04_Hioki - PDF 無料ダウンロード

研究と個人情報保護法制平成 29 年 1 月 25 日弁護士日置巴美

1. データ取扱主体と適用法令わが国の個人情報保護法制は個人情報の取扱いについて主体ごとに適用され法律が異なる〇民間部門個人情報の保護に関する法律 ( 個人情報保護法 ) 〇公的部門国 : 行政機関の保有する個人情報の保護に関する法律 ( 行政機関個情法 ) 独立行政法人等 : 独立行政法人等の保有する個人情報の保護に関する法律 ( 独法等個情法 ) 地方公共団体 : 条例 ( 個人情報保護条例 ) 国地方公共団体行政機関個情報法条例民間部門個人情報保護法私立大学 ( 適用除外 ) わが国の個人情報保護法制国立大学等 Copyright @ Tomomi HIOKI All Rights Reserved ( 独立行政法人等 ) 4 独法等個情法

1-1. 産学連携の研究と適用法令 1 民間部門個人情報保護法 2 私立大学学会 ( 適用除外 ) 3 国立大学等 ( 独立行政法人等 ) 独法等個情法 2 には学会に所属する企業の従業員らも含まれる 3 には理化学研究所国立がん研究センター産業技術総合研究所といった国立研究開発法人も含まれる公立大学は条例の適用を受ける Copyright @ Tomomi Hioki All Rights Reserved 産学連携の研究を行う場合 1.1 企業と 2 私立大学によるもの個人情報の取扱いに対して個人情報保護法が適用される私立大学の学術研究目的での個人情報の取扱いは法の適用から除外 2.1 企業と 2 国立大学によるもの企業は個人情報保護法が国立大学は独法等個情法が適用される独法等個情法に適用除外の規定はない一つの目的のために一体として個人情報を取り扱うとしても適用法が異なるため適正な取扱いに齟齬が生じるおそれがある 5

1-2. 個人情報保護法の適用除外個人情報保護法行政機関個情法独法等個情法はそれぞれ改正されており平成 29 年 5 月 30 日に全面施行となるこの改正に伴いこれまで法令の運用上あいまいとされてきた部分についてガイドライン等によって明確化されるところがあるすでに政令規則またはそのパブリックコメントの結果ガイドライン等によって明らかとされたところについてもさらなる説明が待たれる部分が残る私立大学研究所 1 つの主体とみなすことができる共同研究学会 ( 学会に所属する医師等も含みます ) 等が行う学術研究のように供する目的で個人情夫おを取り扱う場合には同法第 4 章の規定は適用されません ( 個人情報保護法ガイドラインのパブリックコメント結果より ) なお行政機関独立行政法人地方公共団体等 ( 国立大学や公立大学も含みます ) における個人情報の取扱いについては各々に適用される法律又は条令に従う必要があります ( 個人情報保護法ガイドラインのパブリックコメント結果より ) Copyright @ Tomomi Hioki All Rights Reserved 6

2. 保護対象である個人情報とは何か存する個に関する情報であって個情報 (1) 名年その他の記述等により特定の個を識別することができるもの ( 他の情報と容易に照合することができそれにより特定の個を識別することができることとなるものも含む ) < 例 > データベース化されていない書写真声等に記録されているもの名住所年 (2)(1 は2の) 個識別符号が含まれるもの 1 特定の個の体 < 例 > 顔認識 2 対象者ごとに異なるデータの部の特徴を電計算機のために変換した符号指紋認識データ個情報と紐づく情報移動履歴ものとなるように役務の利商品の購は書類に付される符号個情報と紐づく情報保有個データ (2)(1 は2の) 個識別符号が含まれるもの Copyright @ Tomomi HIOKI All Rights Reserved < 例 > 購買履歴免許証番号旅券番号要配慮個情報存する個に関する情報であって (1) 名年その他の記述等により特定の個を識別することができるもの ( 他の情報と照合することができそれにより特定の個を識別することができることとなるものも含む ) < 例 > データベース化されていない書写真声等に記録されているもの名住所年移動履歴個情報購買履歴要配慮個情報適正加匿名加情報識別加情報 7

3. データの取得利用目的に関する規律取得利用目的目的変更目的外利用個人情報保護法行政機関個情法独法等個情法要配慮個人情報のみ本人同意が必要 ( 17Ⅱ) 法令の定める所掌事務を遂行するために必要な場合に限り保有可能 ( 3 Ⅰ) 法令の定める業務を遂行するために必要な場合に限り保有可能 ( 3Ⅰ) できる限り利用目的を特定 ( 15Ⅰ) 利用目的の通知公表 ( 18) できる限り利用目的を特定し ( 3Ⅰ) 達成に必要な範囲を超えた保有は不可 ( 同条 Ⅱ) できる限り利用目的を特定し ( 3Ⅰ) 達成に必要な範囲を超えた保有は不可 ( 同条 Ⅱ) 1 変更前後の利用目的間に合理的関連性があれば変更可能 ( 15Ⅱ) 2 利用目的を達成するのに必要な範囲を超える目的での利用に本人同意が必要 ( 16) 1 変更前後の利用目的間に相当の合理的関連性があれば変更可能 ( 3Ⅲ) 2 目的外利用提供禁止 ( 8 Ⅰ) 本人同意統計作成学術研究目的等での提供が認められる ( 同条 Ⅱ) 1 変更前後の利用目的間に相当の合理的関連性があれば変更可能 ( 3Ⅲ) 2 目的外利用提供禁止 ( 8 Ⅰ) 本人同意統計作成学術研究目的等での提供が認められる ( 同条 Ⅱ) Copyright @ Tomomi Hioki All Rights Reserved 8

4. 分析対象となり得るデータとその取扱い 3. データの取得利用目的に関する規律等の個人情報に関する規律に則れば産学官のいずれの主体も個人情報を含むデータを利活用できるプロファイリングも禁止されていない個人情報保護法の適用を受ける主体が作成個人情報を加工して 1 特定の個人を識別することができず 2 作成の元となる個人情報を復元することができないようにしたもの個人情報に比べて緩やかな規律に従った取扱いが認められている ( 同法 4 章 2 節 ) プロファイリングも禁止されていないただし作成の元となる個人情報の本人を識別するための行為は禁止されている行政機関国立大学等が民間部門から匿名加工情報を取得し利用することについて行政機関個情法独法等個情法は規定していない Copyright @ Tomomi Hioki All Rights Reserved 9

4. 分析対象となり得るデータとその取扱い行政機関個情法独法等個情法において行政機関国立大学等が作成主体となる非識別加工情報の制度が新設された制度概要は次のスライド参照民間部門の主体が非識別加工情報を取得して利用する場合匿名加工情報の規定に従う行政機関国立大学等は他の行政機関国立大学等が作成する非識別加工情報を取得することは予定されていない個人情報保護法制において統計は個人に関する情報ではないため法制の保護対象外であるとされている Copyright @ Tomomi Hioki All Rights Reserved 10

おわりに国立大学私立大学公立大学ではそれぞれ適用される法令が異なる個人情報保護法制は民間公的分野ごとに定められるセグメント方式を採用適用法の異なる者の間での共同研究においては適用法及び求められる適正な取扱いに注意しながら研究をしなければならない利活用するデータ個人情報に該当するのか法制の対象外の情報なのか等利活用に際して都度判断しなければならない国立大学は匿名加工情報を取得することが法律上制限されていないが取得に際して個人情報該当性を判断し照合性がある場合は個人情報として取り扱う必要がある非識別加工情報は民間部門においてのみ取り扱うことが予定されている国立大学間でデータをやり取りする場合は個人情報の規定に則ることとなる個情報保護法の改正法附則では 13 年毎に個情報保護法の施状況を検討し所要の措置を講ずること 2 個情報保護法制について体的に規定することを含め検討することとされている Copyright @ Tomomi Hioki All Rights Reserved 12