ブログ
[連載] 令和8年改正個人情報保護法研究:《第1回》改正法案の概要と実務上の着眼点
2026.04.28
SHARE
TMI総合法律事務所では、「令和8年改正個人情報保護法研究」と題し、改正法に関するブログ記事を連載して参ります。本連載の記事一覧については、下記のページをご覧ください。
令和8年改正個人情報保護法研究
https://www.tmi.gr.jp/eyes/blog/2026/18287.html
今回は連載の第1回として、改正法案の概要と実務上特に重要と思われる点について、解説します。なお、連載の第2回目以降では、個々の改正項目について深堀した内容の記事をお届けする予定です。
第1.改正法案の全体像
2026年4月7日に閣議決定され、第221回国会に提出された令和8年改正個人情報保護法案は、現行の個人情報保護法を大幅に改正するものです。改正法は、公布の日から起算して2年を超えない範囲内で施行するものとされているため(改正法案附則1条)、本国会で改正法が成立した場合には、2028年に改正法が全面施行されることが想定されます。
個人情報保護委員会事務局が公表した「個人情報保護法等の一部を改正する法律案について(令和8年4月) 」(以下「2026年4月付け事務局資料」といいます。)においては、改正内容が下記の表のとおり整理されています(付番は筆者によります。)。
|
1. 適正なデータ利活用の推進 |
(1) 個人データ等の第三者提供及び公開されている要配慮個人情報の取得について、統計情報等の作成 (※)にのみ利用される場合は本人同意を不要とする。 |
|
(2) 目的外利用、要配慮個人情報取得及び第三者提供に関する規制について、 ① 取得の状況からみて本人の意思に反しないため本人の権利利益を害しないことが明らかな取扱いである場合は本人同意を不要とする。 |
|
|
2. リスクに適切に対応した規律 |
(1) 16歳未満の者が本人である場合、同意取得や通知等について当該本人の法定代理人を対象とすることを明文化し、当該本人の保有個人データの利用停止等請求の要件を緩和するとともに、未成年者の個人情報等の取扱い等について、本人の最善の利益を優先して考慮すべき旨の責務規定を設ける。 |
|
(2) 顔特徴データ等について、その取扱いに関する一定の事項の周知を義務化し、利用停止等請求の要件を緩和するとともに、オプトアウト制度に基づく第三者提供を禁止する。 |
|
|
(3) データ処理等の委託を受けた事業者について、委託された個人データ等の適正な取扱いに係る義務の見直しを行う。 |
|
|
(4) 漏えい等発生時について、本人の権利利益の保護に欠けるおそれが少ない場合は、本人への通知義務を緩和する。 |
|
|
3. 不適正利用等防止 |
(1) 個人情報ではないが、特定の個人に対する働きかけが可能となる情報について、不適正利用及び不正取得を禁止する。 |
|
(2) 本人の求めにより提供を停止すること等を条件に同意なく第三者提供を可能とする制度(オプトアウト制度)について、提供先の身元及び利用目的の確認を義務化する。 |
|
|
4. 規律遵守の実効性確保のための規律 |
(1) 速やかに違反行為の是正を求めることができるよう命令の要件を見直し、さらに、本人に対する違反行為に係る事実の通知又は公表等の本人の権利利益の保護のために 必要な措置をとるよう勧告・命令することも可能とする。 |
|
(2) 違反行為を補助等する第三者に対して当該違反行為の中止のために必要な措置等をとるよう要請する際の根拠規定を設ける。 |
|
|
(3) 個人情報データベース等の不正提供等に係る罰則について加害目的の提供行為も処罰対象とするとともに法定刑を引き上げ、また、詐欺行為等により個人情報を不正に取得する行為に対する罰則を設ける。 |
|
|
(4) 経済的誘因のある、大量の個人情報の取扱いによる悪質な違反行為を実効的に抑止するため、重大な違反行為により個人の権利利益が侵害された場合等について、当該違反行為によって得られた財産的利益等に相当する額の課徴金の納付を命ずることとする。 |
これによれば、改正法案は、「適正なデータ利活用の推進」、「リスクに適切に対応した規律」、「不適正利用等防止」、「規律遵守の実効性確保のための規律」を四つの柱とし、それぞれの柱の中に、2~4つの改正項目が含まれます。このような四つの柱と各改正項目は、個人情報保護委員会が2026年1月9日に公表した「個人情報保護法 いわゆる3年ごと見直しの制度改正方針 」において既に示されていたものです。
以下の「第2. 改正項目の解説」では、改正項目ごとに、その概要と実務上特に重要と思われる点を解説します。
なお、2026年4月付け事務局資料は、個人情報保護委員会事務局が作成した改正法案の説明資料ですが、法律案には定められていない事項にも言及されており、政令・規則やガイドラインで定められる内容を一定の範囲で推測することができるため、実務上重要です。以下の解説も、法律案の内容と2026年4月付け事務局資料の内容の双方に基づいています。
第2.改正項目の概説
1. 適正なデータ利活用の推進
(1) 統計作成等の特例
ア 改正法案の概要
現行法では、要配慮個人情報の取得及び個人データの第三者提供については、原則として本人同意が必要であることから、統計情報を作成するための情報の収集には一定のハードルが存在します(現行法20条2項、27条1項)。
そこで、改正法案は、「統計作成等」を目的とした要配慮個人情報の取得及び個人データ・個人関連情報の提供について、特例を設けることとしています。
「統計作成等」は、「①統計の作成その他の大量の情報から当該情報を構成する要素に係る情報を抽出して分類、比較その他の解析を行うことにより、②当該大量の情報の傾向又は性質に係る情報(個人に関する情報であるものを除く。)を作成する行為のうち、③個人の権利利益を害するおそれが少ないものとして個人情報保護委員会規則で定めるもの」(付番は筆者によります。)と定義されています(改正案2条13項)。2026年4月付け事務局資料によれば、統計作成等には、一定の場合にはAI開発等も含まれるとされていますので、個人情報保護委員会規則ではかかる方針に基づいて「統計情報等」の範囲が定められることが想定されます。
要配慮個人情報の取得については、①取り扱う目的の全部が統計作成等を行う目的又はそのための提供を行う目的で、②現に公開されている要配慮個人情報を取り扱う必要がある場合であって、③一定の情報を公開しているときは、本人の同意は不要とされます(改正案30条の2第1項)。
個人データの第三者提供については、①取り扱う目的の全部が統計作成等を行う目的で、②一定の事項を提供者・受領者の双方が公表しており、かつ③提供先・提供元間で書面によりこの特例によることが明確に定められているときは、本人の同意は不要とされます(改正案30条の2第5項)。また、提供先が外国にある第三者である場合、この特例を利用できるのは提供先が基準適合体制を整備している者である場合に限られます。
現行法においては、個人関連情報の提供を受けて個人データとして取得する場合にも本人同意が必要とされていますが(現行法31条1項)、本特例は当該規制にも適用されます。本特例の適用を受けるための要件等は、個人データの第三者提供に関するものと概ね同様です(改正案31条の3)。
いずれについても、統計作成等のために個人に関する情報を取り扱っている期間中は、継続して一定事項の公表が必要です(改正案30条の2第2項、第6項、第31条の3第2項)。
なお、本特例を利用して第三者提供を受けた情報について、さらに本特例を利用して第三者に提供することはできません(改正案30条の2第5項柱書但書)。
イ 実務上の着眼点
統計作成等については、AI開発事業者など統計作成等の実施を目的として情報を利用したい事業者にとって、個人情報保護法を遵守しつつ情報収集を行うための選択肢の一つとなります。例えば、従来、要配慮個人情報が含まれ得る態様でのクローリングを行うことができるかについては、「OpenAIに対する注意喚起の概要 」に示された遵守事項の位置づけが不明確であることから、適法性を確保することは困難でした。また、従来、AI開発を含む統計作成等の目的であっても、個人データの第三者提供に該当する場合は原則として本人の同意が必要でした(現行法27条1項)。個人データの第三者提供に係る規制を回避するために委託の例外(現行法27条5項1号)に依拠する場合であっても、複数社(A社及びB社)からの委託に伴い提供を受けた個人データを、委託先が、本人ごとに突合せずにサンプルとなるデータ数を増やす目的で合わせて1つの統計情報を作成し、これを委託元であるA社及びB社に提供することは可能である一方で、本人ごとに突合した上で統計情報を作成する行為は、「混ぜるな危険」の問題として禁止されています(「個人情報の保護に関する法律についてのガイドライン」に関するQ&A(以下「個情委Q&A」といいます。) 7-43 )。さらに、委託の例外においては、個人データの取扱いの委託を受けた者が、委託に伴って提供を受けた個人データを、自社の分析技術の改善等に利用することは、「委託業務を処理するための一環として」「委託元の利用目的の達成に必要な範囲内で」行う場合に限り認められており、この範囲を超えての利用は認められていませんでした(同7-39 )。本特例を活用することにより、このような各種取り組みにつき、実施の道が開かれる可能性があります。
もっとも、個人情報保護委員会規則で定めることとされている「個人の権利利益を害するおそれが少ないもの」の内容次第では、「統計作成等」に該当する範囲が限定される可能性があります。また、「大量の情報」の解釈によっては、「統計作成等」に該当する場合が限定される可能性があるため、今後、この点についてガイドライン等で個人情報保護委員会の解釈が示されるか注視する必要があります。
(2) 同意取得が不要となる要件の拡大・明確化
ア 本人の意思に反しない取扱い
(ア) 改正法の概要
現行法では、個人情報の目的外利用、要配慮個人情報の取得及び個人データの第三者提供(以下、総称して「要同意事項」といいます。)については、原則として本人同意が必要です(現行法18条3項、20条2項、27条1項)。
しかし、取得の状況に照らして本人の意思に反しないような場合にまで、一律に本人同意を必要とする意義は乏しく、また、個人情報取扱事業者及び本人のいずれにとっても負担となります。
そこで、改正法案では、「①本人との間の契約の履行のために必要やむを得ないことが明らかである場合②その他当該個人情報の取得の状況からみて本人の意思に反しないため本人の権利利益を害しないことが明らかである場合として個人情報保護委員会規則で定める場合」には、要同意事項について本人同意が不要とされています(改正案18条3項7号、20条2項7号、27条1項8号)。
2026年4月付け事務局資料では、ホテル予約の際のホテル予約サイトからホテルに対する予約者の氏名等の提供や、海外送金の際の送金元金融機関から送金先金融機関への送金者の情報の提供が具体例として挙げられています。
(イ) 実務上の着眼点
現行法では、取得の状況に照らして本人の意思に反しないような場合においては、本人の同意を必要とする実質的な意義が乏しいにもかかわらず、一律に本人の同意が要求されており、実務上の負担となっていました。また、本改正項目が想定するような場面では、黙示の同意があると整理できる場合もあると思われます。しかしながら、黙示の同意にはケースバイケースの判断が伴うため、必ずしも本人の同意を得たとは認められない場合もありますし、また、外国第三者提供を行う際には、原則として一定の情報提供をしたうえで本人同意を取得する必要があるなど、黙示の同意に依拠することができない場合もあります。このため、本例外に依拠することで、事業者は、一定の範囲で、同意取得に係る実務上の負担軽減を軽減し、あるいは黙示同意に依拠することの法的リスクを回避することが可能となります。
具体的にどのような場面で本例外が適用されるかは、個人情報保護委員会規則で定めることとされている「その他当該個人情報の取得の状況からみて本人の意思に反しないため本人の権利利益を害しないことが明らかである場合」の内容、及び、「本人との間の契約の履行のために必要やむを得ないことが明らかである場合」の解釈次第であり、後者についてはガイドライン等で個人情報保護委員会の解釈が示される可能性があります。
イ 同意取得困難性要件の緩和
(ア) 改正法の概要
現行法では、個人情報の目的外利用、要配慮個人情報の取得及び個人データの第三者提供といった要同意事項について、例外的に、「人の生命、身体又は財産の保護のために必要がある場合」及び「公衆衛生の向上又は児童の健全な育成の推進のために特に必要がある場合」は、「本人の同意を得ることが困難であるとき」という要件を満たすことを条件として、本人の同意が不要とされています(現行法18条3項2号・3号、20条2項2号・3号、27条1項2号・3号)。この要件については、本人の転居等により有効な連絡先を保有していない場合等、本人同意を得ることが物理的に困難な場合に加えて、「同意を取得するための時間的余裕や費用等に照らし、本人の同意を得ることにより当該研究の遂行に支障を及ぼすおそれがある場合」等も、「本人の同意を得ることが困難であるとき」に該当すると解されています(「個人情報の保護に関する法律についてのガイドライン」に関するQ&A2-15 、7-24 等)。しかしながら、本人同意を得ることが物理的に困難とは言えない場合においては、どのような条件が揃えば「本人の同意を得ることが困難であるとき」に該当するかが明確でなく、かかる例外の適用については慎重な運用がなされてきたと思われます。
改正法案においては、「本人の同意を得ることが困難であるとき」に加えて、「本人の同意を得ないことについて相当の理由があるとき」についても、要同意事項について本人同意が不要とされています(改正案18条3項2号・3号、20条2項2号・3号、27条1項2号・3号)。
2026年4月付け事務局資料では、本人のプライバシー等の侵害を防止するために必要かつ適切な措置(氏名等の削除、提供先との守秘義務契約の締結等)が講じられているため、当該本人の権利利益が不当に侵害されるおそれがない場合等が想定されています。
(イ) 実務上の着眼点
改正法案においても、「人の生命、身体又は財産の保護のために必要がある場合」及び「公衆衛生の向上又は児童の健全な育成の推進のために特に必要がある場合」のいずれかには該当する必要があるものの、かかる要件を満たせば、あとは「本人の同意を得ないことについて相当の理由があるとき」に該当すれば本人同意が不要となる点において、従来、実施の必要性や有用性が高い一方で、「本人の同意を得ることが困難であるとき」との要件を明確に満たすことが困難であった各種取り組みにつき、実施の道が開かれる点で事業上の影響が大きい可能性があります。特に、医療機関や製薬事業者等における個人情報の利活用の取組みへの適用などが想定されます。もっとも、どの程度実務に影響があるかは、「本人の同意を得ないことについて相当の理由があるとき」の解釈次第であると言え、この点についてはガイドライン等での個人情報保護委員会の解釈が示される可能性があります。
ウ 病院等による学術研究目的での個人情報の取扱い
(ア) 改正法の概要
現行法では、学術研究を目的として第三者提供等を行う場合には、本人同意が不要となり得ますが(学術研究例外)、学術研究例外が適用される主体は、「大学その他の学術研究を目的とする機関若しくは団体又はそれらに属する者」と定義されている「学術研究機関等」のみです(現行法16条8項)。そのため、大学附属ではない病院等は、「学術研究機関等」には含まれず、学術研究例外は適用されません。
そこで、改正法案においては、医療法1条の5第1項に規定する病院その他の医療の提供を目的とする機関又は団体も、「学術研究機関等」に含むこととされています(改正案16条9項)。
(イ) 実務上の着眼点
2026年4月付け事務局資料では、「その他の医療の提供を目的とする機関又は団体」については、診療所等が該当するとされていますが、この点についてはガイドライン等で個人情報保護委員会の解釈が示される可能性があります。
2. リスクに適切に対応した規律
(1) 子供の個人情報の取扱いに関する規律
ア 改正法案の概要
現行法では、子供に関する同意取得や通知の対象となる年齢について法令上の定めはなく、個情委Q&Aにおいて、一般的に12歳から15歳までの年齢以下の子供については法定代理人等から同意を得る必要がある旨が示されているにとどまり(個情委Q&A 1-62 )、特に子供の個人情報の取扱いに関する規律は設けられていませんでした。
しかしながら、子供は、心身の発達段階にあり判断能力が不十分であることから、個人情報の不適切な取扱いに伴う悪影響を受けやすいことを踏まえ、子供の発達や権利利益を適切に守る観点から、子供の個人情報の取扱いに関する新たな規律が設けられることになりました。
具体的には、本人が16歳未満の場合には、現行法上本人の同意又は本人への通知等を要することとされている各種の規律に関し、原則として、以下の対応が求められます(改正案40条の2)。
- 本人の同意に代えて本人の法定代理人の同意を取得する。
- 本人への通知等に代えて本人の法定代理人への通知等を行う。
例外的に、以下の場合には、法定代理人ではなく、本人の同意又は本人に対する通知等で足りるとされます(改正法40条の2第1項但書及び第2項但書)。
① 当該事業者が、当該情報が16歳未満の者のものであることを知らないことについて正当な理由がある場合
② 本⼈の法定代理人が当該本⼈の営業を許可していた場合であって、当該事業者が当該営業に関して当該情報を取得したとき
③ 本⼈に法定代理人がない場合又は当該事業者が本⼈に法定代理人がないと信ずるに足りる相当な理由がある場合
また、16歳未満の者について、その識別に係る保有個人データに関する利用停止等請求権及び第三者提供停止請求権を、原則として事業者側の違反行為等の有無を要件とすることなく認めることとされています(改正案35条9項)。
例外的に、上記の請求権への対応が不要となる様々な事由が定められていますが、子供の個人情報に固有の事由として以下のものがあります(改正案35条9項)。
① あらかじめ当該本人の法定代理人の同意を得て当該保有個人データを取得した場合
② 当該本人の法定代理人が当該本人の営業を許可していた場合であって、当該営業に関して当該保有個人データを取得したとき
③ 当該本人が自らが16歳以上であることを信じさせるために詐術を用いていた場合
さらに、未成年者の個人情報等の取扱い等について本人の最善の利益を優先して考慮すべき旨の責務規定も追加されることになっています(改正案58条の3)。
イ 実務上の着眼点
16歳未満の者の個人情報を取り扱う企業においては、例外事由に該当するものと整理できない限り、本人の法定代理人から同意を取得し、又は法定代理人に対して通知を行うことが可能になるような仕組み(業務フローやシステム等)を構築する必要があります。また、16歳未満の者に関する利用停止等請求権及び第三者提供停止請求権への対応体制を整備することも必要になると考えられます。
例外事由に関しては、どういった場合に、「16歳未満の者のものであることを知らないことについて正当な理由がある場合」と整理できるのか、積極的な年齢確認の措置の要否 が解釈上問題となります。積極的な年齢確認が不要とされる場合には、例えば、利用規約で16歳未満の利用を禁止しておき、それにもかかわらず16歳未満のユーザーが会員登録をした場合には、正当な理由があると判断される可能性があります。これに対して、積極的な年齢確認が必要とされる場合には、例えば、16歳以上であることを誓約させるチェックボックス等を設置する方法で対応できるのか、それ以上の年齢確認の措置(例えば、身分証の提示)が求められるのかなどが問題となります。今後、ここでいう「正当な理由」がどのような場合に認められるかについては、ガイドライン等で明らかにされることが望まれます。
(2) 顔特徴データ等に係る規律の新設
ア 改正法案の概要
改正法は、生体データのうち顔特徴データ等について、「特定生体個人情報」として特別な規律を設けることとしています。「顔特徴データ等」は2026年4月付け事務局資料に登場する用語ですが、同資料においては、「顔特徴データ等」について、「顔の骨格及び皮膚の色並びに目、鼻、口その他の顔の部位の位置及び形状から抽出した特徴情報を、本人を識別すること目的とした装置やソフトウェアにより、本人を識別することができるようにしたものとすることを想定」する旨が記載されています。
顔特徴データ等については、現行法でも、「個人識別符号」に該当し、個人情報として保護されます。もっとも、現行法では、顔特徴データ等を対象とした特別な規律は設けられていません。
顔特徴データ等は、本人が関与しないうちに容易に(それゆえに大量に)入手することができ、かつ、一意性及び不変性が高く特定の個人を識別する効果が半永久的に継続するという性質を有し、その他の生体データに比べてその取扱いが本人のプライバシー等の侵害に類型的につながりやすいという特徴を有します。そこで、改正法案では、顔特徴データ等を「特定生体個人情報」と位置付け、透明性を確保した上で本人の関与を強化するための規律が設けられました。
「特定生体個人情報」とは、「特定生体個人識別符号」が含まれる個人情報をいい、「特定生体個人識別符号」は、身体的特徴に関する個人識別符号(法2条2項1号)のうち、特別の技術又は多額の費用を要しない方法により取得することができる身体の一部の特徴に係る情報であって、当該情報が取得されていることを本人が容易に認識することができないものとして政令で定めるものを変換したものと定義されています(改正案16条5項)。この政令は、前述の2026年4月付け事務局資料が定義する「顔特徴データ等」が、「特定生体個人情報」となるように定められることが想定されます。
事業者は、特定生体個人情報を取り扱うに当たっては、以下の事項について、事前に、本人に通知し、又は本人が容易に知り得る状態に置かなければならないとされています(改正案21条の2第1項)。具体的な通知方法等は規則に委ねられています。
① 事業者の名称・住所・代表者氏名
② 特定生体個人情報を取り扱うこと
③ 特定生体個人情報の利用目的
④ 特定生体個人情報の元となった身体的特徴の内容
⑤ 開示等の請求等に応じる手続
⑥ その他個人の権利利益を保護するために必要なものとして規則で定める事項
ただし、本人又は第三者の権利利益を害するおそれがある場合、事業者の権利又は正当な利益を害するおそれがある場合、国の機関又は地方公共団体が法令の定める事務を遂行することに対して協力する必要がある場合であって周知することにより当該事務の遂行に影響を及ぼすおそれがあるとき等には、周知は不要とされています(改正案21条の2第2項)。
また、本人が識別される特定生体個人情報(保有個人データに含まれるものに限ります。)を事業者が取り扱っているときには、原則として、違反行為の有無を問わず、当該特定生体個人情報の利用停止等又は第三者への提供停止を請求することができることとされています(改正案35条7項)。
ただし、①事業者が事前に本人の同意を得て特定生体個人情報に含まれる特定生体個人識別符号を作成した場合(同項1号)、②事業者が事前に本人の同意を得て特定生体個人情報を取得した場合(同項2号)、③法令に基づいて特定生体個人情報を取り扱う場合(同項3号)、④本人との間の契約の履行その他特定生体個人情報を取り扱うことが当該特定生体個人情報に含まれる特定生体個人識別符号の作成状況又は当該特定生体個人情報の取得状況からみて本人の権利利益を害しないことが明らかである場合として規則で定める場合(同項9号)等は、利用停止等請求の対象外とされています。
さらに、特定生体個人情報がオプトアウト制度に基づく第三者提供が禁止される情報として追加されています(改正案27条2項)。
イ 実務上の着眼点
特定生体個人情報を用いたシステム(高性能な防犯カメラシステム、顔画像を利用したマーケティングシステム等)を運営する事業者にとっては、事前周知を行うための準備等が必要となります。従来、カメラ画像・顔特徴データ等については、適正取得、利用目的の通知・公表や実施すべき安全管理措置の内容との関係においてQ&A等において解釈の整理がなされてきていたものの、適用される規律自体は、他の個人情報と異なるものではありませんでした。改正法においては、特定生体個人情報の元となった身体的特徴の内容等の、通常の個人情報とは異なる周知事項等が含まれることになりますので、プライバシーポリシー等における周知事項の見直しや周知方法の見直し等が必要となる可能性があります。
また、利用停止等請求権及び第三者提供停止請求権への対応方針等を整備することが考えられます。
(3) 委託を受けた事業者の規律の整備
ア 改正法案の概要
現行法では、個人データの取扱いを委託する場合、委託元事業者は委託先を監督する義務を負いますが(現行法25条)、委託先自身に対して、委託された業務の範囲内で個人データを取り扱わなければならない旨の明示的な義務は課されておらず、専ら、委託元と委託先との間の契約において、委託先の義務が規定されていました。
しかしながら、個人情報取扱事業者等におけるDXの進展に伴い、個人データ等の取扱いについて、実質的に第三者に依存するケースが拡大している状況を踏まえ、委託を受けた事業者に関する規律の整備が設けられることになりました。
具体的には、他の個人情報取扱事業者又は行政機関等から個人情報の取扱いの委託(二以上の段階にわたる委託を含みます。)を受けた個人情報取扱事業者は、原則として、その取扱いを委託された個人情報(当該委託を受けた個人情報取扱事業者において個人関連情報となるものを除きます。)を、当該委託を受けた業務の遂行に必要な範囲を超えて取り扱ってはならないことになりました(改正案30条の3)。
また、データの取扱いについて、委託元・委託先間で、概要以下の内容等が取り決められている場合においては、委託先は、取扱いを委託された個人情報等を委託された業務の遂行に必要な範囲内において契約の定めに従って取り扱う限りにおいて、個人情報保護法第4章(個人情報取扱事業者等の義務等)が定める義務を、一部の義務を除いて免除されることになりました(改正案58条の2)。但し、データの安全管理措置関連の規律、委託業務の範囲内での取扱いに関する規律、及び漏えい等発生時の報告・通知に関する規律等は免除の対象となりません。
① 委託されたデータの取扱方法(詳細は規則に委任)
② 委託先が、報告を要する漏えい等事態や、委託を受けた業務遂行に必要な範囲を超えた取扱い若しくは契約に反した取扱いを知ったときは、速やかに委託元にその旨を報告すること
③ その他個人情報保護委員会規則で定める事項
イ 実務上の着眼点
委託元事業者・委託先事業者のそれぞれにおいて、委託契約の内容を見直すことが考えられます。特に、委託先事業者としては、契約において改正法が要求する取り決めを行った場合に、法令上の義務が一部を除いて免除されることとなるため、予め、自らが用意する契約雛形や利用規約等において、各種取り決めを行っておくことが考えられます。
(4) 漏えい等発生時の本人通知義務の緩和
ア 改正法案の概要
現行法では、個人情報取扱事業者は、漏えい等報告の義務を負うときは、本人への通知が困難な場合であって、代替措置を講じたときを除き、一律に本人への通知義務を負います(現行法25条)。
しかしながら、本人通知義務を合理化する観点から、改正法においては、本人通知義務の例外として「本人への通知が行われなくても本人の権利利益の保護に欠けるおそれが少ない場合として個人情報保護委員会規則で定める場合」が追加されました。個人情報保護委員会が2025年3月5日に公表した「個人情報保護法の制度的課題に対する考え方について」(以下「2025年3月5日付け個情委文書」といいます。)では、サービス利用者の社内識別子(ID)等、漏えいした情報の取得者において、それ単体ではおよそ意味を持たない情報のみが漏えいした場合がその例として挙げられており、2026年4月付け事務局資料においてもこれが踏襲されています。
また、2026年4月付け事務局資料においては、一定範囲での速報免除と確報の取りまとめ報告を認めるとともに、違法な個人データの第三者提供を報告対象事態へ追加する旨の記載があります。これらの変更は、個人情報保護委員会規則の改正によって行われることが想定されますので、引続き注視する必要があります。
イ 実務上の着眼点
インシデントが発生した際の対応フローの見直しや社内規程の見直し等が考えられます。
3. 不適正利用等防止
(1) 特定の個人に対する働きかけが可能となる情報に関する規律
ア 改正法案の概要
現行法では、個人情報について不適正利用(違法又は不当な行為を助長し、又は誘発するおそれがある方法による利用)の禁止及び不正取得(偽りその他不正の手段による取得)の禁止が定められていますが(現行法19条、20条1項)、個人関連情報、仮名加工情報及び匿名加工情報は同規制の対象外でした。
しかしながら、特定の個人に対して何らかの連絡を行うことができる情報については、それが個人情報に該当しない場合でも、個人への連絡を通じて個人のプライバシー、財産権等の権利利益の侵害が発生し得るおそれや、当該情報を媒介として秘匿性の高い記述等を含む情報を名寄せすることにより、プライバシー等が侵害されたり、上記連絡を通じた個人の権利利益の侵害がより深刻なものとなったりするおそれがあることが指摘されていました(2025年3月5日付け個情委文書)。
このような問題を踏まえ、改正案では、特定の個人に対する働きかけが可能となる個人関連情報(「連絡可能個人関連情報」)について、不適正利用及び不正取得を禁止することが定められました(改正案31条の2)。また、特定の個人に対して何らかの連絡を行うことができる記述が含まれる仮名加工情報及び匿名加工情報についても同様に不適正利用及び不正取得が禁止されました(改正案42条4項、46条の2)。
「連絡可能個人関連情報」は、以下の①~⑤の記述等が含まれる個人関連情報(他の情報と容易に照合することができ、それにより次に掲げる記述等を特定することができることとなるものを含みます。)をいうものと定義づけられました(改正案2条8項)。
①特定の個人が所在し、又は所在していた場所の所在地(例:住居、勤務先)
②電話番号
③メールアドレス
④電気通信設備を利用する者又は電気通信設備を識別することができるように付された符号(例:Cookie ID)
⑤その他個人情報保護委員会規則で定めるもの
イ 実務上の着眼点
連絡可能個人関連情報のうち、①住居・勤務先等の情報、②電話番号、③メールアドレスといった情報は、氏名等の特定の個人を識別できる情報と密接に関連する情報であることから、それが個人情報に該当しない場合であっても、一般的には、個人情報と同程度の注意を払い取得・利用をしている場合が多いと思われますが、特に、Cookie ID等の情報についても不適正利用及び不正取得の対象になることには留意が必要です。Cookie ID等は、これまで個人関連情報として第三者提供規制が存在したほか(現行法31条)、適用がある場合には電気通信事業法上の外部送信規律(電気通信事業法27条の12)に基づき規制されてきました。改正法案では、取得行為に関しても規制の対象になるため、何が不正取得に該当するのかという解釈によっては実務上の影響が大きいと考えられます。個人情報の不適正利用及び不正取得についてはガイドラインにおいて、同規制に違反することとなる事例が挙げられているため、連絡可能個人関連情報に関しても不適正利用及び不正取得に該当する事例がガイドライン等で明らかにされる可能性があります。
また、個人情報保護委員会規則において、連絡可能個人関連情報の類型が追加されることも想定されますので、この点も注視する必要があります。
(2) オプトアウトによる提供先の身元及び利用目的の確認の義務化
ア 改正法案の概要
現行法では、オプトアウト制度に基づく個人データの第三者提供を行う場合、提供先の身元及び利用目的の確認は義務付けられていません(現行法27条2項)。
近時、いわゆる「闇名簿」問題が深刻化する中で、オプトアウト届出事業者である名簿屋が、提供先が悪質な(法に違反するような行為に及ぶ者にも名簿を転売する)名簿屋であると認識しつつ名簿を提供した事案が発生しており、オプトアウト制度に基づいて提供された個人データが「闇名簿」作成の際の情報源の一つとなっている現状がある旨が指摘されています(2025年3月5日付け個情委文書)。
このような問題を踏まえ、改正法では、オプトアウト制度に基づく第三者提供時の提供先の身元及び利用目的等の確認及び確認の記録を義務化することが定められました(改正案27条7項、29条1項)。また、オプトアウト届出事業者から当該確認を求められた者は、当該確認に係る事項を偽ってはなりません(改正案27条8項)。
イ 実務上の着眼点
オプトアウト制度に基づいて第三者提供を行っている事業者及び当該事業者から個人データを受領している事業者には影響がある改正です。上記確認記録義務の具体的な内容及び方法については、個人情報保護委員会規則で明確化されることを待つ必要があります。
4. 規律遵守の実効性確保のための規律
(1) 勧告及び命令の行使の柔軟化
ア 改正法案の概要
個人情報保護委員会による勧告、命令の要件が見直され、行政介入がより機動的かつ柔軟に行えるようになります。具体的には、勧告の前置を要する命令について、現行法で必要とされている「侵害の切迫性」の要件が撤廃され、「個人の重大な権利利益が害されるおそれ」がある段階で発出できるようになります(改正案148条2項)。また、勧告の前置を要しない「緊急命令」についても、現行法では、現に被害が生じている場合に限定されていますが、「侵害が切迫しているため緊急に措置をとる必要がある」場合にも発出可能となります(改正案148条3項)。さらに、勧告や命令の内容として、現行法では、違反行為の是正措置を求めることができるのみとなっていますが、改正法案では、「本人に対する違反行為に係る事実の通知若しくは公表その他の個人の権利利益を保護するために必要な措置」といった積極的な対応を含めることができるようになります(改正案148条1項〜3項)。
イ 実務上の着眼点
重大な権利利益侵害が顕在化・切迫する前の段階でも命令が出されるようになるため、何らかの法違反がある場合に、個人情報保護委員会から命令を受けるリスクが高まったといえます。
(2) 違反行為を補助等する第三者への措置の法定
ア 改正法案の概要
現行法では、命令は個人情報保護法の義務規定に違反した個人情報取扱事業者等に対してのみ発出することができるものであり(現行法148条2項及び3項)、当該違反行為に関わる第三者に対して何らかの措置をとることができる旨の明確な規定はありません。
改正法では、個人情報取扱事業者等が措置命令を受けた場合であって、一定の要件を満たすとき、個人情報保護委員会は、その違反行為を補助等する周辺の第三者に対しても、違反行為を中止させるために必要な措置(役務の提供停止等)を要請できることが明確化されます。対象となるのは、違反事業者が個人情報の取扱いのために用いる役務を提供する「取扱関係役務提供者」(改正案148条の2第1項)や、「特定電気通信役務提供者」(改正案148条の2第3項)です。なお、これらの要請を受けて措置を講じた第三者は、措置命令を受けた違反事業者に対する損害賠償責任を免責される規定が設けられています(改正案148条の2第2項、第4項)。
イ 実務上の着眼点
2025年3月5日付け個情委文書においては、「取扱関係役務提供者」に該当する例として、クラウドサービスやホスティング事業者等、「特定電気通信役務提供者」に該当する例として、検索サービス事業者等が想定されていました(9頁、10頁)。2026年4月付け事務局資料においても、その考え方は維持されています。
「取扱関係役務提供者」や「特定電気通信役務提供者」に該当する事業者の類型、措置を講じた場合の免責の範囲等がガイドライン等で明確化されることが望まれます。
(3) 罰則の強化及び拡大
ア 改正法案の概要
現行法では、個人情報データベース等の不正提供等に係る罰則は、「不正な利益を図る目的」で実行行為を行った場合のみが対象となっており、「損害を加える目的」で実行行為を行った場合は対象となっていません(現行法179条)。
悪質な情報流通や不正取得に対する抑止力を高めるため、個人情報データベース等の不正提供等に係る罰則において、従来の「不正な利益を図る目的」に加え、「損害を加える目的」で提供・盗用する行為も処罰の対象となります。その際に、法定刑も、「1年以下の拘禁刑又は50万円以下の罰金」から「2年以下の拘禁刑又は100万円以下の罰金」に引き上げられます(改正案178条)。
また、個人情報を保有する者の管理を害する行為(詐欺、暴行、脅迫、不正アクセス、窃取等)によって個人情報を不正に取得する行為に対する罰則規定が新設されます(改正案180条1項)。さらに、オプトアウト制度による第三者提供に際し、提供先が提供元に対し虚偽の回答をした場合、過料の対象となります(改正案186条1号)。
イ 実務上の着眼点
個人情報データベース等の不正提供等の罰則に関し、「損害を加える目的」が追加されたことで、必ずしも行為者の利益を図る行為ではない提供行為も処罰の対象となり得ます。この改正案は、個々の事業者の通常のオペレーションに直ちに影響を及ぼすものではありませんが、事業者が自らの個人情報の管理を侵害された場合に、刑事告訴等を含めた選択肢が増える等の意義があるものと思われます。
(4) 課徴金制度の導入
ア 改正法案の概要
現行法においては、個人情報保護法の違反に関して、個人情報データベース等不正提供罪等の一定の例外を除き、直罰規定が存在せず、個人情報保護委員会からの勧告、命令に従わない場合に初めて罰則が適用されることとされており、違法行為を抑止する観点からの十分な制度設計になっていない等の指摘がされていました。
改正法案では、経済的誘因のある悪質な違反行為を実効的に抑止するため、行政上の制裁として新たに課徴金制度が導入されます(改正案148条の3〜148条の17)。
具体的には、個人情報取扱事業者が、①違法行為・不当な差別的取扱いを行うことが想定される第三者への個人情報の提供、②第三者の求めによる個人情報の利用であって、当該第三者が当該利用を通じて違法な行為又は不当な差別的取り扱いを行うことが想定される状況で行われるもの、③同意なき個人データの第三者提供、④統計作成等に関する特例に違反する個人情報の目的外利用や第三者提供、又は⑤不正な手段で取得した個人情報の利用(以下、総称して「課徴金対象行為」といいます。)を行い、その行為の対価として、又はその行為をやめることの対価として、金銭その他の財産上の利益を得た場合、個人情報保護委員会は当該利益相当額の課徴金納付を命じることとされています(改正案148条の3第1項、2項)。ただし、当該事業者が課徴金対象行為を防止するための相当の注意を怠った者でないと認められる場合や、対象となる本人の数が1000人を超えない場合その他個人の権利利益を害する程度が大きくない場合として政令で定める場合には、課徴金の対象外となります(148条の3第1項但書、2項但書)。また、算定基礎の推計(改正案148条の4)、過去に命令を受けた者への1.5倍の加算措置(改正案148条の5)、自主報告による50%の減額(リニエンシー制度)(改正案148条の6)も導入されます。
リニエンシー制度は、当該課徴金対象行為についての調査があったことにより、課徴金納付命令があるべきことを予知して自主報告を行ったときには適用されません。
イ 実務上の着眼点
上記のとおり改正法案における課徴金制度は、①課徴金対象行為が限定的で、重大な違反行為に対象を絞っていること、②当該事業者が課徴金対象行為を防止するための相当の注意を怠っているかどうかという主観的要素を要件としていること、③法違反の対価として金銭等の財産上の利益を得ているものであって、はく奪すべき収益が観念できる行為に限られていること、により、課徴金が課せられる場面に相当の限定をかけているといえます。また、課徴金の金額も、過去に課徴金納付命令を受けたことがある者についての課徴金額の加算といった一定の加算措置はあるものの、原則としては課徴金対象行為から直接的に得た収益であることから、利益の吐き出しという性質を有するものです。これらのことからすると、経済的利得を超えた巨額の金銭的不利益は想定されないものの、現行法における罰則とは一線を画する制度であるといえ、実際の運用次第では、実務に大きな影響を与えるものになる可能性があります。
今後は、課徴金対象行為に当たり得る事業活動が想定される場合には、特に留意した対応が必要になると考えられます。改正法案で新たに導入された統計作成等に関する特例の違反が課徴金対象行為に含まれていることは注目に値します。十分な準備をすることなく、当該特例を利用しようとした場合に課徴金の要件を充足してしまったということも考えられると思われます。
今後、本研究会では、課徴金制度に関連して生じうる論点、課徴金対象行為の具体的内容、「当該事業者が課徴金対象行為を防止するための相当の注意を怠った者でないと認められる場合」と評価されるための事業者における取り組み案などを更に分析してお届けして参ります。
Member
SHARE