個人情報の保護に関する条例

(令和4年4月29日更新)

【これまでの個人情報保護条例の制定の経緯と状況】

〇 個人情報保護条例については、自治体が国の法令に先駆けて制定してきた歴史がある。

 まずは、電子計算機処理に係る個人情報の保護に関する条例として、昭和50年3月に全国で初めて東京都国立市で「国立市電子計算組織の運営に関する条例」が制定された(なお、昭和48年6月に徳島市で「電子計算組織運営審議会条例」が制定されており、それを全国最初とする見方もある)。その後、こうした電算処理に係る個人情報保護に関する条例が全国で制定されるようになった(昭和59年4月1日現在で179団体 自治省調べ)。

 そして、昭和59年7月に、電算処理に係るものだけではなく個人情報全般を保護する条例として、全国最初に福岡県春日市で「春日市個人情報保護条例」が制定された。同条例は、情報公開条例とプライバシー保護条例の制定を求める住民からの請願が契機となって制定されたものであるが、国際水準のプライバシー保護策を随所で具体化し、また、規制対象分野を民間部門まで広げているなど、「我が国におけるプライバシー保護策の歴史の中で、画期的なものであると評価できる」(堀部政男「自治体情報法」(学陽書房1994年10月)290頁)とされている。続いて、昭和60年3月に大阪府島本町で「島本町個人情報保護条例」が,同年6月に神奈川県川崎市で「川崎市個人情報保護条例」が制定され、その後多くの自治体で制定されるようになった。なお、平成2年3月に制定された「神奈川県個人情報保護条例」が、都道府県における最初の個人情報全般を保護する条例となる。

〇 法律は、昭和63年12月に行政機関の保有する電子計算機処理に係る個人情報の保護に関する法律(昭和63年法律第95号)が制定されたが、行政機関の保有する個人情報のうち電子計算機処理に係るものに限定されていた。個人情報全般にわたる個人情報保護法制については、平成11年に成立した住民基本台帳法一部改正法の附則第1条第2項に、「法律の施行に当たって、政府は、個人情報の保護に万全を期するため、速やかに、所要の措置を講ずるものとする」との規定が追加されたことを受け、政府において検討が始められ、平成15年5月に、 個人情報の保護に関する法律(平成15年法律第57号 個人情報保護法)及び 行政機関の保有する個人情報の保護に関する法律(平成15年法律第58号 行政機関個人情報保護法)が制定され、平成17年4月に全面施行された。

 個人情報保護法は、「地方公共団体は、この法律の趣旨にのっとり、その地方公共団体の区域の特性に応じて、個人情報の適正な取扱いを確保するために必要な施策を策定し、及びこれを実施する責務を有する。」(5条)及び「地方公共団体は、その保有する個人情報の性質、当該個人情報を保有する目的等を勘案し、その保有する個人情報の適正な取扱いが確保されるよう必要な措置を講ずることに努めなければならない。」(11条1項)とし、自治体が保有する個人情報保護についてはそれぞれの条例による自主的な対応に委ねられた。

〇 平成11年の政府における個人情報保護法制検討開始時では、都道府県では48.9%が、市区町村では46.1% が、既に個人情報保護条例を制定しており、平成15年の個人情報保護法成立時では、都道府県では100%、市区町村では73.6%が制定、 平成17年の法全面施行時には、都道府県では100%、市区町村では98.0%が制定していた。市区町村においては、平成18年度以降100%の団体が制定している。

〇 個人情報保護法及び行政機関個人情報保護法が制定されたことを踏まえ、平成15年6月16日付総務省政策統括官通知「地方公共団体における個人情報保護対策について」が出され、個人情報保護条例が未制定の団体は制定に向けた取組みが必要であり、既に条例制定をしている団体は行政機関個人情報保護法の内容を踏まえた所要の見直しを検討することが適当であるとしたうえで、条例の制定又は見直しに当たっては、①電子計算機処理に係る個人情報保護のみならず、マニュアル処理に係る個人情報についても、条例保護の対象にする必要があること、②都道府県の個人情報保護条例において、実施機関としていない執行機関は、条例の対象にすることが望ましいこと、③自己情報の開示請求権、自己情報の訂正等の請求権および目的外利用等の際の利用停止請求権について規定する必要があること、④外部委託する場合に、委託先において適切な個人情報保護が講じられるよう必要な規定を設けるべきであること、⑤救済措置の規定を置くことが適当であること、⑥職員等に対する罰則規定を設けることを積極的に検討すべきこと、⑦個人情報保護条例においてオンライン結合(地方公共団体の電子計算機システムを通信回線によって外部の機関と結合すること、通信回線を通じて外部へ個人情報を提供すること等)を一律に禁止している場合は、早急な規定の見直しが必要であること、などの考えが示された。

 なお、個人情報保護法等制定当時の個人情報保護条例に係る論点については、自治体法務研究2005年秋号トピックス藤原静雄「個人情報保護法制定後の条例整備の現状」を参照されたい。

〇 個人情報保護対策等に係る条例の制定及び個別内容の状況については、総務省が全国の都道府県、市区町村を調査し、その結果を令和元年度分までは毎年度「地方自治情報管理概要」で公表してきた。

 「地方自治情報管理概要~電子自治体の推進状況(令和元年度)~」(38頁以下)によると、すべての都道府県(47団体)及び市区町村(1741団体)において、個人情報保護対策等に係る条例を制定している。

 なお、個人情報保護委員会は、総務省の協力を得て、「個人情報保護条例に係る実態調査」(令和2年2月27日~3月23日)を実施し、その結果(「個人情報保護条例に係る実態調査結果<概要>(令和2年5月)」及び「個人情報保護条例に係る実態調査結果<資料編>(令和2年5月)」)を「第3回地方公共団体の個人情報保護制度に関する懇談会」(令和2年5月25日)に提出しているので、併せて参照されたい。

 また、個人情報保護委員会HP「地方公共団体の個人情報保護条例」では、全国の都道府県及び市区町村の個人情報保護条例を見ることができる。

 

【平成29年法改正施行と個人情報保護条例の対応】

〇 平成27年9月に個人情報保護法が、平成28年5月に行政機関個人情報保護法が、それぞれ改正され、平成29年5月30日に施行された。これらの改正は、近年の情報通信技術の進展により、いわゆるビッグデータの収集・分析が可能となり、特に利用価値が高いとされるパーソナルデータ(個人の行動・状態等に関する情報)の利活用を適正に進めていくことが、官民を通じた重要な課題になっていることを踏まえ、個人情報の定義の明確化、要配慮個人情報の取扱い、非識別加工情報の仕組みの導入等について規定するものであった。

 こうした法律改正を受け、平成29年5月19日付総務省大臣官房地域力創造審議官通知「 個人情報保護条例の見直し等について」が出され、個人情報保護条例においても、①個人情報の定義について、指紋データ、旅券番号等の個人識別符号が個人情報に該当することを明確にするため、改正することが適当であること、②要配慮個人情報の定義を設けることが適当であること、③行政機関個人情報保護法を参考としつつ、個人の権利利益の保護及び行政の事務の適正かつ円滑な運営に支障を生じないことを前提として、非識別加工情報の仕組みを導入することが適当であること、などの考え方が自治体に対して示された。上記表のうち14、15及び16の項目がその関係部分であるが、令和元年度の時点では、個人識別符号の定義と要配慮個人情報の定義は、約半数の市区町で行政機関個人情報保護法と同様な規定がなされておらず、また、非識別加工情報の作成・提供については、ほとんどの都道府県及び市区町村で規定されていないこととなる。

〇 上記総務省通知は、法改正部分のみならず、各自治体の個人情報保護条例の規定と法律の規定に差異があるもの等についても、言及している。例えば、

① 「死者に関する情報」(上記表のうち2の項目)について、個人情報条例では半数以上の自治体が対象にしているのに対し、行政機関個人情報保護法は生存する個人の情報についてのみ対象としている。このことに関し、上記総務省通知は、「個人情報に死者に関する情報を含むことは、行政機関個人情報保護法の個人情報の保護の範囲を超えるものであり、死者に関する情報の取扱いについては、行政機関個人情報保護法の趣旨を踏まえながら、各地方公共団体において地域の特性に応じて適切に判断する必要がある。」としている。 

②  「情報の種類(要配慮個人情報)による収集・記録規制」(上記表のうち4の項目)の取り扱いについて、大部分の条例は、一定の場合を除き個人の人格的利益に関わるおそれのあるいわゆるセンシティブな個人情報の収集又は記録を禁止する規定を置いているのに対して、行政機関情報保護法は、要配慮個人情報が個人情報ファイルに記録される個人情報に含まれるときは行政機関の長はあらかじめ総務大臣に通知しなければならない(10条1項5号)としているものの、センシティブな個人情報の収集又は記録を禁止するような規定は置いていない。このことに関し、上記総務省通知は、「現在、多くの個人情報保護条例においてセンシティブ情報の収集が制限されており、要配慮個人情報の収集制限を行うことは、行政機関個人情報保護法における個人情報の保護の範囲を超えるものである。このため、要配慮個人情報の収集制限については、収集制限を行う情報の範囲を含めて、行政機関個人情報保護法の趣旨を踏まえながら、各地方公共団体において地域の特性に応じて適切に判断する必要がある。」としている。

③ 「外部機関とのオンライン結合制限」(上記表のうち6の項目)について、大部分の条例は、規定を置いている。オンライン結合を一律に禁止している自治体はなく、個人情報保護審議会等の意見を聴いた上で、公益上の必要があると認める場合などには、オンライン結合を認める旨の規定を置いている。一方、行政機関個人情報保護法では、オンライン結合を禁止してしない。このことに関し、上記総務省通知は、「地方公共団体においても、ITの活用により行政サービスの向上や行政運営の効率化が図られていることから、オンライン結合制限については、行政機関個人情報保護法の趣旨を踏まえながら、その見直しを行うなど、各地方公共団体において適切に判断する必要がある。」としている。

④ 「当該地方公共団体職員に対する罰則」(上記表のうち13の項目)について、約4分の1市区町村においては罰則が設けられていない。このことに関し、上記総務省通知は、「これらの市区町村では、行政機関個人情報保護法の趣旨を踏まえ、個人情報保護条例に個人情報の不正な提供等に関する罰則を速やかに設けることが適当である。」としている。

⑤  一部事務組合及び広域連合について、上記総務省通知は「いまだに個人情報保護条例を制定していない団体が存在する。個人情報保護法及び行政機関個人情報保護法の趣旨を踏まえ、これらの一部事務組合及び広域連合では個人情報保護条例の制定に早急に取り組むことが必要である。」としている。

⑥     なお、以上の点も含め、個人情報保護条例と法律の規定の相違等の状況については、前記「地方自治情報管理概要~電子自治体の推進状況(令和元年度)~」38頁以下並びに「個人情報保護条例に係る実態調査結果<概要>(令和2年5月)」及び「個人情報保護条例に係る実態調査結果<資料編>(令和2年5月)」を参照のこと。 また、上記総務省通知については、自治体法務研究2017年冬号行政通知の読み方・使い方 「個人情報保護条例の見直し等について」を参照されたい。

 

【いわゆる2000個問題】

〇 「個人情報保護法制2000個問題」があるとされる。これは、個人情報の取扱いを定めている法令が、民間事業者を対象にした「個人情報保護法」、国の行政機関を対象にした「行政機関個人情報保護法」、研究機関・国立大学・国立病院などに対する「独立行政法人個人情報保護法」、そして全国の都道府県、市区町村、一部部事務組合・広域連合の個人情報保護条例が、合計して「2000個」以上あり、それぞれ規定の内容や解釈の仕方が異なるため、様々な問題があるとするものである。

 例えば、一般財団法人情報法制研究所「個人情報保護法制2000個問題について」(規制改革推進会議第3回投資等ワーキング・グループ(平成28年11月15日)資料)」は、2000個問題とは、①条文のばらつきが予想以上に大きいこと、②解釈権が2000個に分立していること、③オンライン結合の場合等はそれぞれの自治体の個人情報保護審議会の答申を待たなければならず、その判断も異なることが多いこと、④個人情報保護法は3年ごと見直し条項があり、3年ごとに見直しがなされるが、見直しをしない自治体の条例との乖離が拡大することなどであるとし、その結果、①個人データの広域連携や利活用を阻害する大きな要因の一つとなっている、②分野別の特別法を制定したとしても、分野横断的にデータを突合する場合には、問題が発生する、③オープンデータ政策でもっとも期待される自治体の情報を十分に利活用することができない、④越境データ問題への影響が生じるなどの問題があるとしている。

 なお、「2000個問題」を論じるものとして、湯淺墾道「地方公共団体における個人情報保護法制の課題」(都市問題vol.110 2019年2月)がある。

 

【令和3年法改正による地方公共団体の個人情報保護制度の見直し】

〇 個人情報保護委員会は、平成元年12月から「地方公共団体の個人情報保護制度に関する懇談会」を開催したが、この経緯は、「現在、個人情報保護委員会では、改正個人情報保護法附則第12条の規定に基づき、個人情報保護法の3年ごと見直しの検討を行っている。この検討過程において、官民を通じた個人情報の取扱いに関する論点が外部から多く指摘されている状況である。具体的には、行政機関、独立行政法人、地方公共団体、民間事業者等の法律等の統合を求める意見や、当委員会が行政機関や地方公共団体における個人情報の取扱いについても所管することを求める意見等が存在する。当委員会において、本意見に係る取扱いについて検討を行ったが、地方公共団体の個人情報保護制度の中長期的な在り方については、これまで検討が十分になされている状況にないため、まずは関係者による意見交換の場の設置が必要ではないかと考えているところである。ついては、当委員会事務局において、地方公共団体の個人情報保護制度について、地方公共団体や、総務省の協力を得つつ、実務的な意見交換を行うこととしたい。」(令和元年10月25日個人情報保護委員会決定「地方公共団体の個人情報保護制度に関する懇談会の開催について」)としている。

 第4回懇談会(令和2年7月3日開催)において、個人情報保護員会は「地方公共団体の個人情報保護制度に関する懇談会における実務的論点の整理に向けて(第146回個人情報保護委員会(令和2年6月24日)決定)」を提出し、説明をしている。「なお、この資料は、懇談会で了承されたものではありません。詳細は、議事概要をご参照ください。」(個人情報保護員会HP「第4回 地方公共団体の個人情報保護制度に関する懇談会」)とされている。

〇 内閣官房に個人情報保護制度の見直しに関するタスクフォースが設置され、同タスクフォースに「個人情報保護制度の見直しに関する検討会」が設置されている(内閣官房HP「個人情報保護制度の見直しに関するタスクフォース」参照)。第9回個人情報保護制度の見直しに関する検討会(令和2年10月30日開催)においては、総務省自治行政局から「地方公共団体の個人情報保護制度に関する法制化について(素案)」が提出されており、また、第10回検討会(令和2年11月27日開催)においては、総務省自治行政局から、個人情報保護条例の現状や検討の方向性に対する地方公共団体の意見を調査し、取りまとめた「地方公共団体の個人情報保護制度の在り方に検討に関する調査結果」が提出されている。こうした検討会での議論を経て、令和2年12月23日、同タスクフォースは「個人情報保護制度の見直しに関する最終報告」をとりまとめた。

〇 令和3年5月19日にデジタル社会の形成を図るための関係法律の整備に関する法律が公布された。同法は、デジタル社会形成基本法に基づきデジタル社会の形成に関する施策を実施するため、個人情報の保護に関する法律、行政手続における特定の個人を識別するための番号の利用等に関する法律等の関係法律について所要の整備を行うもので、個人情報の保護に関する法律については、個人情報保護法、行政機関個人情報保護法、独立行政法人等個人情報保護法の3本の法律を1本の法律に統合するとともに、地方公共団体の個人情報保護制度についても統合後の法律において全国的な共通ルールを規定し、全体の所管を個人情報保護委員会に一元化する等の措置を講ずることを内容としている。同法により改正された個人情報保護法の施行日は、行政機関及び独立行政法人等に関する規律の規定や学術研究機関等に対する適用除外規定の見直し等(同法50条による改正)については令和4年4月1日、地方公共団体に関する規律の規定(同法51条による改正)については令和5年4月1日である。同法の内容等については、個人情報保護委員会HP「「令和3年改正個人情報保護法について(官民を通じた個人情報保護制度の見直し)」を参照されたい。

〇 改正法の制定に伴い、個人情報保護委員会は令和3年6月23日に「公的部門(国の行政機関等・地方公共団体等)における個人情報保護の規律の考え方(令和3年個人情報保護法改正関係)」を決定し、令和4年4月20日に「個人情報の保護に関する法律についてのガイドライン(行政機関等編)の一部を改正する告示」が公表された。

〇 改正法は、地方公共団体の機関又は地方独立行政法人が保有する個人情報(要配慮個人情報を除く。)のうち、地域の特性その他の事情に応じて、本人に対する不当な差別、偏見その他の不利益が生じないようにその取扱いに特に配慮を要する記述等として当該地方公共団体の条例で定める記述等が含まれる個人情報として、「条例要配慮個人情報」を新設(60条5項)しているが、ガイドラインは、この条例要配慮個人情報について、法に基づく規律を超えて地方公共団体等による取得や提供等に関する固有のルールを付加したり、個人情報取扱事業者等における取扱いに固有のルールを設けることは、法の趣旨に反するとしている。

 また、改正法は、地方公共団体の機関は、個人情報の適正な取扱いを確保するため専門的な知見に基づく意見を聴くことが特に必要である場合には、条例で定めるところにより、審議会等に諮問することができる(129条)としているが、ガイドラインは、「特に必要な場合」とは個人情報保護制度の運用やその在り方について専門的知見を有する者の意見も踏まえた審議が必要であると合理的に判断される場合であるとし、地方公共団体の機関において、個別の事案の法に照らした適否の判断について審議会等への諮問を行うことは、社会全体のデジタル化に対応した個人情報の保護とデータ流通の両立の要請を踏まえて、地方公共団体の個人情報保護制度についても、法の規律と解釈が個人情報保護委員会に一元化された整備法51条による法改正の趣旨に反するとしている。

 さらに、改正法は、本人開示等請求における手数料(89条2項)等について条例への委任規定を設け、個人情報取扱事務登録簿の作成・公表に係る事項(75条5項)、本人開示請求等の手続(107条2項及び108条)等について条例で定めることを許容しているが、ガイドラインは、個人情報の保護やデータ流通について直接影響を与えるような事項であって法に委任規定が置かれていないもの(例:オンライン結合に特別の制限を設ける規定、個人情報の取得を本人からの直接取得に限定する規定)は条例で独自の規定を定めることは許容されず、また、法と重複する内容の規定を条例で定めることは、同一の取扱いについて適用されるべき規定が法と条例とに重複して存在することとなるため、法の解釈運用を個人情報保護委員会が一元的に担うこととした整備法による法改正の趣旨に照らし、許容されないとしている。

 改正法は、地方公共団体の長は、法の規定に基づき個人情報の保護に関する条例を定めたときは、遅滞なく、規則で定めるところにより、その旨及びその内容を個人情報保護委員会に届け出なければならない(167条1項)としている。

〇 なお、自治体法務研究2022年春号は「どう進める? 自治体DX」を特集にしているが、個人情報保護に関しては、同特集の和久里智也「令和3年個人情報保護法改正について~デジタル化に進展に対応した新たなデータ保護ルール~」を参考にされたい。



条例の動きトップに戻る