経団連は9月2日、令和3年改正個人情報保護法政令・規則・民間部門ガイドライン案に関する懇談会をオンラインで開催し、個人情報保護委員会事務局の伊藤秀夫企画官から説明を聴いた。概要は次のとおり。
■ 令和3年改正個人情報保護法の改正点
改正のポイントの一つは、個人情報保護法、行政機関個人情報保護法、独立行政法人等個人情報保護法が統合されることである。
これまで主体別に異なる法令が適用されていたため、例えば、国公立大学と私立大学が共同研究において個人情報を取り扱う場合に、適用される規律を確認する手間がかかるなどの困難が生じていた。
このような現行法制の不均衡・不整合を是正し、個人情報保護とデータ流通の両立を図るため、各個人情報保護法制を個人情報保護法に一本化することとした。地方公共団体の個人情報保護制度についても、統合後の法律において全国的な共通ルールが規定され、法律の所管および監視・監督権限が個人情報保護委員会に一元化される。民間部門との共同プロジェクトがスムーズに展開されるよう、医療分野・学術分野の規律については原則として民間部門の規律に統一され、国公立の病院・大学等には民間の病院・大学等と同様の規律が適用される。
もう一つの改正のポイントは、学術研究にかかる適用除外規定について、一律の適用除外ではなく、義務規定ごとに精緻化したことである。これは、GDPR(注1)の十分性認定(注2)への対応も視野に、国際的に制度の調和を図ろうとするものである。
■ 政令・規則・民間部門ガイドラインの改正点
政令・規則については公的部門に影響のある改正がなされているが、民間事業者に関する規律の内容に変更はない。
政令事項としては、行政機関等と同様の安全管理措置を講ずべき業務と、任意代理人による開示等請求に関する規律を定めている。
規則事項としては、民間事業者に関する規律にかかる令和2年改正の内容を踏まえつつ公的部門の特性も勘案し、漏洩等報告・本人通知の対象となる事態の範囲と、越境移転にかかる規律について定めている。
民間部門ガイドラインについては、令和3年改正法で学術研究機関等が学術研究目的で個人情報等を取り扱う場合の規律等が改正されたことを踏まえ、利用目的による制限、要配慮個人情報の取得および第三者提供の制限に関する例外規定、学術研究機関等の責務、規律移行法人への適用関係等について、記載の追加や具体化がなされている。
■ 改正法の施行スケジュール
国の行政機関や独立行政法人等、学術研究機関等にかかる個人情報保護法の改正については2022年春に施行される。地方公共団体等については、既存条例の改廃等を検討してもらう必要があるため、準備期間を勘案して23年春の施行となる。この部分についても22年春には、政令・規則の公布と公的部門ガイドライン等を公表する予定である。
(注1)General Data Protection Regulation、個人データを欧州経済領域(EU加盟国27カ国とアイスランド、リヒテンシュタイン、ノルウェーが参加する経済領域)から第三国に移転することを原則禁止したうえで、例外条件を規定するデータ保護規制
(注2)個人データの移転先の国・地域で個人データの十分な保護措置が確保されているかどうかを欧州委員会が審査し、認定すること
【産業技術本部】