MenuClose

Blog

ブログ

「個人情報保護法 いわゆる3年ごと見直しの制度改正方針」(令和8年1月9日)の解説

2026.01.13

#個人情報

個人情報保護委員会は、令和2年改正法附則10[1]の規定を踏まえ、個人情報の保護に関する法律[2](以下「個人情報保護法」又は「法」といいます。)の「いわゆる3年ごと見直し」について、令和511月から検討を進めていましたが、「個人情報保護法の制度的課題に対する考え方について(令和735日)[3]」(以下「考え方」といいます。)とそれに寄せられた意見を公表してからは、個人情報保護委員会による3年ごと見直しの進捗については正式には明らかにされていませんでした。この度、個人情報保護委員会は、10か月ぶりに「個人情報保護法 いわゆる3年ごと見直しの制度改正方針(令和819日)[4]」(以下「本方針」といいます。)を公表して、次回の個人情報保護法改正の方針を明確にしました。

本方針は、これまでの3年ごと見直しの議論と「データ利活用制度の在り方に関する基本方針(令和7613日閣議決定)[5]」(以下「基本方針」といいます。)及び関連する各種政府決定[6]を踏まえ、政府全体の取組とも連携しながら、個人情報保護委員会として関係者との議論を深め、個人情報保護法の改正案の早期提出を念頭に制度改正方針を取りまとめたものとされています(本方針1頁)。

本方針では、個人情報保護法の改正案を国会に提出する時期について明言されていないものの、基本方針において「次期通常国会に法案を提出することを目指す」とされたこと(基本方針21頁)、及び、高市総理が2026年の通常国会への法案提出を念頭に進めるように指示していること[7]から、2026年の通常国会への提出が想定されていると考えられます。2026年の通常国会は、同年123日から621日まで開催されることが予定されているところ、同通常国会において個人情報保護法の改正案が成立した場合、当該改正案は令和8年改正個人情報保護法になります。

本方針では、「適正なデータ利活用の推進」、「リスクに適切に対応した規律」、「不適正利用等の防止」及び「規律遵守の実効性確保のための規律」の四つの柱を個人情報保護法の改正案として、その具体化に向けた検討を加速することとしています(本方針1頁)。これらの四つの柱を踏まえ、本方針においては、主として以下の12項目について個人情報保護法の改正方針が示されています。

適正なデータ利活用の推進

①   統計情報等の作成にのみ利用される場合の同意取得義務の免除※

②   同意取得に係る例外規定の要件の緩和

リスクに適切に対応した規律

③   子供の個人情報に係る規制の明確化及び厳格化※

④   顔特徴データ等に係る規律の新設

⑤   委託を受けた事業者の規律の強化※

⑥   漏えい等発生時の本人通知義務の緩和※

不適正利用等の防止

⑦   特定の個人に対する働きかけが可能となる情報への規制の強化※

⑧   オプトアウトによる提供先の身元及び利用目的の確認の義務化

規律遵守の実効性確保のための規律

⑨   勧告及び命令の行使の柔軟化

⑩   違反行為を補助等する第三者への措置の法定

⑪   罰則の強化及び拡大※

⑫   課徴金制度の導入

※上記①~⑫の項目において「※」が付されたものは、行政機関等に係る規律にも改正の趣旨が妥当するものとして当該趣旨に即して規律の整備を行うとされています。

本稿では、上記①~⑫の項目について、本方針において示された個人情報保護法の改正方針について解説します(なお、以下においては、本方針において示された民間部門の規律の改正方針を念頭に置いて解説します。)。

[1] 附則10条は、「政府は、この法律の施行後3年ごとに、個人情報の保護に関する国際的動向、情報通信技術の進展、それに伴う個人情報を活用した新たな産業の創出及び発展の状況等を勘案し、新個人情報保護法の施行の状況について検討を加え、必要があると認めるときは、その結果に基づいて所要の措置を講ずるものとする。」と定めています。

[2] 個人情報の保護に関する法律(平成15年法律第57号)

https://elaws.e-gov.go.jp/document?lawid=415AC0000000057

[3] 個人情報保護委員会「個人情報保護法の制度的課題に対する考え方について」(令和735日)

https://www.ppc.go.jp/files/pdf/seidotekikadainitaisurukangaekatanitsuite_250305.pdf

[4] 個人情報保護委員会「個人情報保護法 いわゆる3年ごと見直しの制度改正方針」(令和819日)

https://www.ppc.go.jp/files/pdf/01-1_seidokaiseihousin.pdf

[5] デジタル行財政改革会議「データ利活用制度の在り方に関する基本方針」(令和7613日閣議決定)

https://www.cas.go.jp/jp/seisaku/digital_gyozaikaikaku/pdf/data_houshin_honbun.pdf

[6] 本方針・参考2911頁)

[7] 首相官邸ウェブサイト「デジタル行財政改革会議」(令和71224日)

https://www.kantei.go.jp/jp/104/actions/202512/24digitalgyouzaisei.html?utm_source=chatgpt.com

統計情報等の作成にのみ利用される場合の同意取得義務の免除

現行法では、統計情報等の作成にのみ利用される場合であっても、個人データの第三者提供及び要配慮個人情報の取得には原則として同意取得が必要とされています(法27条、28条、202項)。この点について、考え方では、統計情報等の作成のために複数の事業者が持つデータを共有し横断的に解析するニーズが高まっていること、特定の個人との対応関係が排斥された統計情報等の作成や利用はこれによって個人の権利利益を侵害するおそれが少ないものであることから、このような統計情報等の作成にのみ利用されることが担保されていること等を条件に、本人同意なき個人データ等の第三者提供及び公開されている要配慮個人情報の取得を可能とすることが提案されていました(考え方12頁)。

本方針では、これまでの議論を踏まえ、個人データ等の第三者提供及び公開されている要配慮個人情報の取得について、統計情報等の作成(統計作成等であると整理できるAI開発等を含みます。)にのみ利用されることが担保されていること等を条件に、本人同意を不要とする方針が示されています(本方針12頁)。当該条件の具体的な内容については本方針において示されていませんが、個人の権利利益を害するおそれが少ないものとして個人情報保護委員会規則(以下「委員会規則」といいます。)で定めるものに限定することを想定されています(本方針2頁)。考え方の時点では、①一定の事項の公表、②提供当事者間の合意、並びに③目的外利用及び第三者提供の禁止の義務付けについて言及されていたため、委員会規則でもこのようなルールが定められる可能性があります(考え方12頁)。

同意取得に係る例外規定の要件の緩和

現行法では、目的外利用、要配慮個人情報取得及び第三者提供を行う場合には原則として本人の同意を得ることが求められます(法202項、27条、28条)。この同意取得義務に係る例外要件の緩和として、以下の三点の改正方針が示されています。

(1) 取得の状況からみて本人の意思に反しないため本人の権利利益を害しないことが明らかな取扱いの例外の新設

現行法では、取得の状況からみて本人の意思に反しないため本人の権利利益を害しないことが明らかな場合であっても、本人同意の取得義務は免除されません。

本方針では、取得の状況からみて本人の意思に反しないため本人の権利利益を害しないことが明らかな取扱いである場合は本人同意を不要とする方針が示されています(本方針2頁)。本方針では、具体的にどのような場合にこの例外に該当するのかは明確に示されていませんが、考え方の段階では、契約の履行のために必要不可欠な場合を典型例として想定していることが示唆されてました(考え方2頁)。また、考え方では、具体例として、①本人が、事業者Aの運営するホテル予約サイトで事業者Bの運営するホテルの宿泊予約を行ったため、事業者Aが事業者Bに当該本人の氏名等を提供する場合、②金融機関が海外送金を行うために送金者の情報を送金先の金融機関に提供する場合が紹介されていました(考え方2頁)。個人情報保護法の改正案でもこれらの方針が維持される可能性があります。 

(2) 同意取得困難性要件の緩和

現行法では、同意取得義務の例外として、「人の生命、身体又は財産の保護のために必要がある場合であって、本人の同意を得ることが困難であるとき」及び「公衆衛生の向上又は児童の健全な育成の推進のために特に必要がある場合であって、本人の同意を得ることが困難であるとき」(法20223号、27123号)が定められています。

本方針では、生命等の保護又は公衆衛生の向上等のために取り扱う場合における同意取得困難性要件を緩和する方針が示されています(本方針2頁)。本方針においては具体的にどのような緩和をするのかは示されていませんが、考え方の時点では、「本人の同意を得ることが困難であるとき」のみならず、「その他の本人の同意を得ないことについて相当の理由があるとき」にも同意取得義務の例外に依拠できるようにすることが提案されていました(考え方23頁)。考え方では、具体例として、本人のプライバシー等の侵害を防止するために必要かつ適切な措置(氏名等の削除、提供先との守秘義務契約の締結等)が講じられているため、当該本人の権利利益が不当に侵害されるおそれがない場合が紹介されており(考え方3頁)、個人情報保護法の改正案でもこの方針が維持される可能性があります。 

(3) 学術研究機関等に医療の提供を目的とする主体が含まれる旨の明示

現行法では、「学術研究機関等」とは、大学その他の学術研究を目的とする機関若しくは団体又はそれらに属する者をいうため(法168項)、医療の提供を目的とする機関又は団体は必ずしも含まれないと考えられます。この点について、考え方では、医学・生命科学の研究においては、研究対象となる診断・治療の方法に関する臨床症例の分析が必要不可欠であり、病院等の医療の提供を目的とする機関又は団体による研究活動が広く行われている実態があることが指摘されていました(考え方3頁)。

本方針では、学術研究に係る例外規定の対象である「学術研究機関等」に、医療の提供を目的とする機関又は団体が含まれることを明示する方針が示されています(本方針2頁)。考え方の時点では、病院や、その他の医療の提供を目的とする機関等(診療所等)が含まれることが想定される旨が言及されており(考え方3頁)、個人情報保護法の改正案でもこの方針が維持される可能性があります。

子供の個人情報に係る規制の明確化及び厳格化

現行法では、子供の同意取得や通知の対象となる年齢について法令レベルでは定められておらず、個人情報保護委員会のQ&Aにおいて12歳から15歳までの年齢以下の子供について法定代理人等から同意を得る必要がある旨が述べられているのみです[8]。また、保有個人データの利用停止等請求は、子供固有の規定は定められていません。さらに、子供本人の最善の利益を優先して考慮すべき旨の責務規定は定められていません。これらの点について、考え方では、子供は心身が発達段階にあるためその判断能力が不十分であり、個人情報の不適切な取扱いに伴う悪影響を受けやすいこと等から、子供の発達や権利利益を適切に守る観点から、一定の規律を設ける必要がある旨が指摘されていました(考え方2頁)。

本方針では、子供の個人情報について、以下の改正の方針が示されています。

16歳未満の者が本人である場合、同意取得や通知等について当該本人の法定代理人を対象とすることを明文化すること(本方針2頁)。なお、本方針では言及がないものの、考え方の時点では、①本人が16歳未満であることを事業者が知らないことについて正当な理由がある場合、②法定代理人が本人の営業を許可しており、事業者が当該営業に関して個人情報を取得した場合、③本人に法定代理人がない又はそのように事業者が信ずるに足りる相当な理由がある場合には、例外的に本人からの同意取得や本人への通知等を認める必要がある旨が指摘されており(考え方4頁)、個人情報保護法の改正案でもこの方針が維持される可能性があります。

16歳未満の本人の保有個人データの利用停止等請求の要件を緩和すること(本方針2頁)。なお、本方針では同様に言及がないものの、考え方の時点では、①法定代理人の同意を得て取得された保有個人データである場合、②要配慮個人情報の取得に係る例外要件と同種の要件に該当する場合、③本人が16歳以上であると信じさせるために詐術を用いた場合、④法定代理人が本人の営業を許可しており、事業者が当該営業に関して保有個人データを取得した場合には、例外的に利用停止等請求を拒否できるような制度にする旨が示唆されており(考え方4頁)、個人情報保護法の改正案でもこの方針が維持される可能性があります。

未成年者の個人情報等の取扱い等について、本人の最善の利益を優先して考慮すべき旨の責務規定を設けること(本方針2頁)。なお、本方針では同様に言及がないものの、考え方の時点では、①未成年者の個人情報等を取り扱う事業者は、当該未成年者の年齢及び発達の程度に応じて、その最善の利益を優先して考慮した上で、未成年者の発達又は権利利益を害することのないように必要な措置を講ずるよう努めなければならない旨の責務規定、及び、個人情報の取扱いに係る同意等をするに当たって、法定代理人は、本人の最善の利益を優先して考慮しなければならない旨の責務規定が提案されており(考え方4頁)、個人情報保護法の改正案でもこの方針が維持される可能性があります。

[8] 個人情報保護委員会「『個人情報の保護に関する法律についてのガイドライン』に関するQ&A」(令和771日)A1-62

https://www.ppc.go.jp/personalinfo/faq/APPI_QA/#q1-62

顔特徴データ等に係る規律の新設

現行法では、顔特徴データ等は個人識別符号に該当する可能性はありますが(法22項、法施行令11号ロ)、顔特徴データ等に係る固有の要求事項は定められていません。この点について、考え方では、顔識別機能付きカメラシステム等のバイオメトリック技術の利用が拡大する中で、生体データのうち、本人が関知しないうちに容易に(それゆえに大量に)入手することができ、かつ、一意性及び不変性が高く特定の個人を識別する効果が半永久的に継続するという性質を有する顔特徴データ等は、その他の生体データに比べてその取扱いが本人のプライバシー等の侵害に類型的につながりやすいという特徴を有することとなっている旨が指摘されていました(考え方6頁)。

本方針では、顔特徴データ等について、以下の改正の方針が示されています。 

・顔特徴データ等の取扱いに関する一定の事項の周知を義務化すること(本方針2頁)。なお、本方針では言及がないものの、考え方の時点では、①顔特徴データ等を取り扱う当該個人情報取扱事業者の名称・住所・代表者の氏名、②顔特徴データ等を取り扱うこと、③顔特徴データ等の利用目的、④顔特徴データ等の元となった身体的特徴の内容、⑤利用停止請求に応じる手続等が周知の対象とする旨が提案されていました(考え方6頁)。また、周知義務の例外事由として、(1)周知により本人又は第三者の権利利益を害するおそれがある場合、(2)周知により当該個人情報取扱事業者の権利又は正当な利益を害するおそれがある場合、(3)国又は地方公共団体の事務の遂行に協力する必要がある場合であって、周知により当該事務の遂行に支障を及ぼすおそれがあるときが提案されていました(考え方6頁)。個人情報保護法の改正案でもこれらの方針が維持される可能性があります。

・顔特徴データ等の利用停止等請求の要件を緩和すること(本方針2頁)。なお、本方針では同様に言及がないものの、考え方の時点では、①本人の同意を得て作成又は取得された顔特徴データ等である場合、②要配慮個人情報の取得に係る例外要件と同種の要件に該当する場合が利用停止等請求を拒否することができる例外事由とすることが示唆されており(考え方7頁)、個人情報保護法の改正案でもこの方針が維持される可能性があります。

・顔特徴データ等のオプトアウト制度に基づく第三者提供を禁止すること(本方針2頁)。

委託を受けた事業者の規律の強化

現行法では、委託を受けた事業者に対して直接適用される明示的な義務は定められていません。この点について、考え方では、個人情報取扱事業者等におけるDXの進展に伴い、個人データ等の取扱いについて、実質的に第三者に依存するケースが拡大している状況を踏まえ、委託を受けた事業者に対する規律の在り方を検討する旨が提案されていました(考え方5頁)。

 本方針では、データ処理等の委託を受けた事業者について、委託された個人データ等の適正な取扱いに係る義務の見直しを行う方針が示されています(本方針2頁)。具体的には、委託を受けた事業者の規律について、以下の義務を新設する方針が示されています。

 ・取扱いを委託された個人データ等を当該委託を受けた業務の遂行に必要な範囲を超えて取り扱ってはならない旨の義務を委託先に明文規定により課すこと(本方針5頁)。ただし、法令に基づく場合及び人命の救助、災害の救援その他非常の事態への対応のため緊急の必要がある場合には、例外的に委託先が独自の判断で利用できることとします(同)。

 ・委託先自らは取扱いの方法を決定しないケース(例:委託先が委託元から指示された方法で機械的に個人データ等を取り扱うのみの場合)においては、委託契約において、取扱いの方法の全部について合意し、かつ委託先における取扱いの状況を委託元が把握するために 必要な措置等(例:漏えい等が生じたことを知ったときに委託先が委託元に対して速やかにその旨を報告すること)について合意した場合は、当該委託先に対しては、個人情報保護法4章の各義務規定の適用を原則として免除すること(本方針5頁)。その場合、委託先に対しては、①委託を受けた業務の遂行に必要な範囲を超えて取り扱ってはならない旨の義務及び②安全管理に係る義務のみが適用されることになります(同)。

漏えい等発生時の本人通知義務の緩和

現行法では、個人情報取扱事業者は、漏えい等報告の義務を負うときは、本人への通知が困難な場合であって、代替措置を講じたときを除き、一律に本人への通知義務を負うこととなります(法262項)。

本方針では、漏えい等発生時について、本人の権利利益の保護に欠けるおそれが少ない場合は、本人への通知義務を緩和する方針が示されています(本方針2頁)。ここでいう「本人の権利利益の保護に欠けるおそれが少ない場合」の具体的な内容については本方針において示されていませんが、考え方の時点では、サービス利用者の社内識別子(ID)等、漏えいした情報の取得者において、それ単体ではおよそ意味を持たない情報のみが漏えいした場合がその例として挙げられており(考え方3頁)、個人情報保護法の改正案又は委員会規則でもその方針が維持される可能性があります。

特定の個人に対する働きかけが可能となる情報への規制の強化

現行法では、個人情報について不適正利用の禁止及び不正取得の禁止が定められていますが(法19条、201項)、個人関連情報、仮名加工情報及び匿名加工情報については定められていません。この点について、考え方の時点では、特定の個人に対して何らかの連絡を行うことができる記述等である電話番号、メールアドレス、Cookie ID等を含む情報については、当該情報が個人情報に該当しない場合であっても、当該個人への連絡を通じて当該個人のプライバシー、財産権等の権利利益の侵害が発生し得る上、当該記述等を媒介として秘匿性の高い記述等を含む情報を名寄せすることにより、プライバシー等が侵害されたり、上記連絡を通じた個人の権利利益の侵害がより深刻なものとなったりするおそれがある旨が指摘されていました(考え方5頁)。

本方針では、特定の個人に対する働きかけが可能となる個人関連情報等について、不適正利用及び不正取得を禁止する方針が示されています(本方針2頁)。ここでいう「個人関連情報等」の具体的な内容について本方針においては説明されていませんが、考え方の時点では、①特定の個人の所在地(住居、勤務先等)、②電話番号、③メールアドレス、④Cookie ID 等の記述等(これを利用して特定の個人に対して連絡を行うことができるものに限ります。)を含む個人関連情報、仮名加工情報及び匿名加工情報を対象とすることが提案されており(考え方56頁)、個人情報保護法の改正案でもその方針が維持される可能性があります。

オプトアウトによる提供先の身元及び利用目的の確認の義務化

現行法では、オプトアウト制度に基づく個人データの第三者提供を行う場合、提供先の身元及び利用目的の確認は義務付けられていません(法272項)。この点について、考え方の時点では、近時いわゆる「闇名簿」問題が深刻化する中で、オプトアウト届出事業者である名簿屋が、提供先が悪質な(法に違反するような行為に及ぶ者にも名簿を転売する)名簿屋であると認識しつつ名簿を提供した事案が発生しており、オプトアウト制度に基づいて提供された個人データが「闇名簿」作成の際の情報源の一つとなっている現状がある旨が指摘されていました(考え方7頁)。

本方針では、オプトアウト制度に基づく第三者提供時の提供先の身元及び利用目的の確認を義務化する方針が示されています(本方針2頁)。なお、本方針においては言及されていないものの、考え方では、オプトアウト届出事業者が当該個人データを取得した時点において、当該個人データが本人、国の機関、地方公共団体等によって公開されていたものである場合には、上記の確認義務を例外的に適用しない旨が提案されており(考え方78頁)、個人情報保護法の改正案でもその方針が維持される可能性があります。

勧告及び命令の行使の柔軟化

現行法では、勧告の前置を要しない緊急命令は、「個人の重大な権利利益を害する事実があるため緊急に措置をとる必要があると認めるとき」に限って発出することができるとされています(法1483項)。また、勧告によって要求することができるのは「違反行為の中止その他違反を是正するために必要な措置をとるべき旨」であり(同条1項)、問題のある取扱いがあったことを認知させるための積極的な措置(例:本人通知又は公表)を求めることができるようになっていません。

本方針では、勧告及び命令の行使の柔軟化の観点から、以下の点を改正する方針が示されています。

速やかに違反行為の是正を求めることができるよう命令の要件を見直すこと(本方針2頁)。本方針では、見直しの具体的な内容は説明されていませんが、考え方の時点では、違反行為により個人の重大な権利利益が侵害される事実が既に発生している場合に加えて、①当該侵害が切迫している場合、②切迫しているとまでは認められない場合であっても、当該侵害のおそれが生じており、かつ、勧告によって自主的な是正を待ったにもかかわらず、依然として当該違反行為が是正されない場合にも命令を発出することができるようにすることが提案されており(考え方8頁)、個人情報保護法の改正案でもその方針が維持される可能性があります。 

本人に対する違反行為に係る事実の通知又は公表等の本人の権利利益の保護のために必要な措置をとるよう勧告・命令することも可能とすること(本方針2頁)。

違反行為を補助等する第三者への措置の法定

現行法では、命令は個人情報保護法の義務規定に違反した個人情報取扱事業者等に対してのみ発出することができるものであり(法1482項・3項)、当該違反行為に関わる第三者に対して、当該個人情報取扱事業者等へのサービス提供の停止等を命じることはできず、任意の要請に係る根拠規定もありません。

 本方針では、違反行為を補助等する第三者に対して当該違反行為の中止のために必要な措置等をとるよう要請する際の根拠規定を設ける方針が示されています(本方針2頁)。本方針では、違反行為に関わる第三者としてどのような主体が想定されているかは説明されていませんが、考え方の時点では、①個人情報等の保存に用いるためのクラウドサービスを提供する事業者、②個人情報を公開するためのサーバのホスティング事業者、③当該サーバのドメイン名をIPアドレスに変換するDNSサーバのホスティング事業者等が言及されており(考え方910頁)、個人情報保護法の改正案でもその方針が維持される可能性があります。

罰則の強化及び拡大

現行法では、個人情報データベース等の不正提供等に係る罰則は、「不正な利益を図る目的」で実行行為を行った場合のみが対象となっており、「損害を加える目的」で実行行為を行った場合は対象となっていません(法179条、180条)。この点について、考え方の時点では、本人の権利利益を害する程度には、不正な利益を図る目的での提供行為と加害目的での提供行為とで差異が認められない旨が指摘されていました(考え方10頁)。

また、現行法では、個人情報データベース等の不正提供等に係る罰則は、提供又は盗用であり、取得それ自体を対象としていません。この点について、考え方の時点では、不正に取得された個人情報は不適正な利用がなされる蓋然性が高いため、詐欺行為・不正アクセス等の個人情報を保有する者の管理を害する行為により個人情報を取得する行為について、直罰の対象とする必要がある旨が指摘されていました(考え方10頁)。

本方針では、罰則の強化及び拡大の観点から、以下の点の改正の方針が示されています

個人情報データベース等の不正提供等に係る罰則について加害目的の提供行為も処罰対象とすることとともに法定刑を引き上げること(本方針3頁)。

詐欺行為等により個人情報を不正に取得する行為に対する罰則を設けること(本方針3頁)。

課徴金制度の導入

現行法では、個人情報保護法違反に対する金銭的制裁は、刑事罰としての罰金しか定められておらず、行政上の制裁としての課徴金は課すことができません。この点について、考え方の時点では、課徴金は、行政上の措置として機動的に賦課されるものであり、違反行為の経済的誘因を小さくすることにより、違反行為を抑止することを目的として導入されるものであるところ、事後チェック型を志向する現代の市場経済社会において重要な法執行上の役割を果たしている旨が指摘されていました(考え方10頁。なお、課徴金制度については、慎重な議論を行う観点から、20247月から「個人情報保護法のいわゆる3年ごと見直しに関する検討会」にて議論し、同年12月末に報告書[9]が取りまとめられています。)。

本方針では、経済的誘因のある、大量の個人情報の取扱いによる悪質な違反行為を実効的に抑止するため、重大な違反行為により個人の権利利益が侵害された場合等について、当該違反行為によって得られた財産的利益等に相当する額の課徴金の納付を命ずることとする方針が示されています(本方針3頁)。

(1) 対象行為

以下のいずれかの行為又は当該行為をやめることの対価として金銭等を得たときを課徴金納付命令の対象とするとされています(本方針6頁)。

  • 個人情報の提供であって、当該個人情報を利用して違法な行為又は不当な差別的取扱いを行うことが想定される状況にある第三者に対して行うもの
  • 第三者の求めにより行う個人情報の利用であって、当該第三者が当該個人情報の利用を通じて違法な行為又は不当な差別的取扱いを行うことが想定される状況にある場合に行われるもの
  • 個人情報保護法201項の規定に違反して、偽りその他不正の手段により個人情報を取得し、当該個人情報を利用する行為
  • 個人情報保護法271項の規定に違反して、あらかじめ本人の同意を得ないで、個人データを第三者に提供する行為
  • 統計作成等の特例に基づき取得した個人情報を、当該特例に係る義務に反して目的外に取り扱う行為又は第三者に提供する行為等

(2) 適用条件

以下の適用条件をすべて満たす場合に限り、課徴金納付命令の対象となるとされています(本方針6頁)。

  • 当該個人情報取扱事業者が、当該対象行為を防止するための相当の注意を怠った者でないと認められる場合でないこと(相当の注意(主観的要素))。
  • 当該対象行為に係る個人情報又は個人データの本人の数が 1,000人を超えること(大規模事案であること)。
  • 個人の権利利益を害する程度が大きくない場合に該当しないこと(権利利益侵害があること)。

(3) 課徴金額

課徴金額は、対象行為又は対象行為をやめることの対価として個人情報取扱事業者が得た金銭等の財産上の利益に相当する額とするとされています(本方針6頁)。

[9] 個人情報保護法のいわゆる3年ごと見直しに関する検討会「個人情報保護法のいわゆる3年ごと見直しに関する検討会 報告書」(令和61225日)

https://www.ppc.go.jp/files/pdf/minaoshi_kentokaihoukokusho_r6.pdf

Member

PROFILE

野呂悠登

野呂悠登

#個人情報

Other Categories

MORE
MORE
MORE
MORE
MORE
MORE
MORE

TAGS

VIEW MORE