今年4月1日に、改正個人情報保護法が施行されました。

令和2年改正と令和3年改正が同時に施行されたこともあり、とてもややこしいことになっています。
個人情報保護法の改正について研修をしてほしい…というご依頼が急に増えたので、やっぱりややこしい改正だったんだなー、と思っているところです。

さて、令和3年改正のうち、「学術研究分野における個人情報保護の規律」について整理してみようと思います。

従前の個人情報保護法では、学術研究機関が学術研究目的で個人情報を取り扱う場合、同法で課される義務が一律に適用除外とされていました。(改正前の個人情報保護法76条1項3号)

ところが、この適用除外の結果として、EUのGDPR(General Data Protection Regulation:一般データ保護規則)における十分性認定が、国内の学術研究機関に及ばないという問題が指摘されていました。
要するに、EUの大学や研究機関との共同研究に、支障が生じかねない状況だったということです。

そこで、今回の改正では、学術研究機関が学術研究目的で個人情報を取り扱う場合にも、原則として個人情報保護法上の義務を課すこととしつつ、限られた場面で、例外的な取扱いを許容することとされました。

例外的な取扱いを受けられる場面は、次の3つです。
  ①利用目的変更の制限の例外
  ②要配慮個人情報取得の制限の例外
  ③第三者提供の制限の例外

まず、①利用目的変更の制限の例外を見てみましょう。

個人情報取扱事業者(ここでは、学校法人を指すと思ってください)は、個人情報を取得する際には、その利用目的を、あらかじめ公表しておくか、個人情報取得後速やかに本人に通知又は公表しなければなりません。(改正後の個人情報保護法21条1項)
利用目的を変更した場合も、本人への通知又は公表が必要です。(同条3項)

そのうえで、個人情報取扱事業者は、本人の同意を得なければ、利用目的の達成に必要な範囲を超えて、個人情報を取り扱ってはならないとされています。(改正後の個人情報保護法18条1項)
学術研究機関にも18条1項は適用されるのですが、次の2つの場面では、適用除外とされています。(同条3項5号・6号)
  (1)学術研究目的で取り扱う必要があるとき
  (2)外部の学術研究機関等に個人データを提供する場合であって、その学術研究
   機関等が学術研究目的で個人データを取り扱う必要があるとき

ざっくりまとめると、学術研究機関が、学術研究目的で利用するときは、本人同意なしに個人情報の利用目的を変更しても、個人情報保護法違反にはならないということです。
ただし、学術研究目的であっても、個人の権利利益を不当に害するおそれがあるときは、この例外規定は適用されません。
例えば、医学研究において、本人の同意なく介入研究を行う場合などは、個人の権利利益を不当に害するおそれがあると考えられます。

なお、個人情報保護法に違反しないとしても、各大学が定める研究倫理に関する規則などでは、利用目的を変更するときには原則として本人同意を得るように定めていることがあります。
法律に違反しているか否かの議論と、研究者としての倫理にかなっているか否かの議論は、別のレベルの議論だということです。

長くなってしまったので、②要配慮個人情報取得の制限の例外と、③第三者提供の制限の例外については、別の記事にしたいと思います。


執筆:弁護士 小國隆輔