個人情報保護条例

(令和6年1月23日更新)

【令和3年法改正以前の個人情報保護条例】

(自治体が先駆けた個人情報保護制度)

〇 個人情報保護条例については、自治体が国の法令に先駆けて制定してきた歴史がある。

〇 まずは、電子計算機処理に係る個人情報の保護に関する条例として、昭和50年3月に全国で初めて東京都国立市で「国立市電子計算組織の運営に関する条例」が制定された(なお、昭和48年6月に徳島市で「電子計算組織運営審議会条例」が制定されており、それを全国最初とする見方もある)。その後、こうした電算処理に係る個人情報保護に関する条例が全国で制定されるようになった(昭和59年4月1日現在で179団体 自治省調べ)。

〇 そして、昭和59年7月に、電算処理に係るものだけではなく個人情報全般を保護する条例として、全国最初に福岡県春日市で「春日市個人情報保護条例」が制定された。同条例は、情報公開条例とプライバシー保護条例の制定を求める住民からの請願が契機となって制定されたものであるが、国際水準のプライバシー保護策を随所で具体化し、また、規制対象分野を民間部門まで広げているなど、「我が国におけるプライバシー保護策の歴史の中で、画期的なものであると評価できる」(堀部政男「自治体情報法」(学陽書房1994年10月)290頁)とされている。

 続いて、昭和60年3月に大阪府島本町で「島本町個人情報保護条例」が、同年6月に神奈川県川崎市で「川崎市個人情報保護条例」が制定され、その後多くの自治体で制定されるようになった。なお、平成2年3月に制定された「神奈川県個人情報保護条例」が、都道府県における最初の個人情報全般を保護する条例となる。

〇 平成11年の政府における個人情報保護法制検討開始時では、都道府県では48.9%が、市区町村では46.1% が、既に個人情報保護条例を制定しており、平成15年の個人情報保護法成立時では、都道府県では100%、市区町村では73.6%が制定していた。

 

(個人情報保護法の制定と個人情報保護条例)

〇 個人情報の保護に関する法律は、昭和63年12月に行政機関の保有する電子計算機処理に係る個人情報の保護に関する法律(昭和63年法律第95号)が制定されたが、行政機関の保有する個人情報のうち電子計算機処理に係るものに限定されていた。個人情報全般にわたる個人情報保護法制については、平成11年に成立した住民基本台帳法一部改正法の附則第1条第2項に、「法律の施行に当たって、政府は、個人情報の保護に万全を期するため、速やかに、所要の措置を講ずるものとする」との規定が追加されたことを受け、政府において検討が始められ、平成15年5月に、 個人情報の保護に関する法律(平成15年法律第57号 以下「個人情報保護法」という。)及び 行政機関の保有する個人情報の保護に関する法律(平成15年法律第58号 以下「行政機関個人情報保護法」という。)が制定され、平成17年4月に全面施行された。

〇 個人情報保護法は、「地方公共団体は、この法律の趣旨にのっとり、その地方公共団体の区域の特性に応じて、個人情報の適正な取扱いを確保するために必要な施策を策定し、及びこれを実施する責務を有する。」(5条)及び「地方公共団体は、その保有する個人情報の性質、当該個人情報を保有する目的等を勘案し、その保有する個人情報の適正な取扱いが確保されるよう必要な措置を講ずることに努めなければならない。」(11条1項)とし、自治体が保有する個人情報保護についてはそれぞれの条例による自主的な対応に委ねていた。

〇 個人情報保護法及び行政機関個人情報保護法が制定されたことを踏まえ、平成15年6月16日付総務省政策統括官通知「地方公共団体における個人情報保護対策について」が出された。同通知では、個人情報保護条例が未制定の団体は制定に向けた取組みが必要であり、既に条例制定をしている団体は行政機関個人情報保護法の内容を踏まえた所要の見直しを検討することが適当であるとしたうえで、条例の制定又は見直しに当たっては、①電子計算機処理に係る個人情報保護のみならず、マニュアル処理に係る個人情報についても、条例保護の対象にする必要があること、②都道府県の個人情報保護条例において、実施機関としていない執行機関は、条例の対象にすることが望ましいこと、③自己情報の開示請求権、自己情報の訂正等の請求権および目的外利用等の際の利用停止請求権について規定する必要があること、④外部委託する場合に、委託先において適切な個人情報保護が講じられるよう必要な規定を設けるべきであること、⑤救済措置の規定を置くことが適当であること、⑥職員等に対する罰則規定を設けることを積極的に検討すべきこと、⑦個人情報保護条例においてオンライン結合(地方公共団体の電子計算機システムを通信回線によって外部の機関と結合すること、通信回線を通じて外部へ個人情報を提供すること等)を一律に禁止している場合は、早急な規定の見直しが必要であること、等の考えが示された。

〇 個人情報保護法等制定当時の個人情報保護条例に係る論点については、自治体法務研究2005年秋号トピックス藤原静雄「個人情報保護法制定後の条例整備の現状」を参照されたい。

〇 平成17年の個人情報保護法の全面施行時には、都道府県では100%、市区町村では98.0%が制定していた。市区町村においては、平成18年度以降100%の団体が制定している。

 個人情報保護対策等に係る条例の制定及び個別内容の状況については、総務省が全国の都道府県、市区町村を調査し、その結果を令和元年度分までは毎年度「地方自治情報管理概要」で公表してきた。

 「地方自治情報管理概要~電子自治体の推進状況(令和元年度)~」(38頁以下)によると、平成31年4年1日時点で、全ての都道府県(47団体)及び全ての市区町村(1741団体)において、個人情報保護対策等に係る条例を制定している。

 

(平成29年法改正施行と個人情報保護条例の対応)

〇 平成27年9月に個人情報保護法が、平成28年5月に行政機関個人情報保護法が、それぞれ改正され、平成29年5月30日に施行された。これらの改正は、近年の情報通信技術の進展により、いわゆるビッグデータの収集・分析が可能となり、特に利用価値が高いとされるパーソナルデータ(個人の行動・状態等に関する情報)の利活用を適正に進めていくことが、官民を通じた重要な課題になっていることを踏まえ、個人情報の定義の明確化、要配慮個人情報の取扱い、非識別加工情報の仕組みの導入等について規定するものであった。

〇 こうした法律改正を受け、平成29年5月19日付総務省大臣官房地域力創造審議官通知「個人情報保護条例の見直し等について」が出された。同通知では、個人情報保護条例においても、①個人情報の定義について、指紋データ、旅券番号等の個人識別符号が個人情報に該当することを明確にするため、改正することが適当であること、②要配慮個人情報の定義を設けることが適当であること、③行政機関個人情報保護法を参考としつつ、個人の権利利益の保護及び行政の事務の適正かつ円滑な運営に支障を生じないことを前提として、非識別加工情報の仕組みを導入することが適当であること、などの考えが示された。

〇 上記総務省通知は、法改正部分のみならず、各自治体の個人情報保護条例の規定と法律の規定に差異があるもの等についても、言及している。例えば、

① 「死者に関する情報」について、個人情報条例では半数以上の自治体が対象にしているのに対し、行政機関個人情報保護法は生存する個人の情報についてのみ対象としている。このことに関し、上記総務省通知は、「個人情報に死者に関する情報を含むことは、行政機関個人情報保護法の個人情報の保護の範囲を超えるものであり、死者に関する情報の取扱いについては、行政機関個人情報保護法の趣旨を踏まえながら、各地方公共団体において地域の特性に応じて適切に判断する必要がある。」としている。 

② 「情報の種類(要配慮個人情報)による収集・記録規制」の取り扱いについて、大部分の条例は、一定の場合を除き個人の人格的利益に関わるおそれのあるいわゆるセンシティブな個人情報の収集又は記録を禁止する規定を置いているのに対して、行政機関情報保護法は、要配慮個人情報が個人情報ファイルに記録される個人情報に含まれるときは行政機関の長はあらかじめ総務大臣に通知しなければならない(10条1項5号)としているものの、センシティブな個人情報の収集又は記録を禁止するような規定は置いていない。このことに関し、上記総務省通知は、「現在、多くの個人情報保護条例においてセンシティブ情報の収集が制限されており、要配慮個人情報の収集制限を行うことは、行政機関個人情報保護法における個人情報の保護の範囲を超えるものである。このため、要配慮個人情報の収集制限については、収集制限を行う情報の範囲を含めて、行政機関個人情報保護法の趣旨を踏まえながら、各地方公共団体において地域の特性に応じて適切に判断する必要がある。」としている。

③ 「外部機関とのオンライン結合制限」について、大部分の条例は、規定を置いている。オンライン結合を一律に禁止している自治体はなく、個人情報保護審議会等の意見を聴いた上で、公益上の必要があると認める場合などには、オンライン結合を認める旨の規定を置いている。一方、行政機関個人情報保護法では、オンライン結合を禁止してしない。このことに関し、上記総務省通知は、「地方公共団体においても、ITの活用により行政サービスの向上や行政運営の効率化が図られていることから、オンライン結合制限については、行政機関個人情報保護法の趣旨を踏まえながら、その見直しを行うなど、各地方公共団体において適切に判断する必要がある。」としている。

④ 「当該地方公共団体職員に対する罰則」について、約4分の1市区町村においては罰則が設けられていない。このことに関し、上記総務省通知は、「これらの市区町村では、行政機関個人情報保護法の趣旨を踏まえ、個人情報保護条例に個人情報の不正な提供等に関する罰則を速やかに設けることが適当である。」としている。

⑤  一部事務組合及び広域連合について、上記総務省通知は「いまだに個人情報保護条例を制定していない団体が存在する。個人情報保護法及び行政機関個人情報保護法の趣旨を踏まえ、これらの一部事務組合及び広域連合では個人情報保護条例の制定に早急に取り組むことが必要である。」としている。

〇 個人情報保護条例と法律の規定の相違等の状況については、前記「地方自治情報管理概要~電子自治体の推進状況(令和元年度)~」38頁以下並びに個人情報保護委員会事務局資料「個人情報保護条例に係る実態調査結果<概要>(令和2年5月)」及び「個人情報保護条例に係る実態調査結果<資料編>(令和2年5月)」を参照されたい。

 また、上記総務省通知については、自治体法務研究2017年冬号行政通知の読み方・使い方 「個人情報保護条例の見直し等について」を参照されたい。

 

(いわゆる2000個問題の提起)

〇 こうした中、「個人情報保護法制2000個問題」が提起されるようになった。これは、個人情報の取扱いを定めている法令が、民間事業者を対象にした「個人情報保護法」、国の行政機関を対象にした「行政機関個人情報保護法」、研究機関・国立大学・国立病院などに対する「独立行政法人個人情報保護法」、そして全国の都道府県、市区町村、一部部事務組合・広域連合の個人情報保護条例が、合計して「2000個」以上あり、それぞれ規定の内容や解釈の仕方が異なるため、様々な問題があるとするものである。

〇 例えば、一般財団法人情報法制研究所「個人情報保護法制2000個問題について」(規制改革推進会議第3回投資等ワーキング・グループ(平成28年11月15日)資料)」は、2000個問題とは、①条文のばらつきが予想以上に大きいこと、②解釈権が2000個に分立していること、③オンライン結合の場合等はそれぞれの自治体の個人情報保護審議会の答申を待たなければならず、その判断も異なることが多いこと、④個人情報保護法は3年ごと見直し条項があり、3年ごとに見直しがなされるが、見直しをしない自治体の条例との乖離が拡大することなどであるとし、その結果、①個人データの広域連携や利活用を阻害する大きな要因の一つとなっている、②分野別の特別法を制定したとしても、分野横断的にデータを突合する場合には、問題が発生する、③オープンデータ政策でもっとも期待される自治体の情報を十分に利活用することができない、④越境データ問題への影響が生じるなどの問題があるとしている。

〇 なお、「2000個問題」を論じるものとして、湯淺墾道「地方公共団体における個人情報保護法制の課題」(都市問題vol.110 2019年2月)がある。

 

【令和3年法改正以降の個人情報保護条例】

(個人情報保護制度の見直し)

〇 個人情報保護委員会は、平成元年12月から「地方公共団体の個人情報保護制度に関する懇談会」を開催した。この経緯は、「現在、個人情報保護委員会では、改正個人情報保護法附則第12条の規定に基づき、個人情報保護法の3年ごと見直しの検討を行っている。この検討過程において、官民を通じた個人情報の取扱いに関する論点が外部から多く指摘されている状況である。具体的には、行政機関、独立行政法人、地方公共団体、民間事業者等の法律等の統合を求める意見や、当委員会が行政機関や地方公共団体における個人情報の取扱いについても所管することを求める意見等が存在する。当委員会において、本意見に係る取扱いについて検討を行ったが、地方公共団体の個人情報保護制度の中長期的な在り方については、これまで検討が十分になされている状況にないため、まずは関係者による意見交換の場の設置が必要ではないかと考えているところである。ついては、当委員会事務局において、地方公共団体の個人情報保護制度について、地方公共団体や、総務省の協力を得つつ、実務的な意見交換を行うこととしたい。」(令和元年10月25日個人情報保護委員会決定「地方公共団体の個人情報保護制度に関する懇談会の開催について」)としている。

 第4回懇談会(令和2年7月3日開催)において、個人情報保護員会は「地方公共団体の個人情報保護制度に関する懇談会における実務的論点の整理に向けて(第146回個人情報保護委員会(令和2年6月24日)決定)」を提出し、説明をしている。

〇 内閣官房に個人情報保護制度の見直しに関するタスクフォースが設置され、同タスクフォースに「個人情報保護制度の見直しに関する検討会」が設置された(内閣官房HP「個人情報保護制度の見直しに関するタスクフォース」参照)。第9回個人情報保護制度の見直しに関する検討会(令和2年10月30日開催)においては、総務省自治行政局から「地方公共団体の個人情報保護制度に関する法制化について(素案)」が提出されており、また、第10回検討会(令和2年11月27日開催)においては、総務省自治行政局から、個人情報保護条例の現状や検討の方向性に対する地方公共団体の意見を調査し、取りまとめた「地方公共団体の個人情報保護制度の在り方に検討に関する調査結果」が提出されている。

〇 こうした検討会での議論を経て、令和2年12月23日、同タスクフォースは「個人情報保護制度の見直しに関する最終報告」をとりまとめた。

 この最終報告は、 地方公共団体等の個人情報保護制度のあり方について、「地方公共団体等における個人情報の取扱いについては、国の法制化に先立ち、多くの団体において条例が制定され、実務が積み重ねられてきた。独創的な規定を設けている条例も見られるなど、地方公共団体の創意工夫が促されてきたところであり、我が国の個人情報保護法制は、地方公共団体の先導的な取組によりその基盤が築かれてきた面がある。」(32頁)とする一方で、「社会全体のデジタル化に対応した個人情報保護とデータ流通との両立が要請される中、地方公共団体ごとの条例の規定や運用の相違がデータ流通の支障となり得る、条例がないなど求められる保護水準を満たさない地方公共団体がある、といった指摘もされ、データ利活用を円滑化するためのルールや運用の統一を求める声が主として民間サイドから高まりつつある。」(32頁)等とし、そのうえで「地方公共団体等の個人情報保護制度の上記のような課題を解決するためには、全ての地方公共団体等に適用される全国的な共通ルールを法律で規定することが効果的であり、適当である。」(33頁)等としている。

 

(令和3年法改正と地方公共団体の個人情報保護制度)

〇 令和3年5月19日にデジタル社会の形成を図るための関係法律の整備に関する法律が公布された。同法は、デジタル社会形成基本法に基づきデジタル社会の形成に関する施策を実施するため、個人情報の保護に関する法律、行政手続における特定の個人を識別するための番号の利用等に関する法律等の関係法律について所要の整備を行うもので、個人情報の保護に関する法律については、個人情報保護法、行政機関個人情報保護法、独立行政法人等個人情報保護法の3本の法律が1本の法律に統合された。

 地方公共団体の個人情報保護制度については、これまでは各団体の個別の条例で規律されていたが、法改正後は、統合後の法に基づく全国共通ルールとして、行政機関及び独立行政法人等に対して新たに適用されるものと同様の規律が適用されることとなった。

 同法により改正された個人情報保護法(以下「令和3年改正法」という。)の施行日は、行政機関及び独立行政法人等に関する規律の規定や学術研究機関等に対する適用除外規定の見直し等(同法50条による改正)については令和4年4月1日、地方公共団体に関する規律の規定(同法51条による改正)については令和5年4月1日である。

 令和3年改正法の内容等については、個人情報保護委員会HP「令和3年改正個人情報保護法について(官民を通じた個人情報保護制度の見直し)」を参照されたい。

〇 令和3年改正法の制定に伴い、個人情報保護委員会は令和3年6月23日に「公的部門(国の行政機関等・地方公共団体等)における個人情報保護の規律の考え方(令和3年個人情報保護法改正関係)」を決定し、そのうえで「個人情報の保護に関する法律についてのガイドライン(行政機関等編)」(令和4年1月作成、令和5年12月一部改正 以下「ガイドライン」という。)、「個人情報の保護に関する法律についての事務対応ガイド(行政機関等向け)」(令和4年2月作成、同年10月改正 以下「事務対応ガイド」という。)、「個人情報の保護に関する法律についてのQ&A(行政機関等編)」(令和4年2月作成、同年4月更新 以下「Q&A」という。)等を公表している。

〇 令和3年改正法は、地方公共団体の個人情報保護について、法律で全国的な共通ルールを設定しているが、一方で地方公共団体が条例で定めることを委任する規定や条例で定めることを許容する規定を置いている。

 すなわち、

 ① 条例で定めることを委任するものとして、

・ 開示等請求における手数料(89条2項)

・ 行政機関等匿名加工情報の利用に関する契約における手数料(法第119条3項及び4項)

 ② 条例で定めることを許容するものとして、

・ 「条例要配慮個人情報」の内容(60条5項)

・ 個人情報取扱事務登録簿の作成・公表に係る事項(法75条5項)

・ 開示等請求における不開示情報の範囲(法78条2項)

・ 開示請求等の手続(法107 条2項及び108条)

・ 個人情報の適正な取扱いを確保するため専門的な知見に基づく意見を聴くことが特に必要があると認めるときの審議会等への諮問(法129条)

 が規定されている(令和3年改正法における条例事項については、事務対応ガイド22頁~24ページ「(参考)条例事項一覧」)を参照されたい。)。

 併せて、令和3年改正法は、「地方公共団体の長は、法の規定に基づき個人情報の保護に関する条例を定めたときは、遅滞なく、規則で定めるところにより、その旨及びその内容を個人情報保護委員会に届け出なければならない。」(167条1項)としている。

〇 他方、ガイドラインは、令和3年改正法と条例との関係について、「個人情報保護やデータ流通について直接影響を与えるような事項であって、法に委任規定が置かれていないもの(例:オンライン結合に特別の制限を設ける規定、個人情報の取得を本人からの直接取得に限定する規定)について、条例で独自の規定を定めることは許容されない。ただし、単なる内部の手続に関する規律にすぎない事項など、個人情報保護やデータ流通に直接影響を与えない事項については、条例で独自の規定を置くことも考えられる。また、法と重複する内容の規定を条例で定めることは、同一の取扱いについて適用されるべき規定が法と条例とに重複して存在することとなるため、法の解釈運用を委員会が一元的に担うこととした令和3年改正法の趣旨に照らし、許容されない。」(74頁)としている。

 また、例えば、「条例要配慮個人情報(地方公共団体の機関又は地方独立行政法人が保有する個人情報(要配慮個人情報を除く。)のうち、地域の特性その他の事情に応じて、本人に対する不当な差別、偏見その他の不利益が生じないようにその取扱いに特に配慮を要する記述等として当該地方公共団体の条例で定める記述等が含まれる個人情報)」について「法に基づく規律を超えて地方公共団体による取得や提供等に関する固有のルールを付加したり、個人情報取扱事業者等における取扱いに固有のルールを設けることは、法の趣旨に照らしできない。 」(16頁)とし、審議会等への諮問について「個人情報の取得、利用、提供、オンライン結合等について、類型的に審議会等への諮問を要件とする条例を定めてはならない。・・・地方公共団体の機関において、個別の事案の法に照らした適否の判断について審議会等への諮問を行うことは、法の規律と解釈の一元化という令和3年改正法の趣旨に反するものである。」(70頁)等としている。

 Q&Aでは、例えば、死者に関する情報について「死者に関する情報のうち、生存する特定の個人に関する情報であって、当該生存する特定の個人を識別することができる情報は、当該生存する特定の個人を本人とする「個人情報」(法第2条第1項)に当たります。死者に関する情報が生存する特定の個人を本人とする「個人情報」に該当するか否かは、法の規定に基づき判断する必要があるため、法施行条例にそうした規定を設けることは認められません。一方で、死者に関する情報の取扱いについて、個人情報保護制度とは別の制度として、条例で定めることは妨げられません。」(Q2-2-1 5頁)としている。Q&Aでは、その他令和3年改正法と条例の関係に関して、少なからぬ事項について考えを示している。

 事務対応ガイドは、資料6として「個人情報保護法の施行に係る関係条例の条文イメージ」(個人情報保護委員会事務局・総務省自治行政局 令和4年4月)を掲載し、個人情報保護法施行条例、個人情報保護審査会条例及び情報公開条例(改正)の条例例を示している。

〇 令和3年改正法の対象の地方公共団体には、普通地方公共団体のみではなく、一部事務組合や広域連合、財産区等の特別地方公共団体も含まれる(法2条11項2号、ガイドライン10頁)。

 地方公共団体の議会については、国会や裁判所が法による個人情報の取扱いに係る規律の対象となっていないこととの整合を図るため、基本的には対象となる地方公共団体の機関から除外されている(法2条11項2号)。しかし、「個人の権利利益の保護という観点からは、自律的な対応のもと個人情報の適切な取扱いが行われることが望ましい」(ガイドライン10頁)とされる。

〇 なお、自治体法務研究2022年春号は「どう進める? 自治体DX」を特集にしているが、個人情報保護に関しては、同特集の和久里智也「令和3年個人情報保護法改正について~デジタル化に進展に対応した新たなデータ保護ルール~」を参考にされたい。

 

(令和3年法改正施行(令和5年4月1日)以降の個人情報保護条例)

〇 令和3年改正法に伴い、全ての都道府県及び全ての市区町村は、令和5年4月1日の法施行日までに、条例の改廃(既存の個人情報保護条例を廃止するとともに新たに個人情報保護施行条例を制定、既存の個人情報保護条例を一部改正又は全部改正等)が求められた。

 また、一部事務組合及び広域連合については、既存の個人情報保護条例がある団体は条例の改廃が、これまで個人情報保護条例を制定していない団体は新たな条例の制定が求められた。

〇 個人情報保護委員会資料「地方公共団体における個人情報保護法施行条例の整備状況に係る調査結果等について(令和5年4月26日)」(以下「令和5年4月調査結果」という。)によると、都道府県(47団体)及び市区町村(1741団体)については、その全団体において、令和5年4月1日の法施行日のタイミングで、個人情報保護法施行条例等の整備が措置済みである(令和5年4月26日とりまとめ時点 2頁)とされる。

 また、一部事務組合及び広域連合(1586団体)については、1543団体(98.4%)において、令和5年4月1日の法施行日のタイミングで措置済みである一方、25団体が未措置である(令和5年4月26日とりまとめ時点 3頁)とされる(個人情報保護委員会資料「地方公共団体における個人情報保護法施行条例の整備状況について(令和5年10月11日)」によると、未措置の25団体についても令和5年9月末までに全団体で法施行条例の整備が完了した)。

〇 さらに、令和5年4月調査結果によると、法167条1項、2項の規定に基づき、令和5年4月26日時点で、2497の地方公共団体から、4281件の条例の届出がなされて、形式審査が完了した729件について公表が行われた(5頁)とされる。

 なお、個人情報保護委員会HP「条例届出・公表WEBサイト」では、法167条1項、2項の規定に基づき届出・公表された条例を閲覧し、検索することができる。令和6年1月19日時点で、3799件の届出条例が公表されている。


条例の動きトップに戻る