方公共団体の協力(14条) | 第4節 国及び地方公共団体の協力(15条) | 第4節 国及び地方公共団体の協力(15条) |
| 第4章 個人情報取扱事業者の義務等 | 第4章 個人情報取扱事業者等の義務等 | 第4章 個人情報取扱事業者等の義務等 |
| 第1節 個人情報取扱事業者等の義務(15条~35条) | 第1節 総則(16条) | 第1節 総則(16条) |
| 第2節 仮名加工情報取扱事業者等の義務(35条の2・35条の3) | 第2節 個人情報取扱事業者及び個人関連情報取扱事業者の義務(17条~40条) | 第2節 個人情報取扱事業者及び個人関連情報取扱事業者の義務(17条~40条) |
| 第3節 匿名加工情報取扱事業者等の義務(36条~39条) | 第3節 仮名加工情報取扱事業者等の義務(41条・42条) | 第3節 仮名加工情報取扱事業者等の義務(41条・42条) |
| 第4節 監督(40条~46条) | 第4節 匿名加工情報取扱事業者の義務(43条~46条) | 第4節 匿名加工情報取扱事業者の義務(43条~46条) |
| 第5節 民間団体による個人情報の保護の推進(47条~58条) | 第5節 民間団体による個人情報の保護の推進(47条~56条) | 第5節 民間団体による個人情報の保護の推進(47条~56条) |
| 第6節 送達(58条の2~58条の5) | 第6節 雑則(57条~59条) | 第6節 雑則(57条~59条) |
| 第5章 行政機関等の義務等 | 第5章 行政機関等の義務等 | |
| 第1節 雑則(60条) | 第1節 雑則(60条) | |
| 第2節 行政機関等における個人情報等の取扱い(61条~73条) | 第2節 行政機関等における個人情報等の取扱い(61条~73条) | |
| 第3節 個人情報ファイル(74条・75条) | 第3節 個人情報ファイル(74条・75条) | |
| 第4節 開示、訂正及び利用停止 | 第4節 開示、訂正及び利用停止 | |
| 第1款 開示(76条~89条) | 第1款 開示(76条~89条) | |
| 第2款 訂正(90条~97条) | 第2款 訂正(90条~97条) | |
| 第3款 利用停止(98条~103条) | 第3款 利用停止(98条~103条) | |
| 第4款 審査請求(104条~106条) | 第4款 審査請求(104条~107条) | |
| 第5款 条例との関係(108条) | ||
| 第5節 行政機関等匿名加工情報の提供等(107条~121条) | 第5節 行政機関等匿名加工情報の提供等(109条~123条) | |
| 第6節 雑則(122条~126条) | 第6節 雑則(124条~129条) | |
| 第5章 個人情報保護委員会(59条~74条) | 第6章 個人情報保護委員会 | 第6章 個人情報保護委員会 |
| 第1節 設置等(127条~142条) | 第1節 設置等(130条~145条) | |
| 第2節 監督及び監視 | 第2節 監督及び監視 | |
| 第1款 個人情報取扱事業者の監督(143条~149条) | 第1款 個人情報取扱事業者の監督(146条~152条) | |
| 第2款 認定個人情報保護団体の監督(150条~152条) | 第2款 認定個人情報保護団体の監督(153条~155条) | |
| 第3款 行政機関等の監視(153条~157条) | 第3款 行政機関等の監視(156条~160条) | |
| 第3節 送達(158条~161条) | 第3節 送達(161条~164条) | |
| 第4節 雑則(162条~165条) | 第4節 雑則(165条~170条) | |
| 第6章 雑則(75条~81条) | 第7章 雑則(166条~170条) | 第7章 雑則(171条~175条) |
| 第7章 罰則(82条~88条) | 第8章 罰則(171条~180条) | 第8章 罰則(176条~185条) |
| 附則 | 附則 | 附則 |
弁護士法人三宅法律事務所
- コーポレート・M&A
- IT・情報セキュリティ
- 人事労務
- 危機管理・内部統制
- ファイナンス
- 国際取引・海外進出
- 訴訟・争訟
- 不動産
- 資源・エネルギー
- ベンチャー