解説

個人情報保護法の改正と私立大学への多大な影響

堀部 政男(一橋大学名誉教授 元 個人情報保護委員会委員長)

1.はじめに ―私立大学における問題状況の一斑

 2003年5月23日に個人情報保護法が成立して、2005年4月1日に全面施行された時期に、私立大学はどのように対応するかについて様々な議論をしました。その一端は、本誌2005 Vol.14 No.1(通巻110号)に「特集 教員による情報活用と個人情報保護法」として掲載されています。
 私立大学では、それぞれ個人情報保護法の趣旨に則り個人情報保護規程等を策定し、対応してきているところですが、2021年4月7日の第171回個人情報保護委員会に委員会事務局から提出され、文部科学省高等教育局私学部私学行政課から全国の私立大学に対して発出された「個人情報の持ち出し等に係る安全管理措置について(周知)」を見ますと、衝撃的な数字が出ています。この文書のタイトルにありますように、個人情報の持ち出し等に係る安全管理措置について、その冒頭に次のように書かれています。
 「当委員会に報告された個人データの漏えい等事案のうち、私立大学における漏えい等事案の約30%が個人情報の持ち出しを原因としており、これは、全業種における個人情報の持ち出しを原因とした漏えい等事案の平均(約4%)を大きく超えています。」
 私立大学の関係者は、これをどのように受け止めるのでしょうか。大学の教員経験者としては、由々しき事態であると考えます。個人情報保護の重要性を訴えてきた立場からしますと、個人情報保護法の改正への対応を機に、すべての私立大学において全学をあげて個人情報保護法の趣旨を徹底し、個人情報の保護に万全を期することを呼び掛けたいと思います。
 ここでは、個人情報保護の分野が、2003年個人情報保護法以降、どのように変化してきているか、制度的側面に焦点を当てることにします。

2.私立大学への影響大の個人情報保護法改正

 17年前の2005年4月1日に全面施行された個人情報保護法は、その後、2015年、2020年、2021年に大幅に改正されました。2015年改正の前に、2013年に番号法(マイナンバー法)が制定されたことが日本の今日の個人情報保護制度に大きな影響を与えました。
 マイナンバーの保護策に関するワーキンググループ(座長・堀部政男)で2011年6月に第三者機関の設置をはじめとするマイナンバーの保護措置を提唱し、2013年5月24日に「行政手続における特定の個人を識別するための番号の利用等に関する法律」(平成25年法律第27号)(これが「マイナンバー法」と呼ばれています)が成立しました。それを梃子(てこ)として2015年の改正個人情報保護法が制定され、その制度について、欧州委員会(European Commission)との間で、十分性相互認定(mutual adequacy recognition)が2019年1月23日に実現しました(責任者としてこの実現に努めてきました。いろいろ書いていますが、ここでは、省略します)。欧州委員会との協議のプロセスで提起された論点等が、2020年と2021年の個人情報保護法の改正内容に反映されているところがあります。
 そのうち、2020年と2021年に改正された個人情報保護法は、地方公共団体に関する規定を除いて、今年2022年の4月1日に施行されます。あまり気付いていないようですが、2021年改正法は特に学術研究機関としての私立大学に与える影響が非常に大きいことを認識していただきたいと思います。
 2005年4月1日の個人情報保護法全面施行を前にして、当時奉職していた中央大学で、個人情報保護委員会の委員長として、事務局とともに、個人情報を取り扱う場を洗い出し、個人情報保護法との関係で、どのように整理するかなどを検討したことを思い出しています。当時、個人情報保護法の私立学校への適用について、かなりの回数講演等を依頼され、中央大学における検討の経験を踏まえて解説しました。
 直ぐ上のところで、2021年改正法は特に学術研究機関としての私立大学に与える影響が非常に大きいと書きましたが、その前年の2020年に改正されました個人情報保護法も、個人情報取扱事業者としての私立大学に影響を及ぼします。
 少し遡りますと、2015年改正個人情報保護法が、2020年、2021年改正をもたらしたと言えますので、まずは、2015年改正個人情報保護法を取り上げることにします。
 個人情報保護法の規定とその解説については、個人情報保護委員会が作成したガイドラインを参照することをお勧めします。本稿で主として依拠するのは、「個人情報の保護に関する法律についてのガイドライン(通則編)」(2022年4月1日施行)です(以下、いくつかのガイドラインについては、個人情報保護委員会のホームページ[1]をご覧ください)。

3.2015年個人情報保護法改正とその概要

(1)2015年改正個人情報保護法の成立

 2020年、2021年と立て続けて大きな改正が行われましたので、それに目を奪われがちですが、2015年の改正も、個人情報保護制度の変革という点では、認識しておく必要があります。
 2010年代になって、マイナンバー法が2013年5月24日に成立し(5月31日公布)、また、国際的な動きも活発になってきました。さらに、個人情報保護法の成立(2003年5月23日)からかなりの年月が経過しました。
 そこで、個人情報保護法の改正、さらにはマイナンバー法の改正も議論されるようになりました。
 個人情報保護法の改正については、2013年9月から2014年12月まで13回開かれたIT総合戦略本部の「パーソナルデータに関する検討会」(パーソナルデータ検討会)(2013年9月〜同年12月座長・堀部政男、2014年1月〜座長・宇賀克也氏(現在、最高裁判所判事))で議論が行われました。それを基礎に改正法案が作成され、2015年3月10日に閣議決定されて、衆議院に提出されました。
 衆議院では、改正法案は、5月21日、可決されました。参議院では、6月上旬に成立するであろうと予測されていましたが、6月1日に、日本年金機構の個人情報流出事件(125万件)の発覚により、審議は中断しました。8月27日になって、参議院内閣委員会で、質疑が再開され、修正提案とともに改正法案が可決され、8月28日に参議院本会議を通過しましたが、参議院で修正されましたので、衆議院本会議で手続がとられ、9月3日に可決成立しました。
 改正法は、9月9日公布されました。施行期日は、規定によって異なります。ここでは、主要な改正点を取り上げるにとどめます。

(2)2015年改正法の概要と大学への適用

1)個人情報保護委員会の設置(2016年1月1日)

 改正個人情報保護法は、2016年1月1日に個人情報保護委員会を設置すると規定しました。これは、マイナンバー法で2014年1月1日に設置された特定個人情報保護委員会(筆者は国会の両院の同意を得て内閣総理大臣によってその委員長に任命されました)を改組して、個人情報保護委員会とするものです。個人情報保護委員会は、民間部門の個人情報の取扱いを対象とすることになるばかりでなく、特定個人情報保護委員会が対象としてきた特定個人情報(マイナンバーをその内容に含む個人情報)の適正な取扱いの監視・監督も所掌します。特定個人情報保護委員会の委員長及び委員は、法律上、新たな委員会の委員長・委員に就任することになっていました。所掌範囲が大きくなることへの準備に取りかかりました。
 この個人情報保護委員会は、国家行政組織法第3条第2項の「行政組織のため置かれる国の行政機関は、省、委員会及び庁とし、その設置及び廃止は、別に法律の定めるところによる」という規定の「委員会」(いわゆる三条委員会)で、設置は内閣府設置法第49条第3項に基づいています。同委員会は、公正取引委員会及び国家公安委員会と並ぶ委員会です。
 欧州では、監視機関の設置が必須と考えられており、その機関は職権を行使する際は完全に独立して活動しなければならないとされています。日本でこれに匹敵する機関は、いわゆる三条委員会ですが、行政改革が進められている状況の中で新しい組織を設けることは例外中の例外であったと言えます。これは、国民の懸念に対応し、また、行政機関が住民基本台帳ネットワークシステムにより個人情報を収集,管理又は利用することを合憲とした最高裁第一小法廷判決(2008年3月6日)(最判平成20・3・6日(民集第62巻3号665頁))を踏まえた結果でもあります。
 改正個人情報保護法の全面施行(2017年5月30日)後は、各主務大臣が有していた個人情報保護法上の勧告及び命令等の権限が個人情報保護委員会に一元化されました。私立大学は、それまでの主務大臣であった文部科学大臣に代わって、個人情報保護委員会の監視監督を受けることになりました。このこともあまり認識されていないようです。

2)個人情報の定義の明確化

 個人情報の範囲が次のように広がりました。

① 利活用に資するグレーゾーン解消のため、個人情報の定義に身体的特徴等が対象となることを明確にしました(法第2条第2項)。

② 要配慮個人情報(本人の人種、信条、病歴等本人に対する不当な差別又は偏見が生じる可能性のある個人情報)の取得については、原則として本人同意を得ることを義務化しました(法第2条第3項)。

 2015年改正で、「要配慮個人情報」という概念が取り入れられました。欧州等では、センシティブ情報(sensitive information)として明示的に保護されているものです。

3)個人情報の有用性を確保(利活用)するための整備

 匿名加工情報(特定の個人を識別することができないように個人情報を加工した情報)の利活用の規定を新設しました(法第2条第6項)。
 大学で各種の調査、傾向の把握等のため、匿名加工情報を利用します。これについては、2020年改正も含めた「ガイドライン(仮名加工情報・匿名加工情報編)」を参照してください。

4)第三者提供確認記録作成等の義務化等

① 個人データの第三者提供に係る確認記録作成等を義務化しました(第三者から個人データの提供を受ける際、提供者の氏名、個人データの取得経緯を確認した上、その内容の記録を作成し、一定期間保存することを義務付け、第三者に個人データを提供した際も、提供年月日や提供先の氏名等の記録を作成・保存することを義務付け)(法第30条等)。

② 個人情報データベース等を不正な利益を図る目的で第三者に提供し、又は、盗用する行為を「個人情報データベース提供罪」として処罰の対象としました(法第174条)。

 上掲の①については、別途「ガイドライン(第三者提供時の確認・記録義務編)」が作成されていますので、参照してください。

5)外国にある第三者への個人データの提供の制限、個人情報保護法の国外適用、個人情報保護委員会による外国執行当局への情報提供に係る規定を新設

 国際交流を進めることが使命となっていますので、これも大学にとって重要な規定です(法第28条)。「ガイドライン(外国にある第三者への提供編)」が出ていますので、参照してください。

6)その他

① 取り扱う個人情報の数が5,000以下である事業者を規制の対象外とする制度の廃止。取扱い件数の多寡を問わずすべての個人情報取扱事業者に適用。

② オプトアウト(※)規定を利用する個人情報取扱事業者は所要事項を委員会に届け出ることを義務化し、委員会はその内容を公表することになりました(法第27条第2項〜第4項)。

(※)本人の求めに応じて当該本人が識別される個人データの第三者への提供を停止する場合、本人の同意を得ることなく第三者に個人データを提供することができる。

【個人情報保護法の条番号は、2021年改正後で、2022年4月1日施行時のものです。】

(3)2015年改正法附則の「検討」に関する第12条の第3項及び第6項

 2015年改正個人情報保護法の「検討」に関する附則第12条がその後の改正への道を切り拓きました。その第3項は3年ごとの見直し、第6項は複数の法律の一体化です。それぞれについては後述します。

4.2020年改正個人情報保護法

(1)個人情報保護委員会のいわゆる3年ごと見直し制度改正大綱と改正法の成立・施行

 個人情報保護法を所管する個人情報保護委員会は、2019年1月28日に示した「いわゆる3年ごと見直しに係る検討の着眼点」に即して3年ごと見直し(上掲の附則第12条第3項)を進め、関係団体・有識者からのヒアリング等を行い、2019年4月25日に実態把握・論点整理等を行った「個人情報保護法 いわゆる3年ごと見直しに係る検討の中間整理」を公表しました。その後の議論を踏まえ、2019年12月13日に「個人情報保護法いわゆる3年ごと見直し制度改正大綱」を示しました。
 2020年には、大綱を法律化する段階に入り、3月10日には国会に「個人情報の保護に関する法律等の一部を改正する法律案」が提出されました。衆議院では、5月28日、参議院では、6月5日に可決されました。改正法は、6月12日に公布され、2年を超えない範囲内において政令で定める日から施行されることになっていて、施行期日は、2022年4月1日とされました。
 2020年改正法は、2015年に改正されたことに加えて、重要な改正を行いました。個人情報保護委員会の「個人情報の保護に関する法律等の一部を改正する法律(概要)」も参照しながら、検討することにします。(図1)

図1 個人情報保護制度見直しの全体像
出典:
内閣官房・個人情報保護制度の見直しに関するタスクフォース「個人情報保護制度の見直しに関する最終報告(概要)」(令和2年12月)2頁。[2]
(この図の【現行】は、2022年4月1日以降は、【見直し前】となる。)

(2)2020年改正法の概要

1)個人の権利の強化

① 利用停止・消去等の個人の請求権について、不正取得等の一部の法違反の場合に加えて、個人の権利又は正当な利益が害されるおそれがある場合にも要件を緩和します(法第35条)。

② 保有個人データの開示方法は、現在は、原則として、書面の交付による方法とされていますが、電磁的記録の提供を含め、本人が指示できるようにします(法第33条第2項)。

③ 個人データの授受に関する第三者提供記録について、本人が開示請求できるようにします(法第33条第5項)。

④ 6ヶ月以内に消去する短期保存データについて、保有個人データに含めることとし、開示、利用停止等の対象とします。

⑤ オプトアウト規定(※)により第三者に提供できる個人データの範囲を限定し、「不正取得された個人データ」、「オプトアウト規定により提供された個人データ」についても対象外とします。

(※)本人の求めがあれば事後的に停止することを前提に、提供する個人データの項目等を公表等した上で、本人の同意なく第三者に個人データを提供できる制度。

2)事業者の守るべき責務の拡大

① 漏えい等が発生し、個人の権利利益を害するおそれがある場合(※)に、委員会への報告及び本人への通知を義務化します(法第26条第1項・第2項)。

(※)一定数以上の個人データの漏えい、一定の類型に該当する場合に限定。

② 違法又は不当な行為を助長する等の不適正な方法により個人情報を利用してはならない旨を明確化します(第19条)。

3)事業者による自主的な取組を促す仕組みの構築

 2003年法で認定個人情報保護団体を設け、事業者による自主的な取組みの一定部分を促進してきました。2022年2月15日現在、41団体が認定されています 。2020年改正では、これまで対象事業者のすべての分野(部門)を対象としてきました制度に加えて、企業の特定分野(部門)を対象とする団体を認定できるようにします(法第47条第2項)。これについては、「ガイドライン(認定個人情報保護団体編)」を参照してください。

4)データ利活用の促進

 氏名等を削除した「仮名加工情報」を新設し(法第2条第5項、第41条・第42条等)、内部分析に限定する等を条件に、開示・利用停止請求への対応等の義務を緩和します。これについては、「仮名加工情報・匿名加工情報編」(前出)を参照してください。

5)法定刑の引き上げ

 委員会による命令違反・委員会に対する虚偽報告等の法定刑を引き上げます。

6)法の域外適用、越境移転の際の情報提供の充実

5.2021年改正個人情報保護法と学術研究機関等の適用除外の削除廃止

(1)個人情報保護法の2021年改正

 2019年12月に内閣官房に設けられた「個人情報保護制度の見直しに関するタスクフォース」は、2020年12月に「個人情報保護制度の見直しに関する最終報告 」(「最終報告」)を公表しました。最終報告が「はじめに」の冒頭で明記していますように、2015年改正個人情報保護法の附則第12条第6項(上記3の(3))を踏まえています。
 最終報告に基づいて、2021年個人情報保護法改正(官民一元化)案が、「デジタル社会の形成を図るための関係法律の整備に関する法律」の一環として、2021年2月9日、国会に提出されました。4月6日に衆議院で、また、5月12日に参議院で可決されました。5月19日に公布され、行政機関及び独立行政法人等に関する規律の規定や学術研究機関等に対する適用除外規定の見直し等(デジタル社会形成整備法第50条による改正)については公布の日から起算して1年を超えない範囲内において政令で定める日(2022年4月1日)、地方公共団体に関する規律の規定(デジタル社会形成整備法第51条による改正)については公布の日から起算して2年を超えない範囲内において政令で定める日(未定)に施行されます。

(2)2021年改正法の概要

 2021年改正法の概要は、個人情報保護委員会の文書に簡潔にまとめられています。それによりますと、次のようになっています。

① 個人情報保護法、行政機関個人情報保護法、独立行政法人等個人情報保護法の3本の法律を1本の法律に統合するとともに、地方公共団体の個人情報保護制度についても統合後の法律において全国的な共通ルールを規定し、全体の所管を個人情報保護委員会に一元化。

② 医療分野・学術分野の規制を統一するため、国公立の病院、大学等には原則として民間の病院、大学等と同等の規律を適用。

③ 学術研究分野を含めたGDPR(EU一般データ保護規則)の十分性認定への対応を目指し、学術研究に係る適用除外規定について、一律の適用除外ではなく、義務ごとの例外規定として精緻化。

④ 個人情報の定義等を国・民間・地方で統一するとともに、行政機関等での匿名加工情報の取扱いに関する規律を明確化。

 太字で示したところが、特に私立大学に関係してくるところですので、関係者は、十分に認識しなければなりません。そこで、ここでは、③について検討することにします。

図2 学術研究に係る適用除外規定の見直し(精緻化)
出典:
内閣官房・個人情報保護制度の見直しに関するタスクフォース「個人情報保護制度の見直しに関する最終報告(概要)」(令和2年12月)5頁。[2]
(この図の【現行】は、2022年4月1日以降は、【見直し前】となる。)

(3)従来の個人情報保護法における学術研究の適用除外

 2003年個人情報保護法の一つの大きな特色は、個人情報取扱事業者のうち、報道機関や学術研究機関等には、第4章の「個人情報取扱事業者の義務等」は、適用しないという適用除外が規定されていたところにありました。

(4)2021年個人情報保護法改正における学術研究の適用除外の削除

 2021年改正で、適用除外の第57条第1項では、「大学その他の学術研究を目的とする機関若しくは団体又はそれらに属する者 学術研究の用に供する目的」という条項は削除されました。
 欧州連合(European Union, EU)から日本の学術研究機関等に移転された個人データについても、GDPR(General Data Protection Regulation, 一般データ保護規則)に基づく十分性認定を適用できるようにする(そのような要望が多数寄せられていたとのことです)ためには、一元化の機会に、それまでの学術研究に係る一律の適用除外規定を廃止し、個別の義務規定ごとに学術研究の例外規定を精緻化することにしたことによります。

6.「学術研究機関等」及び「学術研究(目的)」の定義

(1)「学術研究機関等」の定義

 ここで「学術研究機関等」とはどのようなものかなどについて、その定義を見ることにします。
 法第16条第8項は、次のように定義しています。

 この章において「学術研究機関等」とは、大学その他の学術研究を目的とする機関若しくは団体又はそれらに属する者をいう。

 これについて、「ガイドライン(通則編)」は、次のように説明しています。

 「大学その他の学術研究を目的とする機関若しくは団体」とは、国立・私立大学、公益法人等の研究所等の学術研究を主たる目的として活動する機関や「学会」をいい、「それらに属する者」とは、国立・私立大学の教員、公益法人等の研究所の研究員、学会の会員等をいう。
 なお、民間団体付属の研究機関等における研究活動についても、当該機関が学術研究を主たる目的とするものである場合には、「学術研究機関等」に該当する。
 一方で、当該機関が単に製品開発を目的としている場合は「学術研究を目的とする機関又は団体」には該当しないが、製品開発と学術研究の目的が併存している場合には、主たる目的により判断する。

 私立大学及びその教員が学術研究機関等に該当することは、明らかです。

(2)学術研究目的の意義

 法第18条第3項第5号は、「学術研究目的」について、次のように規定しています。

 当該個人情報取扱事業者が学術研究機関等である場合であって、当該個人情報を学術研究の用に供する目的(以下この章において「学術研究目的」という。)で取り扱う必要があるとき(当該個人情報を取り扱う目的の一部が学術研究目的である場合を含み、個人の権利利益を不当に侵害するおそれがある場合を除く。)。

 ここで太字にした「個人の権利利益を不当に侵害するおそれがある場合を除く。」は、他の規定でも出てきますので、念頭に置いてください。
 「ガイドライン(通則編)」は、「学術」について次のように説いています。

 「学術」とは、人文・社会科学及び自然科学並びにそれらの応用の研究であり、あらゆる学問分野における研究活動及びその所産としての知識・方法の体系をいい、具体的活動としての「学術研究」としては、新しい法則や原理の発見、分析や方法論の確立、新しい知識やその応用法の体系化、先端的な学問領域の開拓などをいう。
 なお、製品開発を目的として個人情報を取り扱う場合は、当該活動は、学術研究目的とは解されない。

 「学術」については、これまでにもその定義が試みられています(文部科学省ホームページ)ので、参照してください。

7.例外規定が適用される場合と適用されない場合

(1)例外規定が適用される場合

 上で見た「学術研究機関等」による「学術研究目的」の個人情報の取扱いは、一般の個人情報取扱事業者が遵守する規制について、例外規定が適用されます。例外は、次の条文に規定されています。

① 利用目的変更の制限の例外(法第18条第3項第5号及び第6号)

② 要配慮個人情報の取得の制限の例外(法第20条第2項第5号及び第6号)

③ 個人データの第三者提供の制限の例外(法第27条第1項第6号及び第7号)

 これらの規制が例外的に除外されるためには、「学術研究目的で取り扱う必要がある」場合であって、「個人の権利利益を不当に侵害するおそれがある場合」に当たらないことが必要です。

(2)例外規定が適用されない場合

 例外規定が適用されない場合がありますので、注意が必要です。それは、次のとおりです。

① 安全管理措置(第23条から第26条まで)

② 保有個人データの開示、訂正等及び利用停止等の請求(第33条から第39条まで)医療分野・学術分野の規制を統一するため、国公立の病院、大学等には原則として民間の病院、大学等と同等の規律を適用。

③ 苦情の処理(第40条)

④ 仮名加工情報取扱事業者等の義務(法第4章第3節)

⑤ 匿名加工情報取扱事業者等の義務(法第4章第4節)

⑥ 民間団体による個人情報の保護の推進(法第4章第5節)

8.学術研究機関等の責務(法第59条関係)

(1)法第59条

 学術研究機関等は、第57条の適用除外から除外されました。改正法を見ていて、学術研究機関等は、適用除外の特権がなくなった上に法第59条で改めて責務が課されることになりました。規制強化のようにも思われます。「学術研究機関等の責務」に関する第59条は、次のように規定しています。

 個人情報取扱事業者である学術研究機関等は、学術研究目的で行う個人情報の取扱いについて、この法律の規定を遵守するとともに、その適正を確保するために必要な措置を自ら講じ、かつ、当該措置の内容を公表するよう努めなければならない。

(2)学術研究機関等の責務の説明

 上掲の第59条の「学術研究機関等の責務」規定に基づいて私立大学が果たさなければならない責務は何かを見ることにします。「ガイドライン(通則編)」は、第59条の「その適正を確保するために必要な措置を自ら講じ」の部分に具体例を入れて、次のように説明しています。

 学術研究機関等(…)が学術研究目的(…)で個人情報を取り扱う場合には、当該個人情報の取扱いについて、この法律を遵守するとともに、学術研究機関等について法律の特例が設けられているものも含め、安全管理措置、苦情処理等、個人情報等の適正な取扱いを確保するために必要な措置を自ら講じ、かつ、当該措置の内容を公表するよう努めなければならない。

 この説明からは、学術研究機関等としての大学が果たさなければならない責務が種々あるということが分かるでしょう。大学における研究は、社会から負託された使命であるという認識に立つならば、当然のことと言えるでしょう。

(3)学術研究機関等による自主規範の策定・公表と個人情報保護委員会の監督

 「ガイドライン(通則編)」は、自主規範の策定・公表については、次のように解説しています。

 大学の自治を始めとする学術研究機関等の自律性に鑑みれば、学術研究機関等の自律的な判断を原則として尊重する必要があると考えられる。このため、学術研究機関等が、個人情報を利用した研究の適正な実施のための自主規範を単独又は共同して策定・公表した場合であって、当該自主規範の内容が個人の権利利益の保護の観点から適切であり、その取扱いが当該自主規範にのっとっているときは、法第146条第1項の趣旨を踏まえ、個人情報保護委員会は、これを尊重する。
 ただし、自主規範にのっとった個人情報の取扱いであっても、本人の権利利益を不当に侵害するおそれがある場合には、原則として、個人情報保護委員会は、その監督権限を行使する。

 法第146条第1項は、「委員会は、前3条の規定により個人情報取扱事業者等に対し報告若しくは資料の提出の要求、立入検査、指導、助言、勧告又は命令を行うに当たっては、表現の自由、学問の自由、信教の自由及び政治活動の自由を妨げてはならない」と規定しています。これは、2003年法の制定に当たって、マスコミが強く主張したことから、当時、第50条の適用除外とともに、第35条第1項が設けられたことに由来します。

(4)自主規範の策定・公表

1)学校法人中央大学のホームページ[3]

(2022年2月12日現在)

 それでは、どのような自主規範を策定するかが問題となります。前述のように、2003年個人情報保護法が2005年4月1日に全面施行されることを念頭に置いて、中央大学では、様々な検討を行いました。当時の資料が手元にありませんので、具体的な内容を示すことは不可能ですが、今回、本稿を執筆するに当たって、中央大学のホームページを改めて見てみました。その後も議論が行われ、多くの文書が作成されていることを認識しました。具体例をあげますと、次のようになります。
 ホームページでは、「個人情報の取扱いについて」の下に、個人情報保護方針(プライバシーポリシー)、中央大学個人情報保護規程等が掲載されています。
 これらのうちのいくつかと「研究」というページに出てくる学術研究にとって重要な事項に触れることにします。

○中央大学個人情報保護方針(プライバシーポリシー)(2005年4月1日 制定、2016年1月1日 改正)

 2015年改正で、要配慮個人情報の概念が導入されましたので、「思想、信条及び宗教に関する個人情報並びに社会的差別の原因となる個人情報は、本学が、法令及びガイドラインを踏まえ、別に定める場合を除き、収集しません」が、2016年1月1日 改正で追加されたと思われます。

○中央大学個人情報保護規程(当初の規程は、1995年4月1日施行)

 個人情報保護法改正に伴う個人情報保護規程の改正が進行中であると伺っています。

2)人を対象とする研究の倫理審査(体制)

 研究関係でホームページを見ていきますと、「人を対象とする研究の倫理審査(体制)」に関するページがあります。ここには、次のような規程等が掲載されています。

 「自主規範」には、このような事項も明文化する必要があると考えます。

3)研究活動における不正行為への対応体制

 また、「研究活動における不正行為への対応体制 」というページもあります。
 ここには、「責任体制」(1.統括責任者:学長、2.研究倫理教育責任者:学部長等本大学研究機関の長、3.研究倫理委員会)、「運営管理体制」、「研究活動上の不正行為に関する通報・相談の受付窓口」という項目があります。「自主規範」には、このような事項も明文化する必要があると考えます。

4)公的研究費の管理・監査体制

 さらに、「公的研究費の管理・監査体制 」というページもあります。これは、文部科学大臣決定「研究機関における公的研究費の管理・監査のガイドライン(実施基準)(平成26年2月18日改正)」の趣旨を踏まえて、「中央大学における公的研究費の適正な使用及び公的研究費に係る通報に関する規程」を制定し、公的研究費の運営・管理の責任体制を定めたものです。
 大学関係の研究不正が、残念ながらときどき報じられます。個人情報を取り扱う研究にも取り入れる必要があると考えます。

9.おわりに―研修会の必要性

 ここまで論じてきましたが、課題は、尽きません。
 ここで示したことを文書で読み理解するよりもある程度の人数が集まり研修会を開く必要があると思います。学術研究に携わる者は、企業等が大きな関心を示し、そのコンプライアンス意識をどう高めるかに腐心している今日、改正法の趣旨を十分に理解し、法違反という事態が生じないように努力していただきたいと思います。

関連URL
[1] 個人情報保護委員会ホームページ https://www.ppc.go.jp/
[2] 内閣官房・個人情報保護制度の見直しに関するタスクフォース「個人情報保護制度の見直しに関する最終報告(概要)」(令和2年12月) https://www.cas.go.jp/jp/seisaku/kojinjyoho_hogo/pdf/r0212saisyuhoukoku_gaiyou.pdf
[3] 中央大学ホームページ https://www.chuo-u.ac.jp/

【目次へ戻る】 【バックナンバー 一覧へ戻る】