2024年6月27日、個人情報保護委員会が「個人情報保護法 いわゆる３年ごと見直しに係る検討の中間整理」（以下「中間整理」といいます。）を公表しました。また、6月27日から7月29日までパブリックコメントも実施されています（リンク）。
中間整理は、今後の個人情報保護法改正の方向性を示すものであり、今回のパブリックコメントが、広く一般から個人情報保護法の改正内容について意見ができる最後の機会になる可能性があります。
そこで、本ニューズレターでは、個人情報保護法の改正スケジュールについてと、中間整理の内容について解説します。

＜目次＞
1.個人情報保護法の改正スケジュール

2.中間整理の概要
(1) 生体データの取扱い
(2) 「不適正な利用の禁止」「適正な取得」の規律の明確化
(3) オプトアウト等の在り方
(4) こどもの個人情報等に関する規律の在り方
(5) 団体による差止請求制度や被害回復制度
(6) 課徴金
(7) 勧告、命令
(8) 刑事罰
(9) 漏えい等報告、本人通知、違法な第三者提供
(10) 本人同意を要しないデータ利活用等の在り方
(11) PIA、個人データの取扱いに関する責任者
(12) その他

1. 個人情報保護法の改正スケジュール

個人情報保護法は、施行から3年ごとに施行状況についての検討を行い、必要があるときは措置をとることが定められています。前回の個人情報保護法改正は2022年4月1日に施行されているため、2025年4月で3年となります。
これに基づき、個人情報保護委員会は2023年11月から3年ごと見直し規定に基づく検討を開始し、これまで有識者や関係団体等へのヒアリングや論点の検討を行ってきました。
今回公表された中間整理では、来年改正される可能性がある個人情報保護法の項目と、その改正検討の方向性が示されています。もっとも、中間整理はあくまでも検討の方向性を示すものであり、今回挙げられた項目であっても、実際には改正事項とならない可能性は十分考えられます。
また、パブリックコメントも実施されています。今回のパブリックコメントの後は、改正法が公布されるまで、一般に改正法に対して意見を述べられる機会はほとんどないと予想されることから、今回のパブリックコメントを有効活用することが考えられます。
今後のスケジュールについては、前回の個人情報保護法改正の際の例にならえば、2024年末頃に改正大綱が公表され、具体的な改正事項が明らかになると予想されます。その後、2025年春ごろに国会での審議を経て、改正個人情報保護法が公布されることが予想されます。
前回の個人情報保護法改正は改正事項が多岐にわたっていたことから、公布から施行まで約2年程度期間がかかっています。もっとも今回の改正では、公布から施行までの期間が変わる可能性もあるでしょう。

2. 中間整理の概要

中間整理の概要は以下のとおりです。なお、(5)団体による差止請求制度や被害回復制度及び(6)課徴金については、事業者、個人に与える影響が大きく、今後とも一層の意見集約作業が必要と考えられることから、ステークホルダーと議論するための場を設けつつ、2024年末までを目途に議論を深めていくことが明記されています。

(1)生体データの取扱い

生体データ（本人を認証できるようにしたもの）について、利用目的の特定をどのようなサービスやプロジェクトに利用するかを含めた形にすることや、生体データの取扱いに関する一定の事項を本人に対し通知又は十分に周知すること、事後的な利用停止を他の保有個人データ以上に柔軟に可能とすることが検討されています。

(2)「不適正な利用の禁止」「適正な取得」の規律の明確化

不適正な利用の禁止、適正な取得の規定について、現在通則ガイドラインに事例が示されていますが、これまでに問題とされた事例等を踏まえて、適用される範囲等の具体化・類型化を図ることが検討されています。
また、個人情報の提供等について、自らの自律的な意思により選択をすることが期待できない状況における利用の範囲についての不正取得や不適正利用等の規律の適用が検討されています。
また、個人関連情報の利用について、不正取得や不適正利用等の規律の適用が検討されています。

(3)オプトアウト等の在り方

オプトアウト届出事業者が個人データを提供する際、一定の場合には提供先の利用目的や身元等、取得元の取得の経緯や身元等を確認する義務を課すことが検討されています。

(4)こどもの個人情報等に関する規律の在り方

こどもの個人情報等については、①法令上本人同意の取得が必要とされている場面や本人通知を必要とする場面において、法定代理人の同意を取得したり、法定代理人に情報提供すべきことを法令の規定上明文化すること、②利用停止等請求権を他の保有個人データより柔軟にすること、③安全管理措置義務を強化すること、④事業者への責務規定を設けること、⑤こどもの年齢基準を16歳未満とすることが検討されています。

(5)団体による差止請求制度や被害回復制度

適格消費者団体による差止請求制度や被害回復制度（特定適格消費者団体が訴訟を通じて集団的な被害の回復を求めるもの）が検討されています。
もっとも、事業者から強い反対意見がでていることから、導入の必要性を含めて多角的な検討を行うことが明記されています。

(6)課徴金

課徴金は検討事項にはあがっており、これまでのヒアリングでも何度も検討が重ねられてきている点ですが、中間整理では、課徴金の考え方の冒頭に「関係団体からのヒアリングで強い反対意見が示されていることに加え、我が国の他法令における導入事例や国際的動向、個人の権利利益保護と事業者負担とのバランスを踏まえ、その導入の必要性を含めて検討する必要がある」と記載されており慎重な態度であることが伺われます。
また、具体的な制度設計については特に言及されておりません。

(7)勧告、命令

勧告・命令については、現行法では個人情報保護法に違反する個人情報取扱事業者に対してしか行うことができないこととなっておりますが、違反行為に関与する第三者に対しても行政上の措置をとることについて検討されています。

(8)刑事罰

刑事罰については、個人情報が不正に取り扱われた悪質事案を過不足なく対象とする処罰範囲や、法定刑の適切性が検討されています。
また、個人情報の詐取等の不正取得を処罰範囲に含めることが検討されています。

(9)漏えい等報告、本人通知、違法な第三者提供

漏えい等報告及び本人通知については、認定個人情報保護団体により体制・手順についての確認を受けることを前提として、委員会への速報を免除したり、漏えい等した個人データに係る本人の数が1人であるときに本人通知が的確になされている限り、確報も一定期間ごとの取りまとめ報告を許容することが検討されています。
また、違法な第三者提供が行われている場合（同意なく第三者提供をした場合など）、現在のガイドラインでは個人情報取扱事業者が自らの意図に基づき個人データを第三者に提供する場合は「漏えい」に該当しないことから、漏えい等報告義務・本人通知義務が課されないことになっていますが、この場合も報告の対象とすることが検討されています。

(10)本人同意を要しないデータ利活用等の在り方

生成AIなどの、社会の基盤となり得る技術やサービスのように、社会にとって有益であり、公益性が高いと考えられる技術やサービス、健康・医療等の公益性の高い分野での利活用、契約の履行に伴う個人情報等の提供や、不正防止目的などでの利活用について、本人同意を取得することの例外規定をおくことが検討されています。

(11)PIA、個人データの取扱いに関する責任者

PIA、個人データの取扱いに関する責任者については、慎重に検討を進める必要があるとし、個人データの取扱いに関する責任者は各企業の現状を踏まえ、現実的な方向性を検討するとされています。

(12)その他

論点としては、プロファイリング、個人情報との概念の整理、プライバシー強化技術、金融機関の海外送金時における送金者への情報提供義務の在り方、ゲノムデータに関する規律の在り方等が挙げられていますが、詳細な記述はありませんでした。

【関連セミナー】

以上の中間整理を含めた個人情報保護法改正の対応ポイントに関する無料セミナーを、以下のとおり2024年7月5日に実施します。お気軽にお申込みください。

• U&Pリーガルセミナー「25分でわかる個人情報保護法改正のポイント～中間整理を踏まえて～」（中井杏）（2024/7/5 16:00～（後日の配信も予定））

ニューズレターのメール配信はこちら