〒100-6114
東京都千代田区永田町2丁目11番1号
山王パークタワー12階(お客さま受付)・14階

東京メトロ 銀座線:溜池山王駅 7番出口(地下直結)

東京メトロ 南北線:溜池山王駅 7番出口(地下直結)

東京メトロ 千代田線:国会議事堂前駅 5番出口 徒歩3分

東京メトロ 丸の内線:国会議事堂前駅 5番出口
徒歩10分(千代田線ホーム経由)

ニューズレター
Newsletter

2025.01.23

個人情報保護法改正の追加検討事項の公表(2025年1月22日)

執筆弁護士

個人情報保護委員会は、2025年1月22日、「『個人情報保護法 いわゆる3年ごと見直しに係る検討』の今後の検討の進め方について(案)」を公表しました。同資料では、2024年6月27日に公表されたに「個人情報保護法 いわゆる3年ごと見直しに係る検討の中間整理」で示された検討事項に加え、新たに3つの検討事項が示されました。これらの改正が実現した場合には、企業における個人情報保護法対応に大きな影響をもたらすと考えられます。

<目次>
1. 個人情報保護法の改正に向けた検討状況
2. 個人の権利利益への影響という観点も考慮した同意規制の在り方
3. 漏えい等発生時の本人通知義務の緩和
4. データ処理等の委託を受けた事業者に対する規律

1. 個人情報保護法の改正に向けた検討状況

個人情報保護法改正に向けたこれまでの検討状況は以下のとおりです。

2024年6月24日個人情報保護法 いわゆる3年ごと見直しに係る検討の中間整理」の公表
改正を検討する事項と検討の方向性について示したもの
(U&Pニューズレター:「個人情報保護法改正の中間整理」参照)
2024年7月~12月個人情報保護法のいわゆる3年ごと見直しに関する検討会」の実施
課徴金制度や団体による差止請求制度及び被害回復制度について検討
2024年10月16日個人情報保護法のいわゆる3年ごと見直しの検討の充実に向けた視点」及び「今後の検討の進め方」の公表
2024年12月25日個人情報保護法のいわゆる3年ごと見直しに関する検討会の報告書」の公表
検討会における課徴金制度や団体による差止請求制度及び被害回復制度の改正についての議論を取りまとめたもの
(U&Pニューズレター:「個人情報保護法のいわゆる3年ごと見直しに関する検討会報告書(案)の公表」参照)
2025年1月22日『個人情報保護法 いわゆる3年ごと見直しに係る検討』の今後の検討の進め方について(案)」の公表
中間整理に検討事項を追加など

今回公表された資料では、追加検討事項が示されたのみで、中間整理で示された検討事項などの具体的な改正内容は、未だに公表されていない状況です。
前回の令和2年改正では、2019年12月に「個人情報保護法いわゆる3年ごと見直し制度改正大綱」(改正概要が記載されたもの)が公表され、2020年6月に改正法が公布されています。したがって、前回の改正スケジュールと比較すると、今回の個人情報保護法改正は、成立が2025年秋以降になる可能性も出てきています

以下では、今回公表された資料で追加された3つの検討事項について解説します。

2. 個人の権利利益への影響という観点も考慮した同意規制の在り方

個人の権利利益への直接の影響の有無という観点を考慮し、以下に該当する場合には、本人同意を要しないデータ利活用ができると整理することできるかという点が追加されています。

統計作成等、特定の個人との対応関係が排斥された一般的・汎用的な分析結果の獲得と利用のみを目的とした取扱いを実施する場合

取得の状況からみて本人の意思に反しない取扱いを実施する場合

生命等の保護又は公衆衛生の向上等のために個人情報を取り扱う場合であって本人の同意を得ないことに相当の理由があるとき

個人情報保護法上、本人の同意が必要な場合としては、主に目的外利用をする場合(個情法18条1項)、要配慮個人情報を取得する場合(個情法20条2項)、個人データを第三者提供する場合(個情法27条1項)などがあります。
仮に改正が実現した場合、特に①はデータ利活用の幅を広げるために大きな影響を及ぼすと考えられます。例えば、データ分析を行う会社が、複数の会社から個人データを収集し、それらを本人ごとに突合して分析をしたい場合、成果物が統計作成等、特定の個人との対応関係が排斥された一般的・汎用的な分析結果である場合であっても、これまでは原則として同意を得なければなりませんでした。また、個人データの取扱いの委託と構成しようにも、複数の委託を受ける委託先は、各委託元から委託に伴って提供を受けた個人データを本人ごとに突合することができず、突合するためには本人の同意が必要とされていました(Q&A7-43)。①の改正が実現した場合には、本人同意を要しない第三者提供とすることができ、データ分析の可能性が広がると考えられます。
他方、②については、取得の状況からみて本人の意思に反しない取扱いを実施するのであれば、現行法の下では、利用目的の通知公表の例外である「取得の状況からみて利用目的が明らかであると認められる場合」(個情法21条4項4号)に該当し、そもそも利用目的が特定されており目的外利用には当たらないと解せる場合もあり得、個人データの第三者提供に関しても、本人の黙示の同意があると解することもあり得るように思われます。
これに関連して、「個人情報保護法のいわゆる3年ごと見直しの検討の充実に向けた視点」の「現行制度の基本的前提に係る再検討にあたっての視点の例」として、法が期待する本人による関与・監視を行う前提として、本人の合理的な関与を妨げ得るダークパターンをめぐる論点を含む、本人が利用目的や事業者におけるデータ処理の態様などを十分に理解できるような利用目的の特定、データ処理に関する説明の在り方が挙げられています。したがって、②を改正する反面、利用目的の通知公表や、同意を取得する際に本人に示すべき情報について、規制が強化されたり、解釈が厳格化する可能性もあると考えられます。

3. 漏えい等発生時の本人通知義務の緩和

個人データの漏えい等が発生した場合に、本人への通知が行われなくても本人の権利利益の保護に欠けるおそれが少ない場合においては、本人通知を要しないものと整理できるかという点が追加されています。
現行法では、不正アクセス等で個人データが漏えい等した場合や、1000人を超える本人の個人データを漏えい等した場合などの報告対象事態(個人情報保護法施行規則7条)に当たる場合、本人に通知する義務があります。本人通知は、漏えい等した個人データの性質を問わず、報告対象事態に当たり本人の連絡先を知っている場合には、必ず行わなければならず、公表で代替し本人通知を不要とすることもできませんでした。例えば、漏えい等した個人データが、数字の羅列である会員番号だけ、といった場合でも、不正アクセス等によるものの場合や、1000人を超える本人の個人データを漏えい等した場合には、本人通知をしなければなりませんでした。
個人情報保護法 いわゆる3年ごと見直しに係る検討の中間整理」では、個人情報保護委員会に対する報告義務の緩和が挙げられていたことに加え、今回本人通知義務の緩和も追加されたことになります。

4.データ処理等の委託を受けた事業者に対する規律

個人情報取扱事業者等からデータ処理等の委託を受けた事業者に対する規律の在り方について整理するという点が追加されています。
これは、クラウドサービスやAIの実用化により、本人から個人データを取得し本人に対し取扱いの責任を負う立場の個人情報取扱事業者が、個人データに係るデータベースの構築やその処理のプロセスについて、実質的には第三者に依存するケースが拡大していることに問題意識があるものです。
改正に向けた有識者ヒアリングでは、委託先が委託元より強い立場にあるクラウド事業者の場合、委託元が適切に委託先を監督するには非常に困難であるとの指摘もされています。
現行法でも、委託元は委託先に対する監督義務があり(個情法25条)、委託先が個人データを取扱う場合には、委託先自身も個人情報取扱事業者として安全管理措置義務を負っていたところではありますが(個情法23条)、どのような規律が追加されるか今後も注視が必要です。

ニューズレターのメール配信はこちら