個人情報保護委員会は、2024年12月18日、「個人情報保護法のいわゆる3年ごと見直しに関する検討会報告書（案）」を公表しました。本報告書案は、課徴金制度や団体による差止請求制度及び被害回復制度の改正についての議論を取りまとめたものであり、本報告書案の内容が直ちに改正の内容となるわけではないものの、改正の方向性を示す重要な資料となります。本ニューズレターでは、本報告書案の内容と企業への影響について解説します。

＜目次＞
1. 3年ごと見直しに関するこれまでの経緯と本報告書案の位置づけ
2. 課徴金制度
3. 団体による差止請求制度及び被害回復制度
4. 今後の展望と企業への影響

1. 3年ごと見直しに関するこれまでの経緯と本報告書案の位置づけ

個人情報保護法は、法律の施行後3年ごとに、個人情報保護法の施行の状況について検討を加え、必要があると認めるときは、その結果に基づいて所要の措置を講ずるものとすると定められております（令和2年6月12日法律第44号附則10条）（この規定による法令の見直しは「いわゆる3年ごと見直し」と呼ばれています。）。2022年4月1日に改正個人情報保護法が施行されているため、2025年4月で法律の施行から3年となります。これを踏まえて、現在、いわゆる3年ごと見直しにかかる検討が行われており、2025年6月頃までに個人情報保護法の改正がなされる可能性があります。

これまで、2024年6月27日に「個人情報保護法いわゆる３年ごと見直しに係る検討の中間整理」が公表され、改正項目の候補や検討事項が示され、パブリックコメントが実施されました（内容の詳細はU&Pニューズレター：個人情報保護法改正の中間整理参照）。

もっとも、上記パブリックコメント等により、課徴金制度や団体による差止請求制度及び被害回復制度の導入や、改正に向けた検討の在り方について批判的なコメントが多く寄せられたことなどを踏まえ、2024年7月より「個人情報保護法のいわゆる３年ごと見直しに関する検討会」が実施されています。同検討会は、有識者や経済団体、消費者団体等を構成員とし、課徴金制度及び団体による差止請求制度及び被害回復制度の制度改正の必要性やその内容について検討されました。

さらに、個人情報保護委員会は、2024年10月16日、「個人情報保護法のいわゆる３年ごと見直しの検討の充実に向けた視点」及び「今後の検討の進め方」を公表し、課徴金制度等や、中管理整理で示されたその他の主要個別論点のみならず、より包括的なテーマや個人情報保護政策全般についての検討を行うことを打ち出しました。

このような状況の中、今回「個人情報保護法のいわゆる３年ごと見直しに関する検討会」の報告書案が公表されました。本報告書案では、課徴金制度や団体による差止請求制度及び被害回復制度が導入されることを前提に、対象となる違反行為や課徴金額の算定方法など制度の内容案が記載されています。

本報告書案は、2024年12月18日に実施された検討会において、構成員から修正意見がなされており、内容がさらに修正される予定ですが、内容の方向性自体は変わらないことが想定されます。

本報告書案は確定次第、個人情報保護委員会で検討されることになっています。上記検討会は、引き続き経済団体等から課徴金制度の導入について反対意見が出ている状況で最終回を迎えています。もっとも、本報告書案に示された方向性で改正が進められる可能性は十分にあり、早ければ2025年春ごろにも法改正が行われる可能性があります。

2. 課徴金制度

(1) 課徴金納付命令の対象となる範囲

課徴金制度の対象行為については、①対象行為（事態）を限定すること、②違反行為者の主観的要素により限定すること、③個人の権利利益が侵害された場合等に限定すること、④大規模な違反行為が行われた場合等に限定することが考えることとされました。

これらの要素について、違法な第三者提供等関連と、漏えい等・安全管理措置義務違反関連に分類して、検討がなされています。

(2) 違法な第三者提供等関連

① 対象行為（事態）を限定

対象行為として以下の4類型が示されました。

類型1	法第27条第１項の規定に違反する個人データの提供をし、当該提供又は当該提供をやめることの対価として、金銭その他の財産上の利益を得ること
類型2	法第19条（不適正な利用の禁止）の規定に違反する個人情報の利用をし、当該利用又は当該利用をやめることの対価として、金銭その他の財産上の利益を得ること
類型3	法第18条（利用目的による制限）の規定に違反する個人情報の取扱いをし、当該取扱い又は当該取扱いをやめることの対価として、金銭その他の財産上の利益を得ること
類型4	法第20条（適正な取得）の規定に違反して取得した個人情報の利用をし、当該利用又は当該利用をやめることの対価として、金銭その他の財産上の利益を得ること

② 違反行為者の主観的要素により限定

この点は、個人情報取扱事業者が違反行為を防止するための相当の注意を怠っていない場合か否かによって、課徴金納付命令の対象を限定するとの考え方が示されました。

もっとも相当な注意が何かについては、今後精緻化されることが期待されます。

③ 個人の権利利益が侵害された場合等に限定

過剰な規制を回避する等の観点から、課徴金納付命令の対象を、個人の権利利益が侵害され、又は侵害される具体的なおそれが生じた場合に限定することとなり、課徴金納付命令の対象となる事案は、基本的に勧告（個人情報保護法148条）等の対象となる事案に限定されるとの考え方が示されました。

また、勧告等を発出し勧告等の対象となった行為が中止されたあとでも課徴金納付命令が発出されたり、違反行為が既に終了している場合であっても課徴金納付命令が発出されるとの運用が考えられると示されています。

④ 大規模な違反行為が行われた場合等に限定

この点は、違反行為に係る本人の数について1000人を基準として課徴金納付命令の対象を限定するとの考え方が示されています。

⑤ 算定方法

違反事業者が違反行為又は違反行為により取得した個人情報の利用に関して得た財産的利益の全額を課徴金額とし、違反行為をより実効的に抑止する観点から、当該財産的利益の全額を上回る金額を課徴金額とすることも考えられるとされています。また、独占禁止法や景品表示法を参考に、課徴金額の算定基礎にかかる推計規定を導入することも検討されています。

(3) 漏えい等・安全管理措置義務違反関連

① 対象行為（事態）を限定

この点は、課徴金納付命令の対象を、安全管理措置義務違反に起因して大規模な個人データの漏えい等が発生した場合に限定し、漏えい等した個人データに係る本人の数について1000人を基準として課徴金納付命令の対象を限定するとの考え方が示されました。

② 違反行為者の主観的要素により限定

この点も、個人情報取扱事業者が安全管理措置義務違反を防止するための相当の注意を著しく怠っていない場合か否かによって、課徴金納付命令の対象を限定するとの考え方が示されました。

相当の注意を著しく怠っているかについては、事業の規模及び性質等も十分に考慮した上で判断することが考えられるとされています。また、通則ガイドラインにおいて、安全管理措置を講ずるための具体的な手法が例示されているということが指摘されています。

③ 個人の権利利益が侵害された場合等に限定

この点は、個人の権利利益が侵害され、又は侵害される具体的なおそれが生じた場合に限定するとの考え方は示されておりますが、これ以上の具体的な基準は示されていません。

④ 算定方法

安全管理措置義務に違反した事業者の当該違反行為の期間における事業活動により生じた売上額の全部又は一部は、安全管理措置のために支出したコストの低下・取引数量の増加に伴う利益の増加額により構成されているとの考え方に立つと、違反行為の期間の売上額に一定の「算定率」を乗じることによって課徴金の額を算定することも考えられるとされています。こちらも、課徴金額の算定基礎にかかる推計規定を導入することも検討されています。

(4) 共通事項

その他、自主的報告に係る減算規定や、繰り返し違反に係る加算規定についても検討されています。

他方、違反企業により返金措置が行われたことを理由とする課徴金額の減額については、消極的な考え方が示されています。

3. 団体による差止請求制度及び被害回復制度

団体による差止請求制度及び被害回復制度は、本報告書案で言及はされているものの、課徴金制度に比べると具体的な制度内容についての記載はされていないと思われます。

(1)差止請求制度

利用停止等請求（個人情報保護法35条）の対象条文に係る違反行為を、適格消費者団体による差止請求の対象とすることが考えられると示され、具体的には、不特定かつ多数の消費者の個人情報について、法27条1項（第三者提供）、法19条（不適正利用）、法20条（適正取得）に違反して取り扱う場合を対象とすることが挙げられています。

(2)被害回復制度

被害回復制度については、検討会における議論の状況については記載されているものの、具体的な制度内容案については記載がありませんでした。

3.企業への影響と今後の展望

(1) 企業への影響

現時点では、あくまでも「個人情報保護法のいわゆる３年ごと見直しに関する検討会」の報告書案が示された段階で、具体的な法案が出てきていないことから、直ちに対応しなければならない点はないと考えられます。

中長期的な対応としては、仮に課徴金制度等が導入されるとしても、第三者提供、不適正利用、利用目的の制限、適正取得義務違反又は個人データの漏えい等が発生した場合で、相当の注意を怠っており、違反や漏えい等にかかる本人の数が1000人を超える場合が課徴金の対象となると考えられるため、従前どおり個人情報保護法違反が起こらないようにするための社内体制の整備、運用の徹底が重要となります。

これに加えて、個人情報保護法違反が疑われた場合に、適法であることを立証できるようにしておくという観点から、個人データの第三者提供の同意を取得したり利用目的を通知・公表した書面（プライバシーポリシー、利用規約など）を、過去のバージョンも含めて保存しておくことが考えられます。

また、安全管理措置についても、少なくとも通則ガイドラインで示されている事項に対応できているか確認するとともに、個人情報の取扱状況の把握（自主点検、監査など）の記録を残しておくことも重要になっていくと考えられます。

(2) 個人情報保護法改正に向けた今後の展望

課徴金制度や団体による差止請求制度及び被害回復制度については、本報告書案に修正が行われたのち、確定した報告書を踏まえて、個人情報保護委員会で検討されることとなっています。

また、それ以外の検討項目についても、2024年12月17日に「個人情報保護法のいわゆる３年ごと見直しの検討の充実に向けた視点」に関するヒアリングの結果が公表されており、改正に向けた作業が進んでいると考えられます。

今後は、これまでの法改正の例にならえば、2025年初頭～春頃までに法案が公表され、同年6月頃までには改正法が公布されることが想定されます。

その後、個人情報保護法施行令、施行規則や、ガイドライン、Q&Aの改正が行われていくことになり、通例では改正法の公布から1～2年後に施行されます。

企業においては、2025年夏以降から法改正に向けた対応が始まる可能性があるということを念頭に、改正法の動向を注視していく必要があると思われます。

【関連セミナー】

本報告書案やこれまでの検討会資料を踏まえた課徴金制度等のより具体的な方向性や、改正法の動向について解説します。

• U&Pリーガルセミナー「個人情報保護法3年ごと見直しの最新動向（2024年12月）」（2024.12.24 12:15~12:45）【無料】（後日配信も実施します）

ニューズレターのメール配信はこちら