RILG - 一般財団法人 地方自治研究機構


個人情報の保護に関する条例

                                                  (令和3年8月24日更新)

【制定の経緯】

〇 個人情報保護条例については、自治体が国の法令に先駆けて制定してきた歴史がある。

まずは、電子計算機処理に係る個人情報の保護に関する条例として、昭和50年3月に全国で初めて東京都国立市で「国立市電子計算組織の運営に関する条例」が制定された(なお、昭和48年6月に徳島市で「電子計算組織運営審議会条例」が制定されており、それを全国最初とする見方もある)。その後、こうした電算処理に係る個人情報保護に関する条例が全国で制定されるようになった(昭和59年4月1日現在で179団体 自治省調べ)。

そして、昭和59年7月に、電算処理に係るものだけではなく個人情報全般を保護する条例として、全国最初に福岡県春日市で「春日市個人情報保護条例」が制定された。同条例は、情報公開条例とプライバシー保護条例の制定を求める住民からの請願が契機となって制定されたものであるが、国際水準のプライバシー保護策を随所で具体化し、また、規制対象分野を民間部門まで広げているなど、「我が国におけるプライバシー保護策の歴史の中で、画期的なものであると評価できる」(堀部政男「自治体情報法」(学陽書房1994年10月)290頁)とされている。続いて、昭和60年3月に大阪府島本町で「島本町個人情報保護条例」が,同年6月に神奈川県川崎市で「川崎市個人情報保護条例」が制定され、その後多くの自治体で制定されるようになった。なお、平成2年3月に制定された「神奈川県個人情報保護条例」が、都道府県における最初の個人情報全般を保護する条例となる。

〇 法律は、昭和63年12月に行政機関の保有する電子計算機処理に係る個人情報の保護に関する法律(昭和63年法律第95号)が制定されたが、行政機関の保有する個人情報のうち電子計算機処理に係るものに限定されていた。個人情報全般にわたる個人情報保護法制については、平成11年に成立した住民基本台帳法一部改正法の附則第1条第2項に、「法律の施行に当たって、政府は、個人情報の保護に万全を期するため、速やかに、所要の措置を講ずるものとする」との規定が追加されたことを受け、政府において検討が始められ、平成15年5月に、 個人情報の保護に関する法律(平成15年法律第57号 個人情報保護法)及び 行政機関の保有する個人情報の保護に関する法律(平成15年法律第58号 行政機関個人情報保護法)が制定され、平成17年4月に全面施行された。

個人情報保護法は、「地方公共団体は、この法律の趣旨にのっとり、その地方公共団体の区域の特性に応じて、個人情報の適正な取扱いを確保するために必要な施策を策定し、及びこれを実施する責務を有する。」(5条)及び「地方公共団体は、その保有する個人情報の性質、当該個人情報を保有する目的等を勘案し、その保有する個人情報の適正な取扱いが確保されるよう必要な措置を講ずることに努めなければならない。」(11条1項)とし、自治体が保有する個人情報保護についてはそれぞれの条例による自主的な対応に委ねられた。

〇 平成11年の政府における個人情報保護法制検討開始時では、都道府県では48.9%が、市区町村では46.1% が、既に個人情報保護条例を制定しており、平成15年の個人情報保護法成立時では、都道府県では100%、市区町村では73.6%が制定、 平成17年の法全面施行時には、都道府県では100%、市区町村では98.0%が制定していた。市区町村においては、平成18年度以降100%の団体が制定している。

〇 個人情報保護法及び行政機関個人情報保護法が制定されたことを踏まえ、平成15年6月16日付総務省政策統括官通知「地方公共団体における個人情報保護対策について」が出され、個人情報保護条例が未制定の団体は制定に向けた取組みが必要であり、既に条例制定をしている団体は行政機関個人情報保護法の内容を踏まえた所要の見直しを検討することが適当であるとしたうえで、条例の制定又は見直しに当たっては、@電子計算機処理に係る個人情報保護のみならず、マニュアル処理に係る個人情報についても、条例保護の対象にする必要があること、A都道府県の個人情報保護条例において、実施機関としていない執行機関は、条例の対象にすることが望ましいこと、B自己情報の開示請求権、自己情報の訂正等の請求権および目的外利用等の際の利用停止請求権について規定する必要があること、C外部委託する場合に、委託先において適切な個人情報保護が講じられるよう必要な規定を設けるべきであること、D救済措置の規定を置くことが適当であること、E職員等に対する罰則規定を設けることを積極的に検討すべきこと、F個人情報保護条例においてオンライン結合(地方公共団体の電子計算機システムを通信回線によって外部の機関と結合すること、通信回線を通じて外部へ個人情報を提供すること等)を一律に禁止している場合は、早急な規定の見直しが必要であること、などの考えが示された。

なお、個人情報保護法等制定当時の個人情報保護条例に係る論点については、自治体法務研究2005年秋号トピックス藤原静雄「個人情報保護法制定後の条例整備の現状」を参照されたい。

 

【現在の制定状況】

〇 個人情報保護対策等に係る条例の制定及び個別内容の状況については、総務省が全国の都道府県、市区町村を調査し、その結果を令和元年度分までは毎年度「地方自治情報管理概要」で公表してきた。

  「地方自治情報管理概要〜電子自治体の推進状況(令和元年度)〜」(38頁以下)によると、すべての都道府県(47団体)及び市区町村(1741団体)において、個人情報保護対策等に係る条例を制定している。また、個別内容の規定状況のうち主なものは、以下の表のとおりである。

なお、個人情報保護委員会は、総務省の協力を得て、「個人情報保護条例に係る実態調査」(令和2年2月27日〜3月23日)を実施し、その結果(概要 資料編)を「第3回地方公共団体の個人情報保護制度に関する懇談会」(令和2年5月25日)に提出しているので、併せて参照されたい。

  また、個人情報保護委員会HP「地方公共団体の個人情報保護条例」では、全国の都道府県及び市区町村の個人情報保護条例を見ることができる。

 

規定している団体数(都道府県・市区町村に占める割合:%)

都道府県

市区町村

1 個人情報の処理形態の範囲

47    (100.0%)

1,741     (100.0%)

2 死者に関する情報

30      (63.8%)

    991       (57.4%)

3 個人情報の保有状況を記録した帳簿等の作成

47    (100.0%)

1,657       (95.2%)

4 情報の種類(要配慮個人情報)による収集・記録規制

45      (95.7%)

 1,644       (94.4%)

5 利用・提供の規制

47    (100.0%)

1,741     (100.0%)

6 外部機関とのオンライン結合制限

44      (93.6%)

1,625       (93.3%)

7 維持管理に関する規制

47    (100.0%)

 1,739       (99.9%)

8 自己情報の開示の請求等

 47    (100.0%)

1,741     (100.0%)

9 自己情報の訂正の請求等

 47    (100.0%)

1,741     (100.0%)

10 自己情報の利用停止の請求等

 47    (100.0%)

1,690       (97.1%)

11 外部委託時の規制

 47    (100.0%)

1,739       (99.9%)

12 個人情報を取り扱う職員の責務

     47    (100.0%)

1,703       (97.8%)

13 当該地方公共団体職員に対する罰則

 47    (100.0%)

1,314       (75.5%)

14 個人識別符号の定義

41      (87.2%)

956       (54.9%)

15 要配慮個人情報の定義

36      (76.6%)

916       (52.6%)

16 非識別加工情報の作成・提供

2        (4.3%)

    9         (0.5%)

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

【個人情報保護条例と法律との主な相違点】

〇 平成27年9月に個人情報保護法が、平成28年5月に行政機関個人情報保護法が、それぞれ改正され、平成29年5月30日に施行された。これらの改正は、近年の情報通信技術の進展により、いわゆるビッグデータの収集・分析が可能となり、特に利用価値が高いとされるパーソナルデータ(個人の行動・状態等に関する情報)の利活用を適正に進めていくことが、官民を通じた重要な課題になっていることを踏まえ、個人情報の定義の明確化、要配慮個人情報の取扱い、非識別加工情報の仕組みの導入等について規定するものであった。

こうした法律改正を受け、平成29年5月19日付総務省大臣官房地域力創造審議官通知「 個人情報保護条例の見直し等について」が出され、個人情報保護条例においても、@個人情報の定義について、指紋データ、旅券番号等の個人識別符号が個人情報に該当することを明確にするため、改正することが適当であること、A要配慮個人情報の定義を設けることが適当であること、B行政機関個人情報保護法を参考としつつ、個人の権利利益の保護及び行政の事務の適正かつ円滑な運営に支障を生じないことを前提として、非識別加工情報の仕組みを導入することが適当であること、などの考え方が自治体に対して示された。上記表のうち14、15及び16の項目がその関係部分であるが、令和元年度の時点では、個人識別符号の定義と要配慮個人情報の定義は、約半数の市区町で行政機関個人情報保護法と同様な規定がなされておらず、また、非識別加工情報の作成・提供については、ほとんどの都道府県及び市区町村で規定されていないこととなる。

〇 上記総務省通知は、法改正部分のみならず、各自治体の個人情報保護条例の規定と法律の規定に差異があるもの等についても、言及している。例えば、

@ 「死者に関する情報」(上記表のうち2の項目)について、個人情報条例では半数以上の自治体が対象にしているのに対し、行政機関個人情報保護法は生存する個人の情報についてのみ対象としている。このことに関し、上記総務省通知は、「個人情報に死者に関する情報を含むことは、行政機関個人情報保護法の個人情報の保護の範囲を超えるものであり、死者に関する情報の取扱いについては、行政機関個人情報保護法の趣旨を踏まえながら、各地方公共団体において地域の特性に応じて適切に判断する必要がある。」としている。 

A  「情報の種類(要配慮個人情報)による収集・記録規制」(上記表のうち4の項目)の取り扱いについて、大部分の条例は、一定の場合を除き個人の人格的利益に関わるおそれのあるいわゆるセンシティブな個人情報の収集又は記録を禁止する規定を置いているのに対して、行政機関情報保護法は、要配慮個人情報が個人情報ファイルに記録される個人情報に含まれるときは行政機関の長はあらかじめ総務大臣に通知しなければならない(10条1項5号)としているものの、センシティブな個人情報の収集又は記録を禁止するような規定は置いていない。このことに関し、上記総務省通知は、「現在、多くの個人情報保護条例においてセンシティブ情報の収集が制限されており、要配慮個人情報の収集制限を行うことは、行政機関個人情報保護法における個人情報の保護の範囲を超えるものである。このため、要配慮個人情報の収集制限については、収集制限を行う情報の範囲を含めて、行政機関個人情報保護法の趣旨を踏まえながら、各地方公共団体において地域の特性に応じて適切に判断する必要がある。」としている。

B 「外部機関とのオンライン結合制限」(上記表のうち6の項目)について、大部分の条例は、規定を置いている。オンライン結合を一律に禁止している自治体はなく、個人情報保護審議会等の意見を聴いた上で、公益上の必要があると認める場合などには、オンライン結合を認める旨の規定を置いている。一方、行政機関個人情報保護法では、オンライン結合を禁止してしない。このことに関し、上記総務省通知は、「地方公共団体においても、ITの活用により行政サービスの向上や行政運営の効率化が図られていることから、オンライン結合制限については、行政機関個人情報保護法の趣旨を踏まえながら、その見直しを行うなど、各地方公共団体において適切に判断する必要がある。」としている。

C 「当該地方公共団体職員に対する罰則」(上記表のうち13の項目)について、約4分の1市区町村においては罰則が設けられていない。このことに関し、上記総務省通知は、「これらの市区町村では、行政機関個人情報保護法の趣旨を踏まえ、個人情報保護条例に個人情報の不正な提供等に関する罰則を速やかに設けることが適当である。」としている。

D  一部事務組合及び広域連合について、上記総務省通知は「いまだに個人情報保護条例を制定していない団体が存在する。個人情報保護法及び行政機関個人情報保護法の趣旨を踏まえ、これらの一部事務組合及び広域連合では個人情報保護条例の制定に早急に取り組むことが必要である。」としている。

E     なお、以上の点も含め、個人情報保護条例と法律の規定の相違等の状況については、地方自治情報管理概要〜電子自治体の推進状況(令和元年度)〜38頁以下を参照のこと。 また、上記総務省通知については、自治体法務研究2017年冬号行政通知の読み方・使い方 「個人情報保護条例の見直し等について」を参照されたい。

 

【いわゆる2000個問題】

〇 「個人情報保護法制2000個問題」があるとされる。これは、個人情報の取扱いを定めている法令が、民間事業者を対象にした「個人情報保護法」、国の行政機関を対象にした「行政機関個人情報保護法」、研究機関・国立大学・国立病院などに対する「独立行政法人個人情報保護法」、そして全国の都道府県、市区町村、一部部事務組合・広域連合の個人情報保護条例が、合計して「2000個」以上あり、それぞれ規定の内容や解釈の仕方が異なるため、様々な問題があるとするものである。

例えば、一般財団法人情報法制研究所「個人情報保護法制2000個問題について」(規制改革推進会議第3回投資等ワーキング・グループ(平成28年11月15日)資料)」は、2000個問題とは、@条文のばらつきが予想以上に大きいこと、A解釈権が2000個に分立していること、Bオンライン結合の場合等はそれぞれの自治体の個人情報保護審議会の答申を待たなければならず、その判断も異なることが多いこと、C個人情報保護法は3年ごと見直し条項があり、3年ごとに見直しがなされるが、見直しをしない自治体の条例との乖離が拡大することなどであるとし、その結果、@個人データの広域連携や利活用を阻害する大きな要因の一つとなっている、A分野別の特別法を制定したとしても、分野横断的にデータを突合する場合には、問題が発生する、Bオープンデータ政策でもっとも期待される自治体の情報を十分に利活用することができない、C越境データ問題への影響が生じるなどの問題があるとしている。

なお、「2000個問題」を論じるものとして、湯淺墾道「地方公共団体における個人情報保護法制の課題」(都市問題vol.110 2019年2月)がある。

 

【地方公共団体の個人情報保護制度の見直し】

〇 個人情報保護委員会は、平成元年12月から「地方公共団体の個人情報保護制度に関する懇談会」を開催しているが、この経緯は、「現在、個人情報保護委員会では、改正個人情報保護法附則第12条の規定に基づき、個人情報保護法の3年ごと見直しの検討を行っている。この検討過程において、官民を通じた個人情報の取扱いに関する論点が外部から多く指摘されている状況である。具体的には、行政機関、独立行政法人、地方公共団体、民間事業者等の法律等の統合を求める意見や、当委員会が行政機関や地方公共団体における個人情報の取扱いについても所管することを求める意見等が存在する。当委員会において、本意見に係る取扱いについて検討を行ったが、地方公共団体の個人情報保護制度の中長期的な在り方については、これまで検討が十分になされている状況にないため、まずは関係者による意見交換の場の設置が必要ではないかと考えているところである。ついては、当委員会事務局において、地方公共団体の個人情報保護制度について、地方公共団体や、総務省の協力を得つつ、実務的な意見交換を行うこととしたい。」(令和元年10月25日個人情報保護委員会決定「地方公共団体の個人情報保護制度に関する懇談会の開催について」)としている。

  第4回懇談会(令和2年7月3日開催)において、個人情報保護員会は「地方公共団体の個人情報保護制度に関する懇談会における実務的論点の整理に向けて(第146回個人情報保護委員会(令和2年6月24日)決定)」を提出し、説明をしている。「なお、この資料は、懇談会で了承されたものではありません。詳細は、議事概要をご参照ください。」(個人情報保護員会HP「第4回 地方公共団体の個人情報保護制度に関する懇談会」)とされている。

〇 内閣官房に個人情報保護制度の見直しに関するタスクフォースが設置され、同タスクフォースに「個人情報保護制度の見直しに関する検討会」が設置されている(内閣官房HP「個人情報保護制度の見直しに関するタスクフォース」参照)。第9回個人情報保護制度の見直しに関する検討会(令和2年10月30日開催)においては、総務省自治行政局から「地方公共団体の個人情報保護制度に関する法制化について(素案)」が提出されており、また、第10回検討会(令和2年11月27日開催)においては、総務省自治行政局から、個人情報保護条例の現状や検討の方向性に対する地方公共団体の意見を調査し、取りまとめた「地方公共団体の個人情報保護制度の在り方に検討に関する調査結果」が提出されている。こうした検討会での議論を経て、令和2年12月23日、同タスクフォースは「個人情報保護制度の見直しに関する最終報告」をとりまとめた。

〇 令和3年5月19日にデジタル社会の形成を図るための関係法律の整備に関する法律が公布された。同法は、デジタル社会形成基本法に基づきデジタル社会の形成に関する施策を実施するため、個人情報の保護に関する法律、行政手続における特定の個人を識別するための番号の利用等に関する法律等の関係法律について所要の整備を行うもので、個人情報の保護に関する法律については、個人情報保護法、行政機関個人情報保護法、独立行政法人等個人情報保護法の3本の法律を1本の法律に統合するとともに、地方公共団体の個人情報保護制度についても統合後の法律において全国的な共通ルールを規定し、全体の所管を個人情報保護委員会に一元化する等の措置を講ずることを内容としている。同法により改正された個人情報保護法の施行日は、行政機関及び独立行政法人等に関する規律の規定や学術研究機関等に対する適用除外規定の見直し等(同法50条による改正)については公布の日から起算して1年を超えない範囲内において政令で定める日、地方公共団体に関する規律の規定(同法51条による改正)については公布の日から起算して2年を超えない範囲内において政令で定める日である。同法の内容等については、個人情報保護委員会HP「「デジタル社会の形成を図るための関係法律の整備に関する法律」の公布について」を参照されたい。

 

【その他】

〇 なお、自治体法務研究2020年秋号は「スマート自治体への転換と自治体法務」を特集にしているが、個人情報保護に関しては、同特集の岡村久道「スマート自治体の実現と個人情報の在り方」を参考にされたい。

 




条例の動きトップに戻る