TMI総合法律事務所では、「令和8年改正個人情報保護法研究」と題し、改正法に関するブログ記事を連載しています。本連載の記事一覧については、下記のページをご覧ください。

令和8年改正個人情報保護法研究
https://www.tmi.gr.jp/eyes/blog/2026/18287.html

《第5回》同意取得に係る例外要件の緩和

今回は、改正の四つの柱のうち、「適正なデータ利活用の推進」に含まれる、同意取得に係る例外要件の緩和について解説します。改正法案全体の概要については、「《第1回》改正法案の概要と実務上の着眼点」をご覧ください。

第1．改正の背景と意義

現行法においては、①個人情報の目的外利用、②要配慮個人情報の取得、及び③個人データの第三者提供には、原則として本人同意が必要とされています（現行法18条1項、20条2項、27条1項、28条1項。以下、総称して「要同意事項」といいます。）。もっとも、本人の意思に反しないと思われる状況であっても、常に同意取得を必要とすることは、個人情報取扱事業者及び本人の双方にとって過剰な負担となっている面がありました。ガイドライン上、「明示の同意」のみならず、「黙示の同意」という構成が認められる余地が示唆されていますが、「黙示の同意」が認められるか否かについては、個別の事案ごとの具体的な判断が必要とされており、予測可能性が乏しく、実務上利用しにくい側面があります（「個人情報の保護に関する法律についてのガイドライン」に関するQ&A（以下「個情委Q&A」といいます。）1-61 ）。さらに、外国にある第三者への提供規制（現行法28条1項）との関係では、同意取得にあたって、外国における個人情報の保護に関する制度等、法所定の情報を本人に提供しなければならないため（同条2項）、実際上、「黙示の同意」の構成に依拠することが難しいという問題もあります。改正法案では、「本人との間の契約の履行のために必要やむを得ないことが明らかである場合」や、「その他当該個人情報の取得の状況からみて本人の意思に反しないため本人の権利利益を害しないことが明らかな場合」について、要同意事項に係る同意取得を不要とする旨の例外が新設されました（改正案18条3項7号、20条2項7号、27条1項8号）。当該例外規定の適用により、同意取得に係る実務上の負担の軽減につながる可能性があります。

また、現行法においては、「人の生命、身体又は財産の保護のために必要がある場合」や「公衆衛生の向上又は児童の健全な育成の推進のために特に必要がある場合」には、「本人の同意を得ることが困難であるとき」であることを条件として、要同意事項について同意取得を不要とする例外が認められています（現行法18条3項2号及び3号、20条2項2号及び3号、27条1項2号及び3号）。この点、事業者・本人の同意取得手続に係る負担を軽減し、個人情報のより適正かつ効果的な活用及びより実効的な個人の権利利益の侵害の防止につなげる観点からは、「本人の同意を得ることが困難であるとき」のみならず、「その他の本人の同意を得ないことについて相当の理由があるとき」についても、例外を認めるべきではないか、という議論がなされていました（「個人情報保護法の制度的課題に対する考え方について」の2頁参照）。

このような議論を経て、改正法案では、「本人の同意を得ることが困難であるとき」のみならず、「その他本人の同意を得ないことについて相当の理由があるとき」にも、要同意事項について同意を不要とする例外が認められるようになりました（改正案18条2項2号及び3号、20条2項2号及び3号、27条1項2号及び3号）。当該改正により、同意取得が困難とまではいえない場面において、現在よりも柔軟な対応が可能となります。

加えて、現行法においては、「学術研究機関等」に関しては、要同意事項について、一定の場合に同意を不要とする例外が認められているところ（現行法18条3項5～6号、20条2項5～6号、27条1項5～7号）、「学術研究機関等」は、「大学その他の学術研究を目的とする機関若しくは団体又はそれらに属する者」に限定されているため（現行法16条8項）、大学附属ではない病院等は、当該例外規定の適用を受けられません。しかしながら、医学・生命科学の研究においては、研究対象となる診断・治療の方法に関する臨床症例の分析が必要不可欠であり、病院等の医療の提供を目的とする機関又は団体による研究活動が広く行われている実態があることから、「学術研究機関等」に、医療の提供を目的とする機関又は団体が含まれることを明示すべきではないか、という議論がなされていました（「個人情報保護法の制度的課題に対する考え方について」の3頁参照）。

そこで、改正法案では、「病院その他の医療の提供を目的とする機関」等が、「学術研究機関等」の定義に含まれることが明示されました（改正案16条9項）。当該改正により、大学附属ではない病院等に関しても、要同意事項に係る同意取得義務について、一定の例外が認められることとなり、病院等における医学・生命科学の研究の促進につながる可能性があります。

第2．法律案の概要・検討

1. 取得の状況からみて本人の意思に反しないため本人の権利利益を害しないことが明らかな取扱い

(1)　概要

改正法案は、①本人との間の契約の履行のために必要やむを得ないことが明らかである場合、及び②その他当該個人情報の取得の状況からみて本人の意思に反しないため本人の権利利益を害しないことが明らかである場合として個人情報保護委員会規則で定める場合について、要同意事項に係る同意取得を例外的に不要としています（改正案18条3項7号、20条2項7号、27条1項8号）。

個人情報保護委員会事務局が公表した「個人情報保護法等の一部を改正する法律案について（令和8年4月） 」（以下「2026年4月付け事務局資料」といいます。）では、ホテル予約の際にホテル予約サイトからホテルに対して予約者の氏名等を提供する場面や、海外送金の際に送金元金融機関から送金先金融機関へ送金者の情報を提供する場面が、本例外の具体的な適用場面の例として挙げられています。

本例外が適用される場合、外国にある第三者への提供規制についても適用対象外となるため（個人情報保護法28条1項参照）、同意取得にあたって、外国における個人情報の保護に関する制度等、法所定の情報を本人に提供する必要もなくなります。この情報提供義務は、提供先となる第三者の所在国が多岐にわたる場合などにおいて事業者への負担となっていたため、情報提供義務が不要になることは特に実務上の影響が大きいと考えられます。

(2)　検討

ア　本人との間の契約の履行のために必要やむを得ないことが明らかである場合
具体的にどのような場合に、「本人との間の契約の履行のために必要やむを得ないことが明らかである場合」と認められるかについては、上記ホテル予約の例や、海外送金の例を除き、明らかではありません。例えば、「必要やむを得ないことが明らか」との文言がどの程度厳格に解釈されるのかによって本例外の射程が大きく異なる可能性があります。

本例外は、GDPR上の個人データ処理の正当化根拠の一つである、「データ主体が契約当事者となっている契約の履行のために取扱いが必要となる場合、又は、契約締結の前に、データ主体の要求に際して手段を講ずるために取扱いが必要となる場合」（GDPR第6条(1)(b)）と類似の内容であり、個人情報保護委員会が本例外を検討する際にGDPRの当該規定を参照した可能性があります。GDPRの当該条項に関するガイドラインでは、「必要（necessary）」の意味について、以下のとおり記載しています（25項）。　

何が「必要」であるかの評価には、取扱いが「追求される目的のためであること、また、同じ目的を達成するための他の選択肢と比較してより侵襲性が少ないかどうか」について、事実に基づく複合的な評価が含まれる。現実的で、より侵襲性の少ない代替手段がある場合、その取扱いは「必要」ではない。第 6 条 (1) (b) は、契約上のサービスの履行のために又はデータ主体の要求に際して関連する契約前の手立てを講じるために、有用であるが客観的に必要ではない取扱いに対して、たとえその取扱いが管理者の他の事業目的のために必要であったとしても、適用されない。

このように、GDPR上は、「必要」性の要件について、厳格な解釈が採用されているところ、仮に、本例外の「必要やむを得ない」という要件についても、GDPRと同様に厳格な解釈が採用される場合には、適用場面は限定的になる可能性があります。

また、個人データの第三者提供規制に関して言えば、個人データの提供者となる個人情報取扱事業者自らが本人との間での契約当事者である必要があるのか否かが条文の文言からは明確ではありません。例えば、ホテル予約の例を取った場合、「予約者→ホテル予約サイト→旅行代理店→ホテル」という形で、ホテル予約サイトとホテルの間に、旅行代理店が介在するケースも想定されます。この場合、旅行代理店自身は、予約者との間での直接の契約当事者ではありませんが、その場合であっても、ホテルへの予約者の氏名等の提供について、本例外に依拠できるのかは、明らかではありません。

本例外の適用範囲を正確に理解するにあたっては、今後、ガイドライン等において、個人情報保護委員会の解釈が示されるのを待つ必要があります。

イ　その他当該個人情報の取得の状況からみて本人の意思に反しないため本人の権利利益を害しないことが明らかである場合として個人情報保護委員会規則で定める場合

具体的にどのような場合に、「個人情報の取得の状況からみて本人の意思に反しないため本人の権利利益を害しないことが明らかである場合」と認められるかについては明らかではなく、個人情報保護委員会規則による特定を待つ必要があります。

例えば、ある個人情報取扱事業者が、個人データの第三者提供にあたって、「個人情報の取得の状況からみて本人の意思に反しないため本人の権利利益を害しないことが明らかである場合」の例外に依拠する場合、当該状況の発生前に既に取得していた個人データの第三者提供についても、当該例外に依拠できるのかについては明らかではありません。前述の海外送金の事例に関して言えば、送金者から、個別の海外送金の依頼を受ける前の段階で、送金者の氏名等の口座情報を送金元金融機関は保有しているはずです。当該情報を送金先金融機関に提供することは、送金指示があった時点を基準とすれば「本人の意思に反しない」といえそうですが、当該情報の「取得」時（＝口座開設時）を基準とする場合には、当該情報をまだ見ぬ送金先金融機関に提供することについて、「本人の意思に反しない」と評価できるのか疑問の余地が残るところです。いずれにせよ、個人情報保護委員会規則又はガイドラインによる明確化が待たれます。

2. 生命等の保護又は公衆衛生の向上等のための個人情報の取扱い

(1)　概要

「人の生命、身体又は財産の保護のために必要がある場合」や、「公衆衛生の向上又は児童の健全な育成の推進のために特に必要がある場合」について、「本人の同意を得ることが困難であるとき」のみならず、「その他の本人の同意を得ないことについて相当の理由があるとき」にも、要同意事項についての同意取得を不要とする例外が定められました（改正案18条2項2号及び3号、20条2項2号及び3号、27条1項2号及び3号）。

2026年4月付け事務局資料では、「本人のプライバシー等の侵害を防止するために必要かつ適切な措置（氏名等の削除、提供先との守秘義務契約の締結等）が講じられているため、当該本人の権利利益が不当に侵害されるおそれがない場合等」が、本例外の具体的な適用場面の例として挙げられています。その他の具体的な事例については、制度が円滑に運用されるよう、改正の趣旨を踏まえつつ、ガイドライン等において明確化することが想定されています。

(2)　検討

2026年4月付け事務局資料において言及されている、「本人のプライバシー等の侵害を防止するために必要かつ適切な措置（氏名等の削除、提供先との守秘義務契約の締結等）が講じられているため、当該本人の権利利益が不当に侵害されるおそれがない場合等」については、具体的にどの程度の措置が求められるのかが明らかではないため、ガイドライン等による明確化が待たれます。

また、「人の生命、身体又は財産の保護のために必要がある場合」や、「公衆衛生の向上又は児童の健全な育成の推進のために特に必要がある場合」として現行の「個人情報の保護に関する法律についてのガイドライン（通則編）」で挙げられている事例は、災害や事故対応などの緊急時のユースケースが中心であったところ（同3-1-5）、改正法案によって、要件が緩和されたことに伴い、従来のユースケースに限らず、公共的な性質のあるデータ分析に幅広く利用する余地が出て来る可能性もあり、ガイドライン等で示される個人情報保護委員会の考え方について、引き続きの注視が必要です。

なお、現行法における「本人の同意を得ることが困難であるとき」という要件については、ガイドライン上、「本人の転居等により有効な連絡先を保有していない場合」等、本人同意を得ることが物理的に困難な場合に加えて、「同意を取得するための時間的余裕や費用等に照らし、本人の同意を得ることにより当該研究の遂行に支障を及ぼすおそれがある場合」等も該当するとの考え方が示されてはいます（個情委Q&A2-15、7-24）。しかしながら、どの程度の時間や費用を要する場合にこの例外規定を利用できるかは不明確でした。また、ガイドラインの考え方に照らしても、同意取得により事業活動や研究活動の遂行に支障を及ぼすおそれがあるとまではいえない場合に、この例外規定に依拠する余地があるかも明確ではありませんでした。このため、実務上、同意取得の困難性が明確である場面以外では現行法の例外規定を利用しにくい側面がありました。今回の改正法案によって、このような、同意取得が困難とまでいえるか否か、グレーな領域においても、本例外に依拠する道が開かれました。

3. 病院等による学術研究目的での個人情報の取扱い

(1)　概要

「病院その他の医療の提供を目的とする機関又は団体」又はそれらに属する者が、「学術研究機関等」の定義に含まれることが明示されました（改正案16条9項）。そのため、大学附属ではない病院等に関しても、要同意事項に係る同意取得について、一定の例外が認められることとなります。

2026年4月付け事務局資料によれば、病院ではない「その他の医療の提供を目的とする機関」には、「診療所等」が含まれることが想定されているものの、具体的な対象範囲については、制度が円滑に運用されるよう、改正の趣旨を踏まえつつ、ガイドライン等において明確化することが想定されています。

なお、本例外は、あくまでも「学術研究」目的での個人情報の取扱いについて適用されるものです。そのため、本例外によって、「学術研究」とは無関係な営業利用や事業利用への個人情報の転用が認められることとなるものではない点に留意が必要です。

(2)　検討

個人情報保護委員会及び厚生労働省が連名で公表している「医療・介護関係事業者における個人情報の適切な取扱いのためのガイダンス」では「病院、診療所、助産所、薬局、訪問看護ステーション等の患者に対し直接医療を提供する事業者（以下「医療機関等」という。）」という定義規定が置かれていることを踏まえると、「その他の医療の提供を目的とする機関」としては、「診療所、助産所、薬局、訪問看護ステーション」が対象に含まれる可能性があります。

また、現行法において、「学術研究機関等」は、「学術研究を主たる目的として活動する機関や『学会』」をいい、「民間団体付属の研究機関等における研究活動についても、当該機関が学術研究を主たる目的とするものである場合には、『学術研究機関等』に該当する」と解されています（「個人情報の保護に関する法律についてのガイドライン（通則編）」2-18 ）。そして、現行法のパブリックコメント（2021年10月29日付ガイドライン案への意見募集結果No.7）では、以下の回答がなされています。

Q　「民間団体附属の研究機関等」とは、民間企業の⼀部⾨として存在する研究機関も該当するか？それとも民間企業が社会貢献の⼀環として設⽴しているような、学術研究を⽬的に別法⼈として設⽴された独⽴性の⾼い研究機関を指すのか確認したい。

A　ある機関において、学術研究の目的と別の目的とが併存している場合には、主たる目的により「学術研究機関等」に該当するか否かが判断されることになります。「⺠間企業の⼀部⾨として存在する研究機関」については、このような基準に照らせば、通常「学術研究機関等」には該当しないものと考えます。

改正案によって、新たに追記された「病院その他の医療の提供を目的とする機関又は団体」の医療提供目的の該当性についても、現行法における学術研究目的への該当性と同様に「主たる目的」によって解釈することとなるのかは、必ずしも明らかではありません。

また、仮に「主たる目的」により解釈されるとしても、どのような単位で主たる目的が判断されることにあるかは明確ではありません。仮に法人全体として医療提供目的が主たる目的であるかが判断されるのだとすると、たとえば、一般企業に専属産業医の部署等、医療提供目的の部署がある場合において、当該部署は、⺠間企業の⼀部⾨として存在するに過ぎないことから、「医療の提供を目的とする機関又は団体」の該当性を認めることは困難であると考えられます。

また、法人が全体として医療提供目的をもっていたとしても、その内部にある個別の「機関」が医療提供目的を持っていない場合に本例外規定が適用されるかも論点となり得ます。たとえば、医療法人において、個別の病院に所属しない研究部門や、専ら当該部門に所属する研究者が「医療の提供を目的とする機関又は団体」に含まれるかについては明確ではありません。

これらの点については、ガイドライン等において明確化されることが望まれます。

第3.　実務への影響と残された課題

1. 子供（16歳未満の者）の個人情報の取扱いに関して

「取得の状況からみて本人の意思に反しないため本人の権利利益を害しないことが明らかな取扱い」に係る例外規定（改正案18条3項7号、20条2項7号、27条1項8号）は、子供（16歳未満の者）の個人情報の取扱いに関しては、改正案40条の2第1項の読み替え規定の適用により、「本人との間の契約の履行のために必要やむを得ないことが明らかである場合その他当該個人情報の取得の状況からみて本人の権利利益を害しないことが明らかである場合」との文言になります（「本人」から「本人の法定代理人」への読み替えはなされず、「本人の意思に反しないため」という文言が削除されるのみ）。

そのため、子供との契約に基づき取得した個人データについては、法定代理人の同意を得ずとも、本例外に依拠することによって、第三者提供等が可能になるものと解されます。未成年者との契約は、民法上取消権が認められているものの（民法5条2項）、取消権が行使されるまでは契約としての有効性が認められ、取り消されるまでは本例外に依拠することが可能と解されます。

2. 「本人に代わって個人データを提供している事例」との関係

「本人との間の契約の履行のために必要やむを得ないことが明らかである場合」の具体例として2026年4月付け事務局資料に記載された事例（海外送金の際の送金元金融機関から送金先金融機関への送金者の情報の提供）と類似する事例（「本人から、別の者の口座への振込依頼を受けた仕向銀行が、振込先の口座を有する被仕向銀行に対して、当該振込依頼に係る情報を提供する場合」）が、現行法における「解釈により確認・記録義務が適用されない第三者提供」（【本人に代わって個人データを提供している事例】）として例示されています（個人情報保護法ガイドライン（第三者提供時の確認・記録義務編）2-2-1-1）。

【本人に代わって個人データを提供している事例】 事例1）本人から、別の者の口座への振込依頼を受けた仕向銀行が、振込先の口座を有する被仕向銀行に対して、当該振込依頼に係る情報を提供する場合 事例2）事業者のオペレーターが、顧客から販売商品の修理依頼の連絡を受けたため、提携先の修理業者につなぐこととなり、当該顧客の同意を得た上で当該顧客に代わって、当該顧客の氏名、連絡先等を当該修理業者に伝える場合 事例3）事業者が、取引先から、製品サービス購入希望者の紹介を求められたため、顧客の中から希望者を募り、購入希望者リストを事業者に提供する場合 事例4）本人がアクセスするサイトの運営業者が、本人認証の目的で、既に当該本人を認証している他のサイトの運営業者のうち当該本人が選択した者との間で、インターネットを経由して、当該本人に係る情報を授受する場合 事例5）保険会社が事故車の修理手配をする際に、本人が選択した提携修理工場に当該本人に係る情報を提供する場合 事例6）取引先・契約者から、専門業者・弁護士等の紹介を求められ、専門業者・弁護士等のリストから紹介を行う場合 事例7）事業者が、顧客から電話で契約内容の照会を受けたため、社内の担当者の氏名、連絡先等を当該顧客に案内する場合 事例8）本人から、取引の媒介を委託された事業者が、相手先の候補となる他の事業者に、価格の妥当性等の検討に必要な範囲の情報を提供する場合

これらの【本人に代わって個人データを提供している事例】は、個人情報取扱事業者が本人からの委託等に基づき当該本人の個人データを第三者提供する場合であるとされていることから、単に本人の同意があるということにとどまらない、本人と個人情報取扱事業者との間に委託契約関係又はそれと類似の関係がある類型といえます。また、【本人に代わって個人データを提供している事例】は、「第三者提供に係る記録の作成等の義務については、その目的と実効性を確保しつつ、事業者に過度な負担とならないよう十分に配慮すること」等とする平成27年改正の附帯決議を受けて、確認記録義務の適用対象外としてガイドラインにおいて解釈が示されたものですが、これらの事例については、そもそも、本人同意を必要とすること自体が事業者に過度な負担を課すものであるとの考慮がなされる可能性もあります。以上を踏まえると、現行法上、「解釈により確認・記録義務が適用されない第三者提供」（【本人に代わって個人データを提供している事例】）とされている上記の各事例については、「本人との間の契約の履行のために必要やむを得ないことが明らかである場合」又は「その他当該個人情報の取得の状況からみて本人の意思に反しないため本人の権利利益を害しないことが明らかである場合として個人情報保護委員会規則で定める場合」に該当するものとして、本例外規定の適用対象になる可能性があります。

もっとも、本例外規定における「本人との間の契約の履行のために必要やむを得ないことが明らかである場合」との要件については、「必要やむを得ないこと」という限定があり、他方で、「その他当該個人情報の取得の状況からみて本人の意思に反しないため本人の権利利益を害しないことが明らかである場合として個人情報保護委員会規則で定める場合」との要件については、「取得時の状況からみて」との判断基準時の限定があります。これらの制約との関係で、あるいは個人情報保護委員会規則において定められる内容によって、【本人に代わって個人データを提供している事例】であっても、本例外規定の対象とならないものが生じる可能性も否定できません。

以上