規律移行法人の個情法規制が非常にわかりづらい点を挙げてみます。はっきりいうと、限界事例*1については、私も完全に正確に適用関係を把握できるかどうかが自信なくなってきました。手前味噌ですが、私が把握できないって、日本で正確に把握できる人、何人いるの?1人?2人?3人?0人?
しかも、限界事例とかって、正確に現場で運用できるか謎。通常の病院業務は規律移行法人向けの規制を遵守しますが、指定入院機関としての業務は違うので、個人情報について違う安全管理措置にしてやりますとかそんなこと、現場で本当にできるのか、謎。まあできるんですかね?そもそも限界事例以外も、現場で正確に運用できるのだろうか、ちょっと不安というか、相談が来たらどうしようかなというか。
「医療・学術分野」の公的機関のパターンごとに、全条文の適用〇×の星取表を作ってほしいです!お願いします!自分で作るの、これめっちゃ大変じゃないか?どうか、法解釈・法施行が業務の公務員の方に作成をお願いしたいです。
わかりにくい点を挙げます。
①規律移行法人か否か
規律移行法人も、すべての医療・学術分野を対象とするものではなく、例えば自衛隊病院や国立感染症研究所は、規律移行法人ではなく、引き続き公的機関としての規律に服することとされているので、誰が規律移行法人かがまずわかりづらい。
法別表第二は限定列挙だからまだしも、地方独法と、法58条2項例外って、気づかない人いる気がしますよ。ただ、「医療・学術」は民間相当っていう意識はあるかもしれないので、その意味で規律移行法人かもって気づくかもだけど、でもそうすると自衛隊病院とかハンセン病療養所も「医療」なんで。
→(解決方法)ガイドラインとか、気づきやすい箇所に、規律移行法人のパターンごとの個別名称を挙げきるよう努めてみてはどうでしょうか。個別名称挙げちゃうと、新設廃止統合のときに修正が必要になってしまいますが、そこは3年に1度ぐらいの頻度の更新でよいかもしれませんので(そりゃできれば半年に1度ぐらい更新できればより良いですが)、まずは列記するよう頑張ってみてはどうかと思います。
また、本来は、法文の規定ぶりをもっとわかりやすくするべきです。法制局お作法って、妙なこだわり(しかも不文律)が強いですが、そんな趣味的なお作法よりも、法曹や一般人が法文を見たときにわかりやすいか、誤解がないかが重要だと思います。
②規律移行法人のうちの例外
さらにいうと、規律移行法人に該当したとしても、心神喪失等の状態で重大な他害行為を行った者の医療及び観察等に関する法律2条4項に規定する指定入院医療機関として同法の規定に基づき行う業務等については、若干の例外が設けられる(個人情報保護法66条2項・125条1項、施行令19条1・2項)など、非常にわかりづらい。
→(解決方法)「医療・学術分野」の公的機関のパターンごとに、全条文の適用〇×の星取表を作ってはどうでしょうか。
あと本来でいえば、やはり規律法人の中でもいろんな業務をやっているところがあるから、それを「医療・学術」だから民間相当とするのが無理があった気がします。地方自治体の個人情報保護条例が廃止になるのであれば、2000個問題もかなり解決というか、自治体の条例ごとに規制を見ていかないといけないのがつらかったのであって、それが行政機関並みに統一ってことであれば、官民で違いがあってもそこは許容しても良かったのでは。又はそもそも官民で個人情報規制が、官に緩いところがあって、そこを見直して、官民の規制を近づけるとか。もちろん官民の規制を統一することは難しいとは思いますけど、そういうことを考えていくべきだったように思います。
③規律移行法人に対する規制
加えて、規律移行法人全般についても、民間事業者とほぼ同等の規律ではあるものの、民間事業者に対する規律のうち適用されない部分と、公的機関に対する規律のうち適用される部分が残り、規制内容も分かりづらい。
規律移行法人(独立行政法人等・地方独立行政法人)については基本的には、民間事業者と同等の規律となるが、開示・訂正・利用停止等・保有個人データに関する事項公表等(個人情報保護法32-39条)及び匿名加工情報(個人情報保護法第4節)については、規律移行法人については適用されない(個人情報保護法58条)。その代わり、公的機関に課せられる規制のうち、定義(個人情報保護法第5章第1節)、個人情報ファイル簿の作成及び公表(個人情報保護法75条)、開示、訂正及び利用停止・行政機関等匿名加工情報(個人情報保護法第5章第4・5節)、散在情報非適用(個人情報保護法124条2項)、開示請求等をしようとする者に対する情報の提供等(個人情報保護法127条)、個人情報保護委員会(個人情報保護法第6章)、雑則(個人情報保護法第7章)、罰則(個人情報保護法第8章)の規定が適用される(125条2項)。
もっとも、公的機関に課せられる規制として適用される罰則でも、個人の秘密に属する事項が記録された個人情報ファイルの不正提供罪(個人情報保護法176条)、業務に関して知り得た保有個人情報の不正提供・盗用罪(個人情報保護法180条)、職権を濫用した、個人の秘密に属する事項が記録された文書、図画又は電磁的記録の収集罪(個人情報保護法181条)は適用されない。
なお、規律移行法人の中でも、個人情報保護法58条2項により規律移行法人とされる、独立行政法人労働者健康安全機構の病院運営を行う者と、地方公共団体のうち、病院・診療所・大学運営を行う者については、心神喪失等の状態で重大な他害行為を行った者の医療及び観察等に関する法律2条4項に規定する指定入院医療機関として同法の規定に基づき行う業務等(施行令19条2項)については、個人の秘密に属する事項が記録された個人情報ファイルの不正提供罪(個人情報保護法176条)、業務に関して知り得た保有個人情報の不正提供・盗用罪(個人情報保護法180条)が適用されると考えられる(個人情報保護法125条1項。但し同項にいう「これらの規定」がどこまでを指すのかは不明瞭であり、正確には当局照会しないと確定しないと考えられる。)。
これ、難しいと思うけどなあ。
→(解決方法)「医療・学術分野」の公的機関のパターンごとに、全条文の適用〇×の星取表を作ってはどうでしょうか。
②の点の条文を貼りつけ。
(安全管理措置)
第六十六条 行政機関の長等は、保有個人情報の漏えい、滅失又は毀損の防止その他の保有個人情報の安全管理のために必要かつ適切な措置を講じなければならない。
2 前項の規定は、次の各号に掲げる者が当該各号に定める業務を行う場合における個人情報の取扱いについて準用する。
一 行政機関等から個人情報の取扱いの委託を受けた者 当該委託を受けた業務
二 指定管理者(地方自治法(昭和二十二年法律第六十七号)第二百四十四条の二第三項に規定する指定管理者をいう。) 公の施設(同法第二百四十四条第一項に規定する公の施設をいう。)の管理の業務
三 第五十八条第一項各号に掲げる者 法令に基づき行う業務であって政令で定めるもの
四 第五十八条第二項各号に掲げる者 同項各号に定める業務のうち法令に基づき行う業務であって政令で定めるもの
五 前各号に掲げる者から当該各号に定める業務の委託(二以上の段階にわたる委託を含む。)を受けた者 当該委託を受けた業務
(適用の特例)
第百二十五条 第五十八条第二項各号に掲げる者が行う当該各号に定める業務における個人情報、仮名加工情報又は個人関連情報の取扱いについては、この章(第一節、第六十六条第二項(第四号及び第五号(同項第四号に係る部分に限る。)に係る部分に限る。)において準用する同条第一項、第七十五条、前二節、前条第二項及び第百二十七条を除く。)の規定、第百七十六条及び第百八十条の規定(これらの規定のうち第六十六条第二項第四号及び第五号(同項第四号に係る部分に限る。)に定める業務に係る部分を除く。)並びに第百八十一条の規定は、適用しない。
2 第五十八条第一項各号に掲げる者による個人情報又は匿名加工情報の取扱いについては、同項第一号に掲げる者を独立行政法人等と、同項第二号に掲げる者を地方独立行政法人と、それぞれみなして、第一節、第七十五条、前二節、前条第二項、第百二十七条及び次章から第八章まで(第百七十六条、第百八十条及び第百八十一条を除く。)の規定を適用する。
3 第五十八条第一項各号及び第二項各号に掲げる者(同項各号に定める業務を行う場合に限る。)についての第九十八条の規定の適用については、同条第一項第一号中「第六十一条第二項の規定に違反して保有されているとき、第六十三条の規定に違反して取り扱われているとき、第六十四条の規定に違反して取得されたものであるとき、又は第六十九条第一項及び第二項の規定に違反して利用されているとき」とあるのは「第十八条若しくは第十九条の規定に違反して取り扱われているとき、又は第二十条の規定に違反して取得されたものであるとき」と、同項第二号中「第六十九条第一項及び第二項又は第七十一条第一項」とあるのは「第二十七条第一項又は第二十八条」とする。
〇施行令
(安全管理措置を講ずべき業務)
第十九条 法第六十六条第二項第三号の政令で定める業務は、次に掲げる業務とする。
一 国立研究開発法人情報通信研究機構法(平成十一年法律第百六十二号)第十九条、国立研究開発法人新エネルギー・産業技術総合開発機構法(平成十四年法律第百四十五号)第十八条、国立研究開発法人医薬基盤・健康・栄養研究所法(平成十六年法律第百三十五号)第十六条又は国立研究開発法人日本医療研究開発機構法(平成二十六年法律第四十九号)第十七条の三において準用する補助金等に係る予算の執行の適正化に関する法律(昭和三十年法律第百七十九号)の規定に基づき行う業務
二 計量法(平成四年法律第五十一号)第百六十八条の二(第九号に係る部分に限る。)又は第百六十八条の三第一項の規定に基づき行う業務
三 種苗法(平成十年法律第八十三号)第十五条の二第一項(同法第十七条の二第六項、第三十五条の三第三項及び第四十七条第三項において準用する場合を含む。)又は第六十三条第一項の規定に基づき行う業務
四 国立研究開発法人森林研究・整備機構法(平成十一年法律第百九十八号)第十四条第一項の規定に基づき行う業務
五 遺伝子組換え生物等の使用等の規制による生物の多様性の確保に関する法律(平成十五年法律第九十七号)第三十二条第一項の規定に基づき行う業務
六 心神喪失等の状態で重大な他害行為を行った者の医療及び観察等に関する法律(平成十五年法律第百十号)第二条第四項に規定する指定入院医療機関として同法の規定に基づき行う業務
七 がん登録等の推進に関する法律(平成二十五年法律第百十一号)第二十三条第一項の規定に基づき行う業務
八 法第五十八条第一項第二号に掲げる者が条例に基づき行う業務であって前各号に掲げる業務に類するものとして条例で定めるもの
2 法第六十六条第二項第四号の政令で定める業務は、次に掲げる業務とする。
一 心神喪失等の状態で重大な他害行為を行った者の医療及び観察等に関する法律第二条第四項に規定する指定入院医療機関として同法の規定に基づき行う業務
二 法第五十八条第二項第一号に掲げる者が同号に定める業務として条例に基づき行う業務であって前号に掲げる業務に類するものとして条例で定めるもの
法改正の背景には納得できる部分もあるが、この法改正により、法適用関係が非常にわかりにくくなり、各現場で個人情報保護法を正確に理解した運用が可能なのかどうか疑問が。
せっかく法改正するからには、医療・学術分野だけほぼ民間相当とするといった改正ではなく、実態を踏まえて、官民規制の在り方そのものから見直すなど、個人情報の不適正取扱いや権利侵害リスクを防止でき、かつ実際の現場で遵守が可能となるような法改正を行うべきかと思われます。
まあ、言うは易く行うは難しだけど、外部から批判された点を立案担当部局にて立案するというよりは、問題(立法事実)の調査に時間をかけて、規制の立案自体は技術的に細かくすごく詰めていくというよりは、一般人が遵守可能なわかりやすい規制とするっていうのが良いのではないかと思うところ。個人情報保護法だけじゃなくて、最近あらゆる規制とか政策が、細かく技術的になりがちな気がするので、もう少し大きな観点から立法事実を調査して、わかりやすい規制にした方が良いのかなと思いました。まあ、言うは易く行うは難しだけど。