個人情報保護条例

同じ住民の個人情報でも、A市とB市で開示できる範囲や手続が違う――かつては各団体が独自に個人情報保護条例を制定していたため、こうした団体ごとの不揃いが避けられなかった。1,700超の団体がそれぞれ条例を持つ状態は「2000個問題」とも呼ばれ、団体をまたぐデータ連携や全国規模の災害対応で支障となっていた。令和3年のデジタル社会形成整備法による個人情報保護法改正で、民間・国・地方の規律は法に一本化され、令和5年4月に施行された。これにより保有個人情報の定義、開示・訂正・利用停止の請求、安全管理措置といった中核ルールは全国共通となり、条例で上書きできる範囲は審議会への諮問や手数料など限定的な事項に絞られた。一本化後に残る条例は「個人情報保護法施行条例」などの名称で、法が条例に委ねた事項のみを定めるものに作り替えられている。

なぜ法へ一本化されたか

改正前は、民間事業者を規律する個人情報保護法、国の行政機関を規律する行政機関個人情報保護法、独立行政法人を規律する法律、そして地方公共団体ごとの個人情報保護条例という、いわゆる三制度＋条例の分立状態にあった。とりわけ地方では団体ごとに保有個人情報の定義や開示手続、オンライン結合の可否が異なり、団体間でデータをやり取りする際に毎回ルールの突合が必要だった。医療・防災・マイナンバー関連など全国共通の基盤でデータを流通させる構想が進むなかで、この不揃い（2000個問題）が制度的な障害として顕在化し、令和3年改正で個人情報保護法に規律を統合する判断に至った。所管も個人情報保護委員会に一元化され、解釈の統一と監視が一本化された。

一本化後に条例で定められること

一本化は条例を全廃したわけではない。法は一定の事項を条例に委ねており、各団体は「個人情報保護法施行条例」等として必要な範囲を定める。具体的には、開示請求等の手数料、審議会・審査会の設置と諮問事項、要配慮個人情報に準じて条例で独自に保護する「条例要配慮個人情報」の指定などが委任の対象となる。逆に、保有個人情報の定義、開示・訂正・利用停止請求の要件、安全管理措置、漏えい等報告といった中核は法が直接規律し、条例で緩めることも厳しくすることも原則できない。改正前の条例に独自の上乗せ規制（目的外利用の全面禁止やオンライン結合の原則禁止など）を置いていた団体は、施行に合わせてこれらを廃止・整理する必要があった。