Blog

ブログ

[連載] 令和8年改正個人情報保護法研究：《第３回》子供の個人情報等に関する規律

2026.05.20

#個人情報 / #データ / #情報・通信・メディア・IT

TMI総合法律事務所では、「令和8年改正個人情報保護法研究」と題し、改正法に関するブログ記事を連載しています。本連載の記事一覧については、下記のページをご覧ください。

令和8年改正個人情報保護法研究
https://www.tmi.gr.jp/eyes/blog/2026/18287.html

《第3回》子供の個人情報等に関する規律

今回は、改正の四つの柱のうち、「リスクに適切に対応した規律」に含まれる子供の個人情報等に関する規律を解説します。改正法案全体の概要については、「《第1回》改正法案の概要と実務上の着眼点」をご覧ください。

第1．改正の背景と意義

現行法においては、子供に関する同意取得や通知の対象となる年齢について法令上の定めはなく、「個人情報の保護に関する法律についてのガイドライン」に関するQ&A 1-62 において、一般的に12歳から15歳までの年齢以下の子供については法定代理人等から同意を得る必要がある旨が示されているにとどまっていました。

しかし、子供は、心身が発達段階にあるためその判断能力が不十分であり、個人情報の不適切な取扱いに伴う悪影響を受けやすいこと等を理由として、子供の発達や権利利益を適切に守る観点から、一定の規律を設ける必要があることが議論されてきました。

そこで、改正法案では、子供の個人情報の取扱いに関する規律として、新たに、次の規律が追加されることとなりました。
① 本人が16歳未満の場合には、現行法上本人の同意又は本人への通知等を要することとされている各種の規律に関し、原則として、以下の対応が求められます（改正案40条の2）。

本人の同意に代えて本人の法定代理人の同意を取得する。
本人への通知等に代えて本人の法定代理人への通知等を行う。

② 本人が16歳未満の者について、その識別に係る保有個人データに関する利用停止等請求権及び第三者提供停止請求権を、原則として事業者側の違反行為等の有無を要件とすることなく認められます（改正案35条9項）。

③ 未成年者の個人情報等の取扱い等について本人の最善の利益を優先して考慮すべき旨の責務規定が追加されます（改正案58条の3）。

第2．法律案の概要・検討

1. 16歳未満の者が本人である場合、同意取得や通知等について当該本人の法定代理人を対象とすることの明文化

(1)　概要

改正法案において、個人情報や個人関連情報の取扱いに関して、本人が16歳未満の者である場合には、本人への通知や本人の同意等を求める個人情報保護法上の各種規律について、これらに代えて法定代理人への通知や同意等を求める読み替え規定（以下「読替規定」といいます。）が追加されました（改正案40条の2第１項柱書、同条第２項柱書）。これにより、例えば、利用目的の通知や第三者提供の同意等について、本人ではなく、法定代理人に対する通知や法定代理人の同意取得が必要となります。ただし、以下の例外事由（以下「例外事由」といいます。）に該当する場合には、上記の読替規定は適用されず、読み替え前の規定が適用されることになります（改正案40条の2第１項各号、同条第２項各号）。

事業者が、当該個人情報又は個人関連情報が16歳未満の者のものであることを知らないことについて正当な理由がある場合
本人の法定代理人が当該本人の営業を許可していた場合であって、当該事業者が当該営業に関して当該個人情報又は個人関連情報を取得したとき
本人に法定代理人がない場合又は当該事業者が本人に法定代理人がないと信ずるに足りる相当な理由がある場合

(2)　検討

ア　読替規定について
読替規定の対象となる規定は、下記の通りであり、これらの規定が適用される場合には、法定代理人への通知や同意等が必要となります。

■個人情報に関する規律

利用目的の制限（改正案18条）
要配慮個人情報の取得（改正案20条2項）
利用目的の通知・公表・明示（改正案21条）
特定生体個人情報の利用目的等の周知（改正案21条の2第1項）
漏えい等発生時の本人への通知（改正案26条2項）
個人データの第三者提供の制限（改正案27条）
個人データの外国にある第三者への提供制限（改正案28条）
統計作成等の特例における要配慮個人情報の取得と個人情報の提供（改正案30条の2第1項及び5項）
保有個人データに関する事項の周知（改正案32条1項）
特定生体個人情報に関する利用停止等請求（改正案35条7項）

■個人関連情報に関する規律

個人関連情報の第三者提供の制限（改正案31条1項）

読替規定が適用される場面において、事業者が検討しなければならない事項は多岐に渡ります。まず、法定代理人への通知や同意取得を行う前提として、法定代理人が誰であるかや代理権を有していることをどのように確認するかを検討する必要があります。本人からの申請があった者を法定代理人と考えてよいのか、戸籍謄本等の法定代理人の資格を証明する公的な資料を確認する必要があるのか等の対応方針を検討する必要があります。また、法定代理人への通知や同意取得について、両親のどちらか一方の同意や通知で足りるのか双方の同意や通知が必要となるのかについても検討する必要があります。もっとも、これらの点については、今後のガイドライン等で明確化されることが期待される事項であり、随時キャッチアップする必要があると考えます。

また、法定代理人から同意を取得する方法についても、検討を進める必要があります。読替規定の例外規定においては、事業者が、当該個人情報又は個人関連情報が16歳未満の者のものであることを知らないことについて正当な理由がある場合を挙げている一方で、事業者が法定代理人から同意を取得したと誤信した場合に関する例外規定は定められていません。したがって、法定代理人から同意を取得したものと誤信した場合において、実際に法定代理人の同意が得られていないときは、当該同意に基づく個人情報の取扱いは、個人情報保護法に違反すると評価されることが懸念されます。この点、法定代理人の同意取得は、一定の合理的かつ適切な方法を講じることによって足りると整理される可能性がありますが、今後のガイドライン等で明確化されることが期待されます。仮に一定の合理的かつ適切な方法で足りるとして、本人の自己申告で良いかという点も問題となります。例えば、「法定代理人から同意を取得しましたか」と質問し、「はい」と回答させる方針の場合には、本人が、自らを法定代理人と偽って回答する可能性も否定できないため、この方法で法定代理人の同意が取得できたと整理できない可能性があります。仮に本人の自己申告以外の方法が必要となる場合、証拠書類の提出や法定代理人・第三者の関与を求めるなど、どのような方法で法定代理人から同意を取得する必要があるかについては、ガイドライン等での具体化を期待することになります。法定代理人の同意の確認方法を検討するに当たっては、例えば、米国のCOPPA（Children’s Online Privacy Protection Act）の検証可能な親の同意（Verifiable Parental Consent）の仕組みが参考になります。その仕組みでは、法定代理人が署名した同意書の送付を受けることや法定代理人と電話等で確認を行うことや極めて少額の法定代理人名義のクレジットカード決済をさせるなどの方法を取ることが定められており、今後のガイドラインにおいてこれらの方法が許容される旨が示される可能性があります。

さらに、実際に、法定代理人への通知や同意取得を行う場面においても、検討すべき事項が生じるように思われます。例えば、本人から直接書面で個人情報を取得する場合には、個人情報の利用目的を明示する必要がありますが（改正案21条2項）、読替規定が適用される場合には、法定代理人に対して、利用目的を明示する必要があることになります。例えば、ウェブフォーム等で16歳未満の者が自ら個人情報を入力し、事業者が当該個人情報を取得する場合に、どのように法定代理人に対して、利用目的の通知を行えば、利用目的を明示したことになるのか（例えば、法定代理人のメールアドレスを入力させて、当該メールアドレスに対して、プライバシーポリシーを送付することで足りるのか）については、整理を行う必要があるように考えます。また、16歳未満の者から個人情報・個人関連情報を収集する事業者としては、上記のような法定代理人からの同意取得の困難さからすると、法定代理人からの同意取得が不要となる整理ができないかを検討することも考えられます。例えば、16歳未満の者が本人である個人データの第三者提供を行う場合には、同意取得が不要と整理できる「本人との間の契約の履行のために必要やむを得ないことが明らかである場合その他当該個人データの取得の状況からみて…本人の権利利益を害しないことが明らかである場合として個人情報保護委員会規則で定める場合」（改正案27条1項8号）に限定する等の対応を行うことも考えられます。

イ　例外事由について
読替規定が適用されない場合として、改正案は、下記の事由を例外事由として定めています（改正案40条の2第１項各号、同条第２項各号）。

① 事業者が、当該個人情報又は個人関連情報が16歳未満の者のものであることを知らないことについて正当な理由がある場合
② 本人の法定代理人が当該本人の営業を許可していた場合であって、当該事業者が当該営業に関して当該個人情報又は個人関連情報を取得したとき
③ 本人に法定代理人がない場合又は当該事業者が本人に法定代理人がないと信ずるに足りる相当な理由がある場合

事業者としては、どのような場合に①「16歳未満の者のものであることを知らないことについて正当な理由がある場合」と整理することができるかを見極める必要があると考えます。この点については、ガイドラインにおいて具体化されることが期待されますが、本人の自己申告を信じた場合に正当な理由が認められるかがポイントとなります。例えば、ウェブサービスの利用画面等において、「あなたは16歳未満ですか。」というような年齢確認を行い、「はい」と回答があった場合において、「正当な理由」があると整理してよいのかが問題となります。仮に本人の自己申告以外の方法が必要となる場合、証拠書類の提出や法定代理人・第三者の関与を求めるなど、どのような方法を講じていれば正当な理由が認められるかについても解釈の明確化が期待されます。また、正当な理由が認められるための水準がサービスによって異なる可能性があるかもポイントとなります。例えば、サービス内容として、子ども向けのマンガ、アニメ又はゲームの配信を行っている等、16歳未満の者が利用することが容易に想定される場合には、一般的なサービスと同等の基準で「正当な理由」が認められるのか、より丁寧な措置が必要となるのかといった点については検討が必要となります。

ウ　経過措置について
特にBtoC事業を実施している事業者にとっては、改正法の施行前に行った16歳未満の者に関する個人情報や個人関連情報の利用目的の通知や同意等が改正法の施行後に有効かについても、検討の必要があります。この点、改正法の附則において、施行日前の法定代理人による個人情報・個人関連情報に関する各種の同意が、改正法下における各種の同意に相当する場合は、改正法下における各種の同意とみなせる旨の規定（改正案附則5条1項）及び施行日前の法定代理人に対する個人情報に関する各種の通知が、改正法下における本人の法定代理人への各種の通知とみなせる旨の規定（改正案附則6条1項）が定められています。また、施行日前の本人による個人情報・個人関連情報に関する各種の同意が、改正法下における法定代理人の同意とみなせる旨の規定（改正案附則5条2項）及び施行日前の本人に対する個人情報に関する各種の通知が、改正法下における本人の法定代理人への各種の通知とみなせる旨の規定（改正案附則6条2項）が定められています。

2. 16歳未満の者が本人である場合、当該本人の保有個人データの利用停止等請求の要件の緩和

(1)　概要

現行法では、本人の保有個人データの利用停止等請求は、一定の法令違反や保有個人データを利用する必要がなくなった場合、本人の権利又は正当な利益が害されるおそれがある場合などの限定的な場合にのみ認められています（現行法35条1項、3項、5項）。もっとも、改正案では、16歳未満の者が本人である場合、違反行為の有無等にかかわらず、原則として、利用停止等又は第三者提供の停止が請求できることとなりました（改正案35条9項）。

ただし、一定の場合には、保有個人データの利用停止等請求は認められません（改正案35条9項各号）。一定の事由のうち、主なものは、以下の通りです。

当該個人情報取扱事業者があらかじめ当該本人の法定代理人の同意を得て当該保有個人データを取得した場合（1号）
当該個人情報取扱事業者が法令に基づいて当該保有個人データを取り扱う場合（2号）
当該個人情報取扱事業者が当該保有個人データを取り扱うことが当該本人との間の契約の履行のために必要やむを得ないことが明らかである場合その他当該個人情報取扱事業者が当該保有個人データを取り扱うことが当該保有個人データの取得の状況からみて16歳未満の本人の権利利益を害しないことが明らかである場合として個人情報保護委員会規則で定める場合（8号）
当該本人の法定代理人が当該本人の営業を許可していた場合であって、当該個人情報取扱事業者が当該営業に関して当該保有個人データを取得したとき（10号）
当該本人が、当該個人情報取扱事業者に対し自らが16歳以上であることを信じさせるために詐術を用いていた場合（11号）

(2)　検討

ア　16歳未満の者による請求と、裁判上の訴え
改正案は、16歳未満の本人は、利用停止等及び第三者提供停止の請求について、原則として事業者側の違反行為等の有無を要件とすることなく認められることとなりました。このような裁判外の請求は、16歳未満の本人は法定代理人によらず単独で行使することができるのかといった点については検討が必要になると考えられます。

また、原則として16歳未満の者による利用停止等及び第三者提供停止の請求を行ってから2週間を経過した後であれば、訴えの提起が可能となります（改正案39条1項）。このような裁判上の訴えは、未成年（18歳未満の者）については訴訟能力がないため、訴訟を提起する場合などについては、法定代理人によらなければならないとされています（民事訴訟法31条）。このような裁判外の請求と裁判上の訴えにおいて、年齢制限に違いがありうるという点に留意する必要があります。

イ　利用停止等請求の例外としての各号事由
(ア) 当該個人情報取扱事業者があらかじめ当該本人の法定代理人の同意を得て当該保有個人データを取得した場合（1号）
個人情報取扱事業者があらかじめ当該本人の法定代理人の同意を得て当該保有個人データを取得した場合には、利用停止等請求はできないとされています。事後的に利用停止等の請求を受けることによって、想定している個人情報の取扱いに支障が生じる可能性がある場合は、改正案35条9項1号の「法定代理人の同意」を得ることによって、実務上の負担を減らすことは検討に値します。

ここで、「法定代理人の同意」がどのような個人情報の取扱いに対する同意を指しているかは、文言上は明らかではありません。16歳未満の本人から通常の個人情報を取得するだけであれば、改正案上、法定代理人の同意は不要であり、厳密に法定代理人の同意が必要となるのは、一定の個人情報の取扱い（例えば、要配慮個人情報の取得、個人情報の目的外利用、個人データ又は個人関連情報の第三者提供）に限られます。もっとも、このように本人の法定代理人の同意を得た場合に16歳未満の本人による利用停止等請求ができなくなることを踏まえると、改正法のもとにおける実務上は、常に個人情報の取扱全般に対する法定代理人の同意を取得しておくことによって、16歳未満の本人による使用停止等請求に備えるといった運用を行うことも考えられます。今後、改正案35条9項1号の「法定代理人の同意」を得るといった運用を行う場合、どのような個人情報の取扱に対する同意が想定されているかについて、ガイドライン等による解釈の明確化が望まれます。

(イ) 当該本人が、当該個人情報取扱事業者に対し自らが16歳以上であることを信じさせるために詐術を用いていた場合（11号）
「詐術」については、改正案によって個人情報保護法に初めて登場した概念ですが、民法21条に規定されています。解釈の方向性などについては、ガイドライン・Q&A等で示されていくものと考えますが、民法上の「詐術」の解釈が一定程度参考になるものと考えられます。

まず、「詐術」の解釈について、判例では、単なる黙秘では詐術に該当しないものの、積極的術策は必ずしも必要はなく、言動によって相手方の誤信を誘起し、又は誤信を強めた場合には詐術に該当し得ると判断しています（最判昭和44年2月13日民集22巻2号291頁）。

電子商取引及び情報財取引等に関する準則（令和7年2月経済産業省。以下「準則」といいます。）では、実務上の観点から「詐術」に該当するかどうかについて、より具体的な解釈を示しています。具体的には、「詐術」に当たらないと解される例（準則75頁）として、「単に『成年ですか』との問いに『はい』のボタンをクリックさせる場合」と「利用規約の一部に『未成年者の場合は法定代理人の同意が必要です』と記載してあるのみである場合」を紹介しています。

そして、「少なくとも、単に年齢確認画面や生年月日記入画面に虚偽の年齢や生年月日を入力したという事実のみをもって『詐術を用いた」とは断定できず、事業者の設定した年齢確認や親の同意確認の障壁を容易にかいくぐることができるものであったかなど他の考慮要素も踏まえた総合判断が求められると解される。」とされています（準則75頁脚注）。

このように、準則における「詐術」該当性には一定のハードルがあるところです。以上については、あくまでも民法上の議論であり、個人情報保護法上の解釈にそのまま妥当するかは明らかではありません。しかしながら、個人情報取扱事業者においては、「詐術」該当性の立証に一定のハードルがあることを踏まえれば、改正案35条9項11号の「詐術」に依拠するというよりは、改正案35条9項1号の「法定代理人の同意」を得るといった対応の検討も必要になる場面があるものと思われます。

3. 未成年者の個人情報等の取扱い等について、本人の最善の利益を優先して考慮すべき旨の責務規定の新設

(1)　概要

改正案58条の3第1項は、個人情報取扱事業者等（個人情報取扱事業者、仮名加工情報取扱事業者又は匿名加工情報取扱事業者）に対し、未成年者の個人情報等の取扱いについて、年齢及び発達の程度に応じて、その最善の利益を優先して考慮し、未成年者の権利利益を害することがないよう必要な措置を講ずるよう努めなければならない旨を定めています。

また、同条2項では、本人である未成年者の法定代理人に対して、開示等請求や前述1記載の同意を行う際には、本人の最善の利益を優先して考慮しなければならない旨が定められています。

(2)　検討

ア　対象者
まず、本改正のうち、改正案58条の3第1項の対象者は、個人情報取扱事業者等です。
一方で、改正案58条の3第2項の対象者は、本人である未成年者の法定代理人とされており、この点に特徴があります。

また、前述1及び2と異なり、本条の対象となる未成年者は、18歳未満の者が該当することになり、一部の規定を除いて、「16歳未満」に限定されていない点にも留意が必要です。

イ　「必要な措置」の具体的な内容
改正案58条の3第1項に定めている、個人情報取扱事業者等が講ずるよう努めなければならないとされている「必要な措置」は、今後策定・改訂される個人情報保護法のガイドライン（GL）・Q&A等において具体化される可能性があります。仮に具体化がされる場合でも、あくまでも努力義務とはなりますが、その内容次第で、個人情報取扱事業者等に対する実務への影響が生じる可能性があります。

この点、法改正に至る検討過程では、

未成年者の個人データに対する安全管理措置義務の強化
未成年者を対象としたターゲティング広告の制限
なども議論されていたため、これらに関する事項がガイドライン（GL）・Q&A等において規定される可能性もあります。

第3.　実務への影響と残された課題

1. 16歳未満の者が本人である場合、同意取得や通知等について当該本人の法定代理人を対象とすることの明文化について

第2での検討を踏まえて、事業者として、16歳未満の者が本人である場合の個人情報・個人関連情報の取扱いについては、下記のパターンの対応が考えられます。

なお、前述のとおり、未成年者の個人情報等の取扱いにかかる「必要な措置」を講じる事業者の努力義務（改正案58条の3第1項）については、16歳未満の「未成年者」に限定されていないことにご留意ください。

類型	想定ユースケース	対応事項
①16歳未満の者の個人情報を取得しない場合又は「正当な理由がある場合」等の例外事由に該当すると整理する場合	・BtoBサービス・子供の利用が想定されていないBtoCサービス	特になし又は必要であれば、「正当な理由がある場合」に該当するための事項の実装例：適切な年齢確認等
②16歳未満の者の個人情報を取得するものの、第三者提供等の法定代理人同意が不要（本人の権利利益を害しないことが明らかである場合として同意不要な場合も含む。）と整理する場合	・子供の利用が想定されているBtoCサービス（教育機関・スポーツ団体・漫画等のコンテンツ配信等）であり、要配慮個人情報の取得又は第三者提供を行わない場合	必要であれば、法定代理人への利用目的の通知・明示義務への対応事項の実装例：・会員登録時に法定代理人のメールアドレスを取得し法定代理人宛にプライバシーポリシーを送付する・オフラインの場合、親子同伴の下で情報を取得する等
③16歳未満の者の個人情報を取得するものの、第三者提供等の法定代理人同意が必要と整理する場合	・子供の利用が想定されているBtoCサービス（教育機関・スポーツ団体・漫画等のコンテンツ配信等）であり、要配慮個人情報の取得又は第三者提供を行う場合	法定代理人への同意取得方法の実装例：・法定代理人の同意取得フォームの実装

事業者としては、まずは、改正法に関する情報収集を行いながら、上記のどの類型に該当するかを整理・検討の上、どのような実装を行っていくかを検討する必要があります。

類型①と整理するには、自社のデータの取扱い状況を棚卸の上、16歳未満の者の個人情報を取得していないといえるかを検討する必要があります。また、「正当な理由がある場合」と整理するための施策を実施する必要があるか、実施するとしてどのような施策が必要か、を検討する必要があります。具体的にどのような措置を実施すればよいのかについては、ガイドラインにおける整理を待つ必要があるものの、本人の自己申告で足りる場合には、例えば、個人情報を取得する前に年齢確認プロセスを設定し、16歳未満である場合には、個人情報を取得しない設計とすることも考えられます。

類型②又は類型③に該当する場合には、仮にウェブ・アプリサービスを提供している場合であれば、会員登録時等の画面上で利用目的の通知・明示や同意取得を行う措置で対応することが考えられますが、時間とコストを伴うシステム改修等が必要となる可能性があります。

2. 16歳未満の者が本人である場合における、当該本人の保有個人データの利用停止等請求の要件の緩和について

改正案において、16歳未満の者による保有個人データの利用停止等請求の要件が緩和されたことにより、個人情報取扱事業者としては、16歳未満の者による当該請求に対する対応体制・対応基準等を整備していく必要があります。

今後は、法律施行令、施行規則、ガイドライン及びQ＆A等の整備状況を踏まえて対応していく必要がありますが、特に16歳未満を含むユーザーをターゲット層・顧客層としてサービスを提供している個人情報取扱事業者については、16歳未満の本人による利用停止等請求への対応体制を構築していく必要性がより高いといえます。前記のとおり、利用停止等請求に応じる義務がないとされる、未成年者本人による「詐術」（改正案35条9項11号）に該当すると主張して義務を免れることは一定のハードルがあることを踏まえると、改正法のもとにおける実務上は、16歳未満のユーザーから個人情報を取得する際には、法定代理人の同意を取得しておく（改正案35条9項1号）といった対応をすることも検討に値します。