2026年1月、個人情報保護委員会より「個人情報保護法　いわゆる３年ごと見直しの制度改正方針」が公表されました。

いわゆる3年ごと見直しについては、昨年3月に論点が整理され、ステークホルダーとの議論が継続されていました（参考：当機構ブログ「2025年3月現在　個人情報保護法の改正の論点」）。

また、政府の動きとして、昨年6月に「デジタル社会の実現に向けた重点計画」が閣議決定され「データ利活用制度の在り方に関する基本方針」が取りまとめられました。その中で、データ利活用と個人情報の適切な保護は不可分一体の関係にあり、個人情報保護法の改正について必要なアップデートを行うとされています。

そうした状況を踏まえて、今回の制度改正方針では、4つの柱のもと、12の項目が取りまとめられています。本ブログでは、個人情報保護委員会が公表した各種資料より、内容を一部補足等しつつお伝えします。

※利用資料については、説明本文については主に個人情報保護法　いわゆる３年ごと見直しの制度改正方針、スライドの画像については主に個人情報保護法　いわゆる３年ごと見直しについてとなります。

個人情報保護法　いわゆる３年ごと見直しの制度改正方針　概要

1 適正なデータ利活用の推進

本人の権利利益への影響の有無という観点から、本人関与の在り方を再整理し、これにより、個人の信頼を確保した上での適正なデータ利活用の実現につなげることで、政府全体として検討しているデータ利活用に係る制度等の検討とも整合した形とする。

現行制度について

現行制度においては、第三者提供時（第三者提供の制限の原則）、目的外利用時（利用目的による制限）、要配慮個人情報の取得時（要配慮個人情報の取得）において、原則、本人同意の取得が求められているとともに、本人同意を不要とする例外規定も定められています。改正内容案では、本人同意を不要とする条件が、以下の通り、新たに提案されています。

統計作成等にのみ利用される場合の本人同意取得の免除

個人データ等の第三者提供及び公開されている要配慮個人情報の取得について、統計情報等の作成にのみ利用されることが担保されていること等を条件に、本人同意を不要とする。

※統計作成等であると整理できるAI開発等を含む。
※個人の権利利益を害するおそれが少ないものとして個人情報保護委員会規規則で定めるものに限定することを想定。

その他の本人同意取得の免除

●取得の状況からみて本人の意思に反しないため本人の権利利益を害しないことが明らかな取扱いである場合は本人同意を不要とする。

●生命等の保護又は公衆衛生の向上等のために取り扱う場合における同意取得困難性要件を緩和する。

●学術研究に係る例外規定の対象である「学術研究機関等」に、医療の提供を目的とする機関又は団体が含まれることを明示する。

２ リスクに適切に対応した規律

個人データ等の取扱いの態様の変化により、個人の権利利益に対するリスクも変化していることから、これに応じて規律を整備する。

16歳未満の者が本人である場合の規律の明確化

16歳未満の者が本人である場合、同意取得や通知等について当該本人の法定代理人を対象とすることを明文化し、当該本人の保有個人データの利用停止等請求の要件を緩和するとともに、未成年者の個人情報等の取扱い等について、本人の最善の利益を優先して考慮すべき旨の責務規定を設ける。

顔特徴データ等の取り扱いに関する規律の新設

顔特徴データ等について、その取扱いに関する一定の事項の周知を義務化し、利用停止等請求の要件を緩和するとともに、オプトアウト制度に基づく第三者提供を禁止する。

委託先の事業者に係る義務の見直し

データ処理等の委託を受けた事業者について、委託された個人データ等の適正な取扱いに係る義務の見直しを行う。
※個人情報保護委員会の資料には見直しの具体的な内容が別添として記載

漏えい等発生時の本人通知の一部免除

漏えい等発生時について、本人の権利利益の保護に欠けるおそれが少ない場合は、本人への通知義務を緩和する。

３ 不適正利用等の防止

個人データ等が犯罪行為等の不適正な利用形態で用いられることによる個人の権利利益侵害のリスクが高まっていることから、これに応じて規律を整備する。

個人への働きかけが可能となる個人関連情報等の不適正利用、不正取得の禁止

特定の個人に対する働きかけが可能となる個人関連情報等について、不適正利用及び不正取得を禁止する。

オプトアウト制度に基づく第三者提供に関する規律の強化

オプトアウト制度に基づく第三者提供時の提供先の身元及び利用目的の確認を義務化する。

4 規律遵守の実効性確保のための規律

個人データ等が不適切に取り扱われた場合において事後的にこれを是正する措置を充実するとともに、将来起こり得る不適切な取扱いを抑止するための仕組みを整備する。

勧告・命令等の実効性確保について

●速やかに違反行為の是正を求めることができるよう命令の要件を見直し、さらに、本人に対する違反行為に係る事実の通知又は公表等の本人の権利利益の保護のために必要な措置をとるよう勧告・命令することも可能とする。

●違反行為を補助等する第三者に対して当該違反行為の中止のために必要な措置等をとるよう要請する際の根拠規定を設ける。

不正な第三者提供や不正な個人情報の取得等に対する罰則の強化

個人情報データベース等の不正提供等に係る罰則について加害目的の提供行為も処罰対象とするとともに法定刑を引き上げ、また、詐欺行為等により個人情報を不正に取得する行為に対する罰則を設ける。

課徴金の導入

経済的誘因のある、大量の個人情報の取扱いによる悪質な違反行為を実効的に抑止するため、重大な違反行為により個人の権利利益が侵害された場合等について、当該違反行為によって得られた財産的利益等に相当する額の課徴金の納付を命ずることとする。

※課徴金制度については、対象とする違反行為を下記に限定することとする。
・ 法第19条への違反行為（不適正利用）のうち、具体的に明記された類型
・ 法第20条第1項への違反行為（不正取得）
・ 法第27条第1項への違反行為（違法な第三者提供）
・ 統計作成等の特例に係る義務への違反行為（目的外の利用、第三者提供）
※個人情報保護委員会の資料には課徴金制度のより具体的な内容は別添の第２に記載

以上の他、以下の項目についても今後引き続き検討を続けていくとされています。

●漏えい等報告の合理化

●本人の権利利益の保護の向上のための関係者の連携（適格消費者団体等による差止請求制度・被害回復制度の導入）
※今回の見直しに置いて制度的な導入については見送り

詳細や最新情報、またはこれまでの検討状況については、個人情報保護委員会の個人情報保護法　いわゆる３年ごと見直しについてのページよりご確認ください。