TMI総合法律事務所では、「令和8年改正個人情報保護法研究」と題し、改正法に関するブログ記事を連載しています。本連載の記事一覧については、下記のページをご覧ください。

令和8年改正個人情報保護法研究
https://www.tmi.gr.jp/eyes/blog/2026/18287.html

《第4回》特定の個人に対する働きかけが可能となる情報の不適正利用及び不正取得の禁止

今回は、改正の四つの柱のうち、「不適正利用等防止」に含まれる「特定の個人に対する働きかけが可能となる情報の不適正利用及び不正取得の禁止」を解説します。改正法案全体の概要については、「《第1回》改正法案の概要と実務上の着眼点」をご覧ください。

第1．改正の背景と意義

現行法では、個人情報について不適正利用（違法又は不当な行為を助長し、又は誘発するおそれがある方法による利用）の禁止及び不正取得（偽りその他不正の手段による取得）の禁止が定められていますが（現行法19条、20条1項）、個人関連情報、仮名加工情報及び匿名加工情報は同規制の対象外でした。

しかしながら、特定の個人に対して何らかの連絡を行うことができる情報については、それが個人情報に該当しない場合でも、個人への連絡を通じて個人のプライバシー、財産権等の権利利益の侵害が発生し得るおそれや、当該情報を媒介として秘匿性の高い記述等を含む情報を名寄せすることにより、プライバシー等が侵害されたり、上記連絡を通じた個人の権利利益の侵害がより深刻なものとなったりするおそれがあることが指摘されていました（個人情報保護法の制度的課題に対する考え方について（令和7年3月5日付））。

具体的には、メールアドレス等を用いて、有名企業等をかたったメール等を個人に送信し、当該メールの本文に記載したフィッシングサイトのURLにアクセスさせて認証情報やクレジットカード情報等を窃取する事例や、オンラインメンタルヘルスカウンセリングサービスを運営する事業者が、ユーザーから取得したメールアドレス及び健康情報を、治療支援等のためにのみ利用し第三者に共有しない旨等を約していたにもかかわらず、広告目的で第三者に提供する事例が挙げられます。

本改正により、特定の個人に対する働きかけが可能となる個人関連情報（「連絡可能個人関連情報」）について、不適正利用及び不正取得を禁止することが定められるとともに（改正案31条の2）、特定の個人に対して何らかの連絡を行うことができる記述が含まれる仮名加工情報及び匿名加工情報についても同様に不適正利用及び不正取得が禁止されました（改正案42条4項、46条の2）。

第2．法律案の概要・検討

1. 連絡可能個人関連情報の定義

(1)　概要

「連絡可能個人関連情報」は、以下の①～⑤の記述等が含まれる個人関連情報（他の情報と容易に照合することができ、それにより次に掲げる記述等を特定することができることとなるものを含む。）をいうものと定義づけられています（改正案2条8項）。

①特定の個人が所在し、又は所在していた場所の所在地（例：住居、勤務先）（信書便による送付、電報の送達又は特定の個人への訪問に利用することができるものに限る。） ②電話番号（特定の個人に対する電話又はファクシミリ装置を用いた送信に利用することができるものに限る。） ③電子メールアドレス（電子メールの送信に利用することができるものに限る。） ④電気通信設備を利用する者又は電気通信設備を識別することができるように付された符号（特定の個人に対する電気通信を利用した情報の伝達に利用することができるものに限る。） ⑤その他個人情報保護委員会規則で定めるもの

(2)　検討

ア　個人情報との差異
上記の定義からわかるように連絡可能個人関連情報は、あくまで個人関連情報であることを前提としており、個人情報に該当する情報は個人関連情報に該当しません（現行法2条7項）。電話番号を例に取れば、一般的には、電話番号は、氏名等と一緒に管理されていることが多いと思いますが、その場合には、当該電話番号は、それ自体では特定の個人を識別できないものの、他の情報と照合することで特定の個人を識別することができるため、個人情報に該当することから、個人関連情報ではなく、したがって、連絡可能個人関連情報にも該当しません。そのため、ここで想定される連絡可能個人関連情報に該当する電話番号は、電話番号のみを保有していたり、氏名等は保有せず電話番号とそれに紐づく取引データを保有しているといった場面になります。

イ　連絡可能個人関連情報の容易照合性
連絡可能個人関連情報は、①～⑤の記述等が含まれる個人関連情報と定められていますが、「他の情報と容易に照合することができ、それにより①～⑤に掲げる記述等を特定することができることとなる」情報も含むとされています。そのため、連絡可能個人関連情報において容易照合性がある情報とは、どのような情報が該当するかが問題となります。これについては、個人情報の該当性における容易照合性の議論が参考になります。例えば、住所を記したデータベースAと家族構成等の情報を記したデータベースBがIDで紐づいている場合（データベースには個人情報は含まれていないものとする。）、データベースAは、住所が記述されている個人関連情報であるため「連絡可能個人関連情報」にあたるところ、データベースBも連絡可能個人関連情報であるデータベースAとIDで紐づき容易照合性があるため、データベースBも連絡可能個人関連情報に該当すると考えられます。

ウ　電気通信設備を利用する者又は電気通信設備を識別することができるように付された符号
「電気通信設備を利用する者又は電気通信設備を識別することができるように付された符号」のうち、「特定の個人に対する電気通信を利用した情報の伝達に利用することができる」情報が連絡可能個人関連情報に該当します。この典型例としては、Cookie IDが挙げられていますが、どこまでの情報がこれに該当することになるのかは現時点では明確ではありません。

個人情報保護委員会資料（「個人情報保護法等の一部を改正する法律案について」（令和 8 年 4 月）」においては、メールアドレスやCookie ID を通じて投資詐欺広告を表示する事例が挙げられているため、このように広告配信を可能とするCookie IDはこれに該当することになると想定されます。

加えて、現行法において、仮名加工情報取扱事業者に課せられる、仮名加工情報に含まれる連絡先の利用の禁止（現行法41条8項）において禁止される連絡方法として、「その受信をする者を特定して情報を伝達するために用いられる電気通信を送信する方法」が指定されている（個人情報保護法施行規則33条3号）ところ、ガイドライン（「個人情報の保護に関する法律についてのガイドライン（仮名加工情報・匿名加工情報編）」2-2-3-5）において、これに該当する例として、①SNSのメッセージ機能によりメッセージを送信する方法や、②Cookie IDを用いて受信する者を特定した上で、当該受信者に対して固有の内容のインターネット広告を表示する方法、が掲げられており、類似の文言が利用されていることからして、メッセージ送信が可能なSNSのIDも含まれることになるように思われます。これらが解釈上含まれることになるのか、またそれ以外にどのような情報が含まれることになるのか、その具体例が今後ガイドライン等において特定されることが望まれます。

エ　「その他個人情報保護委員会規則で定めるもの」
①～④の記述の他に個人情報保護委員会規則に定める情報も連絡可能個人関連情報に含まれますので、どのような情報が個人情報保護委員会規則で定められるかどうかが今後確認すべき事項となります。

2. 連絡可能個人関連情報の不適正利用・不正取得の禁止の解釈

(1)　概要

連絡可能個人関連情報につき、不適正利用及び不正取得の禁止が定められたところ（改正案31条の2）、条文内容は、個人情報の不適正利用・不正取得の禁止と同内容の文言となっています。

個人情報の不適正利用・不正取得の禁止に関しては、当該規制の文言解釈や該当する具体的な事例の紹介は、ガイドライン（「個人情報の保護に関する法律についてのガイドライン（通則編）」3-1、3-3-1）に委ねられているため、連絡可能個人関連情報に関しても、ガイドライン等で当該規制の文言解釈や該当する事例が具体的に明らかになることが期待されます。また、個人情報における規制と異なる点があれば、どのような差異があるかについても確認すべき事項になります。

(2)　検討

ア　不適正利用に該当する事例
個人情報の不適正利用の具体例として、「事業者の違法な行為を助長するおそれが想定されるにもかかわらず、当該事業者に当該本人の個人情報を提供する場合」が挙げられています（ガイドライン（通則編）3-2  事例1）。このような事例に照らして考えると、連絡可能個人関連情報については、特定電子メール法上の義務となる同意を取得せずに広告・宣伝メールを送付している事業者に対して、そのような利用がなされると想定されるにもかかわらず電子メールアドレスを提供するような場合は不適正利用に該当するように考えられます。

イ　不正取得に該当する事例
個人情報の不正取得の具体例として、「個人情報を取得する主体や利用目的等について、意図的に虚偽の情報を示して、本人から個人情報を取得する場合」が挙げられています（ガイドライン（通則編）3-3-1  事例3））。連絡可能個人関連情報についても同様の場合が不正取得に該当するとした場合、連絡可能個人関連情報を取得する主体や利用目的等について、意図的に虚偽の情報を示して、本人から連絡個人関連情報を取得する場合も不正取得に該当する可能性があるものと考えられます。現行法では、個人関連情報を本人から取得する際に取得する主体や目的を本人に通知又は公表する義務はないため、任意でクッキーポリシー等で連絡個人関連情報の利用目的を示していたときにそれと異なる利用をしたときに不正取得になるのかが問題となります。

また、そのような場合のみならず、本人が気づかないような方法を意図的に採用し、情報の送信が行われるような場合に、不正取得に該当するとの考え方もあります。この問題に対しては、個人情報保護委員会がSNSの「いいねボタン」などを介したCookie情報の収集に関してSNS事業者に行った行政指導などが参考になります。ウェブサイトにボタンを設置すると、SNS事業者のCookieタグが埋め込まれることになり、ウェブサイト訪問者がウェブサイトにアクセスすると、当該ボタンを押さずともサイト訪問者のユーザーIDやアクセス履歴等がSNS事業者に外部送信される仕組みになっていることがあり、個人情報保護委員会はこのような「ボタン」を介した個人情報の収集について、SNS事業者への行政指導の中で、ユーザーへのわかりやすい説明の徹底等を行うべきものと指摘しました（個人情報保護委員会「SNSの『ボタン』等の設置に係る留意事項」（平成30年3月13日） 参照）。この例では、SNS事業者にとっては、ユーザーIDが個人情報であることを前提とすると個人情報の取得に関する問題となりますが、取得の状況等によっては適切に説明することが推奨されています。改正法においては、個人情報ではないCookie IDが連絡可能個人関連情報として不正取得の対象になるため、本人が気づかない態様でのCookie IDの取得に関して、上記のような説明が推奨されるとの解釈の余地もありえます。この点は、ガイドライン等を通じた今後の解釈の動向を注視する必要があります。

3. 仮名加工情報・匿名加工情報の不適正利用・不正取得の禁止の解釈

(1)　概要

特定の個人に対して何らかの連絡を行うことができる記述が含まれる仮名加工情報及び匿名加工情報についても、連絡可能個人関連情報と同様に不適正利用及び不正取得が禁止されました（改正案42条4項、46条の2）。

(2)　検討

ア　本人への連絡等禁止との関係
仮名加工情報取扱事業者は、仮名加工情報を取り扱う場合には、電話、郵便・信書便の送付、ファクシミリ装置・電磁的方法を用いての送信、住居の訪問のために、当該仮名加工情報に含まれる連絡先その他の情報の利用を行ってはならないとされています（現行法41条8項、42条3項）。このうち「電磁的方法を用いて送信」には、電子メールを送信する方法のほか、受信する者を特定した上で情報を伝達するために用いられる電気通信を送信する方法が含まれ（個人情報保護法施行規則33条）、具体的には、SNSのメッセージ機能によりメッセージを送信する方法やCookie IDを用いて受信する者を特定した上で、当該受信者に対して固有の内容のインターネット広告を表示する方法が含まれます。

本改正により、①住居・勤務先等の情報、②電話番号、③電子メールアドレス、④Cookie IDといった情報が含まれる仮名加工情報も不適正利用の禁止の対象となりますが、現行法において既にこれらの情報を用いた連絡行為は禁止されていますので、本改正による規制対象となる行為は、連絡行為以外の行為であると整理されるように考えられます。

第3.　実務への影響と残された課題

連絡可能個人関連情報のうち、①住居・勤務先等の情報、②電話番号、③電子メールアドレスといった情報は、氏名等の特定の個人を識別できる情報と密接に関連する情報であることから、それが個人情報に該当しない場合であっても、一般的には、個人情報と同程度の注意を払い取得・利用をしている場合が多いと思われます。そのため、個人情報に関して不適正利用及び不正取得を行わないような運用を講じている場合には、社内規程を本改正に合わせ改定するといった対応の他は、実務上大きい影響はないように考えられます。

ただし、Cookie ID等の情報についても不適正利用及び不正取得の対象になることには留意が必要です。Cookie ID等は、これまで個人関連情報として第三者提供規制が存在したほか（現行法31条）、適用がある場合には電気通信事業法上の外部送信規律（電気通信事業法27条の12）に基づき規制されてきました。改正法案では、取得行為に関しても規制の対象になるため、何が不正取得に該当するのかという解釈によっては実務上の影響が大きいと考えられます。場合によっては、Cookie等の個人関連情報の取扱いを示している文書（プライバシーポリシーやクッキーポリシー）を改定する必要が生じる可能性もあります。

前述のとおり、本規定の具体的な内容は、法律施行令、施行規則、ガイドライン及びQ＆Aによって具体化されることになるため、これらの整備状況を注視する必要がありますが、事業者としては、これまで個人関連情報であるために取得、利用に関して特段の規制はないと整理していた取り組みについて、規制の対象になる可能性があるため、自社における個人関連情報の取得・利用の状況について洗い出し、改正法施行後も同法に違反しない態様になっているか、なっていない場合にはどのような対応を行えばよいかを精査する必要が生じると思われます。