2000個問題

団体をまたいで個人データをやり取りしようとすると、相手方の条例の定義や開示手続が自団体と違って手続が止まる――これが2000個問題である。かつて個人情報保護は、国の機関には個人情報保護法、独立行政法人には独法等個人情報保護法、自治体には各団体の条例というように、適用される法令が主体ごとに分かれていた。自治体の条例だけで約1700本以上あり、国の法令と合わせて全体で約2000の規律が並立したことからこう呼ばれた。「個人情報」の定義、本人開示の手続、オンライン結合の可否などが団体ごとに異なり、災害時の被災者情報の共有や官民のデータ連携を妨げる要因とされた。令和3年のデジタル改革関連法による個人情報保護法改正で、国・独法・自治体の規律が同法に一本化され、2000個問題は制度的に解消へ向かった。

なぜ「2000個」になったのか

個人情報保護の規律は、保護の対象となる主体ごとに別々の法令で定められてきた。国の行政機関には行政機関個人情報保護法、独立行政法人等には独法等個人情報保護法、民間事業者には個人情報保護法、そして地方公共団体には各団体が制定する個人情報保護条例が適用された。自治体は都道府県・市区町村を合わせて約1700団体あり、それぞれが独自の条例を持ったため、国の関係法令と合わせると全体で約2000の規律が並立する状態になった。同じ「個人情報」でも定義や開示請求の手続、第三者提供の要件が団体ごとに微妙に異なり、これが団体間・官民間のデータ流通を阻む摩擦として問題視された。

令和3年改正による一本化

令和3年に成立したデジタル社会形成整備法（デジタル改革関連法の一つ）により、行政機関個人情報保護法と独法等個人情報保護法は個人情報保護法に統合され、地方公共団体の個人情報の取扱いも同法の規律に組み込まれた。これにより全国共通のルールと定義のもとで個人情報が扱われるようになり、団体ごとの条例による上乗せ・横出しは原則として認められなくなった（必要最小限の独自規定は条例で残せるが届出を要する）。監督は個人情報保護委員会に一元化された。自治体は施行に合わせて従来の保護条例を見直し、法に整合する形へ改正する作業を進めた。