ブログ
[連載] 令和8年改正個人情報保護法研究:《第7回》課徴金制度の創設
2026.06.17
SHARE
TMI総合法律事務所では、「令和8年改正個人情報保護法研究」と題し、改正法に関するブログ記事を連載しています。本連載の記事一覧については、下記のページをご覧ください。
令和8年改正個人情報保護法研究
https://www.tmi.gr.jp/eyes/blog/2026/18287.html
《第7回》課徴金制度の創設
今回は、改正の四つの柱のうち、「リスクに適切に対応した規律」に含まれる課徴金制度を解説します。改正法案全体の概要については、「《第1回》改正法案の概要と実務上の着眼点」をご覧ください。
第1.改正の背景と意義
現行の個人情報保護法では、法に違反した事業者に対する行政上の監督権限は、指導・助言(現行法147条)、勧告(現行法148条1項)、及び命令(現行法148条2項、3項)が存在します。また、法に違反する行為を行った個人情報取扱事業者等に対する罰則としては、命令違反に対する罰則等が規定されています。
しかしながら、現行法では、違反事業者が委員会の命令を受けた後に違反行為を中止すれば、それまでの違反行為によって得た多額の経済的利得(名簿の転売収益等)をそのまま保持することが可能である点が指摘されています(個人情報保護法のいわゆる3年ごと見直しに関する検討会報告書9頁)。
したがって、法に違反する行為によって得た経済的利益を吐き出させる制度が必要と考えられたため、課徴金制度の創設に至りました。
第2.法律案の概要・検討
1. 違反行為
(1) 概要
課徴金納付命令の対象となるのは、以下の4つの違反行為の類型に該当する行為を対価を得て行い、かつ適用除外に該当しない場合とされています。
| ① 違法な行為や不当な差別的取扱いを行うことが想定される状況にある第三者への提供、または当該第三者のための利用(改正案148条の3第1項1号、2号)。 ② 法27条1項の規定に違反する個人データの提供(改正案148条の3第1項3号)。 ③ 統計作成等の特例を利用した場合における目的外利用や、特例によらない第三者提供(改正案148条の3第1項4号、5号)。 ④ 不正の手段により個人情報を取得し、当該情報を利用する行為(改正案148条の3第2項)。 |
(2) 検討
上記それぞれの違反行為について、想定される行為の例は以下のとおりです。
|
該当する具体的な行為の例 ① 違法な行為や不当な差別的取扱いを行うことが想定される状況にある第三者への提供、または当該第三者のための利用
例2)統計情報等の作成を目的として提供を受けた個人データを、
|
なお、2024年6月27日に公表された「個人情報保護法いわゆる3年ごと見直しに係る検討の中間整理」においては、安全管理措置義務(現行法23条)違反を課徴金対象行為とすることが検討されていましたが、改正案では対象から外されました。このように今回の改正案では、課徴金の対象行為を絞った形で決着しています。また、海外においては、個人データの漏えいが巨額の制裁金につながっているケースが多く見受けられますが、このような海外の制度とは異なる制度設計になっているといえます。
2. 課徴金納付命令の成立要件
(1) 概要
事業者の行為が違反行為に該当する場合、当該違反行為が課徴金納付命令の対象となる要件は以下のとおりです(改正案148条の3第1項、第2項)。
| ① 対価要件:事業者が対象行為、または行為をやめることの対価として、代金や報酬などの金銭その他の財産上の利益を得ていること。 ② 適用除外(違反行為を防止するための相当の注意を怠った者でないと認められること)に該当しないこと。 ③ 適用除外(本人の数が1,000人を超えないときその他個人の権利利益を害する程度が大きくない場合として政令で定めるとき)に該当しないこと。 |
(2) 検討
ア 「相当の注意を怠った者でないと認められる場合」の解釈
上記のとおり、仮に事業者が違反行為を行ったとしても、相当の注意を怠った者でないと認められる場合には、課徴金納付命令の対象となりません。この要件は、事業者が適切な注意を尽くしていた場合を課徴金納付命令の対象とすると、課徴金制度が過剰な規制となるおそれや、事業者において個人情報の取扱いが違法か否かの確認を行うインセンティブが失われ、違反行為を抑止するという課徴金制度の目的がかえって阻害されるおそれが指摘されるという背景から設けられたものと考えられます。
現行制度と検討の方向性について(課徴金制度③)8頁においては、以下の事例が相当の注意を怠った者ではないといえる事例として挙げられています。
| 例1)事業者が本人同意に基づくものとして個人データの第三者提供を行っていた事案において、当該事業者が、適切な手続により本人確認を行った上で同意を取得していたが、実際には本人ではない者が巧妙に本人になりすまして同意しており、本人は同意していなかった場合 例2)事業者が本人同意に基づくものとして個人情報の目的外利用を行っていた事案において、当該事業者が、当該同意の取得を委託した委託先に対し、当該同意の取得が適切に完了している旨を文書により適切に確認していたが、当該委託先が精巧な虚偽の同意書をねつ造して回答を行っており、実際には当該委託先が本人同意を得ていなかった場合 |
もっとも、検討会に関連する資料では、「相当の注意を怠った者でないと認められる」ことが比較的明白であるケースを事例として記載しているものと思われるため、必ずしもこのような事例でなければ「相当の注意を怠った者でない」と認められないという趣旨ではないと考えられます。対象行為は、違法な行為や不当な差別的取扱いを行うことが想定される状況にある第三者への提供行為など、自らは適法な第三者提供であると考えているにもかかわらず第三者の行為がトリガーになって該当するケースもあるため、「相当の注意を怠った者でないと認められる」の要件は、上記のような場合でなくとも認めるべき場合があると考えられますし、事業者としても何を対応しておけばよいのかという明確な基準が必要であると考えます。衆議院の附帯決議においても、個人情報取扱事業者等が過度に萎縮することのないよう、課徴金納付命令の基準等について明確なガイドラインを策定するなど、その運用の透明性の確保に努めることとされており、判断基準が明確化されることが期待されます。
イ 「個人の権利利益を害する程度が大きくない場合として政令で定めるとき」の考え方
過剰な規制となることを防止し、また重大事案に行政リソースを十分に投入するため、個人の権利利益を害する程度が大きくない場合として政令で定めるときは課徴金納付命令の対象とならないとされています。
現行制度と検討の方向性について(課徴金制度③)11頁においては、個人の権利利益が侵害され、又は侵害される具体的なおそれが生じたとまでは直ちにいえない場合の具体例として、以下のものが挙げられています。
| 例1)提供先において本人が識別されたり、本人に対する連絡等が行われたりするおそれがない個人データを提供した場合 例2)法17条第2項に基づく利用目的の変更が可能であり、あらかじめ当該変更を行っていれば目的外利用とはならなかったにもかかわらず、当該変更を行わないまま目的外利用をした場合 例3)提供先が、提供された個人データを、閲覧・利用せずに直ちに削除又は返却した場合 |
上記のような考え方をベースに政令が制定されると考えられるため、この点は、政令の制定等を通じた今後の解釈の動向を注視する必要があります。
3. 課徴金額の算定と加算・減算制度
(1) 概要
課徴金の額は、違反行為又は違反行為をやめることの対価として事業者が得た金銭その他の財産上の利益に相当する額として政令で定める方法により算定した額とされています(改正案148条の3第1項)。なお、当該事業者が、当該課徴金納付命令に係る課徴金対象行為に係る事案について報告徴収等が最初に行われた日から遡って10年以内に、課徴金納付命令を受けたことがあり、かつ、当該課徴金納付命令の日以後において当該課徴金対象行為をしていた者であるときは、1.5倍に相当する額の課徴金納付命令が課されることとなっています(改正案148条の5)。
なお、自主申告による課徴金減免制度(リニエンシー)も設けられており、当該課徴金対象行為についての調査が入る前に自主的に違反を報告した場合、課徴金額の50%が減額されます(改正案148条の6)。
(2) 検討
課徴金納付命令が発出される際、実際にはどのように金額が算定されるかが論点となります。改正案における課徴金額は、対象行為又は対象行為をやめることの対価として事業者が得た金銭等の財産上の利益に相当する額を基礎として算定されます。これは、違反行為から得た違法収益そのものを剥奪することで、違反行為の経済的誘因を失わせるという趣旨に基づくものです。
典型例としては、名簿販売事業者が本人の同意を得ずに個人データを第三者に違法に販売した場合が挙げられます。この場合、当該販売により事業者が受領した代金の額が違反行為の対価となると考えられます。また、いわゆる破産者マップのように、破産者の氏名・住所等の個人データをインターネット上に違法に公開し、その公開を止めることの対価として本人から金銭を受け取っていた場合には、当該受領金額が違反行為をやめることの対価となると考えられます。
もっとも、以下のような場合、課徴金の額の算定方法が問題となると思われます。
|
この点は、政令の制定等を通じた今後の解釈の動向を注視する必要があります。
なお、事業者が資料提出に応じず事実を把握できない場合、委員会は同種の事業者の資料等を用いて合理的な方法で額を推計できる旨の規定が制定されています(改正案148条の4)。
第3. 実務への影響と残された課題
1. 実務への主な影響
課徴金は個人情報保護法の規定に違反する行為を対象としているものの、前述の4つの類型のうち、①違法な行為や不当な差別的取扱いを行うことが想定される状況にある第三者への提供、または当該第三者のための利用については、事業者自身が違法な行為や不当な差別的取扱いを行っていなくとも、提供先の第三者が行う場合や、そのような第三者のために利用する場合は事業者が課徴金納付命令の対象となります。したがって、これまで以上に、個人情報の利活用に係る取引先に対するデューデリジェンスや、契約において違法・不当な取扱いを行わないことの義務付けの重要性が高まると思われます。また、これらの措置は、今後のガイドラインにおける解釈次第ではありますが、違法行為の防止のみならず、仮に違法行為があったとしても、相当の注意を怠っていない者として、適用除外が認められる可能性を高めることとなる可能性があると思われます。
また、これまでは事業者が個人情報保護法に違反する行為を行ってしまっていることに気づいた場合は、迅速に当該行為を是正することが必要でしたが、改正法の施行後は、当該違法行為が課徴金対象行為に該当するかどうか、また、そうである場合には、リニエンシーの制度を利用するかどうかの検討も必要となると考えられます。
2. 今後の検討課題と疑問点
前述のとおり、課徴金制度の具体的な内容は、法律施行令、施行規則、ガイドライン及びQ&Aによって具体化されることになるため、これらの整備状況を注視する必要があります。現時点では、「相当の注意を怠った者でないと認められる」の具体的基準、「権利利益を害する程度が大きくない場合」の基準、及び課徴金の額の算定方法等が解釈上の論点として残っています。
これらが確定すれば、課徴金が課せられるリスクを低減するためにどのような対応をしておけばよいかという内容が明確になってくると思われます。少なくとも、「相当の注意を怠った者でないと認められる」との要件との関係では、課徴金対象行為があるかどうかの調査にあたって、報告徴求がなされることが想定されますので、対象行為を行う場合における検討過程の文書化とその保存は重要になってくると考えられます。
また、これまで以上に、違法行為を行ってしまった場合のリスクが高まるため、改正法の施行を機に、事業者が、自社の個人情報の取り扱いと取引先とのデータフローを再点検することも検討に値すると思われます。
また、前述のとおり、リニエンシー制度が設けられていますが、実際に課徴金対象行為が発覚してしまった場合に、リニエンシー制度を利用するかどうかは今後の大きな論点になり得ると考えられます。これについては、実際上、どの程度課徴金が課される事例が出てくるのか、施行後の運用動向を注視しながら慎重な検討が必要な事項になると思われます。
Member
SHARE