個人情報保護法が2021年に改正された。今回の改正は「デジタル社会の形成を図るための関係法律の整備に関する法律」によるものであるが、2003年の個人情報保護法制定以来の抜本的な改正となる画期的なものである。今回の法改正により官民に一元的に適用される法制度が実現することとなるなど、わが国の個人情報保護制度にとって極めて意義深い改正であることから、本稿ではその概要について紹介する。

まず、今回の抜本的改正の背景としては以下が挙げられている^[1]。

1. デジタル庁の新設で、公的部門のデジタル業務改革を強力に推進することにともない、公的部門で取り扱うデータの質的・量的な増大に備えて、独立した規制機関である個人情報保護委員会が、公的部門を含めて個人情報の取扱いを一元的に監視監督する体制の確立を要すること、
2. 情報化の進展や個人情報の有用性の高まりのなか、官民や地域の枠を超えたデータ利活用の活発化にともないデータ利活用の支障となる現行法制の不均衡・不整合の是正を要すること、
3. 越境データ流通の増加を踏まえ、GDPR〔General Data Protection Regulation: EU一般データ保護規則〕十分制認定への対応など国際的な制度調和を図る必要性が一層向上していること

これらを踏まえ、今回の改正では適用主体毎に個人情報保護法、行政機関個人情報保護法、独立行政法人等個人情報保護法のいわゆる「保護三法」を適用してきたことや、地方公共団体についてはそれぞれの地方公共団体が定める個人情報保護条例に委ねてきたことといったこれまでの枠組みが抜本的に見直され、「保護三法」がすべて個人情報保護法に統合された。

また、地方公共団体についても全国的な共通ルールを規定することとなり、これら全体の所管が個人情報保護員会に一元化されるなど、これまでの制度の枠組みが根底から見直されている。改正のポイントは以下のとおりである^[2]。

1. 個人情報保護法、行政機関個人情報保護法、独立行政法人等個人情報保護法の3本の法律を1本の法律に統合するとともに、地方公共団体の個人情報保護制度についても統合後の法律において全国的な共通ルールを規定し、全体の所管を個人情報保護委員会に一元化。
2. 医療分野・学術分野の規制を統一するため、国公立の病院、大学等には原則として民間の病院、大学等と同等の規律を適用。
3. 学術研究分野を含めたGDPRの十分性認定への対応を目指し、学術研究に係る適用除外規定について、一律の適用除外ではなく、義務ごとの例外規定として精緻化。
4. 個人情報の定義等を国・民間・地方で統一するとともに、行政機関等での匿名加工情報の取扱いに関する規律を明確化。

なお、個人情報保護法については、「個人情報そのもの」を保護するための法律であるとの誤解もあるがそうではない。同法の法目的には様々な議論があるが、同法は個人情報の適正な取り扱いに関するルールを定めることなどにより、個人情報の有用性に配慮しつつ、個人の権利利益を保護することを目的とする法律である。これは同法第一条に明記されていることであり、私たちが今後のデジタル社会と個人情報の関係を考えるうえで押さえておくべき極めて重要な視点である。同法第一条は重要な条文なので、日頃、法律の条文を参照する時間の確保も難しい読者のために令和3年改正後の条文を以下に引用する。ぜひ改めて確認されたい。

「この法律は、デジタル社会の進展に伴い個人情報の利用が著しく拡大していることに鑑み、個人情報の適正な取扱いに関し、基本理念及び政府による基本方針の作成その他の個人情報の保護に関する施策の基本となる事項を定め、国及び地方公共団体の責務等を明らかにし、個人情報を取り扱う事業者及び行政機関等についてこれらの特性に応じて遵守すべき義務等を定めるとともに、個人情報保護委員会を設置することにより、行政機関等の事務及び事業の適正かつ円滑な運営を図り、並びに個人情報の適正かつ効果的な活用が新たな産業の創出並びに活力ある経済社会及び豊かな国民生活の実現に資するものであることその他の個人情報の有用性に配慮しつつ、個人の権利利益を保護することを目的とする。」（下線筆者）

豊かな経済社会や国民生活の実現のためには、個人情報の利活用と個人の権利利益の保護とのいずれか一方に過度に偏ることなく、個人の権利利益を保護することをベースに置いたうえで個人情報の有用性を高めるための法整備を進めること、そして、行政機関や企業などは法令に則ったガバナンス体制や情報の取り扱いの仕組みを整備・構築し、個人情報の適切な取り扱いや管理などの措置を講じていくことが重要である。

また、個人情報のみならず、グローバルに流通するビッグデータやAI（人工知能）の進歩が私たちの社会に豊かさや富をもたらす一方で、個人の権利利益の棄損のみならず国や経済の安全保障に影響を及ぼすものであることも踏まえれば、今後国際的な規律等を整備していくことが必要であり、2019年1月のダボス会議で安倍首相（当時）が提唱したDFFT（Data Free Flow with Trust）の今後の展開も引き続き注視していきたい。

現在、世界各国が個人情報保護に関する法制度を設けているが、最も先進的かつ厳格な規律を適用していると言われているのがGDPRである。GDPRそのものもまだ試行錯誤の段階ではあるものの、EU域外他国の個人情報保護制度にも大きな影響を与えているのも事実であり、日本もその例外ではない。それぞれの国にはその国固有の歴史や文化とそれに基づいた法体系があるのであり、わが国においてもいたずらに他国の制度にあるものがないことをもって、それを導入することは必ずしも妥当ではないであろう。しかしながら、プロファイリングを含む自動処理による個人に関する決定に対する異議申立権など、今後さらに加速する技術革新に対応し、わが国の個人情報保護制度をより堅牢なものにしていくうえでGDPRについての研究を一層深めていくことの意義は大きいと考える。

本稿では令和3年個人情報保護法改正の概要を紹介してきたが、今後、安心・安全で豊かなデジタル社会を実現していくためには、個人情報のみならずデータ保護やその利活用^[3]、情報セキュリティ^[4]、AI倫理^[5]、知的財産^[6]、DTC（Digital Twin Computing）と法^[7]などの多岐に亘るテーマに関する研究を深めていくことが重要である。当社には社会的関心が高いこれらのテーマを専門とする研究員が在籍しており、各分野の専門家として顧客や社会に多くの研究成果を提出・提言している。興味のある方はぜひお声がけいただければ幸いである。これらの調査・研究・コンサルティングを通じて、当社としてもより高度で専門的な知見を顧客や社会に提供していくことにより、情報通信分野のシンクタンクとして便利で快適かつ安全で暮らしやすいデジタル社会の実現に貢献していきたい。