ブログ
[連載] 令和8年改正個人情報保護法研究:《第10回》オプトアウト提供時における提供先の確認義務等
2026.07.09
TMI総合法律事務所では、「令和8年改正個人情報保護法研究」と題し、改正法に関するブログ記事を連載しています。本連載の記事一覧については、下記のページをご覧ください。
令和8年改正個人情報保護法研究
https://www.tmi.gr.jp/eyes/blog/2026/18287.html
《第10回》オプトアウト提供時における提供先の確認義務の創設及び規律遵守の実効性確保のための規律
今回は、改正の四つの柱のうち、「不適正利用等防止」に含まれる「オプトアウト制度に基づく第三者提供時における提供先の確認義務の創設」と、「規律遵守の実効性確保のための規律」のうち課徴金制度(「《第7回》課徴金制度の創設」参照)を除いた部分(勧告・命令等の実効性確保、違反行為を補助等する第三者に対する措置の要請及び刑事罰の強化)を解説します。改正法案全体の概要については、「《第1回》改正法案の概要と実務上の着眼点」をご覧ください。
第1.改正の背景と意義
現行の個人情報保護法では、個人情報取扱事業者は、原則として、あらかじめ本人の同意を得ないで個人データを第三者に提供してはならないものの(現行法27条1項)、本人の求めに応じて提供を停止すること、所定事項を本人に通知し又は本人が容易に知り得る状態に置くとともに個人情報保護委員会に届け出ること等の要件を満たした場合には、本人の同意なく第三者提供をすることができます(オプトアウト届出制度。現行法27条2項)。もっとも、いわゆる「闇名簿」問題が深刻化する中で、オプトアウト届出事業者である名簿屋が、法に違反するような行為に及ぶ者にも名簿を転売する悪質な事案が発生しており、オプトアウト制度に基づいて提供された個人データが「闇名簿」作成の際の情報源の一つとなっている現状が指摘されていました(「個人情報保護法の制度的課題に対する考え方について」(令和7年3月5日付)第2の4)。提供元が提供先における個人データの利用目的等をあらかじめ確認することは、こうした提供を未然に防ぐ観点から有用であると考えられますが、現行法下では、提供元にこのような確認義務は課されていませんでした。
また、現行法上、個人情報保護委員会(以下「委員会」といいます。)の行政上の監督権限としては、指導・助言(現行法147条)、勧告(現行法148条1項)及び命令(現行法148条2項・3項)が存在しますが、勧告を経ることなく直ちに発出できる命令(いわゆる緊急命令。現行法148条3項)は、個人の重大な権利利益を害する事実が既に発生している場合に限られていました。しかしながら、重大な権利利益の侵害が切迫している段階において、速やかに緊急命令を発出して違反行為を是正させる必要のある事案が生じていたことが従前より指摘されていました。また、勧告を経て命令を発出する場合、現行法では、個人の重大な権利利益の侵害の切迫性が必要とされていますが、侵害が切迫していなくとも、個人の重大な権利利益が害されるおそれがあり、かつ、勧告にもかかわらず違反行為が是正されない場合には、命令を発出すべき場合があるのではないかと指摘されていました。加えて、勧告・命令の内容は、違反行為の中止その他違反を是正するために必要な措置に限定されており、本人が自らの権利利益を保護する措置を講ずる前提として、違反の事実を認知できるようにする手段がありませんでした。
さらに、委員会による命令は、法の義務規定に違反した個人情報取扱事業者等自身に対してのみ発出することができ、当該違反行為に関わることとなった第三者(クラウド事業者、サーバのホスティング事業者、検索サービス提供事業者等)に対してサービス提供の停止等を命じることはできず、任意の要請に係る根拠規定もないことが問題となっていました。具体的には近時、違反行為の中止命令及び刑事告発を受けても違反行為を停止しない悪質な個人情報取扱事業者等が現れており、当該事業者が自ら違反行為を停止しない場合に、その取扱・流通過程に関わる事業者が役務提供の停止等の措置をとることが必要かつ効果的であることが指摘されていました。
罰則の面では、①個人情報データベース等不正提供等罪(現行法179条)及び保有個人情報不正提供等罪(現行法180条)の対象となる提供行為が「不正な利益を図る目的」での提供に限られており、本人の権利利益を害する程度に差異が認められないにもかかわらず「損害を加える目的」での提供行為が捕捉されていないこと、②不正に取得された個人情報は詐欺その他の犯罪等につながり得る不適正な利用がなされる蓋然性が高いにもかかわらず、詐欺・不正アクセス等により個人情報を取得する行為そのものを直接処罰する規定がないこと、③各罰則規定の法定刑について他の罰則規定との均衡を踏まえた見直しを行うべきことが指摘されていました。
本改正では、これらの課題に対応するため、オプトアウト制度に基づく第三者提供時における提供先の確認義務の創設(改正案27条7項・8項)、命令(緊急命令)の要件の見直し及び勧告・命令の内容の拡充(改正案148条)、違反行為を補助等する第三者に対する措置の要請(改正案148条の2)、悪質事案に対応するための刑事罰の強化(改正案176条・178条~181条・185条)が定められました。
第2.法律案の概要・検討
1. オプトアウト制度に基づく第三者提供時における提供先の確認義務の創設(改正案27条7項・8項)
(1) 概要
オプトアウト制度(現行法27条2項)に基づき個人データを第三者に提供するときは、あらかじめ、個人情報保護委員会規則で定めるところにより、以下の事項を確認しなければならないこととされました(改正案27条7項本文)。
| ① 当該第三者の氏名又は名称及び住所並びに法人にあっては、その代表者の氏名 ② 当該第三者における当該個人データの利用目的 |
ただし、当該個人データの全部が、当該事業者が当該個人データを取得した時点において本人、国の機関、地方公共団体、学術研究機関等、57条1項各号に掲げる者(報道機関等)その他規則で定める者により公開されていたものである場合又はこれに準ずる場合として規則で定める場合には、確認義務は課されません(同項ただし書)。
また、提供先である第三者は、提供元から上記の確認を求められた場合において、当該確認に係る事項を偽ってはならないこととされ(改正案27条8項)、これに違反した場合には10万円以下の過料の対象となります(改正案186条1号)。
なお、27条7項の確認が行われた場合には、第三者提供記録(改正案29条1項)の記録対象に当該確認事項が加わることとされています。
(2) 検討
ア 第三者提供記録の作成義務との差異
現行法上も、オプトアウトにより個人データを第三者に提供したときは、提供元は、第三者提供記録の作成義務があり、当該データを提供した年月日、提供先の氏名・名称・住所・代表者氏名(不特定多数の者への提供の場合はその旨)、本人を特定する事項及び個人データの項目等が記録事項とされています(現行法29条1項、個人情報保護法施行規則20条1項1号)。本確認義務との差分としては、①「当該第三者における当該個人データの利用目的」の確認が求められる点に加え、②第三者提供記録の作成義務が「個人データを第三者に提供したとき」に課され、提供後のトレーサビリティに重点が置かれているのに対し、本義務は「あらかじめ」確認を行わなければならないとされている点が挙げられます。仮に利用目的を確認した結果、提供する個人データが違法な目的で利用されることが想定されるにもかかわらず、個人データを提供した場合には、提供元としては、個人情報の不適正利用の禁止(現行法19条)に違反することになると考えられるため、提供を取りやめる必要があると考えられます。本改正は、提供元が提供先における利用目的等を事前に確認することにより、不適正な提供を未然に防ぐことに主眼があるものといえます。
イ 確認の方法・水準
提供先の身元(氏名又は名称、住所、代表者氏名)の確認がどの程度の方法・水準で足りるかは、現時点では明らかではありません。提供先からの自己申告で足りるのか、それとも提供元に実質的な調査義務まで生じるのかが問題となります。また、確認した利用目的が結果的に虚偽であった場合や、提供後に提供先において利用目的が変更された場合に、提供元がどこまで責任を負うのか(提供時点で適切に確認していれば足りるのか)も論点となります。この点、提供先には確認事項を偽ることの禁止(改正案27条8項)が課され、違反には過料の制裁が設けられていることも踏まえつつ、確認の方法・水準が規則やガイドライン等でどのように具体化されるかを注視する必要があります。
ウ 不特定多数の者への提供の取扱い
第三者提供記録においては、不特定多数の者への提供については、提供先の氏名・名称・住所・代表者氏名の代わりに、その旨を記載すれば足りるとされています(個人情報保護法施行規則20条1項1号ロ)。不特定多数の者への提供の場合、提供先の氏名・名称・住所・代表者氏名を把握できないためにこのような規律になっています。しかしながら、本確認義務については、そのような規定がありません。不特定多数の者への提供を想定した場合、提供先の氏名・名称・住所・代表者氏名についても利用目的についてもあらかじめ確認することはできないと考えられるため、その結果としてオプトアウト制度に基づく不特定多数の者への提供自体ができなくなるのかが問題となり得ます。この点、第三者提供記録において不特定多数の者への提供に関する手当てを定めているのは法律本文ではなく規則であることを踏まえると、本確認義務についても規則において同様の手当てがなされる可能性があります。もっとも、そのような手当てをした場合、事前に確認がなされないオプトアウトによる第三者提供がなされることになり、結果として本確認義務の趣旨に沿わない結果にもなり得ます。この点についても、規則においてどのように整理されるのか注視する必要があります。
2. 勧告・命令等の実効性確保(命令(緊急命令)の要件の見直し及び勧告・命令の内容の拡充)(改正案148条)
(1) 概要
本改正による勧告・命令等の実効性確保のための見直しは、以下のとおりです。
| ① 命令(緊急命令)の要件の見直し:個人の重大な権利利益を「害する事実がある」場合(現行法)に加え、その「侵害が切迫している」場合にも、勧告を前置することなく命令(緊急命令)を発出できることとされました(改正案148条3項)。あわせて、勧告に従わない場合の命令(改正案148条2項)の要件も、「個人の重大な権利利益の侵害が切迫していると認めるとき」から「個人の重大な権利利益が害されるおそれがあると認めるとき」に緩和されました。 ② 勧告・命令の内容の拡充:違反行為の中止その他違反を是正するために必要な措置(現行法と同じ)に加え、本人に対する違反行為に係る事実の通知若しくは公表その他の個人の権利利益を保護するために必要な措置(あわせて「是正措置等」と定義)を勧告・命令の内容とすることができることとされました(改正案148条1項~3項)。例えば、特殊詐欺の犯罪者グループ等に名簿が提供された場合、当該名簿に掲載された本人は特殊詐欺の被害を受けるおそれがあるため、特殊詐欺への対策を講ずることができるように、名簿が犯罪グループに提供された事実を本人に通知するよう義務付ける是正措置等を命じることが想定されます(「個人情報保護法の制度的課題に対する考え方について」(令和7年3月5日付)第3の1(2))。これら是正措置等を含む個人情報保護委員会による命令(以下「措置命令」といいます。)に違反した場合には、その旨を公表することができます(改正案148条4項)。 |
(2) 検討
ア 従来の行政処分の運用
委員会の過去の行政処分をみると、破産者等の個人データを本人の同意なく不特定多数に提供し、破産者情報の非表示や削除の対価を要求していた事案(いわゆる新破産者マップ事件)では、①令和4年7月に、不適正利用、利用目的の通知又は公表義務違反及び本人の同意のない第三者提供を理由として、ウェブサイトを通じた個人データの提供停止の勧告がなされ、②正当な理由なく勧告に係る措置が取られなかったため、令和4年11月に提供停止の命令がなされ、③その後、命令不履行及び報告徴収違反について、令和5年1月に関係捜査機関への刑事告発に至っています。このように、現行法の下では段階的な対応を要していたところ、本改正により、権利利益の侵害が切迫している場合には勧告を前置せずに命令を発出できることとなり、より迅速な対応が可能となります。
イ 「切迫している」の判断基準
緊急命令の要件として追加された、個人の重大な権利利益の侵害が「切迫している」の判断基準が問題となります。同じく3項の要件である「害する事実がある」(侵害が既に発生している場合)との区別は比較的わかりやすいものの、2項の要件である「害されるおそれがある」との区別がどこにあるのかは、条文上必ずしも明らかではありません。名簿の販売先が、法に違反するような行為を行う者にも名簿を転売する転売屋(ブローカー)だと認識していたにもかかわらず、意図的にその用途を確認せずに名簿を販売した事案のように、提供が継続する限り本人が被害のおそれにさらされ続ける類型が主に想定されているように思われますが、それ以外にどのような事案が「切迫」に当たるのかは、今後の運用の動向を注視する必要があります。
3. 違反行為を補助等する第三者に対する措置の要請(改正案148条の2)
(1) 概要
本改正による第三者に対する措置の要請の概要は、以下のとおりです。
| ① 取扱関係役務提供者への要請(改正案148条の2第1項):措置命令を受けた個人情報取扱事業者等が当該措置命令に従わない場合において、当該違反行為に係る個人情報等の取扱いのために用いる役務を提供する「取扱関係役務提供者」(個人情報等の取扱いの全部又は一部の委託を受けた者その他の契約に基づき役務を提供する者。クラウドサービス事業者、サーバのホスティング事業者、DNSサーバのホスティング事業者等が想定されています。)があるときは、当該取扱関係役務提供者に対し、当該違反行為に係る個人情報等の取扱いの停止、当該役務の提供の停止その他の当該違反行為を中止させるために必要な措置をとるよう要請することができることとされました。 ② 特定電気通信役務提供者への要請(改正案148条の2第3項):措置命令をした場合であって、当該違反行為が特定電気通信(情報流通プラットフォーム対処法2条1号)による個人情報等を含む情報の送信であるときは、当該情報の流通に係る特定電気通信役務提供者(検索サービス提供事業者等が想定されています。)に対し、特定電気通信による当該情報の流通を防止する措置をとるよう要請することができることとされました。 ③ 要請に応じた第三者の損害賠償責任の免責(改正案148条の2第2項・4項):要請を受けて当該要請に係る措置を講じた取扱関係役務提供者・特定電気通信役務提供者は、当該措置命令を受けた個人情報取扱事業者等に生じた損害については、賠償の責めに任じないこととされました。 |
(2) 検討
ア 要請を受けた事業者の対応
本条の「要請」は、命令ではなく任意の協力要請です。たとえば、個人情報保護委員会が検索サービス提供事業者等に対して、措置命令に従わない違反事業者が運営するウェブサイトについて、同事業者が運営する検索エンジンの検索結果から除外するよう要請することが想定されます。もっとも、要請に応じて措置を講じた場合の免責は、「措置命令を受けた個人情報取扱事業者等に生じた損害については、賠償の責めに任じない」と規定されており、違反事業者との関係での免責に限定されているため、違反事業者以外の第三者から請求を受ける可能性にも留意する必要があります。たとえば、要請を受けた事業者と契約関係にあるのが違反事業者自身ではなく、違反事業者の親会社であるという場合に、当該親会社から請求を受ける場合には免責対象にならないのではないかという問題があります。委員会から要請を受けたクラウドサービス事業者等の取扱関係役務提供者や特定電気通信役務提供者はレピュテーションへの影響等も踏まえ、要請に応じるべきか否かが実務上の論点となり得ます。
4. 質事案に対応するための刑事罰の強化(改正案176条・178条~181条・185条)
(1) 概要
本改正による刑事罰の強化の概要は、以下のとおりです。
| ① 個人情報データベース等不正提供等罪への「損害を加える目的」の追加:個人情報データベース等不正提供等罪(改正案178条=現行法179条)及び保有個人情報不正提供等罪(改正案179条=現行法180条)について、「自己若しくは第三者の不正な利益を図る目的」に加え、「本人その他の者に損害を加える目的」での提供・盗用が処罰対象に追加されました。 ② 詐欺・不正アクセス等による個人情報の不正取得罪の新設(改正案180条):自己若しくは第三者の不正な利益を図る目的で、又は本人、個人情報を保有する者その他の者に損害を加える目的で、人を欺き、人に暴行を加え、若しくは人を脅迫する行為により、又は財物の窃取若しくは損壊、施設への侵入、有線電気通信の傍受、不正アクセス行為(不正アクセス禁止法2条4項)その他の個人情報を保有する者の管理を害する行為により、個人情報を取得したときは、2年以下の拘禁刑又は100万円以下の罰金に処するとされました(同条1項)。同条の規定は、刑法その他の罰則の適用を妨げないこととされています(同条2項)。また、同条の違反行為に対しては両罰規定が定められています(改正案185条)。 ③ 法定刑の引上げ等:行政機関等の職員等による個人情報ファイル不正提供罪(176条)、個人情報データベース等不正提供等罪(改正案178条)、保有個人情報不正提供等罪(改正案179条)の法定刑が下表の通り引上げとなりました。 |
| 罪名 | 条文(現行法→改正案) | 現行法定刑 | 現行法定刑 改正法定刑 |
| 行政機関等の職員等による個人情報ファイル不正提供罪 | 176条(変更なし) | 2年以下の拘禁刑/100万円以下の罰金 | 3年以下の拘禁刑/150万円以下の罰金 |
| 個人情報データベース等不正提供等罪 | 現行法179条 → 改正案178条 | 1年以下の拘禁刑/50万円以下の罰金 | 2年以下の拘禁刑/100万円以下の罰金 |
| 保有個人情報不正提供等罪 | 現行法180条 → 改正案179条 | 1年以下の拘禁刑/50万円以下の罰金 | 2年以下の拘禁刑/100万円以下の罰金 |
(2) 検討
ア 不正アクセス禁止法との関係
改正案180条では、処罰対象となる目的が「自己若しくは第三者の不正な利益を図る目的」のみならず、「本人その他の者に損害を加える目的」にも拡張されましたが、前者において「不正な利益」が対象であったところ、追加された後者では不正性が求められていないため、適切な目的で行われる行為であっても形式的には構成要件に該当してしまう懸念が指摘されています。
第3. 実務への影響と残された課題
オプトアウト制度に基づく第三者提供時における提供先の確認義務は、オプトアウト届出事業者に対し、提供先の身元及び利用目的を「あらかじめ」確認するという新たな義務を課すものであり、オプトアウト制度を利用して個人データの第三者提供を行っている事業者は、確認のための手続きの整備が必要となります。また、確認の方法・水準や不特定多数の者への提供の取扱いは規則等に委ねられているため、その整備状況を注視する必要があります。
勧告・命令については、緊急命令の要件の見直し及び勧告前置の命令の要件の緩和により、委員会がより早期の段階で命令を発出できることとなるほか、本人に対する違反行為に係る事実の通知・公表等が勧告・命令の内容となり得ること、及び措置命令違反の事実が公表され得ることから、違反が認定された場合の事業者への影響はこれまで以上に大きくなる可能性があります。
また、クラウドサービス事業者、サーバのホスティング事業者等の取扱関係役務提供者又は電子掲示板提供事業者やキャリア、経由プロバイダ等の特定電気通信役務提供者に該当し得る事業者は、自社が違反行為を行っていない場合であっても、委員会から役務提供の停止等の要請を受ける可能性がある立場となりました。要請は任意のものであり、かつ応じた場合の免責が措置命令を受けた個人情報取扱事業者等に生じた損害に限られているため、要請を受けた場合の対応方針をあらかじめ検討しておくことが考えられます。
刑事罰の強化については、個人情報データベース等不正提供等罪及び保有個人情報不正提供等罪について、「損害を加える目的」での提供・盗用が処罰対象に追加され、法定刑も引き上げられたほか、両罰規定により、従業者等による改正案178条(個人情報データベース等不正提供等罪)の違反行為について法人に1億円以下の罰金刑が科され得ることとなりました。事業者としては、これを機に、個人情報データベース等の管理体制や従業者の監督体制を再点検することが考えられます。





