〒100-6114
東京都千代田区永田町2丁目11番1号
山王パークタワー12階(お客さま受付)・14階
東京メトロ 銀座線:溜池山王駅 7番出口(地下直結)
東京メトロ 南北線:溜池山王駅 7番出口(地下直結)
東京メトロ 千代田線:国会議事堂前駅 5番出口 徒歩3分
東京メトロ 丸の内線:国会議事堂前駅 5番出口
徒歩10分(千代田線ホーム経由)
事務所概要・アクセス
セミナー
セミナー
事務所概要・アクセス
事務所概要・アクセス
〒100-6114
東京都千代田区永田町2丁目11番1号
山王パークタワー12階(お客さま受付)・14階
© Ushijima & Partners All rights reserved.
ニューズレター
Newsletter
<目次>
1. 個人データ等の取扱いにおける本人関与に係る規律の在り方の概要
2. 個人の権利利益への影響という観点も考慮した同意規制の在り方
(1) 統計作成等、特定の個人との対応関係が排斥された一般的・汎用的な分析結果の獲得と利用のみを目的とした取扱いを実施する場合
(2) 取得の状況からみて本人の意思に反しない取扱いを実施する場合
(3) 生命等の保護又は公衆衛生の向上等のために個人情報を取り扱う場合における同意取得困難性要件
(4) 病院等による学術研究目的での個人情報の取扱いに関する規律
3. 本人への通知が行われなくても本人の権利利益の保護に欠けるおそれが少ない場合における漏えい等発生時の対応の在り方
4. 心身の発達過程にあり、本人による関与等の規律が必ずしも期待できない子供の個人情報等の取扱い
5. 個人情報保護法の改正に向けた検討状況
個人情報保護委員会は、2025年2月5日、「個人情報保護法の制度的課題に対する考え方について」を公表しました。
現在、個人情報保護委員会において、個人情報保護法改正に向けた検討が行われており、「制度的な論点」として、(1)個人データ等の取扱いにおける本人関与に係る規律の在り方、(2)個人データ等の取扱いの態様の多様化等に伴うリスクに適切に対応した規律の在り方、(3)個人情報取扱事業者等による規律遵守の実効性を確保するための規律の在り方が示されておりました。
今回は、このうち(1)個人データ等の取扱いにおける本人関与に係る規律の在り方についての具体的な改正内容の案が公表されました。本ニューズレターではこの内容と企業実務への影響について解説します。
1. 個人データ等の取扱いにおける本人関与に係る規律の在り方の概要
今回公表された事項と想定される対応事項の概要は以下のとおりです。ただし、今回公表された事項はあくまでも案であり確定した改正事項ではないため、いずれも直ちに対応が必要になるものではないことにご留意ください。
| 内容 | 対応事項として現時点で想定されるもの | 対応時期 | ||
| 1 | 個人の権利利益への影響という観点も考慮した同意規制 | 統計作成等、特定の個人との対応関係が排斥された一般的・汎用的な分析結果の獲得と利用のみを目的とした取扱いを実施する場合 | ・個人データ等の提供元・提供先及び公開されている要配慮個人情報の取得者における一定の事項(提供元・提供先、取得者の氏名・名称、行おうとする統計作成等の内容等)の公表(⇒プライバシーポリシーの変更が考えられる) ・統計作成等のみを目的とした提供である旨の書面による提供元・提供先間の合意(⇒委託契約書の修正が考えられる) ・提供先及び取得者における目的外利用及び第三者提供の禁止を義務付け | 左記の取扱いを実施するときに対応 |
| 取得の状況からみて本人の意思に反しない取扱いを実施する場合 | 特になし | |||
| 生命等の保護又は公衆衛生の向上等のために個人情報を取り扱う場合 | ・目的外利用、提供する情報から氏名等の情報を削除 ・提供先と守秘義務を締結 ・現在、個情法27条1項2号、3号に基づき個人データを提供している場合も、提供先と守秘義務を締結することが考えられる | |||
| 病院等による学術研究目的での個人情報の取扱い | 特になし | |||
| 2 | 本人への通知が行われなくても本人の権利利益の保護に欠けるおそれが少ない場合における漏えい等発生時の対応 | 社内規程、委託契約などの修正 | 改正法施行までに修正しておいた方が望ましい | |
| 3 | 心身の発達過程にあり、本人による関与等の規律が必ずしも期待できない子供の個人情報等の取扱い | ・個人情報を取得するサービス等が16歳未満をターゲットにしたものか否かの棚卸 ・利用目的の通知、同意取得の方法の見直し ・個人情報入力画面、利用規約などの見直し | 改正法施行までに対応が必要 | |
2. 個人の権利利益への影響という観点も考慮した同意規制の在り方
個人情報保護法では、本人の同意が必要な場合としては、主に目的外利用をする場合(個情法18条1項)、要配慮個人情報を取得する場合(個情法20条2項)、個人データを第三者提供する場合(個情法27条1項)などがありますが、その同意取得の例外事由が拡大されることが検討されています。
(1) 統計作成等、特定の個人との対応関係が排斥された一般的・汎用的な分析結果の獲得と利用のみを目的とした取扱いを実施する場合
統計情報等(統計作成等であると整理できるAI開発等を含む)の作成にのみ利用されることが担保されていること等を条件に、本人同意なき個人データの第三者提供及び公開されている要配慮個人情報の取得を可能とすることが検討されています。
統計情報等の作成にのみ利用されることが担保されている状態としては、以下が想定されています。
①個人データ等の提供元・提供先及び公開されている要配慮個人情報の取得者における一定の事項(提供元・提供先、取得者の氏名・名称、行おうとする統計作成等の内容等)の公表
②統計作成等のみを目的とした提供である旨の書面による提供元・提供先間の合意
③提供先及び取得者における目的外利用及び第三者提供の禁止の義務付け
また、具体的な対象範囲や公表事項は、施行規則で定めることが想定されています。
現行法では、個人データを第三者に提供する場合、原則として提供先の利用目的にかかわらず本人の同意を得る必要がありました(個情法27条1項)。そこで、実体としては提供先が利益を得るための個人データの提供であるにもかかわらず、統計情報の作成を委託しているのだと整理することで対応することがありました。もっとも、委託として整理しようにも、本人の同意なく委託先において複数の委託元から取得した個人データを突合して統計情報を作成することはできませんでした(Q&A7-43)。
また、公開されている要配慮個人情報の取得については、例えば生成AIの学習用データや、Web検索機能のために、インターネット上に公開された情報をクローリングして利用する場合、本人の同意を得ることは不可能である一方、要配慮個人情報の取得にかかる同意の例外条項に該当すると整理することも難しい場合がありました。
このような場合も一定の事項を公表することにより、適法に行うことができる可能性があります。
なお、上記は規制強化ではなく利活用の推進のための規律であるため、改正法施行までに対応しなければならないわけではありません。もっとも、現在、複数の事業者から個人情報を集めて統計的に分析することや、インターネット上の情報をクローリングして分析するビジネスを検討している場合には、プライバシーポリシーでの公表や、統計作成等の目的以外での利用や第三者提供を禁止する旨の条項を盛り込んだ契約の締結を行うことで、本人の同意なく個人データの提供や取得を行うことができることがあり得ることを留意しておくとよいと思われます。
(2) 取得の状況からみて本人の意思に反しない取扱いを実施する場合
個人データの第三者提供等が契約の履行のために必要不可欠な場合を始め、目的外利用、要配慮個人情報取得又は第三者提供が本人の意思に反しないため本人の権利利益を害しないことが明らかである場合に、本人の同意を不要とすることが検討されております。
例としては、①本人が、事業者Aの運営するホテル予約サイトで事業者Bの運営するホテルの宿泊予約を行ったため、事業者Aが事業者Bに当該本人の氏名等を提供する場合や、②金融機関が海外送金を行うために送金者の情報を送金先の金融機関に提供する場合等が挙げられており、具体的な対象範囲は施行規則で定めることが想定されています。
上記のような例であれば、現行法下においても実務上は、個人データの提供には黙示の同意があり、第三者提供の確認記録義務は「本人に代わって」提供する場合である(※1)として適用されないと整理することも多いように思われます。また、顧客対応の観点から、契約の履行のために必要不可欠な場合であっても、明示的に第三者提供の同意を取得することもあったと思われます。
もっとも、この点が改正されれば、本人の同意なく提供できることがより明確になり、個情法27条1項各号に追加されるということとなれば、第三者提供の確認記録義務が適用されないことも明確になります。
また、第三者提供の同意を取得した際には本人に通知し忘れていた提供や、目的外利用が必要となった場合に、本人の同意取得のコストを考えることなく、第三者提供や目的外利用が可能になると思われます。
なお、上記も利活用の推進のための規律であるため、改正法施行までに対応しなければならないわけではありません。また、上記のとおり現行法下でも明示的な本人の同意を得ずとも適法に個人データの提供等を行うことができているように考えられるため、実務上の影響はそれほど大きくないと思われます。
※1 個人情報取扱事業者が本人からの委託等に基づき当該本人の個人データを第三者提供する場合は、当該個人情報取扱事業者は「本人に代わって」個人データの提供をしているものであり、提供者・受領者のいずれに対しても確認・記録義務は適用されないとされています(第三者提供時の確認・記録義務ガイドライン2-2-1-1(2))。
(3) 生命等の保護又は公衆衛生の向上等のために個人情報を取り扱う場合における同意取得困難性要件
現行法では「人の生命、身体又は財産の保護のために必要がある場合」(個情法18条3項2号、27条1項2号など)及び「公衆衛生の向上又は児童の健全な育成の推進のために特に必要がある場合」(個情法18条3項3号、27条1項3号など)に、「本人の同意を得ることが困難であるとき」は、本人の同意なく目的外利用や個人データの第三者提供ができると定められていますが、これに加えて「その他の本人の同意を得ないことについて相当の理由があるとき」も例外規定に加えられることが検討されています。
「その他の本人の同意を得ないことについて相当の理由があるとき」としては、本人のプライバシー等の侵害を防止するために必要かつ適切な措置(氏名等の削除、提供先との守秘義務契約の締結等)が講じられているため、当該本人の権利利益が不当に侵害されるおそれがない場合等が想定されており、具体的な事例はガイドライン等において明確化することが想定されています。
現行法下では、例えば、不正行為対策のために個人データを他の事業者と共有しようとする際、「人の生命、身体又は財産の保護のために必要がある場合」には該当するものの、本人がサービス利用申込をする際に接点があり同意を取得することは可能である、などの事情で「本人の同意を得ることが困難であるとき」に該当すると整理することが難しいという場合がありました。
この点が改正された場合は、上記のような現行法の例外規定に該当するか悩ましい事例のみならず、現在、上記例外規定で個人データの第三者提供を行っている事例についても、提供先と守秘義務を締結することでより確実に本人の同意なく個人データの第三者提供を行うことができると考えられます。
なお、上記も利活用の推進のための規律であるため、改正法施行までに対応しなければならないわけではありません。
(4) 病院等による学術研究目的での個人情報の取扱いに関する規律
現行法では「学術研究機関等」が学術研究目的で個人情報を取り扱う場合等は、同意取得の例外と規定されていますが(個情法18条3項5号、6号、27条1項5~7号)、この「学術研究機関等」に医療の提供を目的とする機関又は団体が含まれることを明示することが想定されています。
「学術研究機関等」とは、「大学その他の学術研究を目的とする機関若しくは団体又はそれらに属する者」(個情法16条8項)と定められており、民間団体付属の研究機関等における研究活動については、当該機関が学術研究を主たる目的とするものである場合には、「学術研究機関等」に該当するとされてきました(通則ガイドライン2-18)。そこで、民間の病院などの医療機関における研究活動が「学術研究機関等」に含まれるかが問題となっていましたが、改正法により解消されるものと考えられます。
3. 本人への通知が行われなくても本人の権利利益の保護に欠けるおそれが少ない場合における漏えい等発生時の対応の在り方
漏えい等発生時に、本人への通知が行われなくても本人の権利利益の保護に欠けるおそれが少ない場合は、本人への通知義務を緩和し、代替措置による対応を認めることが検討されています。
例えば、サービス利用者の社内識別子(ID)等、漏えいした情報の取得者において、それ単体ではおよそ意味を持たない情報のみが漏えいした場合などが想定されるとし、具体的な対象範囲は施行規則で定めることが想定されています。
漏えい等事案に対応する体制の整備は、安全管理措置義務のうちの一つですので、この改正される場合には、漏えい等時の対応を定めた社内規程や委託先との契約を変更する必要があると考えられます。
また、現行法下においても、氏名や個人識別符号を利用する必要がない場合は、仮名加工情報に加工し保有しておくことで、漏えい等発生時の個人情報保護委員会への報告義務や本人通知義務を負わないようにすることが可能でした。もっとも、仮名加工情報に加工した場合、再識別が禁止されるというデメリットもありました(個情法41条7項)。他方、本項目が改正されれば、仮名加工情報としては取り扱わないものの、単体では意味を持たない状態に加工して保存しておくことも、万が一の漏えい等に備えた対策となります。
4. 心身の発達過程にあり、本人による関与等の規律が必ずしも期待できない子供の個人情報等の取扱い
子どもの個人情報の取り扱いについては、規律の対象となる子どもの年齢を16歳未満とし、新たに以下の規律を設けることが検討されています。
| 規律 | 例外 | |
| 1 | 16歳未満の者が本人である場合、原則として当該本人の法定代理人からの同意取得や当該法定代理人への通知等を義務付け | (i)本人が16歳未満であることを事業者が知らないことについて正当な理由がある場合 (ii)法定代理人が本人の営業を許可しており、事業者が当該営業に関して個人情報を取得した場合 (iii)本人に法定代理人がない又はそのように事業者が信ずるに足りる相当な理由がある場合 |
| 2 | 16歳未満の者を本人とする保有個人データについて、違法行為の有無等を問うことなく利用停止等請求を行うことが可能 | (i)法定代理人の同意を得て取得された保有個人データである場合 (ii)要配慮個人情報の取得に係る例外要件と同種の要件に該当する場合 (iii)本人が16歳以上であると信じさせるために詐術を用いた場合 (iv)法定代理人が本人の営業を許可しており、事業者が当該営業に関して保有個人データを取得した場合等 |
| 3 | 未成年者の個人情報等を取り扱う事業者は、当該未成年者の年齢及び発達の程度に応じて、その最善の利益を優先して考慮した上で、未成年者の発達又は権利利益を害することのないように必要な措置を講ずるよう努めなければならない旨の責務規定 個人情報の取扱いに係る同意等をするに当たって、法定代理人は、本人の最善の利益を優先して考慮しなければならない旨の責務規定 | - |
これらは規制強化にかかる改正ですので、改正法が施行されるまでに対応する必要があります。
16歳未満の者をターゲットに含んだサービスにおいて16歳未満の者の個人情報を取得する場合には、法定代理人に利用目的を通知し、第三者提供等の同意を取得できるようなサービス導線になるよう修正する必要があります。もっとも、個人情報を取得する場面で、本人に法定代理人の同意を得ていることを誓約させることで法定代理人の同意を取得したと考えられるかどうかについては、今後、ガイドラインやQ&Aで示される考え方を踏まえて検討する必要があります。また、16歳未満の者をターゲットに含んだサービスは特に優先的に対応が必要となるため、自社にそのようなサービスがないかは棚卸を行う必要があります。
16歳未満の者を明確にターゲットにはしていないものの、16歳未満の者が含まれる可能性がある又は含まれることを防止できないサービスにおいては、「本人が16歳未満であることを事業者が知らないことについて正当な理由がある」といえるような状態にすることが実務的な対応であると考えられます。
この点、「法定代理人が本人の営業を許可しており、事業者が当該営業に関して個人情報を取得した場合」は法定代理人からの同意取得等が不要であったり、保有個人データの利用停止等請求の例外と定められていることや、「本人が16歳以上であると信じさせるために詐術を用いた場合」が利用停止等請求の例外と定められていることを踏まえると、民法における未成年者の法律行為に関する考え方(※2)が参照されていると考えられます。
そこで、現時点では、「電子商取引及び情報財取引等に関する準則」(※3)などを参考に個人情報の入力画面や利用規約の修正があり得ることを想定しつつ、ガイドラインやQ&Aで示される考え方を踏まえて実務的な対応方法を検討していく必要があります。
※2 民法においては、未成年者が行為能力者であることを信じさせるために詐術を用いたときは、その行為を取り消すことができないと定められています(民法21条)
※3 電子商取引の場面において、「『詐術を用いた』ものに当たるかは、未成年者の年齢、商品・役務が未成年者が取引に入ることが想定されるような性質のものか否か(未成年者を対象にしていたり訴求力があるものか、特に未成年者を取引に誘引するような勧誘・広告がなされているか等も含む)及びこれらの事情に対応して事業者が設定する未成年者か否かの確認のための画面上の表示が未成年者に対する警告の意味を認識させるに足りる内容の表示であるか、未成年者が取引に入る可能性の程度等に応じて不実の入力により取引することを困難にする年齢確認の仕組みとなっているか等、個別具体的な事情を総合考慮した上で実質的な観点から判断されるものと解される」と解されています(経済産業省「電子商取引及び情報財取引等に関する準則」(令和4年4月)77頁)。
5. 個人情報保護法の改正に向けた検討状況
個人情報保護法改正に向けたこれまでの検討状況は以下のとおりです。
| 2024年6月24日 | 「個人情報保護法 いわゆる3年ごと見直しに係る検討の中間整理」の公表 改正を検討する事項と検討の方向性について示したもの (U&Pニューズレター:「個人情報保護法改正の中間整理」参照) |
| 2024年7月~12月 | 「個人情報保護法のいわゆる3年ごと見直しに関する検討会」の実施 課徴金制度や団体による差止請求制度及び被害回復制度について検討 |
| 2024年10月16日 | 「個人情報保護法のいわゆる3年ごと見直しの検討の充実に向けた視点」及び「今後の検討の進め方」の公表 |
| 2024年12月25日 | 「個人情報保護法のいわゆる3年ごと見直しに関する検討会の報告書」の公表 検討会における課徴金制度や団体による差止請求制度及び被害回復制度の改正についての議論を取りまとめたもの (U&Pニューズレター:「個人情報保護法のいわゆる3年ごと見直しに関する検討会報告書(案)の公表」参照) |
| 2025年1月22日 | 「『個人情報保護法 いわゆる3年ごと見直しに係る検討』の今後の検討の進め方について」の公表 中間整理に検討事項を追加など (U&Pニューズレター:「個人情報保護法改正の追加検討事項の公表(2025年1月22日)」参照) |
| 2025年2月5日(New) | 「個人情報保護法の制度的課題に対する考え方について」の公表 個人データ等の取扱いにおける本人関与に係る規律の在り方についての具体的な改正内容の案を公表 |
関連セミナー
・「個人情報保護法3年ごと見直しの最新動向(2024年12月)」(U&Pリーガルセミナー)【無料:2025/3/31まで配信中】(2024年12月24日収録)