学術研究における個人情報保護法適用除外規定の見直しについて

令和3年(2021年)のDX法による個人情報保護法の改正で、学術研究機関も個人情報保護に関して責務を負うことになりました。大学の研究に影響力の大きい改正ですが、施行が「2022年5月18日より前」となっていて、大学は早めに対応が必要かと思います。以下の説明はかなり簡略化していて、個人情報保護法の知識が前提ですので、必要があれば他の資料等で補ってください。おそらく近日中に個人情報保護委員会から学術研究に関するガイドライン案とパブリックコメント募集が出ると思うので、そちらも注目しておくとよいでしょう。

概要

学術研究について個人情報取扱事業者の概要は下図の通りです。改正前は、包括的に適用が除外されていましたが、内容が精緻化されて、個人情報保護取扱事業者の義務が適用される部分と、一定の制限がつくものの適用除外される部分に分けられることになりました。

個人情報保護法 令和2年改正及び令和3年改正案について_ページ_27

個人情報保護委員会『個人情報保護法 令和2年改正及び令和3年改正案について』 第1回 生命科学・医学系研究等に おける個人情報の取扱い等 に関する合同会議資料(令和3年5月7日)より

安全管理措置や保有個人データの開示については、事業者の義務が適用されて、組織的な対応が必要になります。研究データは研究者それぞれが分散管理している場合が多いので、管理や手続きのガイドラインが必要になるでしょう。大学に安全な研究データサーバーの設置するとリスクも大幅に軽減されるでしょう。

利用目的による制限、要配慮個人情報の取得制限、第三者提供の制限については、「学術研究機関等による」「学術研究目的で」「個人の権利利益を不当に侵害するおそれがない」場合に適用除外となります。第三者提供の制限については教授も許諾されています。

「個人の権利利益を不当に侵害するおそれがない」がひっかかるかもしれませんが、事前の研究計画や個人データ取得前の具体的な利用目的は研究倫理においても求められています。第三者提供についても同様で、研究コミュニティが自主的に定める規範(研究倫理等)が十分なものであれば問題はないものと思います。

改正前に包括的に適用除外となっていたのは、学問の自由、大学の自治を理由に放置されていたという感じで、実務面ではなかなか対応に困るところでした。それが、GDPR以降一気に進んだ個人データ保護への対応や、プライバシーガバナンスの実践が民間企業で進んでいるのと歩調を合わせる形で、学術研究における適用除外規定が精緻化されたということです。

「個人情報保護制度の見直しに関する最終報告」(令和2年12月)では、「学術研究機関等に対して、個人情報を利用した研究の適正な実施のための自主規範を単独で又は共同して策定・公表する」ことが求められています。自主規範の内容が個人の権利利益の保護の観点からは不十分である場合には、個人情報保護委員会が例外的に監督権限を行使するということです。ここでいう学術研究機関等には、大学等だけではなく、学会も含まれます。生命科学・医学系研究等については、厚生科学審議会で検討がはじまっています。人を対象とする研究分野それぞれにおいて、個人情報の取得、利用の内実が違いますから、学会の研究倫理指針等に乗せるなどの策定作業が望ましいかと思います。

もう1点、令和3年改正の大きな点は、個人情報に関してルールが統一されて、個人情報保護委員会の所管となったことです(下図参照)。国立大学や地方自治体における個人情報のルールが変更されるということです。今までは異なっていた学術研究に関する私立大学と国公立大学のルールが統一されたということです。

個人情報保護法 令和2年改正及び令和3年改正案について_ページ_23

以上、今までも多くの研究者は個人情報保護に配慮した研究をおこなっていたと思いますが、今回の改正によって、それを個人任せにするのではなく、大学や学会でのルール策定やシステマチックな対応が必要になるということです。

参考