MenuClose

Blog

ブログ

[連載] 令和8年改正個人情報保護法研究:《第6回》特定生体個人情報に関する規律の新設

2026.06.10

#個人情報 / #データ / #情報・通信・メディア・IT

TMI総合法律事務所では、「令和8年改正個人情報保護法研究」と題し、改正法に関するブログ記事を連載しています。本連載の記事一覧については、下記のページをご覧ください。

令和8年改正個人情報保護法研究
https://www.tmi.gr.jp/eyes/blog/2026/18287.html

《第6回》特定生体個人情報に関する規律の新設

今回は、改正の四つの柱のうち、「リスクに適切に対応した規律」に含まれる特定生体個人情報に関する規律を解説します。改正法案全体の概要については、「《第1回》改正法案の概要と実務上の着眼点 」をご覧ください。

第1.改正の背景と意義

現行法においては、顔特徴データ等は個人識別符号に該当する可能性がありますが(現行法2条2項、現行法施行令1条1号ロ)、顔特徴データ等に係る固有の法令上の要求事項は定められておらず、「個人情報の保護に関する法律についてのガイドライン」に関するQ&A等(例えば、カメラに関するQ&A等)の形で、個人情報保護委員会から解釈が示されるに留まっています。

そのような中で、顔識別機能付きカメラシステム等のバイオメトリック技術の利用が拡大する中で、顔特徴データ等は、生体データのうち、本人が関知しないうちに容易に(それゆえに大量に)入手することができ、かつ、一意性及び不変性が高く特定の個人を識別する効果が半永久的に継続するという性質であるため、その他の生体データに比べてその取扱いが本人のプライバシー等の侵害に類型的につながりやすいという特徴がある旨が指摘されていました。そこで、改正法案において、概要、以下の規律が新設されました。

①    特定生体個人情報の定義の新設(改正案16条5項)。
②    特定生体個人情報を取り扱うに当たって、原則として、法定の通知事項をあらかじめ本人に通知し、又は本人が容易に知り得る状態に置く義務の新設(改正案21条の2第1項)。
③    本人は、個人情報取扱事業者に対し、当該本人が識別される特定生体個人情報が取り扱われているときは、その識別に係る保有個人データに関する利用停止等請求権及び第三者提供停止請求権を、原則として、事業者側の違反行為等の有無を要件とすることなく認める規定の新設(改正案35条7項及び8項)。
④    特定生体個人情報のオプトアウトの対象からの除外(改正案27条2項ただし書)

第2.法律案の概要・検討

1. 「特定生体個人情報」の新設

(1) 概要

改正法案では、新たに「特定生体個人情報」との概念が導入されました。

「特定生体個人情報」とは、「特定生体個人識別符号」が含まれる個人情報をいい、「特定生体個人識別符号」とは、「個人識別符号のうち、「特別の技術又は多額の費用を要しない方法により取得することができる身体の一部の特徴に係る情報であって、当該情報が取得されていることを本人が容易に認識することができないものとして政令で定めるものを変換したもの」をいいます(改正案16条5項)。

現行法上、生体データは個人識別符号に該当し得るものの、生体データに着目した横断的な規律は設けられていませんでした。改正法案は、生体データのうち、本人が関知しないうちに容易に取得可能であり、一意性及び不変性が高く、長期的な追跡等に利用され得るものについて、新たな規律を設けたものと整理できます。

「特定生体個人情報」は、基本的にはいわゆる「顔特徴データ」、すなわち、顔の骨格及び皮膚の色並びに目、鼻、口その他の顔の部位の位置及び形状から抽出した特徴情報を、本人識別可能な状態にしたものが想定されていると思われます。もっとも、改正法の定義上は、その他の生体データも幅広く該当するように読めるため、「顔特徴データ」以外の特徴情報も含まれるかどうかについて、今後公表される施行令を確認する必要があります。

2. 特定生体個人情報を取り扱うに当たっての一定の事項の周知義務の新設

(1) 概要

現行法では、特定生体個人情報を取得する際の通知義務等に関する特別な規律はなく、カメラで取得する個人情報の取扱いについて、個人情報保護委員会のQ&Aによって特定のケースにおける法解釈が示されるに留まっています。例えば、「個人情報の保護に関する法律についてのガイドライン」に関するQ&A(以下「個情委Q&A」といいます。)1-14において、「顔識別機能付きカメラシステムを利用する場合は、設置されたカメラの外観等から犯罪防止目的で顔識別機能が用いられていることを認識することが困難であるため、『取得の状況からみて利用目的が明らかであると認められる場合』(現行法21条4項4号)に当たらず、個人情報の利用目的を本人に通知し、又は公表しなければなりません。また、顔識別機能付きカメラシステムに登録された顔特徴データ等が保有個人データに該当する場合には、保有個人データに関する事項の公表等(現行法32条)をしなければなりません。」という解釈が示されていますが、顔識別機能付きカメラシステムで取得する顔特徴データ等に関する解釈に過ぎず、特定生体個人情報に固有の通知事項等は法定されていませんでした。

改正法案では、特定生体個人情報を取り扱う場合で、一定例外事由に該当しない場合には、以下の事項(以下「周知事項」といいます。)を本人に通知し、又は本人が容易に知り得る状況に置く必要があるとされています(改正案21条の2第1項。以下「周知義務」といいます。)。

①    当該個人情報取扱事業者の氏名又は名称及び住所並びに法人にあっては、その代表者の氏名
②    特定生体個人情報を取り扱うこと
③    特定生体個人情報の利用目的
④    特定生体個人情報に含まれる特定生体個人識別符号に変換される身体の一部の特徴に係る情報の内容
⑤    改正案37条第1項に規定する開示等の請求等に応じる手続
⑥    その他個人の権利利益を保護するために必要なものとして個人情報保護委員会規則で定める事項

上記の周知事項の周知が不要となる例外事由は以下のとおりです(改正案21条の2第2項)。

  • 前項の規定による措置を講ずることにより本人又は第三者の生命、身体、財産その他の権利利益を害するおそれがある場合
  • 前項の規定による措置を講ずることにより当該個人情報取扱事業者の権利又は正当な利益を害するおそれがある場合
  • 国の機関又は地方公共団体が法令の定める事務を遂行することに対して協力する必要がある場合であって、前項の規定による措置を講ずることにより当該事務の遂行に支障を及ぼすおそれがあるとき。
  • その他前3号に掲げる場合に準ずるものとして政令で定める場合

(2) 検討

ア 周知義務の対象となる事業者
改正法案では、特定生体個人情報を「取り扱う」場合に、周知義務を課しているため、直接的に本人から特定生体個人情報を取得する事業者は、特定生体個人情報を取り扱うため、周知義務の対象となります。例えば、企業が運営する施設に顔識別カメラを設置して顔特徴データを取得する場合にその対象となります。このようなケースだけでなく、別の事業者が取得した特定生体個人情報の提供を受ける事業者においても、特定生体個人情報を取り扱うことから、周知義務を負うことになります。例えば、本人の同意に基づいて(現行法27条1項)、又は、委託若しくは共同利用による提供の例外を用いて(現行法27条5項1号・3号)、特定生体個人情報の提供を受けた事業者についても、特定生体個人情報を取り扱うことになるため、周知義務の対象となります。このような別の事業者から特定生体個人情報の提供を受ける事業者は、本人と直接の接点がないことも多いことから、どのように周知義務を遵守すればよいのかについては、検討を要するものと考えます。例えば、本人の同意に基づいて特定生体個人情報の第三者提供を受けた事業者において、当該事業者のウェブサイトに継続的に掲載していれば足りるのかといった点が今後は問題となりうると考えられます。また、個人データの取扱いの委託によって提供を受けた事業者については、改正法案において、委託元との間で、一定の事項を契約上定めた場合には、特定生体個人情報に関する周知義務を含む一定の義務の適用を免れることができるため(改正案58条の2)、この規定を用いて、委託先事業者においては、周知義務を実施しないという整理も考えられます。

また、周知義務の例外事由として挙げられている事由は、利用目的の通知等を行わなくてよい場合として現行法上定められている例外事由(現行法21条4項)と多くの部分が重なりますが、「取得の状況からみて利用目的が明らかであると認められる場合」が周知義務の例外事由として定められていないことが重要であるように思われます。この点は、「顔識別機能付きカメラシステムを利用する場合は、設置されたカメラの外観等から犯罪防止目的で顔識別機能が用いられていることを認識することが困難であるため、『取得の状況からみて利用目的が明らかであると認められる場合』(法第21条第4項第4号)に当たら」ない(個情委Q&A1-14とする解釈と趣旨を同じくするものと思われます。

なお、周知義務を果たさずに、カメラの設置状況等から、カメラにより自らの個人情報が取得されていることを本人において容易に認識可能といえない状況で、カメラを設置して、顔特徴データを取得した場合には、単に周知義務違反となるに留まらず、個人情報の適正取得義務に違反すると評価される可能性があります(個情委Q&A1-13)。このような個人情報の適正取得義務への違反行為及び当該情報の利用は、課徴金納付命令の対象行為となっていますので(改正案148条の3第2項)、事業者にはより慎重な対応が求められます。

イ 周知事項の内容
特定生体個人情報を取り扱う場合には、「(1) 概要」に記載されている①から⑥の事項を周知する必要があります。これらの周知事項は、一般的な個人情報の取扱いの記載の中で相当するものがあるときに、周知がなされたと判断されるのか、それとも特定生体個人情報の取扱いであることを明記しなければ、周知がなされたとは判断されないのかといった点は今後の実務対応において重要となってくると考えられます。この点については、今後の個人情報保護委員会規則・ガイドライン等における具体化が期待されます。

仮に一般的な個人情報の取扱いの記載で足りると解される場合、周知事項の①から⑥のうち、①、③及び⑤については、既存のプライバシーポリシー等において記載が求められている事項と重なる部分が多いように思われます。一方で、そのような解釈を前提としても、②④については、既存のプライバシーポリシー等において記載がなされていなかった事項であるように思われます。例えば、防犯カメラを利用して、顔画像から顔特徴データを抽出して利用する場合には、顔画像を用いて(④)、顔特徴データ(②)を利用していること等を周知する必要があると考えられます。

なお、⑥につきましては、今後規則によってどのような情報の周知が求められるか注意が必要と思われますが、改正法案が衆議院を通過した際の附帯決議の内容として、特定生体個人「情報が取り扱われている旨及び本人からの利用停止請求等の手段」の周知が求められましたので、規則によって利用停止請求等の手段の記載が求められる可能性があります。

ウ 周知方法
周知事項を周知する方法については、「個人情報保護委員会規則で定めるところにより、あらかじめ、本人に通知し、又は本人が容易に知り得る状態に置かなければならない」とされており、現時点では、具体的な周知方法は定められておらず、具体的な周知方法については、個人情報保護委員会規則やガイドライン等において定められることになっております。この点について、改正法案が衆議院を通過した際の附帯決議の内容として、「監視カメラやセンサー等の機器の周辺に分かりやすく掲示する等の方法による周知を個人情報取扱事業者に徹底させること」が求められております。このことからすると、単に特定生体個人情報を取り扱う事業者が自社のウェブサイトに周知事項を公表するだけではなく、監視カメラ等の周辺での周知事項の周知が求められるようになる可能性があります。この点については、規則やガイドラインにおける具体化が期待されます。

なお、個情委Q&A1-14において、「顔識別機能付きカメラシステムの運用主体、同システムで取り扱われる個人情報の利用目的、問い合わせ先、さらに詳細な情報を掲載したWebサイトのURL又はQRコード等を店舗や駅・空港等の入口や、カメラの設置場所等に掲示することが望ましいと考えられます。」とされています。この解釈が改正法の施行後も維持される場合には、周知事項の一部をWebサイトに記載し、当該URL又はQRコード等を掲示することで対応を行う余地もあるように考えられます。

周知方法として事業者の対応が困難であると想定されるのは、16歳未満の者を本人とする特定生体個人情報を取り扱う場合です。16歳未満の者を本人とする特定生体個人情報を取り扱う場合には、本人の法定代理人に対して、周知を行う必要があります(改正案40条の2第1項)。例えば、16歳未満の者が利用する可能性がある小売事業者の路面店舗等において顔特徴データを取得しようとする場合には、16歳未満の者を本人とする特定生体個人情報を取得してしまう可能性があり、このような場合に、どのように法定代理人に対して周知を行うかについては、今後のガイドライン等による明確化が期待されます。

エ 経過規定
経過措置4条1項によって、改正法施行日前になされた、周知事項に相当する事項の本人への通知について、改正案21条の2第1項の周知があったのとみなされます。ここでは「本人への通知」について、周知がなされたとみなされるため、例えば、単に、特定生体個人情報を利用している旨をプライバシーポリシーに記載して公表しているのみの場合については、このみなし規定を利用することができないものと考えられます。また、経過規定によって、周知があったとみなされる場合に、どの範囲で周知を行ったとみなされるか(例えば、改正法施行前に取得し、本人通知を行っている顔特徴データについても、改正法施行後に再度周知を行う必要があるのか等)について、今後のガイドライン等による明確化が期待されます。

3. 特定生体個人情報に関する利用停止等請求権及び第三者提供停止請求権の新設

(1) 概要

現行法では、本人の保有個人データの利用停止等請求は、一定の法令違反や保有個人データを利用する必要がなくなった場合、本人の権利又は正当な利益が害されるおそれがある場合などの限定的な場合にのみ認められています(現行法35条1項、3項、5項)。改正案では、特定生体個人情報を含む保有個人データについて、一定の例外事由を除いて、違法行為等の有無を問わず可能とする利用停止・第三者提供停止請求が認められるようになりました(改正案35条7項)。

ただし、概要以下に記載する一定の場合には、保有個人データの利用停止等請求は認められません(改正案35条7項各号)。第3号から第8号については、概ね、第三者提供に係る例外事由(現行法27条1項各号)と同様の内容となっており、特に留意すべきは第1号、第2号、第9号となるかと思われます 。

  • あらかじめ当該本人の同意を得て当該特定生体個人情報に含まれる特定生体個人識別符号を作成した場合(1号)
  • あらかじめ当該本人の同意を得て当該特定生体個人情報を取得した場合(2号)
  • 法令に基づいて当該特定生体個人情報を取り扱う場合(3号)
  • 人の生命、身体又は財産の保護のために、当該特定生体個人情報を取り扱う必要がある場合(4号)
  • 公衆衛生の向上又は児童の健全な育成の推進のために、当該特定生体個人情報を取り扱うことが特に必要である場合(5号)
  • 国の機関若しくは地方公共団体又はその委託を受けた者による法令の定める事務の遂行に対して協力するために、当該特定生体個人情報を取り扱う必要がある場合(6号)
  • 当該個人情報取扱事業者が学術研究機関等である場合であって、当該特定生体個人情報を学術研究目的で取り扱う必要があるとき(当該特定生体個人情報を取り扱う目的の一部が学術研究目的である場合を含み、個人の権利利益を不当に侵害するおそれがある場合を除く。)(7号)
  • 学術研究機関等と共同して学術研究を行う当該個人情報取扱事業者が、当該学術研究機関等から当該特定生体個人情報を取得した場合又は学術研究機関等と共同して学術研究を行う当該個人情報取扱事業者が当該学術研究機関等から取得した情報を変換して作成した特定生体個人識別符号が当該特定生体個人情報に含まれる場合であって、当該特定生体個人情報を学術研究目的で取り扱う必要があるとき(当該特定生体個人情報を取り扱う目的の一部が学術研究目的である場合を含み、個人の権利利益を不当に侵害するおそれがある場合を除く。)(8号)
  • 本人との間の契約の履行のために必要やむを得ないことが明らかである場合その他特定生体個人情報に含まれる特定生体個人識別符号の作成の状況又は当該特定生体個人情報の取得の状況からみて本人の意思に反しないため本人の権利利益を害しないことが明らかである場合として個人情報保護委員会規則で定める場合(9号)
  • その他前各号に掲げる場合に準ずるものとして政令で定める場合(10号)

(2) 検討

ア 利用停止等請求の例外としての各号事由
当該個人情報取扱事業者があらかじめ当該本人の同意を得て当該特定生体個人情報に含まれる特定生体個人識別符号を作成した場合(改正案35条7項1号)や、当該個人情報取扱事業者があらかじめ当該本人の同意を得て当該特定生体個人情報を取得した場合(改正案35条7項2号)には、利用停止等請求はできないとされています。

1号に該当するケースとしては、個人情報取扱事業者が、本人から個人情報を直接取得する際に、プライバシーポリシーなどを利用して、当該特定生体個人情報に含まれる特定生体個人識別符号を作成することに対する同意を取得する場合などが挙げられます。

2号に該当するケースとしては、別の個人情報取扱事業者から、本人の同意に基づく第三者提供を受けて、特定生体個人情報を間接取得する場合などが考えられます。もっとも、2号は、「当該個人情報取扱事業者があらかじめ当該本人の同意を得て当該特定生体個人情報を取得した場合」とされており、提供元・提供先のいずれにおいて同意を取得すべきかは明確ではなく、今後のガイドライン等による明確化が期待されます。

事後的に利用停止等の請求を受けることによって、想定している個人情報の取扱いに支障が生じる可能性がある場合は、改正案35条7項1号及び同2号の「本人の同意」を得ることを検討するアプローチも考えられます。特定生体個人情報を取り扱う典型的な場面としては、「個人情報保護法等の一部を改正する法律案について(令和8年4月)」11頁に記載のとおり、施設などに設置されたカメラから顔特徴データ等を取得する場面などが想定されるため、本人同意を取得できる場面は限定的となる面もあります。しかしながら、例えば、会員向けサービスを提供している場合等においては、会員登録等の際において、プライバシーポリシー等に必要事項を記載し、本人に対して示したうえで同意を取得する余地もあると思われます。ただし、本人同意取得の際に予め周知すべき情報の内容等も重要となるため、今後の動向を注視する必要があり、また、積極的な同意取得を目指す必要性の有無やデメリットについても考慮する必要があると考えられます。

なお、経過措置4条2項によって、改正法施行日前になされた特定生体個人識別符号に相当する符号の作成又は特定生体個人情報に相当する情報の取得に関する同意がある場合において、その同意が改正案35条7項1号又は2号の同意に相当するものであるときは、当該各号の同意があったものとみなされます。

イ 利用停止等請求に応じる手続としての本人確認の程度
特定生体個人情報の利用停止等請求について、個人情報取扱事業者は、その請求を受け付ける方法を定めることができます(改正案37条1項)。現行法においても、請求を受け付ける方法の一つとして本人確認方法が定められており(現行法37条1項、施行令12条3項)、具体的な本人確認の方法として、来所の場合は身分証明書の提示、オンラインの場合にはあらかじめ本人が個人情報取扱事業者に対して登録済みのID・パスワードなどが挙げられています(「個人情報の保護に関する法律についてのガイドライン(通則編)」3-8-7)。もっとも、特定生体個人情報の利用停止等請求の場合において、請求の対象となるデータが顔特徴データ単体の場合であって、他の身元情報(例えば、氏名、住所)と紐づいていないときには、本人のデータかどうか、一見して明らかではなく、本人確認のためにどのような方法を講じるべきか、現時点では明らかではありません。

詳細については、ガイドライン等による解釈の明確化が望まれますが、上記の例の場合は、現行法が想定している本人確認の方法では適切に本人確認を行うことができないため、新たな方法が提示される可能性があります。例えば、何らかの方法で本人に顔特徴データの抽出に協力してもらうことが可能性としては想定されます。現行法37条4項においても、請求等に応じる手続を定めるに当たっては、本人に過重な負担を課するものとならないよう、配慮しなければならない、とされており、本人に過度な負担を生じさせない、合理的な方法になることが予想されます。

4. 特定生体個人情報のオプトアウトに基づく第三者提供からの除外

(1) 概要

現行法上、要配慮個人情報、不適正取得情報及びオプトアウトにより提供を受けた個人データについては、オプトアウトによる第三者提供が認められていません。

改正法案では、これらに加えて、改正法案で新設される特定生体個人情報についても、オプトアウトによる第三者提供の対象から除外されることとなりました(改正案27条2項但書)。

したがって、特定生体個人情報については、本人同意の取得またはオプトアウト以外の法定の例外事由によらない限り、第三者提供を行うことはできなくなります。

(2) 検討

ア 改正趣旨
特定生体個人情報についてオプトアウトによる第三者提供を禁止した背景には、生体データが有する不変性があると考えられます。

つまり、一度データが第三者に提供されてしまうと、本人がその後の利活用をコントロールすることが困難であるところ、顔特徴データ等の生体データは基本的に不変である性質を有するため、本人の意思に反して長期間にわたって利活用される可能性も否定できません。

このため、改正法案は、本人が積極的に関与しない形での流通を制限する趣旨で、オプトアウトに基づく第三者提供を認めない旨の改正を行ったものと考えられます。
 
イ 判断の基準時
もっとも、本改正によっても、なお実務上の論点は残されていると思われます。

例えば、事業者が個人データであるカメラ画像自体を第三者提供し、提供先において顔特徴データを生成する場合、提供元において第三者提供される情報は、顔特徴データではなく、単なる画像データ(=非・特定生体個人情報)である可能性があります。

仮に提供時点において、特定生体個人情報のオプトアウト禁止規制の適用の有無が判断される場合には、画像データとしてオプトアウトに基づいて提供した後に、提供先において特定生体個人情報に変換することによって、改正法の規律を潜脱することができる可能性があります。

一方で、単なる顔画像を直ちに特定生体個人情報と整理することも、法案の文言上は容易ではありません。

そのため、このような場合の整理については、今後のガイドライン等による具体化が期待されます。

第3. 実務への影響と残された課題

1. 「特定生体個人情報」の新設

前述のとおり、特定生体個人情報は、基本的にはいわゆる「顔特徴データ」が想定されていますが、改正法の定義上は、その他の生体データも幅広く該当するように読めるため、今後公表される施行令を確認する必要があります。

2. 特定生体個人情報を取り扱うに当たっての一定の事項の周知義務の新設

顔特徴データ等の特定生体個人情報を取り扱うことが予定されている事業者(例えば、高精度な監視カメラやAIカメラ等を設置している事業者)においては、周知事項をどのように周知するかを検討する必要があります。例えば、当該事象者の店舗内に周知文を掲載する等の対応が必要となりますので、対応の準備を進める必要があります。

また、高精度な監視カメラやAIカメラ等の設置だけではなく、当該カメラを用いて、防犯サービス等を提供している事業者は、自ら周知義務に対応するだけでなく、当該サービス利用企業に対して、周知義務への対応を依頼する必要がありますので、サービス利用企業に対してどのように説明を行うかや実装方法等の準備を進める必要があります。

3. 特定生体個人情報に関する利用停止等請求権及び第三者提供停止請求権の新設

改正案において、特定生体個人情報に関する利用停止等請求の要件が緩和されたことにより、特定生体個人情報を取り扱う個人情報取扱事業者としては、当該請求に対する対応体制・対応基準等を整備していく必要があります。

今後は、法律施行令、施行規則、ガイドライン及び個情委Q&A 等の整備状況を踏まえて対応していく必要がありますが、例えば、前述のとおり、予め同意を取得しておくことが適切な場面があるかどうか、検討を進めておくことが考えられます。

4. 特定生体個人情報のオプトアウトに基づく第三者提供からの除外

現時点において、生体データをオプトアウトに基づき第三者提供している例は多くないと考えられるため、本改正による実務への影響は必ずしも大きくないと考えられます。

その上で、改正法が施行された後は、特定生体個人情報についてオプトアウトに基づく提供を行うことが認められなくなる点に留意が必要です(例えば、小売事業者などが店舗にカメラを設置している場合で、かつ、本人との直接の接点がない場合などにおいては、取得時点で本人同意を取得することが容易ではないケースも少なくないと考えられます。)。

そのため、事業者としては、取得対象となる情報が特定生体個人情報に該当するかを整理した上で、本人の同意の必要性や仮に必要であった場合の取得方法を検討する必要があります。

Member

PROFILE

白石和泰

白石和泰

PROFILE

寺門峻佑

寺門峻佑

PROFILE

野呂悠登

野呂悠登

PROFILE

柿山佑人

柿山佑人

PROFILE

林 知宏

林 知宏

PROFILE

芥川詩門

芥川詩門

#個人情報 / #データ / #情報・通信・メディア・IT

Other Categories

MORE
MORE
MORE
MORE
MORE
MORE
MORE

TAGS

VIEW MORE
× メールマガジンの
配信登録は
こちら