放課後等デイサービス 検索見学予約

現在、個人情報保護法の改定は、2022年4月1日に施行された改正内容の「3年ごと見直し」の検討が進められている。2025年6月頃までに改正がなされる可能性が見込まれていたが、その実態はまだ詳らかではない。そこで改正が見込まれている制度的論点3つを中心に、令和7年３月5日に個人情報保護委員会から提出された「個人情報保護法の制度的課題に対する考え方について」を紹介する。以下、注釈を省き、なるべく読みやすくさせてもらった。

令和７年1月22日に決定・公表した「「個人情報保護法 いわゆる３年ごと見直しに係る検討」の今後の検討の進め方について」の「３ 制度的な論点の再整理について」において、事務局ヒアリング等の結果を踏まえて追加的に検討すべき論点と、中間整理で示された個別検討事項を含め、一般法としての個人情報の保護に関する法律（平成15年法律第57号。以下「法」という。）の基本的な在り方の観点から検討すべき制度的な論点を再整理したものである。

１ 個人の権利利益への影響という観点も考慮した同意規制の在り方

1. 統計作成等、特定の個人との対応関係が排斥された一般的・汎用的な分析結果の獲得と利用のみを目的とした取扱いを実施する場合の本人の同意の在り方
   • 【規律の考え方】
     • 統計情報等の作成のために複数の事業者が持つデータを共有し横断的に解析するニーズが高まっていること、特定の個人との対応関係が排斥された統計情報等の作成や利用はこれによって個人の権利利益を侵害するおそれが少ないものであることから、このような統計情報等の作成にのみ利用されることが担保されていること等を条件に、本人同意なき個人データ等の第三者提供及び公開されている要配慮個人情報の取得を可能としてはどうか。
     • 行政機関等の取り扱う保有個人情報についても同様に、利用目的以外の目的のための提供に係る「統計の作成」の例外規定の対象を、統計情報等の作成に拡大してはどうか。
       ——–
2. 取得の状況からみて本人の意思に反しない取扱いを実施する場合の本人の同意の在り方
   • 【規律の考え方】
     • 個人データの第三者提供等が契約の履行のために必要不可欠な場合を始め、目的外利用、要配慮個人情報取得又は第三者提供が本人の意思に反しないため本人の権利利益を害しないことが明らかである場合について、本人の同意を不要としてはどうか。
       ——–
3. 生命等の保護又は公衆衛生の向上等のために個人情報を取り扱う場合における同意取得困難性要件の在り方
   • 【規律の考え方】
     • 人の生命、身体又は財産の保護のための例外規定及び公衆衛生の向上又は児童の健全な育成の推進のための例外規定について、現行制度においては「本人の同意を得ることが困難であるとき」という要件が付されているが、事業者・本人の同意取得手続に係る負担を軽減し、個人情報のより適正かつ効果的な活用及びより実効的な個人の権利利益の侵害の防止につなげる観点から、「本人の同意を得ることが困難であるとき」のみならず、「その他の本人の同意を得ないことについて相当の理由があるとき」についても、上記例外規定に依拠できることとしてはどうか。
       ——–
4. 病院等による学術研究目的での個人情報の取扱いに関する規律の在り方
   • 【規律の考え方】
     • 医学・生命科学の研究においては、研究対象となる診断 ・治療の方法に関する臨床症例の分析が必要不可欠であり、病院等の医療の提供を目的とする機関又は団体による研究活動が広く行われている実態があることから、目的外利用規制、要配慮個人情報取得規制、第三者提供規制に係るいわゆる学術研究例外に依拠することができる主体である「学術研究機関等」に、医療の提供を目的とする機関又は団体が含まれることを明示することとしてはどうか。

２ 本人への通知が行われなくても本人の権利利益の保護に欠けるおそれが少ない場合における漏えい等発生時の対応の在り方

• 【規律の考え方】
  • 現行法上、個人情報取扱事業者は、漏えい等報告の義務を負うときは、本人への通知が困難な場合を除き、一律に本人への通知義務を負うこととなるが、本人への通知が行われなくても本人の権利利益の保護に欠けるおそれが少ない場合について、本人への通知義務を緩和し、代替措置による対応を認めることとしてはどうか。
  • 行政機関等についても同様の改正を行うこととしてはどうか。

３ 心身の発達過程にあり、本人による関与等の規律が必ずしも期待できない子供の個人情報等の取扱い

• 【規律の考え方】
  • 子供は、心身が発達段階にあるためその判断能力が不十分であり、個人情報の不適切な取扱いに伴う悪影響を受けやすいこと等から、子供の発達や権利利益を適切に守る観点から、一定の規律を設ける必要があるのではないか。その場合、対象とする子供の年齢については、現在の運用の基礎となっているQ&Aの記載や、GDPRの規定（第8条 情報社会サービスとの関係において子どもの同意に適用される要件）などを踏まえ、16歳未満としてはどうか。
  • 16歳未満の者が本人である場合における、本人からの同意取得や本人への通知等に係る規定について、原則として、当該本人の法定代理人からの同意取得や当該法定代理人への通知等を義務付けることとしてはどうか。その上で、一定の場合については、例外的に、本人からの同意取得や本人への通知等を認める必要があるのではないか。
  • 16歳未満の者を本人とする保有個人データについて、違法行為の有無等を問うことなく利用停止等請求を行うことを可能としてはどうか。その場合において、一定の例外事由を設ける必要があるのではないか。
  • 未成年者の個人情報等を取り扱う事業者は、当該未成年者の年齢及び発達の程度に応じて、その最善の利益を優先して考慮した上で、未成年者の発達又は権利利益を害することのないように必要な措置を講ずるよう努めなければならない旨の責務規定、及び、個人情報の取扱いに係る同意等をするに当たって、法定代理人は、本人の最善の利益を優先して考慮しなければならない旨の責務規定を設けてはどうか。
  • 法定代理人の関与及び責務規定については、行政機関等についても同様の改正を行うこととしてはどうか。

１ 個人情報取扱事業者等からデータ処理等の委託を受けた事業者に対する規律の在り方

• 【規律の考え方】
  • 個人情報取扱事業者等におけるDX（デジタルトランスフォーメーション）の進展に伴い、個人データ等の取扱いについて、実質的に第三者に依存するケースが拡大している。
  • このような状況を踏まえ、個人情報取扱事業者等からデータ処理等の委託が行われる場合について、委託された個人データ等の取扱いの態様や、その適正性を確保する能力など、当該個人データ等の取扱いに関わる実態を踏まえ、当該個人データ等の適正な取扱いに係る義務の在り方を検討することとしてはどうか。

２ 特定の個人に対する働きかけが可能となる個人関連情報に関する規律の在り方

• 【規律の考え方】
  • 特定の個人に対して何らかの連絡を行うことができる記述等である電話番号、メールアドレス、Cookie ID等を含む情報については、当該情報が個人情報に該当しない場合であっても、当該個人への連絡を通じて当該個人のプライバシー、財産権等の権利利益の侵害が発生し得る上、当該記述等を媒介として秘匿性の高い記述等を含む情報を名寄せすることにより、プライバシー等が侵害されたり、上記連絡を通じた個人の権利利益の侵害がより深刻なものとなったりするおそれがある。このような記述等が含まれる個人関連情報について、個人の権利利益の侵害につながる蓋然性の特に高い行為類型である不適正利用及び不正取得に限って、個人情報と同様の規律を導入することとしてはどうか。また、上記のような記述等が含まれる仮名加工情報及び匿名加工情報についても同様の趣旨が当てはまることから、同様の規律を導入してはどうか。
  • 行政機関等についても同様の改正を行うこととしてはどうか。

３ 本人が関知しないうちに容易に取得することが可能であり、一意性・不変性が高いため、本人の行動を長期にわたり追跡することに利用できる身体的特徴に係るデータ（顔特徴データ等）に関する規律の在り方

• 【規律の考え方】
  • 顔識別機能付きカメラシステム等のバイオメトリック技術の利用が拡大する中で、生体データのうち、本人が関知しないうちに容易に（それゆえに大量に）入手することができ、かつ、一意性及び不変性が高く特定の個人を識別する効果が半永久的に継続するという性質を有する（注20）顔特徴データ等は、その他の生体データに比べてその取扱いが本人のプライバシー等の侵害に類型的につながりやすいという特徴を有することとなっている。
  • そこで、上記侵害を防止するとともに、顔特徴データ等の適正な利活用を促すため、顔特徴データ等の取扱いについて、透明性を確保した上で本人の関与を強化する規律を導入する必要があるのではないか。
  • 具体的には、顔特徴データ等の取扱いに関する一定の事項の周知を義務付けてはどうか。その場合において、一定の例外事由を設ける必要があるのではないか。
  • また、顔特徴データ等（保有個人データであるものに限る）について、違法行為の有無等を問うことなく利用停止等請求を行うことを可能としてはどうか。その場合において、一定の例外事由を設ける必要があるのではないか。
  • さらに、顔特徴データ等について、オプトアウト制度に基づく第三者提供（法第27条第２項）を認めないこととしてはどうか。

４ 悪質な名簿屋への個人データの提供を防止するためのオプトアウト届出事業者に対する規律の在り方

• 【規律の考え方】
  • 近時、いわゆる「闇名簿」問題が深刻化する中で、オプトアウト届出事業者である名簿屋が、提供先が悪質な（法に違反するような行為に及ぶ者にも名簿を転売する）名簿屋であると認識しつつ名簿を提供した事案が発生しており、オプトアウト制度（法第27条第２項）に基づいて提供された個人データが「闇名簿」作成の際の情報源の一つとなっている現状がある。しかしながら、提供先における個人データの利用目的等を確認する提供元の義務が規定されていない現行法下においては、提供元が不適正な利用の禁止（法第19条）を適切に履行するための手段が存在しない。
  • そこで、個人データがオプトアウト制度に基づいて悪質な名簿屋に提供され、犯罪者グループ等に利用されることを防止するため、オプトアウト制度に基づく個人データの提供時の確認義務を創設する必要があるのではないか。具体的には、以下の規律を導入することが考えられるのではないか。
    • オプトアウト制度に基づき個人データを第三者に提供するときは、あらかじめ、当該第三者（提供先）の身元（氏名又は名称、住所、代表者氏名）及び利用目的を確認しなければならないこととしてはどうか。その場合において、一定の例外事由を設ける必要があるのではないか。
    • 当該第三者（提供先）は、オプトアウト届出事業者（提供元）が上記確認を行う場合において、上記確認に係る事項を偽ってはならないこととし、これに違反した者（提供先）に対して、過料を科すこととしてはどうか。

１ 勧告・命令等の実効性確保

1. 速やかに是正を図る必要がある事案に対する勧告・命令の在り方
   • 【規律の考え方】
     • 現行法上、緊急命令は、違反行為による個人の重大な権利利益の侵害が既に発生している場合に限り、当該違反行為を是正させるために発出し得るが、個人の権利利益の侵害を防ぐ観点から、重大な権利利益の侵害が切迫している段階において速やかに緊急命令を発出して違反行為を是正させる必要のある事案が生じている。
     • そこで、違反行為により個人の重大な権利利益が侵害される事実が既に発生している場合に加えて、当該侵害が切迫している場合においても、（勧告を経ることなく）緊急命令を発出することができるようにしてはどうか。
     • また、違反行為による個人の重大な権利利益の侵害がいまだ切迫しているとまでは認められない場合であっても、当該侵害のおそれが生じており、かつ、勧告によって自主的な是正を待ったにもかかわらず、依然として当該違反行為が是正されない場合においては、命令を発出することができるようにしてはどうか。
       ——–
2. 個人の権利利益のより実効的な保護のための勧告・命令の内容の在り方
   • 【規律の考え方】
     • 法に違反する個人情報等の取扱いがあった場合において、本人が自らその権利利益を保護するための措置を講ずるためには、その前提として、当該取扱いがあったことを認知する必要がある。
     • そこで、違反行為の中止その他違反を是正するために必要な措置に加えて、本人に対する違反行為に係る事実の通知又は公表その他の本人の権利利益の保護のために必要な措置を勧告・命令の内容とすることができることとしてはどうか。
       ——–
3. 命令に従わない個人情報取扱事業者等の個人情報等の取扱いに関係する第三者への要請の導入の要否
   • 【規律の考え方】
     • 近時、違反行為の中止命令及び当該命令違反の罪に係る刑事告発を受けるに至っても当該違反行為を停止しない悪質な個人情報取扱事業者等が現れてきている。個人情報取扱事業者等による違法な個人情報等の取扱いにより個人の権利利益の侵害又はそのおそれが生じ、個人情報保護委員会（以下「委員会」という）による命令が発出されたが、当該個人情報取扱事業者等がこれに従わない場合において、当該違反行為による個人の権利利益の侵害又はそのおそれを排除するためには、当該個人情報等の取扱過程や流通過程の一部に関わることとなってしまっている事業者が、当該取扱いのために用いられる役務の提供の停止、当該個人情報等の送信の中止等の措置をとることが必要かつ効果的である。
     • 現行法上は、委員会による命令は、法の義務規定に違反した個人情報取扱事業者等に対してのみ発出することができるものであり、当該違反行為に関わることとなってしまっている第三者に対して、当該個人情報取扱事業者等へのサービス提供の停止等を命じることはできず、任意の要請に係る根拠規定もない。
     • これを踏まえ、違反事業者に対する命令が発出されている場合における、以下二つの類型の委員会による第三者に対する要請について、根拠規定を設けることとしてはどうか。
       • 委員会による命令を受けた個人情報取扱事業者等による違法な個人情報等の取扱いを、当該個人情報取扱事業者等との契約に基づき補助する第三者に対する、当該違反行為を中止させるために必要な措置を講ずるべき旨の要請。
       • 委員会による命令を受けた個人情報取扱事業者等による違法な個人情報等の取扱いが、特定電気通信（特定電気通信役務提供者の損害賠償責任の制限及び発信者情報の開示に関する法律（平成 13 年法律第 137 号）第２条第１号）による当該個人情報等の送信である場合における、当該特定電気通信による当該個人情報等の流通に係る特定電気通信役務を提供する特定電気通信役務提供者（同条第３号）に対する、当該流通を防止するために必要な措置を講ずるべき旨の要請。
     • 第三者が上記要請に応じた場合における、当該第三者の当該個人情報取扱事業者等に対する損害賠償責任を制限することとしてはどうか。

２ 悪質事案に対応するための刑事罰の在り方

• 【規律の考え方】
  • 現行法上、第 179 条及び第 180 条が定める刑事罰の対象となる個人情報データベース等又は保有個人情報の提供行為は、不正な利益を図る目的での提供行為に限られているが、本人の権利利益を害する程度には、不正な利益を図る目的での提供行為と加害目的での提供行為とで差異が認められないため、この点を見直し、「不正な利益を図る目的」に加え、「損害を加える目的」に基づく提供行為についても、法第 179 条及び第 180 条に基づく刑事罰の対象行為としてはどうか。
  • また、不正に取得された個人情報は、当該情報を用いた詐欺その他の犯罪等につながり得る不適正な利用がなされる蓋然性が高いため、詐欺行為や不正アクセス行為その他の個人情報を保有する者の管理を害する行為により個人情報を取得する行為について、当罰性の観点から「不正な利益を図る目的」又は「損害を加える目的」に基づくものに限定した上で、直罰の対象とする必要があるのではないか。
  • なお、各罰則規定の法定刑について、他の罰則規定との均衡を踏まえ、適切な見直しをすることが適当ではないか。

３ 経済的誘因のある違反行為に対する実効的な抑止手段（課徴金制度）の導入の要否

• 【規律の考え方】
  • 課徴金は、行政上の措置として機動的に賦課されるものであり、違反行為の経済的誘因を小さくすることにより、違反行為を抑止することを目的として導入されるものである。このような課徴金制度についは、事後チェック型を志向する現代の市場経済社会において重要な法執行上の役割を果たしていると指摘されている。
  • 課徴金制度については、個人情報保護法 いわゆる３年ごと見直しに係る検討の中間整理を踏まえ、昨年 7 月から「個人情報保護法のいわゆる３年ごと見直しに関する検討会」 （以下「検討会」という。）を開催し、計 7 回の会合を経て、昨年 12 月末に、議論の状況を整理した報告書（以下「報告書」という）を取りまとめた。
  • 報告書は、課徴金制度の導入の必要性及び想定される制度設計の在り方や課題についての議論状況をまとめたものである。同制度の導入の要否及び制度設計の在り方については、報告書の内容を踏まえ、継続して議論していく必要があるのではないか。

４ 違反行為による被害の未然防止・拡大防止のための団体による差止請求制度、個人情報の漏えい等により生じた被害の回復のための団体による被害回復制度の導入の要否

• 【規律の考え方】
  • ある者の個人情報が違法に取り扱われている場合には、他の者の個人情報についても同様に違法に取り扱われている可能性が十分にあると考えられる中で、個人情報の違法な取扱いに対する適切な権利救済の手段を多様化し、より確実に救済を受けられる環境を整えていくことは重要であると指摘されている。団体による差止請求制度や被害回復制度について、検討会において導入の必要性や想定される制度設計について議論を行った。
  • 報告書は、課徴金制度と同様に、団体による差止請求制度・被害回復制度についても、導入の必要性及び想定される制度設計の在り方や課題についての議論状況をまとめたものである。同制度の導入の要否及び制度設計の在り方については、報告書の内容を踏まえ、継続して議論していく必要があるのではないか。

５ 漏えい等発生時の体制・手順について確認が得られている場合や違法な第三者提供が行われた場合における漏えい等報告等の在り方

• 【規律の考え方】
  • 委員会規則で定めるところによる、報告対象事態（規則第７条）が発生した場合の委員会への報告（法第 26 条第１項）について、体制・手順に係る認定個人情報保護団体などの第三者の確認を受けること等を前提として、一定の範囲で速報を免除することを可能としてはどうか。さらに、漏えいした個人データに係る本人の数が１名である誤交付・誤送付のようなケースについては、委員会への報告のうち確報を、一定期間ごとに取りまとめた上で行うことを許容してはどうか。
  • また、違法な個人データの第三者提供についても報告対象事態にすることとしてはどうか。
  • 違法な第三者提供については、行政機関等についても同様の改正を行うこととしてはどうか。

以上