喫茶サンリオのメモを買いましたので、家にあったKIRIMIちゃん.のメモと一緒に写真を撮りました。
喫茶サンリオ、本当にかわいくて大好きです。KIRIMIさん、最近グッズが全然出ずに、キャラ大の時にちょっと出るぐらいですが、かわいくて好きなので、もっと出してほしいです。
喫茶サンリオのメモを買いましたので、家にあったKIRIMIちゃん.のメモと一緒に写真を撮りました。
喫茶サンリオ、本当にかわいくて大好きです。KIRIMIさん、最近グッズが全然出ずに、キャラ大の時にちょっと出るぐらいですが、かわいくて好きなので、もっと出してほしいです。
A市では、A市市長部局で保有する健診情報を分析して、健診受診率向上のための施策を検討しています。A市市長部局では、公立病院も運営しており、公立病院の健診情報も分析したいと考えていますが、病院では分析の人手が不足しているためA市市長部局担当部署にて分析したいです。公立病院は、民間と同等の個人情報保護法規制がかかると聞きましたが、2023年4月以降の適用法令についてどう考えればよいのでしょうか。
自治体は、2023年度から個人情報保護法の適用となります。基本的には行政機関と同等の規律となり、個人情報保護法第5章が適用されます。
もっとも、医療・学術分野のデータ流通促進のために、公的機関であっても医療・学術については、民間相当の規律とされることになりました。おっしゃる通り、公立病院は、基本的には民間事業者と同等の規律となり、個人情報保護法第4章が適用されます。
提供とは、一般的には、法人格をまたがる同士の個人情報の授受をいいます。行政機関であれば、A省内であれば提供に該当しませんし、民間事業者であればAホールディングス傘下であってもA1社とA2社の間であれば提供に該当します。
しかし、地方公共団体の場合は、「機関」をまたぐと提供に該当することになります。首長部局と教育委員会間の個人情報の流れは、「利用」ではなく「提供」に該当するということです。これは、マイナンバー法(番号法)でも同じでしたね。
なぜかというと、法律の規定ぶりが「地方公共団体の機関」という規定ぶりだからです。機関単位で考えるように規定されているのです。
個人情報保護法第2条
11 この法律において「行政機関等」とは、次に掲げる機関をいう。
一 行政機関
二 地方公共団体の機関(議会を除く。次章、第三章及び第六十九条第二項第三号を除き、以下同じ。)
三 独立行政法人等(別表第二に掲げる法人を除く。第十六条第二項第三号、第六十三条、第七十八条第一項第七号イ及びロ、第八十九条第四項から第六項まで、第百十九条第五項から第七項まで並びに第百二十五条第二項において同じ。)
四 地方独立行政法人(地方独立行政法人法第二十一条第一号に掲げる業務を主たる目的とするもの又は同条第二号若しくは第三号(チに係る部分に限る。)に掲げる業務を目的とするものを除く。第十六条第二項第四号、第六十三条、第七十八条第一項第七号イ及びロ、第八十九条第七項から第九項まで、第百十九条第八項から第十項まで並びに第百二十五条第二項において同じ。)
Q3-3-2 同一の地方公共団体の異なる機関間における保有個人情報の提供について制限はあるか。
A3-3-2 同一の地方公共団体の異なる機関間における保有個人情報の提供が行われる場合であって、当該保有個人情報について、法令に基づかずに、かつ、利用目的以外の目的のために提供する場合は、本人又は第三者の権利利益を不当に侵害するおそれがなく、かつ法第69条第2項第3号の要件を満たす必要があります。なお、法第69条第2項第3号の「地方公共団体の機関」には議会が含まれるため(法第2条第11項第2号)、地方公共団体の機関が法令に基づかずに保有個人情報を利用目的以外の目的のために議会に提供する場合も、本人又は第三者の権利利益を不当に侵害するおそれがなく、かつ法第69条第2項第3号の要件を満たす必要があります。 (令和4年4月追加)
なお、上記A3-3-2は不正確ですね。2項3号だけじゃなくて4号と1号も該当するでしょう。まあ例外的と考えて、3号だけを記載したんでしょうか。謎です。
提供元のA市立病院と提供先のA市担当部署が、同一機関(例えば、首超部局)である場合は、規律移行法人と非規律移行法人間ではありますが、同一機関内ですので、「提供」ではなく「利用」に該当します。
市立病院側は、個人情報保護法4章適用です。提供ではなく利用であるため、第三者提供の制限(27条)ではなく、目的内取扱い(18条)が問題となります。
まず、市立病院で提供する個人情報の利用目的を、病院のプライバシーポリシー等(個人情報ファイル簿も許容されるか、関連QAとして1-1-8があるが、別法人の場合のQA)で確認し、今回やりたいこと、つまり設例でいえば、健診受診率向上のための施策検討が、利用目的の範囲内か考えます。大雑把にいうと、今の利用目的を読んで、この利用目的なら、健診受診率向上のための施策検討も範囲内だよね、含まれるよね、と一般人が思えるのであれば、目的内と考えて良いでしょう。
もし利用目的の範囲外ということであれば、
を考えます。
②本設例だと公衆衛生の向上のためには該当しそうだが、「特に必要がある」旨を説明できるか。例えば市の状況として、健診受診率を分析することや受診率向上のための施策検討の重要性を根拠をもって説明できるか。「同意を得ることが困難」については、同意を得た者だけの受診率を分析すると、全体を表さない分析となって意味がなくなる等の論証が可能か。
③自治体が法令に定める事務を遂行することに協力する必要があるといえるか。「協力の必要性」を根拠をもって説明できるか。市立病院の健診受診率を分析することの意義を具体的根拠をもって説明できるかどうか。また同意を得た者だけの受診率を分析すると、全体を表さない分析となって意味がなくなる等の論証をもって、同意を得ると支障のおそれがあるといえるか。
次に、A市担当部署は、個人情報保護法5章適用で、こちらも目的内利用(69条)が問題となります。A市担当部署の担当事務における個人情報の利用目的を、個人情報ファイル簿で確認します。上記同様で、大雑把にいうと、今の利用目的を読んで、この利用目的なら、健診受診率向上のための施策検討も範囲内だよね、含まれるよね、と一般人が思えるのであれば、目的内と考えて良いでしょう。
もし利用目的の範囲外ということであれば、
を検討します。
②は、具体的状況にもよりますが、概ね該当するように思います。
なお、上記は、本設例とは異なる「A市で保有する個人情報をA市立病院に提供する場合」にも該当します(=この場合でも、同じ規制となります)。
Q3-3-3 地方公共団体の同一の機関内に、病院の運営の業務を行っている部署と他の業務を行っている部署がある場合であって、当該地方公共団体の機関と同一地方公共団体における他の地方公共団体の機関との間ではなく、当該病院の運営の業務を行っている部署において取得した個人情報を他の部署で取り扱うとき、又は他の部署で取得した個人情報を当該病院の運営の業務を行っている部署で取り扱うときに、個人情報のやり取りについてそれぞれどのような法の適用関係になるか。
A3-3-3 地方公共団体の機関が行う病院の運営における個人情報の取扱いについては、民間規律(開示請求等に関する規律を除く。)が適用されますが(法第58条第2項第1号及び法第125条第1項)、病院の運営業務を行っていることをもって「地方公共団体の機関」(法第2条第11項第2号)から除かれるものではないため、地方公共団体の同一の機関内における他の部署への個人情報の提供は、ひとつの「地方公共団体の機関」内における利用に当たります。 病院の運営の業務を行っている部署、他の部署のそれぞれに関する法の適用関係は以下のとおりです。
(1)病院の運営の業務を行っている部署において取得した個人情報を同じ機関内部の他の部署で取り扱う場合 病院の運営の業務を行っている部署において取得した個人情報を同じ機関内部の他の部署で取り扱う場合のやり取りは、法第27条の第三者提供には当たりませんが、法第18条の利用目的による制限の規律が適用されます。 こうした個人情報の取扱いが行われる場合には、法第17条の規定により、同じ機関内部のどのような他の部署が、どのような利用目的で利用するのか本人が想定できる程度に具体的に特定を行う必要があります。その上で、特定された利用目的の達成に必要な範囲を超えて個人情報の取扱いが行われる場合には、法第18条の規定により、あらかじめ本人の同意を得る必要があります。
(2)同じ機関内部の他の部署で取得した個人情報を病院の運営の業務を行っている部署で取り扱う場合 同じ機関内部の他の部署で取得した保有個人情報を病院の運営の業務を行っている部署で取り扱う場合のやり取りは、法第69条の定めに従って行われることが必要です。
① 利用目的の範囲内で利用を行う場合には、法第69条の規定により利用が制限されることはありません。
② 利用目的以外の目的で利用を行う場合には、法令に基づく場合を除き、法第69条第2項第2号に基づいて利用が行われる必要があります。 (令和4年4月追加)
(関連)
Q1-1-8 病院事業の経営の業務を目的とする地方独立行政法人が、取得する個人情報に関して当該法人を所管する地方公共団体の機関が作成・管理する「個人情報取扱事務登録簿」に利用目的を記載し、これを当該地方公共団体の機関が管理するホームページにおいて公開している場合、法第21条第1項の「あらかじめその利用目的を公表している場合」に当たるか。
A1-1-8 法第21条第1項の「公表」とは、個人情報を取り扱う主体が、広く一般に 個人情報の利用目的に関する自己の意思を知らせること(不特定多数の人々が知ることができるように発表すること)をいい、公表に当たっては、事業の性質及び個人情報の取扱状況に応じ、合理的かつ適切な方法による必要があります。 病院事業の経営の業務を目的とする地方独立行政法人は「個人情報取扱事業者」として、他方、当該法人を所管する地方公共団体の機関は「行政機関等」として、それぞれ別の主体であることから、一般に、当該法人を所管する地方公共団体の機関が作成・管理する個人情報取扱事務登録簿に当該法人が取り扱う個人情報の利用目的を記載し、当該法人を所管する地方公共団体の機関のホームページにおいて公表することをもって、当該法人が法第21条第1項に規定する「公表」を行っているとは認められません。 法第21条第1項については、個人情報の保護に関する法律についてのガイドライン(通則編)3-3-3(利用目的の通知又は公表)を参照してください。 (令和4年4月追加)
市立病院とA市担当部署が別機関の場合、これは「提供」に該当します。また提供を受けた上で利用する行為は「利用」にも該当しますので、提供規制と利用規制双方を確認する必要があります。
市立病院からA市への提供行為は、法27条を満たす必要がありますので、
を考えます。
A市において受領して利用する行為は、法69条を考えます(上記と同様なので記載割愛)。64条適正取得も遵守する必要がありますが、基本的には64条適法でしょう。
逆に、A市で保有する個人情報をA市立病院に提供する場合は、
A市には法69条の提供制限がかかりますので、
に該当するかを考え、私立病院側は20条1項適正取得と、18条目的内取扱いを検討します。
参考
最近、結構、ムキーとなりつつ防御力が落ちていることがあります。
なので、あまり法律論を書く気になりません(気分のせいにする笑)。ただ、最近Twitterでたまに見かける「マイナンバーカードを取得すると宗教団体に情報が流れるのか」問題については、ブログに書いてみてもいいかなと思っています。オプトアウト研究について解決したと思われるため、記載途中で放置状態ですが、マイナンバーカードの件を先に書きたくなってきました。まあどちらを先に書くか、結果的に両方終わらないかもしれませんが…。なんかでも、「マイナンバーカードを取得すると宗教団体に情報が流れるのか」問題についてブログ書くと、たぶんすごい批判がきそうかなとは思います。私は事実と事実に基づく自分の考えしか書かないので、私の記載と、思いが違う方が見たらムカつかれて、炎上するかもしれませんが。
最近は、KAT-TUNの「ギリギリでいつも生きていたいから」がしょっちゅう頭を流れます。私は別にギリギリで生きていたいわけじゃなく、のほほんと生きていたいのに、本当にギリギリの状態になることがよくあって。全然ギリギリで生きていたいわけじゃないのに、なぜかギリギリになってしまう。まあ、最近だけじゃなくて、昔からよくあることなんですよね、ギリギリになってしまうこと。
最近、ギリギリでいつも生きている原因は主に2つ。
1つは、ポケモンGOで例えるなら、ゴースト・毒技を気持ち悪く打ってくる人と私は戦っているというのに、本来味方か中立できちんと仕事しなきゃいけないはずの人からなぜかこちらに攻撃を打たれてる状態で、ムカつきます。
その後者が、どくどくのキバとか、アシッドボムとか、大して強くない弱い技のくせにしょっちゅう、ちまちまネチネチイミフに打ってきて、こちらの防御力がガンガン下がっている的な感じです。
意味不明な説明になってしまいましたが、どこかに吐き出したく、かといってブログに詳しく書くのも良くないかなと思い、ポケモンGOで例えてみました。
まあ、公的機関です。3月も別の公的機関から、グロウパンチとかアシッドボムみたいな、攻撃力強くないんだけど、ちまちま打たれるとイライラする攻撃を連発され、かなり参りましたが、今回もかなり参ってます。今回は本当に精神がやられそうな、やや危機でもあります。
公的機関が、自分が仕事したくないからって、被害者を罵倒したり傷つけたり嘘つき呼ばわりして許されるんでしょうかね。あまりにひどくなるようでしたら、国家賠償請求訴訟をしようかと思いますよ、本当に。
そして原因二つ目。会議が多い。4月とか、年度初頭は会議がほぼなく楽ちんでしたが、7月はなぜか多い。なぜこんなに多いんだ?
一日1~2件とかの会議が毎日あったりすると、年度末ほどじゃないにせよ、他の本業をする時間が少なくなってしまい…。
リアル開催で会場に来てほしそうにされることもありますが、1日2件の会議をオンラインじゃなくリアル参加したら、日中はほぼ会議で終わって、本業は夜か土日にやるしかなくなるので、無理ですわ。
1日で10時からと14時からの会議に参加する場合、リアル会場参加なら、一番目の会議に9-13時、2番目の会議に13-17時までかかり、本業は17時以降になってしまいます(移動時間は、会場によるとはいえ、念のため片道一時間で計算)。
年度初め一回目の会議が7月って結構多いんですかね。
まあでも、会議と本業が忙しいおかげさまをもって、原因一つ目のちまちまネチネチイミフ攻撃のことを考える時間もそんなにないというのも確かではあります。まあ頑張って、ギリギリで生きていくのをやめたいところです。
全国霊感商法対策弁護士連絡会の記者会見をネットで拝見しました。
山口広先生には、お世話になったことがあります。
第二東京弁護士会だったか、何かの集まりの際に、10年位前だったと記憶していますが、山口広先生は、行動ターゲティング広告のようなネット上での個人情報の取り扱いに高い関心をもっていらっしゃり、先生の熱い思いに影響を受け、我々二弁有志で検討することになりました。
当時、山口広先生は内閣府消費者委員会の委員長代理?座長代理?副委員長?、ちょっと役職を失念してしまいましたが、消費者委員会の委員でいらっしゃり、私も先生からお声がけいただいて、消費者委員会で、ネット上の詐欺被害について検討させていただいたことがあります。時期的には、番号法成立の年でしたので、平成25年(2013年)ですね。
検討の結果、成果物として「インターネットを通じた消費者の財産被害問題に関する消費者委員会としての現時点の考え方」ができました。プロ責法といえば、昨今話題になっていますが、この時は財産被害関係でのプロ責法の検討を行いました。
あれからもう9年も経っているんですね。時のすぎるのは早いものです。
消費者委員会の上記活動に参加させていただいたとき、私はちょうど内閣官房にいたんです。で、私の勤務先が旧いすずビルで、首相官邸の裏なんですね。で、消費者委員会は、山王パークビルで、ものすごく近くて、徒歩1~2分だったんですよ。なので、あの頃は頻繁に消費者委員会行きましたけど、徒歩1~2分でものすごく近かったです。
あれ以来、山口先生にお目にかかる機会はございませんが、記者会見を拝見しまして、ついブログを書きました。
最後にどうでもいい蛇足を。
消費者委員会での上記検討の時、私、自分としては結構頑張ってものすごく検討したんですよ。で、まあいろいろ考えたんですけど、そして過去の審議会議事録なんかも読み込みましてね、民間事業者になんでもかんでも作為義務をかけるわけにはいかないっていう民法のご高名な先生方のご発言等も読みまして、でもね、私がですよ、民間事業者への作為義務の限界論とか、ちょっとねそのレベルを検討するのはきついですよ、当時の委員長がこれまたご高名な先生でしたのでね、委員長にご相談するとかね、民法の学者の先生にご相談するとかしないときついなあ、なぜ私レベルでその難問を考えないといけないのかと、ちょっときつかったことを思い出しました。ただそれは結局解決したんだったか、どうなったのか忘れてしまいましたが、いろいろ頑張って検討していくと、学術問題というかね、理論的問題にぶち当たることがあって、個人情報保護法ならいざしらず、それ以外の深い理論的問題を検討するのは、私レベルだと本当に苦労してしまいますので、そのあたりは研究者の先生方のご助言をお願いしたいと心から思いました、というのを思い出しました。このつらかったことはよく覚えているのですが、それが結局どう解決したんだったかはすっかり忘れてしまいました。