＜目次＞
1.行政指導の状況
2. 第三者提供制限等
3. 安全管理措置義務

1. 行政指導の状況

個人情報保護委員会は、四半期ごとに監視・監督権限の行使状況の概要として、行政指導全件の概要を公表している（個人情報保護委員会HP「監視・監督の活動状況」）。

本ニューズレターでは、令和7年度第1四半期及び第2四半期における監視・監督権限の行使状況の概要から、近時の個人情報保護委員会の行政指導等の動向を解説する（第1四半期リンク、第2四半期リンク）。次期改正個人情報保護法では、課徴金制度の導入が検討されているが、現在の行政指導等が課徴金納付命令の基礎となることが想定されるため、その動向には留意する必要がある。

行政指導等の件数は、令和7年上半期は236件であった。令和6年度上半期は203件、令和5年上半期は165件であったことから、増加傾向にある。

後述のとおり、行政指導等の理由の大多数は安全管理措置義務違反であり、その端緒となるのが個人情報保護委員会への漏えい等報告である。漏えい等報告は、令和7年上半期は8928件であったが、令和6年上半期は7735件、令和5年上半期は4938件であった。すなわち、漏えい等報告件数の増加にしたがって、行政指導の件数も増加しているのであって、安全管理措置に関しては行政指導等が厳格化しているものではないと考えられる。

他方、注意を要するのは、第三者提供制限や適正取得、不適正利用の禁止といった安全管理措置義務以外の違反である。

現在検討中の課徴金制度では、課徴金納付命令の対象として、(i)第三者提供制限（個人情報保護法27条1項）、(ii)不適正利用禁止（同法19条）、(iii)利用目的制限（同法18条）、(iv)適正取得（同法20条）が挙げられている（個人情報保護委員会「個人情報保護法の制度的課題に対する考え方について」（令和7年3月5日））。そして、令和6年度第1四半期から行政指導全件の概要の公表が始まったが、同第3四半期まではほぼ全ての行政指導の理由が安全管理措置義務違反であった。しかし、同第4四半期以降、各四半期につき3~5件のペースで第三者提供制限や適正取得、不適正利用の禁止違反による行政指導が行われている。近年、個人情報の不適切な取り扱いが著しく増加するような状況にはないことからすると、個人情報保護委員会の、特に課徴金の対象として検討している事項に対する問題意識が高まっているものとみられる。

2. 第三者提供制限等

以下では、令和7年度上半期に行われた具体的な行政指導の内容について述べる。

まず、公表された事案としては、①複数の損害保険会社の保険商品を取り扱う代理店、及び代理店への出向者が損害保険会社に対して、他の損害保険会社の保険契約者に関する個人データ等を提供していたという事案である。本事案では、代理店は保険契約者の同意を得ず個人データを第三者提供したとして個情法27条1項違反、損害保険会社は代理店が同法27条1項に違反して個人データを提供していることを知り又は容易に知り得ることができるにもかかわらず個人情報を取得したとして同法20条1項違反を理由に指導が行われた。

このような取扱いが行われた原因として、現場である営業部店の情報管理の在り方に関する理解が十分でなかったことや、コンプライアンス部門等が営業部店等の業務実態に即したリスクの把握・管理の状況をモニタリングし、牽制することが十分にできていなかったことが挙げられている。

コンプライアンス意識を有する企業において、故意に個人情報保護法違反をすることは通常考えられず、違法（な可能性のある）取扱いがなされていることをコンプライアンス部門が把握できなかったということが、違法行為が行われる原因になると考えられる。特に、個人情報保護法が制定されるより前からビジネスが存在している分野においては、実は個人情報保護法違反だった、という事象が発生しやすいため、社内における個人情報の取扱状況の把握は非常に重要である。

また、②オプトアウト事業者が名簿の販売先が違法な行為に及ぶ者である可能性を認識していたにもかかわらず、特殊詐欺グループに個人データを提供したことについて、不適正利用（個情法19条）違反を理由に命令及び勧告が行われた事案が2件公表されている。

その他、事案の概要のみ公表されたものとして、以下がある。

③事業者が、インターネットメディア及び新聞から性犯罪に関する報道記事を集め、性犯罪の加害者として報道された者に関する個人情報を収集し、個人情報データベース等を構成し、その一部である個人データをウェブサイトで公開するマップに掲載することで、個人データを第三者に提供していた事案：不適正な利用の禁止（19条）、第三者提供の制限（27条1項）

④事業者が、採用活動を行う会社からリファレンスチェックのための照会を受け、元従業者の個人データを本人の同意を得ることなく、第三者である当該会社に提供した事案：第三者提供の制限（27条1項）

⑤事業者が個人情報保護法の規定に基づく請求、保有個人データの取扱いに関する苦情の申出先として公開していたメールアドレスが使用できず、外部からの請求、申出等を受け付けることができない状態が長期間継続していた事態が発覚した事案：保有個人データに関する事項の本人への周知（32条1項）

⑥事業者の元代表者が在職中に、利用者等の個人データが記載された名簿を、本人の同意なく第三者に提供していた事案：第三者提供の制限（27条1項）

⑦事業者が官報等に掲載された個人情報を取りまとめ、検索可能なデータベースを構築し、本人の同意を得ることなくウェブサイトで公開していた事案：利用目的の通知又は公表（21条1項）、第三者提供の制限（27条1項）

⑧医療機関の代表者が、患者の氏名、診察内容等を、インターネット上のクチコミに投稿することで、本人の同意なく第三者に提供していた事案：第三者提供の制限（27条1項）

⑨事業者が、本人の同意を得ることなく、個人データを含む契約関係情報を、電話で第三者（本人の家族を装う者等）に提供した事案：第三者提供の制限（27条1項）

⑩事業者はアプリケーションを活用してイベントを開催しているところ、イベント参加者が申込みをする際に、個人データの第三者提供の同意を求める文言に記載漏れがあり、その結果、本人の同意を得ることなく個人データを第三者に提供した事案：第三者提供の制限（27条1項）

③～⑩の事案はこれ以上の詳細が公表されているものではないので、背景事情等はわからない。しかし、④、⑥、⑨のように、個人情報保護法を正しく理解していなければ、うっかりやってしまいかねないものも含まれている。このような違反を防止するためには、従業員に対し、これらの行政指導事例などを参考にして、実際の業務に沿った想定ケースをもとにした周知や教育を行うことも重要だと考えられる。

3. 安全管理措置義務

安全管理措置義務に関する行政指導は、多くが不正アクセスを原因とする漏えい等事案に関するものである。個人情報保護委員会は一貫して①VPN機器の脆弱性やECサイトを構築するためのアプリケーション等の脆弱性が公開され、対応方法がリリースされていたにもかかわらず、事業者が放置していたこと、②ID・パスワードが容易に推測されやすいものとされていたこと、③設定ミスによりデータベースへのアクセス制御が不適切な状態になっていたこと、をよくある安全管理措置の不備があったケースとして挙げ続けている。

現に、令和7年度第2四半期の指導案件のうち不正アクセス事案の原因分析において、指導案件44件中、ソフトウェアの脆弱性が28件、ID・パスワードの脆弱性が20件、アクセス制御の設定ミスが9件あったと公表されている（令和7年度第2四半期における監視・監督権限の行使状況の概要28頁）。

これらは、行政指導を受けないようにするというだけでなく、そもそも不正アクセスを防ぐという観点から自社で対応できているか見直す必要がある。

また、漏えい等報告のあった事案のうち行政指導等の対象となった事案では、基本的に漏えい等した個人データの本人の数が1000人を超えている。したがって、1000人以上の個人データを取り扱う場合は、特に安全管理措置を十分行う必要がある。

【関連セミナー】

行政指導や報道事案を中心に2026年の個人情報・情報セキュリティ対応のポイントを解説します。個人情報保護法改正の動向についても解説します。

• U&Pリーガルセミナー「2026年個人情報・情報セキュリティ対応のポイント」（2026年1月16日（金）12:15~12:55）【無料】（後日配信も実施します）

ニューズレターのメール配信はこちら