＜目次＞
1. 個人データ等の取扱いの態様の多様化等に伴うリスクに適切に対応した規律の在り方の概要
2. 特定の個人に対する働きかけが可能となる個人関連情報に関する規律の在り方
3. 本人が関知しないうちに容易に取得することが可能であり、一意性・不変性が高いため、本人の行動を長期にわたり追跡することに利用できる身体的特徴に係るデータ（顔特徴データ等）に関する規律の在り方
4. 悪質な名簿屋への個人データの提供を防止するためのオプトアウト届出事業者に対する規律の在り方
5. 個人情報保護法の改正に向けた検討状況

個人情報保護委員会は、2025年2月19日、「個人情報保護法の制度的課題に対する考え方について （個人データ等の取扱いの態様の多様化等に伴うリスクに適切に対応した規律の在り方）」を公表しました。
現在、個人情報保護委員会において検討されている個人情報保護法改正の「制度的な論点」として、(1)個人データ等の取扱いにおける本人関与に係る規律の在り方、(2)個人データ等の取扱いの態様の多様化等に伴うリスクに適切に対応した規律の在り方、(3)個人情報取扱事業者等による規律遵守の実効性を確保するための規律の在り方が示されており、今回は、このうち(2)個人データ等の取扱いの態様の多様化等に伴うリスクに適切に対応した規律の在り方についての具体的な改正内容の案が公表されました。
2025年2月5日には、(1)個人データ等の取扱いにおける本人関与に係る規律の在り方の具体的な改正内容の案が公表されたところであり、個人情報保護法改正の内容がまとまりつつあります。
（ニューズレター「『個人情報保護法の制度的課題に対する考え方について』の公表（2025年2月5日）」参照）
本ニューズレターではこの内容と企業実務への影響について解説します。

1. 個人データ等の取扱いの態様の多様化等に伴うリスクに適切に対応した規律の在り方の概要

今回公表された事項と想定される対応事項の概要は以下のとおりです。ただし、今回公表された事項はあくまでも案であり確定した改正事項ではないため、いずれも直ちに対応が必要になるものではないことにご留意ください。

2. 特定の個人に対する働きかけが可能となる個人関連情報に関する規律の在り方

特定の個人に対して何らかの連絡を行うことができる記述等である特定の個人の所在地（住居、勤務先等）、電話番号、メールアドレス、Cookie ID等を含む個人関連情報、仮名加工情報、匿名加工情報について、不適正利用及び不正取得の規律を導入することが検討されています。
不正取得については、カメラによる顔画像の撮影について、「カメラにより自らの個人情報が取得されていることを本人において容易に認識可能とするための措置を講じなければな」らないとの見解が示されており（Q&A1-16）、すなわち個人情報を取得されていることを本人において容易に認識可能とするための措置が講じられていないのに個人情報を取得することは、不正取得（個情法20条1項）に当たる可能性があります。
他方、現在、個人情報ではないクッキー情報を取得する場合に、クッキーポップアップを表示させることは日本法上義務付けられておらず、実務上もクッキーポップアップが表示されていないサイトが数多くみられます。しかし、個人情報を取得されていることを本人において容易に認識可能とするための措置が講じられていないのに個人情報を取得することが不正取得に該当するのであれば、取得する情報が個人情報でなくてもクッキーポップアップを表示させることが必要となる可能性があります。この点は、個人関連情報等の不正取得としてどのような例が示されるかを注視し、対応の要否を検討する必要があります。

3. 本人が関知しないうちに容易に取得することが可能であり、一意性・不変性が高いため、本人の行動を長期にわたり追跡することに利用できる身体的特徴に係るデータ（顔特徴データ等）に関する規律の在り方

顔特徴データ等の取扱いについて①個人情報取扱事業者の名称・住所・代表者の氏名、②顔特徴データ等を取り扱うこと、③顔特徴データ等の利用目的、④顔特徴データ等の元となった身体的特徴の内容、⑤利用停止請求に応じる手続等を周知することを義務付けることが想定されています。ただし、周知により本人又は第三者の権利利益を害するおそれがある場合、周知により当該個人情報取扱事業者の権利又は正当な利益を害するおそれがある場合、国又は地方公共団体の事務の遂行に協力する必要がある場合であって、周知により当該事務の遂行に支障を及ぼすおそれがある場合等は例外とされています。
対象となる情報は顔特徴データ等とされていますが、生体データ（個人識別符号のうち個情法施行令1条1号に当たるもの）のうち、本人が関知しないうちに容易に（それゆえに大量に）入手することができ、かつ、一意性及び不変性が高く特定の個人を識別する効果が半永久的に継続するという性質を有するものに限られていることから、基本的には顔特徴データのみが対象になると考えられます。なお、顔写真は、顔特徴データには当たりません。
また、一定事項の「周知」の義務付けが検討されていますが、「周知」はこれまで個人情報保護法には定められていなかった概念であり、規則で定めることが想定されています。もっとも、現在も防犯目的で顔識別機能付きカメラを利用する場合に一定事項をカメラの設置場所等に掲示することが望ましいとの見解が示されていることから（Q&A1-14、個人情報保護委員会「犯罪予防や安全確保のための顔識別機能付きカメラシステムの利用について」（2023年3月））、これらに近いものになる可能性があります（ニューズレター「『犯罪予防や安全確保のための顔識別機能付きカメラシステムの利用について』の概要」参照）。
企業においては、マーケティング目的で顔特徴データを取得している場合、新たに「周知」を行わなければならない可能性があります。これまで、顔特徴データを取得しない防犯カメラを設置する場合には、カメラにより撮影していることさえ本人において容易に認識可能といえるよう、外観上カメラであることが分かれば足りたことや、カメラを設置する空間の美観との兼ね合いもあり、現時点で顔特徴データを取得していることの掲示を行っている企業は多くはないと思われます。しかし、上記が改正された場合、Q&A1-14等のようにカメラの設置場所等への掲示が求められることもありえ、対応を検討していく必要があります。
また、一定の例外事由が定められており、防犯のための利用であれば例外事由に当たる可能性が高いと思われます。もっとも、クレーマー対策、迷惑行為を行う顧客対策などの場合でも例外事由に当たるかについては、今後の改正動向を踏まえて慎重に検討する必要があると考えられます。

4. 悪質な名簿屋への個人データの提供を防止するためのオプトアウト届出事業者に対する規律の在り方

オプトアウト制度に基づき個人データを第三者に提供する際に、あらかじめ提供先の身元（氏名又は名称、住所、代表者氏名）及び利用目的を確認しなければならないこととすることが検討されています。ただし、オプトアウト届出事業者が当該個人データを取得した時点において、当該個人データが本人、国の機関、地方公共団体等によって公開されていたものである場合等は例外とすることが想定されています。
また、オプトアウト事業者が上記事項の確認を行う場合に、確認にかかる事項を偽った場合、提供先に過料を科すことが想定されています。
個人データを第三者に提供する場合、原則として本人の同意を得る必要がありますが（個情法27条1項）、一定事項の通知又は公表と個人情報保護委員会への届出を行うことで、本人の同意なく個人データを第三者提供できるオプトアウト制度があります（個情法27条2項、3項）。もっとも、オプトアウト事業者が、名簿の販売先が、法に違反するような行為を行う者にも名簿を転売する転売屋（ブローカー）だと認識していたにもかかわらず、意図的に販売先での名簿の用途を詳しく確認せず、転売屋に名簿を販売したことが、個人情報保護法19条違反（不適正利用の禁止）に当たるとして、行政指導がなされるという事案も発生していました（個人情報保護委員会「オプトアウト届出事業者に対する個人情報の保護に関する法律に基づく行政上の対応について」（令和6年1月17日））。
上記の改正がなされた場合、オプトアウト事業者に上記の確認が義務付けられることとなりますが、現行法においても、オプトアウトにより第三者提供をする場合に、提供先の第三者の氏名又は名称及び住所並びに法人にあっては、その代表者氏名を記録することが義務付けられているため（個情法29条1項、個情法規則20条1項1号）、実質的には利用目的の確認が追加されるということになります。
また、オプトアウト事業者から個人データを取得する場合は利用目的の確認を受けることとなりますが、虚偽の回答をすると過料が科される可能性もあることから、自社においてオプトアウト事業者から個人データを取得する場合には、利用目的の確認が行われることや、正確に回答する必要があることについて周知しておく必要があります。

5. 個人情報保護法の改正に向けた検討状況

個人情報保護法改正に向けたこれまでの検討状況は以下のとおりです。

関連セミナー

・「個人情報保護法3年ごと見直しの最新動向（2024年12月）」（U&Pリーガルセミナー）【無料：2025/3/31まで配信中】（2024年12月24日収録）

ニューズレターのメール配信はこちら