令和4年4月1日施行の改正個人情報保護法では、学術研究機関が学術研究目的で個人情報を取り扱う場合にも、原則として個人情報保護法上の義務を課すこととしつつ、限られた場面で、例外的な取扱いを許容することとされました。
例外的な取扱いを受けられる場面は、次の3つです。
①利用目的変更の制限の例外
②要配慮個人情報取得の制限の例外
③第三者提供の制限の例外
今回は、②と③について整理してみたいと思います。
まず、②の「要配慮個人情報」とは、「本人の人種、信条、社会的身分、病歴、犯罪の経歴、犯罪により害を被った事実その他本人に対する不当な差別、偏見その他の不利益が生じないようにその取扱いに特に配慮を要するものとして政令で定める記述等が含まれる個人情報」と定義されています。(個人情報保護法2条3項)
そして、政令では、心身の機能の障害、健康診断等の結果、医師等による指導・診療・調剤、被疑者・被告人として刑事事件に関する手続きが行われたこと、少年の保護事件に関する手続きが行われたことが列挙されています。(個人情報保護法施行令2条)
・・・何のことかよくわからなくなってきましたね。
ざっくりまとめると、差別や偏見につながるようなセンシティブな情報、と理解しておけば大きな間違いはありません。
さて、個人情報を取得する際には、「偽りその他不正の手段により」取得してはならないというルールがあります。(個人情報保護法20条1項)
さらに、要配慮個人情報の場合は、事前に本人の同意を得ない限り原則として取得してはならない、というルールが加わります。(個人情報保護法20条2項)
改正後の個人情報保護法の下では、学術研究機関等にも20条2項が適用されるのですが、次の2つの場面では、適用除外とされています。(同項5号・6号)
(1)学術研究目的で要配慮個人情報を取り扱う必要があるとき
(2)共同研究をしている外部の学術研究機関等から、学術研究目的で、要配慮
個人情報を取得する必要があるとき
ただし、学術研究目的であっても、個人の権利利益を不当に害するおそれがあるときは、この例外規定は適用されません。
個人的には、学術研究目的で、本人の同意なしに要配慮個人情報を取得する場面が思いつかなかったのですが、わざわざ例外規定が設けられたのですから、何らかの需要があるのでしょうね。
次に、③第三者提供の制限の例外のお話です。
個人データを第三者(学校法人の教職員以外の人)へ提供するには、法令に基づく場合などの例外に当たらない限り、事前に本人の同意を得ることが必要です。(個人情報保護法27条1項)
第三者への提供は、学校法人の外へ情報が洩れていく場面なので、当然といえば当然のルールですね。
ここでも、次のとおり、学術研究機関等のための例外規定が設けられています。
これらの例外規定に当たれば、本人の同意がなくても、第三者への提供が可能となります。(同項5号~7号)
(1)学術研究の成果の公表又は教授のためやむを得ないとき
(2)共同して学術研究を行う第三者に、学術研究目的で提供する必要があるとき
(3)他の学術研究機関等に提供する場合で、その機関が、学術研究目的で当該
個人データを取り扱う必要があるとき
このうち、(1)は、研究成果を論文で公表する場面が典型例ですが、他の例外規定と異なり、「やむを得ないとき」という厳しい要件が設けられています。
研究成果として公表することは、誰でも閲覧できる状態に置かれることを意味するので、他の例外規定よりも高いハードルを課したということです。
例えば、次のような場合、「やむを得ないとき」に当たると考えられます。
・顔面の皮膚病に関する医学論文で、目線を隠すなどすると研究成果の公表と
して意味をなさなくなる場合
・実名で活動する作家の作風を論じる文学の講義において、その出版履歴に
言及する際に、実名を伏せると講義の目的が達成できなくなる場合
(2)と(3)の違いは、少々わかりにくいですね。
(2)は、提供先の「第三者」が学術研究機関である必要はないことがポイントです。
その代わり、学校法人(大学)と共同研究をしている者に限られます。
(3)は、提供先が学術研究機関等でなければならない代わりに、共同研究をしている者である必要はありません。
学術研究機関等が学術研究目的で個人情報を利用する場合の例外規定は、以上のとおりです。
このような例外規定の適用を受ける前提として、学術研究機関等は、学術研究目的で行う個人情報の取扱いについて、個人情報保護法を遵守するだけでなく、個人情報取扱いの適正を確保するために必要な措置を自ら講じ、その措置の内容を公表するよう努めなければなりません。(個人情報保護法59条)
多くの大学が、研究倫理に関する規則や、個人情報の取扱いに関する規則を制定し、公表しているのは、個人情報保護法に沿った対応という側面もあります。
また、一般論として、各大学が自ら定めた規範を遵守している限りは、個人情報保護委員会は規制権限の行使を控えることが想定されています。
執筆:弁護士 小國隆輔
※前回の記事と今回の記事は、次の文献を参照して執筆しました。
・冨安泰一郎=中田響編著『一問一答 令和3年改正個人情報保護法』(商事法務、
2021年)
・個人情報保護委員会ウェブサイト掲載資料「学術研究分野における個人情報保護の
規律の考え方」 https://www.ppc.go.jp/files/pdf/210623_gakujutsu_kiritsunokangaekata.pdf
例外的な取扱いを受けられる場面は、次の3つです。
①利用目的変更の制限の例外
②要配慮個人情報取得の制限の例外
③第三者提供の制限の例外
今回は、②と③について整理してみたいと思います。
まず、②の「要配慮個人情報」とは、「本人の人種、信条、社会的身分、病歴、犯罪の経歴、犯罪により害を被った事実その他本人に対する不当な差別、偏見その他の不利益が生じないようにその取扱いに特に配慮を要するものとして政令で定める記述等が含まれる個人情報」と定義されています。(個人情報保護法2条3項)
そして、政令では、心身の機能の障害、健康診断等の結果、医師等による指導・診療・調剤、被疑者・被告人として刑事事件に関する手続きが行われたこと、少年の保護事件に関する手続きが行われたことが列挙されています。(個人情報保護法施行令2条)
・・・何のことかよくわからなくなってきましたね。
ざっくりまとめると、差別や偏見につながるようなセンシティブな情報、と理解しておけば大きな間違いはありません。
さて、個人情報を取得する際には、「偽りその他不正の手段により」取得してはならないというルールがあります。(個人情報保護法20条1項)
さらに、要配慮個人情報の場合は、事前に本人の同意を得ない限り原則として取得してはならない、というルールが加わります。(個人情報保護法20条2項)
改正後の個人情報保護法の下では、学術研究機関等にも20条2項が適用されるのですが、次の2つの場面では、適用除外とされています。(同項5号・6号)
(1)学術研究目的で要配慮個人情報を取り扱う必要があるとき
(2)共同研究をしている外部の学術研究機関等から、学術研究目的で、要配慮
個人情報を取得する必要があるとき
ただし、学術研究目的であっても、個人の権利利益を不当に害するおそれがあるときは、この例外規定は適用されません。
個人的には、学術研究目的で、本人の同意なしに要配慮個人情報を取得する場面が思いつかなかったのですが、わざわざ例外規定が設けられたのですから、何らかの需要があるのでしょうね。
次に、③第三者提供の制限の例外のお話です。
個人データを第三者(学校法人の教職員以外の人)へ提供するには、法令に基づく場合などの例外に当たらない限り、事前に本人の同意を得ることが必要です。(個人情報保護法27条1項)
第三者への提供は、学校法人の外へ情報が洩れていく場面なので、当然といえば当然のルールですね。
ここでも、次のとおり、学術研究機関等のための例外規定が設けられています。
これらの例外規定に当たれば、本人の同意がなくても、第三者への提供が可能となります。(同項5号~7号)
(1)学術研究の成果の公表又は教授のためやむを得ないとき
(2)共同して学術研究を行う第三者に、学術研究目的で提供する必要があるとき
(3)他の学術研究機関等に提供する場合で、その機関が、学術研究目的で当該
個人データを取り扱う必要があるとき
このうち、(1)は、研究成果を論文で公表する場面が典型例ですが、他の例外規定と異なり、「やむを得ないとき」という厳しい要件が設けられています。
研究成果として公表することは、誰でも閲覧できる状態に置かれることを意味するので、他の例外規定よりも高いハードルを課したということです。
例えば、次のような場合、「やむを得ないとき」に当たると考えられます。
・顔面の皮膚病に関する医学論文で、目線を隠すなどすると研究成果の公表と
して意味をなさなくなる場合
・実名で活動する作家の作風を論じる文学の講義において、その出版履歴に
言及する際に、実名を伏せると講義の目的が達成できなくなる場合
(2)と(3)の違いは、少々わかりにくいですね。
(2)は、提供先の「第三者」が学術研究機関である必要はないことがポイントです。
その代わり、学校法人(大学)と共同研究をしている者に限られます。
(3)は、提供先が学術研究機関等でなければならない代わりに、共同研究をしている者である必要はありません。
学術研究機関等が学術研究目的で個人情報を利用する場合の例外規定は、以上のとおりです。
このような例外規定の適用を受ける前提として、学術研究機関等は、学術研究目的で行う個人情報の取扱いについて、個人情報保護法を遵守するだけでなく、個人情報取扱いの適正を確保するために必要な措置を自ら講じ、その措置の内容を公表するよう努めなければなりません。(個人情報保護法59条)
多くの大学が、研究倫理に関する規則や、個人情報の取扱いに関する規則を制定し、公表しているのは、個人情報保護法に沿った対応という側面もあります。
また、一般論として、各大学が自ら定めた規範を遵守している限りは、個人情報保護委員会は規制権限の行使を控えることが想定されています。
執筆:弁護士 小國隆輔
※前回の記事と今回の記事は、次の文献を参照して執筆しました。
・冨安泰一郎=中田響編著『一問一答 令和3年改正個人情報保護法』(商事法務、
2021年)
・個人情報保護委員会ウェブサイト掲載資料「学術研究分野における個人情報保護の
規律の考え方」 https://www.ppc.go.jp/files/pdf/210623_gakujutsu_kiritsunokangaekata.pdf