個人情報保護法が令和２年，令和３年と続けて改正されて2022年４月から施行されていると聞きました。どういう改正内容なのでしょうか。ざっくりと教えてください。

令和２年改正個人情報保護法は，いわゆる３年ごと見直し規定に基づく初めての法改正です。他方，令和３年改正個人情報保護法は，デジタル社会形成整備法に基づく，官民一元化を狙った法改正です。令和２年改正個人情報保護法は，令和４年４月に全面施行されました。令和３年改正個人情報保護法の一部も，同じく令和４年４月に施行されましたが，残りは令和５年春に施行予定です。
本稿では，改正概要とスケジュールについておさらいをします。次回以降，仮名加工情報等，法改正の内容を具体的に取り上げていきます。

1.       平成27年改正について

個人情報の保護に関する法律（個人情報保護法）は，平成15年（2003年）に成立し，平成17年（2005年）に全面施行されました。
今やビジネスや生活の様々な面で当然のように検討事項や論点として浮上する個人情報保護法ですが，制定当時は，同法を新たに制定することが報道の自由や取材の自由との関係で問題視されたこともありました[i]。

しかし，その後，情報化社会の進展が急速に進み，データは資源であり有効に利活用すべきであるという認識が生まれるなどした社会状況の大きな変化を受けて，平成27年，個人情報保護法は改正されました（2017年（平成29年）5月全面施行。平成27年改正法と呼ばれます。）。

 

2.       ３年ごと見直し規定について

平成27年改正がなされた時，附則（平成27年９月９日法律第65号）第12条第３項に「政府は、前項に定める事項のほか、この法律の施行後三年ごとに、個人情報の保護に関する国際的動向、情報通信技術の進展、それに伴う個人情報を活用した新たな産業の創出及び発展の状況等を勘案し、新個人情報保護法の施行の状況について検討を加え、必要があると認めるときは、その結果に基づいて所要の措置を講ずるものとする」と定められました。これが，いわゆる「３年ごと見直し規定」です。

この「３年ごと見直し規定」に基づき，平成27年改正法が施行された2017年から約１年半後の平成30年（2018年）12月から具体的な見直しの検討がなされて，令和２年改正個人情報保護法（令和２年改正法と呼ばれます。）が成立し，今年（令和４年）4月１日に施行されました[ii]。

なお，「施行後三年ごとに」の「ごと」ですが，令和２年改正法により「施行後三年を目途として」と変更されました。これは，「施行後三年ごと」として2023年を目途に次の見直しを行うよりも，令和２年改正法の施行状況について十分な検討期間を設けようという趣旨からです[iii]。このため，令和２年改正法の附則に改めて「施行後三年ごと」として３年ごと見直し規定が設けられましたので，次は，令和２年改正法が施行された今年から3年後の2025年が改正の目途となります（附則（令和２年６月12日法律第44号）第10条）。

3.       個人情報保護法の改正動向をフォローすることの重要性について

個人情報保護法の改正内容や改正スケジュールをフォローすることは，今や，スタートアップやベンチャー企業，中小企業も含めてすべての企業にとって必要なタスクとなっています。

なぜなら，一人ベンチャーで，まだ誰とも連絡先交換もしていないというようなスタートアップの萌芽ともいえる段階の企業・個人事業主を除けば，ほとんどの企業ないし個人事業主は，個人情報保護法の適用を受ける個人情報取扱事業者に該当するからです[iv]。また，BtoCビジネスではなくBtoBビジネスのみを行う企業であっても，従業員や取引先担当者の個人情報を取り扱うわけですから，個人情報取扱事業者に該当し得ます。この点，誤解しないよう要注意です。

令和２年改正法の内容の詳細については，次回以降で紹介しますが，まずはその概要を押さえておきましょう。

図 1：令和２年改正法の概要[v]

4.       令和３年改正個人情報保護法について

(1)     デジタル社会形成整備法について
冒頭に記載したとおり，令和３年個人情報保護法（令和３年改正法と呼ばれます。）は，３年ごとの見直し規定に基づくものではなく，デジタル社会形成整備法（デジタル社会の形成を図るための関係法律の整備に関する法律，令和3年5月19日法律第37号）に基づくものです。

デジタル社会形成整備法は，デジタル社会の形成に関する施策を実施するために，121本もの法律を改正する内容でしたが[vi]，大きくは，以下の４つの柱からなります[vii]。

①個人情報保護制度の見直し
②マイナンバーを活用した情報連携の拡大等による行政手続の効率化
③マイナンバーカードの利便性の抜本的向上，発行・運営主体の抜本的強化
④押印・書面の交付等を求める手続きの見直し

この点，上記②や③に関連する動きとして，マイナンバーカードの普及が考えられます。当該普及を見据えて，公的個人認証を活用した新たなインターネットサービスや，マイナンバーカードのICチップ内の空き領域を活用した新たな事業[viii]を検討している企業もあるでしょう。

では，個人情報制度の見直し（上記①）については，民間企業において，どのような影響があるのでしょうか？

(2)     令和３年改正個人情報保護法の概要
上記①については，3年ごと見直し規定と同様に，個人情報保護法の平成27年改正に端を発しています。すなわち，個人情報保護法の平成27年改正がなされたとき，附則（平成27年９月９日法律第65号）第12条第６項に「政府は、新個人情報保護法の施行の状況、第一項の措置の実施の状況その他の状況を踏まえ、新個人情報保護法第二条第一項に規定する個人情報及び行政機関等保有個人情報の保護に関する規定を集約し、一体的に規定することを含め、個人情報の保護に関する法制の在り方について検討するものとする」（※下線は筆者加筆）と定められました。

これにより，いわゆる個人情報保護法制2000個問題[ix]を解消すべく，ようやく一元化に向けた動きが始まり，今般，デジタル社会形成整備法50条による改正で，行政機関及び独立行政法人等に関する規律の規定や学術研究機関等に対する適用除外規定の見直し等が行われ（令和４年４月１日施行。改正の概要は図 2参照。詳細については次々稿をご覧ください。），同法第51条による改正で，地方公共団体に関する規律の規定が創設されました（令和５年春頃施行予定。改正の概要は図 3参照）[x]。

図 2：個人情報保護制度の見直しの全体像[xi]

図 3：地方公共団体の個人情報保護制度の在り方（改正の概要）[xii]

このように，令和３年改正法は，一見すると地方公共団体に関するものであり，民間企業には関係ないようにも思われますが，国公立大学や地方公共団体との共同研究，PoCや実証実験など行う民間企業においては，相手方（国公立大学等）を規律する法律・条例が変わっていくわけですから，令和３年改正法の改正動向についてもフォローすることが望ましいものです。

ちなみに，このように我が国の個人情報保護制度において，行政機関・独立行政法人・民間企業と縦割りが生じてしまい，地方公共団体については2000個問題と言われるような状況になったのは，平成15年に個人情報保護法を新たに制定する際に，国と地方公共団体については既に個人情報の保護に関する法律や条例があるものの，民間企業については個人情報の取扱いを統一的に規制する法律がないという状況に端を発したと考えられます[xiii]。

平成15年当時はない部分をカバーするという発想でよかったのですが，約20年近く，縦割りの個人情報保護法制が動いていく中で，様々な問題点が生じてきてしまったのが，ようやく解決されるようになったと言えます。

2022年4月12日

 

---

[i] 個人情報保護法の沿革については，園部逸夫＝藤原靜雄「個人情報保護法の解説 《第二次改訂版》」30～33頁（ぎょうせい・平成30年２月）等をご参照ください。

[ii] 平成31年（2019年）４月25日に，検討の中間整理として「個人情報保護法 いわゆる３年ごと見直しに係る検討の中間整理」（https://www.ppc.go.jp/files/pdf/190425_chukanseiri.pdf）が，令和元年（2019年）12月13日に，個人情報保護法の３年ごと見直しの内容を取りまとめた「個人情報保護法 いわゆる３年ごと見直し 制度改正大綱」（https://www.ppc.go.jp/files/pdf/200110_seidokaiseitaiko.pdf）がそれぞれ公表されました。令和２年改正は，当該大綱に基づいてなされた改正です。

[iii] 佐脇紀代志編著「一問一答 令和２年改正個人情報保護法」Q100・116頁（商事法務・2020年11月）

[iv] 「個人情報取扱事業者」（個人情報保護法第2項第5項柱書）は，「個人情報データベース等を事業の用に供している者をいう」と定義されているところ，この「者」には個人も含まれ，法人や団体に限った話ではないので，まさにスタートしたばかりの個人事業主も含まれ得ます（宇賀克也「個人情報保護法の逐条解説［第６版］」73頁（有斐閣・2018年６月）等ご参考）。

[v] 個人情報保護委員会ウェブサイト（https://www.ppc.go.jp/files/pdf/200612_gaiyou.pdf）より抜粋。

[vi] https://hourei.ndl.go.jp/simple/detail?lawId=0000153940&current=-1#amended

[vii] 概要（https://www.cas.go.jp/jp/houan/210209_3/siryou1.pdf，内閣官房ウェブサイト。または，https://www.ppc.go.jp/files/pdf/seibihouan_gaiyou.pdf，個人情報保護委員会ウェブサイト）

[viii] 総務省自治行政局住民制度課「民間事業者によるマイナンバーカードの活用」（令和２年５月13日，https://www.cao.go.jp/bangouseido/pdf/topic_card_minkan.pdf）

[ix] 鈴木正朝「個人情報保護法制２０００個問題について」（2016年11月，https://www.cas.go.jp/jp/seisaku/kojinjyoho_hogo/index.html）

[x] 個人情報保護委員会ウェブサイト（https://www.ppc.go.jp/personalinfo/minaoshi/）

[xi] 個人情報保護委員会ウェブサイト（https://www.ppc.go.jp/files/pdf/seibihou_gaiyou.pdf）より抜粋。

[xii] 前掲注xivに同じ。

[xiii] 個人情報保護法の制定にあたり検討を進めていた，高度情報通信社会推進本部個人情報保護検討部会の「我が国における個人情報保護システムの在り方について（中間報告）」（平成11年11月，https://www.ppc.go.jp/files/pdf/personal_kentobukai_111119chukanhokoku.pdf）において，「個人情報保護を巡る内外の状況」として，我が国については，国レベルでは，公的部門（国の行政機関）のみを対象とするセグメント方式をとっており，地方公共団体レベルでは，当時，全国で1,529団体で個人情報条例が制定されているものの，民間部門における個人情報保護に関しては，全体を対象としたものがないという状況が報告されていました。