消費者と事業者の信頼の中心に
2025年3月31日
2025年3月5日に、個人情報保護委員会より「個人情報保護法の制度的課題に対する考え方について」が公表されました。2024年度末の時点においては、本資料が、個人情報保護法の改正内容案を確認する上で参照するべきものと言えます。
今回は本資料の内容を一部要約、補足等しつつお伝えします。2025年3月末現在における個人情報保護法の改正内容案をご確認いただければと思います。ただし、今後も検討が続く点にはご留意いただき、最新の情報は個人情報保護法 いわゆる3年ごと見直しについてのページよりご確認ください。
個人情報保護法の制度的課題の再整理より 改正内容案の全体像
現行制度においては、第三者提供時(第三者提供の制限の原則)、目的外利用時(利用目的による制限)、要配慮個人情報の取得時(要配慮個人情報の取得)において、原則、本人同意の取得が求められているとともに、本人同意を不要とする例外規定も定められています。改正内容案では、本人同意を不要とする条件が、以下の通り、新たに提案されています。
〇統計情報等の作成(統計作成等であると整理できるAI開発等を含む)のために複数の事業者が持つデータを共有し、横断的に解析するニーズが高まっています。一方、特定の個人との対応関係が排斥された統計情報等の作成や利用は個人の権利利益を侵害するおそれは少ないものとなります。
〇このような統計情報等の作成にのみ利用されることが担保されていること等を条件に、本人の同意がない個人データ等の第三者提供や、公開されている要配慮個人情報の取得を可能とすることが提案されています。具体的な対象範囲は、委員会規則等で定めることが想定されています。
〇第三者提供、目的外利用、要配慮個人情報の取得が本人の意思に反しないため本人の権利利益を害しないことが明らかな場合について、本人の同意を不要とすることが提案されています。
〇例えば以下のような例が想定されていますが、具体的な対象範囲は、委員会規則等で定めることが想定されています。
・本人がホテル予約サイトでホテルの宿泊予約を行い、ホテル予約サイトの運営企業から、ホテルの運営企業へ、その人の氏名等を提供される場合
・金融機関が海外送金を行うために、送金者の情報を送金先の金融機関に提供する場合
〇現行制度では、本人の同意が不要が不要となる場合に、「人の生命、身体又は財産の保護のために必要がある場合であって、本人の同意を得ることが困難であるとき」の場合が含まれています。
〇この場合について、「本人の同意を得ることが困難であるとき」のみならず、「その他の本人の同意を得ないことについて相当の理由があるとき」についても、依拠できることとすることが提案されています。
〇同意取得に係る負担を軽減し、個人情報のより適正かつ効果的な活用、及び、より実効的な個人の権利利益の侵害の防止につなげる観点からのことです。
〇例えば、本人のプライバシー等の侵害を防止するために必要かつ適切な措置(氏名等の削除、提供先との守秘義務契約の締結等)が講じられている場合等が想定されています。
〇現行制度では、本人の同意が不要が不要となる場合にいわゆる学術研究例外が含まれています。
〇「学術研究機関等」に、医療の提供を目的とする機関又は団体が含まれることを明示することが提案されています。
〇理由としては、医学・生命科学の研究においては、臨床症例の分析が必要不可欠であり、病院等による研究活動が広く行われている実態があることがあげられています。
漏えい等報告の義務を負う場合は、漏えいした情報の種類によらず、本人への通知義務を負うこととなります(本人への通知が困難である場合は、代替措置による対応が認められます)(本人への通知)。
〇本人への通知が行われなくても本人の権利利益の保護に欠けるおそれが少ない場合について、本人への通知義務を緩和し、代替措置による対応を認めることが提案されています。
〇例えば、サービス利用者の社内識別子(ID)等、漏えいした情報の取得者において、それ単体ではおよそ意味を持たない情報のみが漏えいした場合などが想定されています。
子供の個人情報の取扱いに関しては、以下の他に言及がないようです。
〇【個人情報取扱事業者が不正の手段により個人情報を取得している事例】事例1)十分な判断能力を有していない子供や障害者から、取得状況から考えて関係のない家族の収入事情などの家族の個人情報を、家族の同意なく取得する場合(適正取得)
〇法定代理人等から同意を得る必要がある子どもの具体的な年齢は、対象となる個人情報の項目や事業の性質等によって、個別具体的に判断されるべきですが、一般的には12歳から15歳までの年齢以下の子どもについて、法定代理人等から同意を得る必要があると考えられます(Q&A Q1-62)。
現行制度の状況をふまえ、以下のような提案がなされています。
〇子供の発達や権利利益を適切に守る観点から、一定の規律を設ける必要があるのではないか。その場合、対象とする子供の年齢については、現在の運用の基礎となっているQ&Aの記載や、GDPRの規定などを踏まえ、16歳未満としてはどうか。
〇16歳未満の者が本人である場合において、原則として、法定代理人からの同意取得や法定代理人への通知等を義務付けることとしてはどうか。その上で、一定の場合については例外を認める必要があるのではないか。
〇16 歳未満の者を本人とする保有個人データについて、違法行為の有無等を問うことなく利用停止等請求を行うことを可能としてはどうか。その場合において、一定の例外事由を設ける必要があるのではないか。
〇未成年者の個人情報等を取り扱う事業者について、本人の最善の利益を優先して考慮した上で、未成年者の発達又は権利利益を害することのないように必要な措置を講ずるよう努めなければならない旨の責務規定を設けてはどうか。
〇法定代理人について、同意等をするに当たって、本人の最善の利益を優先して考慮しなければならない旨の責務規定を設けてはどうか。
個人データを業務委託に伴って提供する場合、第三者提供には該当せず、委託先の監督の義務が課せられます。クラウドサービスの利用に関しては、Q&Aで多数の言及がある他、個人情報保護委員会からの注意喚起も出されています。
〇Q6-22、Q7-53、 Q7-54、Q10-25、Q12-4
〇クラウドサービス提供事業者が個人情報保護法上の個人情報取扱事業者に該当する場合の留意点に関する注意喚起について(令和6年3月25日)
〇DXの進展に伴い、個人データ等の取扱いについて、実質的に第三者に依存するケースが拡大しています。
〇この状況を踏まえ、事業者等からデータ処理等の委託が行われる場合について、委託された個人データ等の取扱いの態様や、その適正性を確保する能力など、個人データ等の適正な取扱いに係る義務の在り方を検討することが提案されています。
個人情報、個人関連情報他の定義が示されています。個人関連情報において、個人への連絡が可能な情報等かどうかによって規律が区別されてはいません。
特定の個人を識別できる情報(容易照合性によって個人を識別できる場合も含む)もしくは個人識別符号を含む情報
生存する個人に関する情報であって、個人情報、仮名加工情報及び匿名加工情報のいずれにも該当しないもの
【個人関連情報に該当する事例】
1) Cookie等の端末識別子を通じて収集された、ある個人のウェブサイトの閲覧履歴
2) メールアドレスに結び付いた、ある個人の年齢・性別・家族構成等
3) ある個人の商品購買履歴・サービス利用履歴
4) ある個人の位置情報
5) ある個人の興味・関心を示す情報
〇個人関連情報には、特定の個人に対して何らかの連絡を行うことができる記述等である電話番号、メールアドレス、Cookie ID等を含む情報がある場合があります。
〇そのような情報は、個人情報に該当しない場合でも、特定の個人への連絡を通じて、個人のプライバシー、財産権等の権利利益の侵害(フィッシング詐欺等)が発生し得えます。
〇また、それらの記述を媒介として秘匿性の高い記述等を含む情報を名寄せすることにより、プライバシー等が侵害されたり、上記連絡を通じた個人の権利利益の侵害がより深刻なものとなったりするおそれがあります。
〇このような記述等が含まれる個人関連情報について、個人の権利利益の侵害につながる蓋然性の特に高い行為類型である不適正利用及び不正取得に限って、個人情報と同様の規律を導入することが提案されています。また、上記のような記述等が含まれる仮名加工情報及び匿名加工情報についても同様の規律の導入が提案されています。
いわゆる生体データ(特定の個人の身体の一部の特徴を電子計算機の用に供するために変換した文字、番号、記号その他の符号であって、特定の個人を識別することができるもの)は、個人識別符号に該当します(個人識別符号)。
以下のような提案がなされています。
〇識別機能付きカメラシステム等のバイオメトリック技術の利用が拡大している。
〇顔特徴データ等は、「本人が関知しないうちに容易に(それゆえに大量に)入手可能」「一意性及び不変性が高く特定の個人を識別する効果が半永久的に継続」するという性質を有し、その他の生体データに比べて本人のプライバシー等の侵害に類型的につながりやすいという特徴がある。
〇そこで、上記侵害を防止し、適正な利活用を促すため、顔特徴データ等の取扱いについて、透明性を確保した上で本人の関与を強化する規律を導入する必要があるのではないか。
〇具体的には、顔特徴データ等の取扱いに関する一定の事項の周知を義務付けてはどうか。その場合において、一定の例外事由を設ける必要があるのではないかとされています。
〇また、顔特徴データ等(保有個人データであるものに限る。)について、違法行為の有無等を問うことなく利用停止等請求を行うことを可能としてはどうか。その場合において、一定の例外事由を設ける必要があるのではないか。
〇さらに、顔特徴データ等について、オプトアウト制度に基づく第三者提供(法第27条第2項)を認めないこととしてはどうか。
オプトアウトによる第三者提供について規律が定められています(オプトアウトによる第三者提供)。
現行制度の状況をふまえ、以下のような提案がなされています。
〇いわゆる「闇名簿」問題が深刻化する中で、オプトアウト届出事業者である名簿屋が、提供先が悪質な(法に違反するような行為に及ぶ者にも名簿を転売する)名簿屋であると認識しつつ名簿を提供した事案が発生しており、「闇名簿」作成の際の情報源の一つとなっている現状がある。
〇しかし、提供先における個人データの利用目的等を確認する提供元の義務が規定されていない現行法下においては、提供元が不適正な利用の禁止(法第 19 条)を適切に履行するための手段が存在しない。
〇そこで、オプトアウト制度に基づく個人データの提供時の確認義務を創設する必要があるのではないか。具体的には、以下の規律を導入することが考えられるのではないか。
〇オプトアウト制度に基づき個人データを第三者に提供するときは、あらかじめ、当該第三者(提供先)の身元(氏名又は名称、住所、代表者氏名)及び利用目的を確認しなければならないこととしてはどうか。その場合において、一定の例外事由を設ける必要があるのではないか。
以下のような提案がなされています。
〇現行法上、緊急命令は、違反行為による個人の重大な権利利益の侵害が既に発生している場合に限り、当該違反行為を是正させるために発出し得るが、個人の権利利益の侵害を防ぐ観点から、重大な権利利益の侵害が切迫している段階において速やかに緊急命令を発出して違反行為を是正させる必要のある事案が生じている。
〇そこで、違反行為により個人の重大な権利利益が侵害される事実が既に発生している場合に加えて、当該侵害が切迫している場合においても、(勧告を経ることなく)緊急命令を発出することができるようにしてはどうか。
〇また、違反行為による個人の重大な権利利益の侵害がいまだ切迫しているとまでは認められない場合であっても、当該侵害のおそれが生じており、かつ、勧告によって自主的な是正を待ったにもかかわらず、依然として当該違反行為が是正されない場合においては、命令を発出することができるようにしてはどうか。
以下のような提案がなされています。
〇法に違反する個人情報等の取扱いがあった場合において、本人が自らその権利利益を保護するための措置を講ずるためには、その前提として、当該取扱いがあったことを認知する必要がある。
〇そこで、違反行為の中止その他違反を是正するために必要な措置に加えて、本人に対する違反行為に係る事実の通知又は公表その他の本人の権利利益の保護のために必要な措置を勧告・命令の内容とすることができることとしてはどうか。
以下のような提案がなされています。
〇近時、違反行為の中止命令及び当該命令違反の罪に係る刑事告発を受けるに至っても当該違反行為を停止しない悪質な個人情報取扱事業者等が現れてきている。個人情報取扱事業者等による違法な個人情報等の取扱いにより個人の権利利益の侵害又はそのおそれが生じ、個人情報保護委員会による命令が発出されたが、当該個人情報取扱事業者等がこれに従わない場合において、当該違反行為による個人の権利利益の侵害又はそのおそれを排除するためには、当該個人情報等の取扱過程や流通過程の一部に関わることとなってしまっている事業者が、当該取扱いのために用いられる役務の提供の停止、当該個人情報等の送信の中止等の措置をとることが必要かつ効果的である。
〇現行法上は、委員会による命令は、法の義務規定に違反した個人情報取扱事業者等に対してのみ発出することができるものであり、当該違反行為に関わることとなってしまっている第三者に対して、当該個人情報取扱事業者等へのサービス提供の停止等を命じることはできず、任意の要請に係る根拠規定もない。
〇これを踏まえ、違反事業者に対する命令が発出されている場合における、以下二つの類型の委員会による第三者に対する要請について、根拠規定を設けることとしてはどうか。
・委員会による命令を受けた個人情報取扱事業者等による違法な個人情報等の取扱いを、当該個人情報取扱事業者等との契約に基づき補助する第三者に対する、当該違反行為を中止させるために必要な措置を講ずるべき旨の要請。
・委員会による命令を受けた個人情報取扱事業者等による違法な個人情報等の取扱いが、特定電気通信による当該個人情報等の送信である場合における、当該特定電気通信による当該個人情報等の流通に係る特定電気通信役務を提供する特定電気通信役務提供者に対する、当該流通を防止するために必要な措置を講ずるべき旨の要請。
〇第三者が上記要請に応じた場合における、当該第三者の当該個人情報取扱事業者等に対する損害賠償責任を制限することとしてはどうか。
以下のような提案がなされています。
〇現行法上、第 179 条及び第 180 条が定める刑事罰の対象となる個人情報データベース等又は保有個人情報の提供行為は、不正な利益を図る目的での提供行為に限られているが、本人の権利利益を害する程度には、不正な利益を図る目的での提供行為と加害目的での提供行為とで差異が認められないため、この点を見直し、「不正な利益を図る目的」に加え、「損害を加える目的」に基づく提供行為についても、法第179条及び第180条に基づく刑事罰の対象行為としてはどうか。
〇また、不正に取得された個人情報は、当該情報を用いた詐欺その他の犯罪等につながり得る不適正な利用がなされる蓋然性が高いため、詐欺行為や不正アクセス行為その他の個人情報を保有する者の管理を害する行為により個人情報を取得する行為について、当罰性の観点から「不正な利益を図る目的」又は「損害を加える目的」に基づくものに限定した上で、直罰の対象とする必要があるのではないか。
〇なお、各罰則規定の法定刑について、他の罰則規定との均衡を踏まえ、適切な見直しをすることが適当ではないか。
以下のような提案がなされています。
〇課徴金は、行政上の措置として機動的に賦課されるものであり、違反行為の経済的誘因を小さくすることにより、違反行為を抑止することを目的として導入されるものである。このような課徴金制度については、事後チェック型を志向する現代の市場経済社会において重要な法執行上の役割を果たしていると指摘されている。
〇課徴金制度については、個人情報保護法 いわゆる3年ごと見直しに係る検討の中間整理を踏まえ、昨年7 月から「個人情報保護法のいわゆる3年ごと見直しに関する検討会」を開催し、計7回の会合を経て、昨年12月末に議論の状況を整理した報告書を取りまとめた。
〇報告書は、課徴金制度の導入の必要性及び想定される制度設計の在り方や課題についての議論状況をまとめたものである。同制度の導入の要否及び制度設計の在り方については、報告書の内容を踏まえ、継続して議論していく必要があるのではないか。
以下のような提案がなされています。
〇ある者の個人情報が違法に取り扱われている場合には、他の者の個人情報についても同様に違法に取り扱われている可能性が十分にあると考えられる中で、個人情報の違法な取扱いに対する適切な権利救済の手段を多様化し、より確実に救済を受けられる環境を整えていくことは重要であると指摘されている。団体による差止請求制度や被害回復制度について、検討会において導入の必要性や想定される制度設計について議論を行った。
〇報告書は、課徴金制度と同様に、団体による差止請求制度・被害回復制度についても、導入の必要性及び想定される制度設計の在り方や課題についての議論状況をまとめたものである。同制度の導入の要否及び制度設計の在り方については、報告書の内容を踏まえ、継続して議論していく必要があるのではないか。
以下のような提案がなされています。
〇委員会規則で定めるところによる、報告対象事態が発生した場合の委員会への報告について、体制・手順に係る認定個人情報保護団体などの第三者の確認を受けること等を前提として、一定の範囲で速報を免除することを可能としてはどうか。さらに、漏えいした個人データに係る本人の数が1名である誤交付・誤送付のようなケースについては、委員会への報告のうち確報を、一定期間ごとに取りまとめた上で行うことを許容してはどうか。
〇また、違法な個人データの第三者提供についても報告対象事態にすることとしてはどうか。
〇違法な第三者提供については、行政機関等についても同様の改正を行うこととしてはどうか。
以上となります。詳細や最新情報、またはこれまでの検討状況については、個人情報保護委員会の個人情報保護法 いわゆる3年ごと見直しについてのページよりご確認ください。
個人情報に関わる資格制度の運営や社員教育、認証付与など総合的ソリューションを提供し、個人情報保護の推進に貢献してまいります。