令和3年個人情報保護法「改正」で個人情報保護条例はどうなる? 

さいとうゆたか弁護士

執筆 新潟県弁護士会 弁護士齋藤裕(2019年度新潟県弁護士会会長、2023年度日弁連副会長)

新潟県弁護士会の弁護士齋藤裕にご相談ください

1 デジタル社会形成整備法に伴う個人情報保護法「改正」で個人情報保護法はどうなる?

令和3年5月12日、デジタル社会の形成を図るための関係法律の整備に関する法律案が国会で可決・成立し、19日に公布されました。改正後の個人情報保護法の条文は政府のサイトをご覧ください。
同法には地方自治体の個人情報保護条例に関する規定がありますが、それらは公布から2年以内の政令で定める日に施行されることになります。
同法の審議過程では、平井担当大臣が、同法施行により、従来の個人情報保護条例がリセットされるとの発言をしています。
個人情報保護委員会も、法施行後には、自治体が独自性のある条項を維持することができるのはかなり例外的な場合に限られるとの見解を示しています。
しかし、担当大臣や個人情報保護委員会の見解は、従来の判例等に照らすと誤りというしかありません。

従来の判例等に照らし、個人情報保護条例中、法律とは異なる規定の多くが有効であり続けると考えます。

以下、何回かに分けて解説していきます。

2 法律と上乗せ横出し条例の関係

法律と条例とが違う内容を定めている場合、それらの関係をどのように解するべきか、従来から議論がありました。
これは条例による上乗せ横出しの問題です。

この点については、徳島市公安条例事件についての最高裁昭和50年9月10日判決が以下のとおり判断を示しています。

ⅰ 普通地方公共団体の制定する条例が国の法令に違反する場合には効力を有しないことは明らかであるが、条例が国の法令に違反するかどうかは、両者の対象事項と規定文言を対比するのみでなく、それぞれの趣旨、目的、内容及び効果を比較し、両者の間に矛盾牴触があるかどうかによつてこれを決しなければならない。

ⅱ 例えば、ある事項について国の法令中にこれを規律する明文の規定がない場合でも、当該法令全体からみて、右規定の欠如が特に当該事項についていかなる規制をも施すことなく放置すべきものとする趣旨であると解されるときは、これについて規律を設ける条例の規定は国の法令に違反することとなりうるし、逆に、特定事項についてこれを規律する国の法令と条例とが併存する場合でも、後者が前者とは別の目的に基づく規律を意図するものであり、その適用によつて前者の規定の意図する目的と効果をなんら阻害することがないときや、両者が同一の目的に出たものであつても、国の法令が必ずしもその規定によつて全国的に一律に同一内容の規制を施す趣旨ではなく、それぞれの普通地方公共団体において、その地方の実情に応じて、別段の規制を施すことを容認する趣旨であると解されるときは、国の法令と条例との間にはなんらの矛盾牴触はなく、条例が国の法令に違反する問題は生じえないのである。

このように、判例によると、法律と条例の趣旨などを検討し、上乗せ条例・横出し条例が許されるかどうか検討すべきということになります。

改正法が個人情報の保護をもっぱらはかるものだとすると、条例によりその保護レベルを引き上げることは当然に許容されることになるでしょう。

しかし、改正後の個人情報保護法の目的(1条)は、個人情報の活用と個人の権利利益の保護をはかることを目的としています。

そうだとすると、条例による個人情報保護のレベルアップは、個人情報の活用を妨げるものとして、改正後個人情報保護法により許されないということになりそうです。

ここで注目すべきは、個人情報保護法は「個人情報の活用」という文言を用いていることです。

個人情報保護法が守ろうとする「個人情報の活用」や「個人の権利利益の保護」と抵触する個人情報保護条例の規定の効力は否定される可能性があります。

しかし、それ以外の目的や効果を有する個人情報保護条例の規定については、個人情報保護法がその存在を放置していると考えられます。

つまり、センシティブ情報の取得規制などの取得規制条項、死者の個人情報保護規定など、「個人情報の活用」と無関係な規定については、個人情報保護条例での上乗せ・横出し保護が認められることになります。

3 どのような規定が「個人情報の活用」の目的を阻害することになるのか?

上乗せ・横出しの観点で検討すべき論点のもう1つは、「個人情報の活用」に関する個人情報保護条例の規定に関し、自治体としての裁量が認められるかです。

この点、令和3・3・18 衆議院内閣委員会において、立法過程に関与した石井夏生利参考人は、「内閣官房での検討会の中で、地方公共団体の条例がどうなっているかということを非常に細かく調べまして、今回の法案の中では、おおむね地方公共団体の条例に規定されているものがカバーできるような形の標準的な共通ルールを設けている」としています。

つまり、これまで多くの個人情報保護条例で採用されてきたような条項については、実質的に存続させるのが個人情報保護法の趣旨と言えます。

ですから、「個人情報の活用」に関する個人情報保護条例の規定であっても、多くの自治体が採用してきたような条項については存続が許される、あるいは個人情報保護法の規定にあわせた個人情報保護法の改正をした場合でも従来の個人情報保護条例の規定の趣旨に沿った解釈がなされるということになります。

4 個人データの取得規制など

1 はじめに

 
前回、デジタル社会形成整備法に伴う個人情報保護法「改正」に関し、個人情報の利活用に関するもの以外は個人情報保護条例で独自の規定をすることができると延べました。
 
その中には、死者の個人情報に関わる規定も含まれます(死者の個人情報については、生者の個人情報とは別個のものであることを明確にするため、独自に条例を作るとよいでしょう)。
 
生者の個人情報に関わる規定について、以下検討します。
 

2 センシティブ情報の原則取得禁止、本人収集原則等、個人情報保護条例に特有の規定の効力

 
新潟市個人情報保護条例には、「改正」後個人情報保護法には存在しない規定で、かつ、利活用に関連しないものとして以下の規定があります。
 
(収集の制限)第7条 センシティブ情報の原則取得禁止、本人収集原則
(適正管理)第10条 保有期間経過後の保有個人情報廃棄
 
これらの規定は他の自治体の個人情報保護条例にもみられるものです。
これらの規定は、「改正」個人情報保護法の主要な2目的のうちの1つである個人情報保護を推進するものです。
また、収集や管理場面における規定であり、利活用場面の規定ではありませんので、「改正」個人情報保護法の主要な2目的のうちの1つである個人情報の利活用を阻害することにもなりません。
そうであれば、このような収集や管理場面に関する規定があっても、「改正」個人情報保護法と抵触することはなく、これらの規定は「改正」個人情報施行後も存置が許されることになります。
 
 この他、個人情報保護条例の中には、開示請求手続により開示された個人情報以外でも訂正や利用停止請求を認めるものがあります。これは開示請求により開示された個人情報のみについて訂正等を認める「改正」個人情報保護法とは異なる規定です。
 このような訂正等は利活用とは直接関係しませんので、個人情報保護法で独自の定めをすることは許されます(むしろ、利活用という側面でも、誤っている情報を正し、正確な情報とすることはメリットがあると言えます)。
 ただし、個人情報保護法「改正」の国会審議でも、開示されていない個人情報の訂正等を認めることで、開示が認められない情報が訂正等の手続きの中で事実上開示される結果となることが指摘されているところです。開示請求で不開示とされるべき情報についての訂正等は認めない、訂正請求を認めるとしてもその結果を請求者に知らせると非開示情報を開示するのと同じ結果となる場合には結果を請求者に知らせない扱いも許容するなどの手当は必要でしょう。

5 個人情報保護法改正で審議会はどうなる?

1 個人情報保護法「改正」と審議会

「改正」後の個人情報保護法は、以下の規定を置いています。

(地方公共団体に置く審議会等への諮問)
第百二十九条 地方公共団体の機関は、条例で定めるところにより、第三章第三節の施策を講ずる場合その他の場合において、個人情報の適正な取扱いを確保するため専門的な知
見に基づく意見を聴くことが特に必要であると認めるときは、審議会その他の合議制の機関に諮問することができる。

この規定により、審議会等への諮問は「特に必要であると認めるとき」に限られるようになるのでしょうか?

2 個人情報保護法「改正」で審議会についての規定が設けられた立法趣旨

この点、同規定の趣旨について、以下のような国会答弁がなされています。

〇令和3年5月11日 参議院内閣委員会 政府参考人

「個別の個人情報の取扱いの判断につきましては、国が策定するガイドラインも作られますし、個人情報保護委員会の先ほどもお話がございました助言等もございますので、そういったものを参照することで解決する場合、あるいは不明確な部分がクリアになっていくことが多いと考えられます。したがいまして、地方公共団体が個別の個人情報の取扱いの判断につきまして審議会に諮問する必要性は減少していくものと考えております。」

つまり、審議会に諮問する必要性が原則ないというのが同規定の趣旨とされています。

審議会に諮問することの積極的な弊害、特に個人情報の利活用上の弊害は政府参考人により指摘されていません。

そうであれば、審議会に対し、従来どおりの事項について諮問をする条例の規定を設けても、個人情報保護という立法目的はもちろん、個人情報の利活用という立法目的を阻害するものではないと考えられます。

既に述べたところですが、徳島市公安条例事件についての最高裁昭和50年9月10日判決は、普通地方公共団体の制定する条例が国の法令に違反する場合には効力を有しないことは明らかであるが、条例が国の法令に違反するかどうかは、両者の対象事項と規定文言を対比するのみでなく、それぞれの趣旨、目的、内容及び効果を比較し、両者の間に矛盾牴触があるかどうかによつてこれを決しなければならないと述べているところです。

よって、判例に照らし、審議会のあり方を根本的に変更する必要はありません。

ただし、審議会が、個人情報の目的外利用・提供を例外的に許容する役割を担っている場合については、「改正」個人情報保護法を受け、個人情報保護条例の目的外利用・提供に関わる規定を「改正」した場合、その限度で審議会の役割が変更することがあるのは当然のことです。

6 自己情報コントロール権を定める条例の効力

1 自己情報コントロール権について定める条例の事例

個人情報保護条例の中には、自己情報コントロール権について定めているところがあります。

たとえば、下諏訪町個人情報保護条例は以下のとおり、目的規定に「自己情報コントロール権」について定めています。

(目的)

第1条 この条例は、自己に関する個人情報(個人情報に該当しない特定個人情報を含む。以下この条において同じ。)の開示、訂正及び利用中止を求める町民の権利を「自己情報コントロール権」として保障するとともに、個人情報の適正な取扱いに関し必要な事項を定めることにより、個人の権利及び利益を保護し、もって町民の基本的人権の擁護と公正で公平な町政の推進に資することを目的とする。

この他にも、前文で自己情報コントロール権について定めている条例(沖縄県個人情報保護条例など)、言葉としては自己情報コントロール権という用語は用いていないものの解説において個人情報保護条例の目的を自己情報コントロール権の保障と位置づけるもの(調布市個人情報保護条例など)も少なくありません。

また、野田市個人情報保護条例は、以下のとおり、個人情報の提供の可否に関連して「自己情報コントロール権」という言葉を使っています。

(自己情報コントロール権の保障)

第5条の2 実施機関は、個人情報を第9条第1項第5号に掲げる事由により個人情報を取り扱う事務の目的以外の目的のために実施機関以外のものに提供しようとするときは、当該提供の対象となる者(以下この条において「対象者」という。)に対し、あらかじめ、提供の趣旨及び内容、異議がある場合の申出の方法その他対象者の自己情報コントロール権を保障するために必要な事項を野田市報及び野田市のホームページへの掲載の方法により周知しなければならない。

2 実施機関は、前項に規定する申出があったときは、原則として、その者の個人情報の提供をしてはならない。

同条例の解説によると、ここでいう「自己情報コントロール権」というのは、異議なく個人情報の提供をされない権利という程度に解釈されているようです。

2 「改正」個人情報保護法の立場

「改正」個人情報保護法のもとで、個人情報保護条例に自己情報コントロール権について規定できるかどうかについて、以下の政府参考人答弁があります。

令和3年4月22日参議院内閣委員会政府参考人答弁

「自己コントロール権につきましては、地域の特性と関係しないものと考えられますので、具体的な法的効果を伴う権利として条例に規定するということはできませんけれども、純粋に理念的な事項としてでありますと、法律上の共通ルールの内容を変更しないということでありますので、改正後、改正案の施行後においても条例に規定することは可能だと考えております。」

現実には、目的規定や前文で「自己情報コントロール権」についてふれている従来の個人情報保護条例でいう「自己情報コントロール権」という言葉は、他の条項とは独立して具体的な内容のある権利を保障するというより、条例上の個々の権利が重要なものであることを示す修飾のために使われてきたように思われます。

そうであれば政府参考人答弁も踏まえると、目的規定の中で「自己情報コントロール権」について定めた個人情報保護条例の多くは、「純粋に理念的な事項」として「自己情報コントロール権」について触れているものであり、存続が許されると考えられます。

ただし、野田市個人情報保護条例のように、個人情報の提供の可否に関し自己情報コントロール権の用語が使われている事例については、政府参考人答弁からは存続が許されないということになりそうです。そもそも、「自己情報コントロール権」を異議なく個人情報を提供されない権利というように限定的に解釈するのが一般的とも思われませんし、用語の整理が必要なのではないかと思われます。用語の整理の上、「改正」個人情報保護法の個人情報の目的外提供に関する規定に徴し許されるかどうかという検討が必要でしょう。

7 オンライン結合を禁止する個人情報保護条例の行く末

1 個人情報保護条例によるオンライン結合原則禁止

個人情報保護条例の中にはオンライン結合を原則禁止としているものが多くあります。

 

例えば、新潟市個人情報保護条例は以下のとおり定めています。

 

(オンライン結合による提供の制限)

第9条 実施機関は,通信回線を用いた電子計算機その他の情報機器の結合(保有個人情報を実施機関以外のものが随時入手し得る状態にするものに限る。)により,保有個人情報を実施機関以外のものへ提供してはならない。ただし,次の各号のいずれかに該当するときは,この限りでない。

(1) 法令等に定めがあるとき。

(2) 実施機関が,審議会の意見を聴いたうえで特に必要があると認めたとき。

 

同時に、以下のとおり適正管理についても定めています。

 

(適正管理)

第10条 実施機関は,保有個人情報を適正に管理するため,個人情報保護管理者を置くとともに,次に掲げる事項について必要な措置を講じなければならない。

(1) 保有個人情報は,正確かつ最新のものとすること。

(2) 保有個人情報の漏えい,改ざん,滅失,き損その他の事故を防止すること。

 

2 「改正」個人情報保護法のもとでのオンライン結合原則禁止条項の効力はどうなるか?

「改正」個人情報保護法はオンライン結合について規定を置いていません。

また、「改正」個人情報保護法は、個人情報の利活用を目的の1つとしているところ、オンライン結合原則禁止は個人情報の利活用を妨げる側面を持ちます。

そうだとすると、「改正」個人情報保護法のもとでは、個人情報保護条例にオンライン結合原則禁止条項を置くことは許されないとの解釈もありえます。

この点、「改正」個人情報保護法のもとでのオンライン結合原則禁止条項について、宍戸常寿参考人は以下のとおり述べています。

〇令和3年5月6日 参議院内閣委員会 宍戸常寿参考人

「ルールの共通化に対しては、要配慮個人情報の取得を原則禁止としたりオンライン結合を禁止したりしている条例から見ると保護の切下げになるのではないかという懸念が指摘されております。私は、今回の改正法案は、全国的に見れば保護水準を高めるものであり、また、指摘されている点はおおむね安全管理措置や不適正取得禁止規定などによって対応可能であると考えます」

ここからすると、各個人情報保護条例の安全管理措置規定に関し、オンライン結合による漏えい等の危険性について特に着目して解釈、運用することは許されそうです。

ですから、自治体においては、仮にオンライン結合原則禁止規定を削除することとなるとしても、安全管理措置規定の運用の中で、オンライン結合の危険性について十分配慮することが求められると言えます。

あるいは、「改正」個人情報保護法の66条(安全管理措置)の細目事項としてオンライン結合原則禁止規定を設けることが許されるという解釈がありえないわけではないと考えます。

さいとうゆたか法律事務所トップはこちらです。

コメントを残す

メールアドレスが公開されることはありません。 が付いている欄は必須項目です