令和8年改正個人情報保護法はどうなる?改正方針を弁護士が解説 個人情報保護委員会「いわゆる3年ごと見直しの制度改正方針」(令和8年1月9日)を踏まえて
IT・情報セキュリティ
2026(令和8)年1月9日、個人情報保護委員会は、「個人情報保護法 いわゆる3年ごと見直しの制度改正方針」を公表して、次回の個人情報保護法改正の方針を明確にしました。
現時点では改正スケジュールは不明ですが、2026年の通常国会にて令和8年改正個人情報保護法案が提出される可能性が高いと考えられます。
本稿では、個人情報保護法のいわゆる3年ごと見直しの進捗状況を概観した上で、今回示された個人情報保護法の改正方針の12項目について解説します。
(本稿における略記)
| 略記 | 正式名称・参照情報 |
|---|---|
| 個人情報保護法または法 | 個人情報の保護に関する法律(平成15年法律第57号) |
| 施行令 | 個人情報の保護に関する法律施行令(平成15年政令第507号) |
| 本方針 | 個人情報保護委員会「個人情報保護法 いわゆる3年ごと見直しの制度改正方針」(令和8年1月9日) |
| 基本方針 | デジタル行財政改革会議「データ利活用制度の在り方に関する基本方針」(令和7年6月13日閣議決定) |
| 考え方 | 個人情報保護委員会「個人情報保護法の制度的課題に対する考え方について」(令和7年3月5日) |
| 令和2年改正 | 個人情報の保護に関する法律等の一部を改正する法律(令和2年6月12日法律第44号) |
個人情報保護法の改正方針
「個人情報保護法 いわゆる3年ごと見直しの制度改正方針」(本方針)の位置づけ
個人情報保護委員会は、令和2年改正法附則10条 1 の規定を踏まえ、個人情報保護法のいわゆる「3年ごと見直し」について、2023(令和5)年11月から検討を進めてきました。しかし、2025(令和7)年3月5日に「個人情報保護法の制度的課題に対する考え方について」(以下「考え方」といいます)とそれに寄せられた意見を公表してからは、個人情報保護委員会による3年ごと見直しの進捗については正式には明らかにされていませんでした。
2026(令和8)年1月9日、個人情報保護委員会は、10か月ぶりに「個人情報保護法 いわゆる3年ごと見直しの制度改正方針」(以下「本方針」といいます)を公表して、次回の個人情報保護法改正の方針を明確にしました。
本方針は、これまでの3年ごと見直しの議論と「データ利活用制度の在り方に関する基本方針」(以下「基本方針」といいます)および関連する各種政府決定 2 を踏まえ、政府全体の取組とも連携しながら、個人情報保護委員会として関係者との議論を深め、個人情報保護法の改正案の早期提出を念頭に制度改正方針を取りまとめたものとされています(本方針1頁)。
改正スケジュールの見通し
本方針では、個人情報保護法の改正案を国会に提出する時期については明言されていません。一方で、基本方針において「次期通常国会に法案を提出することを目指す」とされたこと(基本方針21頁)、および、高市総理が2026年の通常国会への法案提出を念頭に進めるように指示していること 3 から、2026年の通常国会への提出が想定されていると考えられます。
2026年の通常国会は、同年1月23日から6月21日まで開催されることが予定されているところ、同通常国会において個人情報保護法の改正案が成立した場合、当該改正案は令和8年改正個人情報保護法になります。
12項目の個人情報保護法の改正方針
本方針では、「適正なデータ利活用の推進」「リスクに適切に対応した規律」「不適正利用等の防止」「規律遵守の実効性確保のための規律」の4つの柱を個人情報保護法の改正案として、その具体化に向けた検討を加速することとしています(本方針1頁)。
これらの4つの柱を踏まえ、主として以下の12項目について個人情報保護法の改正方針が示されています。
| 柱 | 項目 | (新設・厳格化) |
|---|---|---|
| 適正なデータ利活用の推進 |
① 統計情報等の作成にのみ利用される場合の同意取得義務の免除※ ② 同意取得に係る例外規定の要件の緩和 |
|
| リスクに適切に対応した規律 |
③ 子どもの個人情報に係る規制の明確化および厳格化※ ④ 顔特徴データ等に係る規律の新設 ⑤ 委託を受けた事業者の規律の強化※ ⑥ 漏えい等発生時の本人通知義務の緩和※ |
✓ ✓ ✓ |
| 不適正利用等の防止 |
⑦ 特定の個人に対する働きかけが可能となる情報への規制の強化※ ⑧ オプトアウトによる提供先の身元および利用目的の確認の義務化 |
✓ ✓ |
| 規律遵守の実効性確保のための規律 |
⑨ 勧告および命令の行使の柔軟化 ⑩ 違反行為を補助等する第三者への措置の法定 ⑪ 罰則の強化および拡大※ ⑫ 課徴金制度の導入 |
✓ ✓ ✓ ✓ |
「※」が付された項目は、行政機関等に係る規律にも改正の趣旨が妥当するものとして当該趣旨に即して規律の整備を行うとされている。
以下では、本方針において示された民間部門の規律の改正方針を念頭に置いて、上記の項目①~⑫について解説します。
適正なデータ利活用の推進
統計情報等の作成にのみ利用される場合の同意取得義務の免除(項目①)
現行法では、統計情報等の作成にのみ利用される場合であっても、個人データの第三者提供および要配慮個人情報の取得には原則として同意取得が必要とされています(法27条、28条、20条2項)。
この点について、考え方では、統計情報等の作成のために複数の事業者が持つデータを共有し横断的に解析するニーズが高まっていること、特定の個人との対応関係が排斥された統計情報等の作成や利用はこれによって個人の権利利益を侵害するおそれが少ないものであることから、このような統計情報等の作成にのみ利用されることが担保されていること等を条件に、本人同意なき個人データ等の第三者提供および公開されている要配慮個人情報の取得を可能とすることが提案されていました(考え方1・2頁)。
本方針では、これまでの議論を踏まえ、個人データ等の第三者提供 4 および公開されている要配慮個人情報の取得について、統計情報等の作成(統計作成等であると整理できるAI開発等を含みます)にのみ利用されることが担保されていること等を条件に、本人同意を不要とする方針が示されています(本方針1・2頁)。
当該条件の具体的な内容については、本方針では示されていませんが、個人の権利利益を害するおそれが少ないものとして個人情報保護委員会規則(以下「委員会規則」といいます)で定めるものに限定することを想定されています(本方針2頁)。考え方の時点では、以下について言及されていたため、委員会規則ではこのようなルールが定められることが見込まれます(考え方1・2頁)。
| 同意取得義務の免除対象 | 同意を不要とする条件 |
|---|---|
| 本人同意なき個人データ等の第三者提供 |
|
| 本人同意なき公開されている要配慮個人情報の取得 |
|
同意取得に係る例外規定の要件の緩和(項目②)
現行法では、目的外利用、要配慮個人情報取得および第三者提供を行う場合には、原則として本人の同意を得ることが求められます(法18条、20条2項、27条、28条)。
この同意取得義務に係る例外要件の緩和として、以下の3点の改正方針が示されています。
(1)取得の状況からみて本人の意思に反しないため本人の権利利益を害しないことが明らかな取扱いの例外の新設
現行法では、取得の状況からみて本人の意思に反しないため本人の権利利益を害しないことが明らかな場合であっても、本人同意の取得義務は免除されません。
本方針では、取得の状況からみて本人の意思に反しないため本人の権利利益を害しないことが明らかな取扱いである場合は、本人同意を不要とする方針が示されています(本方針2頁)。
具体的にどのような場合にこの例外に該当するのかは本方針では明確に示されていませんが、考え方の段階では、契約の履行のために必要不可欠な場合を典型例として想定していることが示唆されていました(考え方2頁)5。
また、考え方では、以下の具体例が紹介されていました(考え方2頁)。令和8年改正個人情報保護法案ではこれらの方針が維持されることが見込まれます。
- 本人が、事業者Aの運営するホテル予約サイトで事業者Bの運営するホテルの宿泊予約を行ったため、事業者Aが事業者Bに当該本人の氏名等を提供する場合
- 金融機関が海外送金を行うために送金者の情報を送金先の金融機関に提供する場合 等
(2)同意取得困難性要件の緩和
現行法では、同意取得義務の例外として、「人の生命、身体又は財産の保護のために必要がある場合であって、本人の同意を得ることが困難であるとき」および「公衆衛生の向上又は児童の健全な育成の推進のために特に必要がある場合であって、本人の同意を得ることが困難であるとき」(法18条2項2・3号、20条2項2・3号、27条1項2・3号)が定められています。
本方針では、生命等の保護または公衆衛生の向上等のために取り扱う場合における同意取得困難性要件を緩和する方針が示されています(本方針2頁)。
具体的にどのような緩和をするのかについて、本方針では示されていませんが、考え方の時点では、「本人の同意を得ることが困難であるとき」のみならず、「その他の本人の同意を得ないことについて相当の理由があるとき」にも同意取得義務の例外に依拠できるようにすることが提案されていました(考え方2・3頁)。
また、考え方では、以下の具体例が紹介されており(考え方3頁)6、令和8年改正個人情報保護法案ではこの方針が維持されることが見込まれます。
- 本人のプライバシー等の侵害を防止するために必要かつ適切な措置(氏名等の削除、提供先との守秘義務契約の締結等)が講じられているため、当該本人の権利利益が不当に侵害されるおそれがない場合 等
(3)学術研究機関等に医療の提供を目的とする主体が含まれる旨の明示
現行法では、「学術研究機関等」とは、大学その他の学術研究を目的とする機関もしくは団体またはそれらに属する者をいうため(法16条8項)7、医療の提供を目的とする機関または団体は必ずしも含まれないと考えられます。
この点について、考え方では、医学・生命科学の研究においては、研究対象となる診断・治療の方法に関する臨床症例の分析が必要不可欠であり、病院等の医療の提供を目的とする機関または団体による研究活動が広く行われている実態があることが指摘されていました(考え方3頁)。
本方針では、学術研究に係る例外規定の対象である「学術研究機関等」に、医療の提供を目的とする機関または団体が含まれることを明示する方針が示されています(本方針2頁)。
考え方の時点では、病院や、その他の医療の提供を目的とする機関等(診療所等)が含まれることが想定される旨が言及されており(考え方3頁)8、令和8年改正個人情報保護法案ではこの方針が維持されることが見込まれます。
リスクに適切に対応した規律
子どもの個人情報に係る規制の明確化および厳格化(項目③)
現行法では、子どもの同意取得や通知の対象となる年齢について法令レベルでは定められておらず、個人情報保護委員会のQ&Aにおいて、12歳から15歳までの年齢以下の子どもについて法定代理人等から同意を得る必要がある旨が述べられているのみです 9。また、保有個人データの利用停止等請求は、子ども固有の規定は定められていません。さらに、子ども本人の最善の利益を優先して考慮すべき旨の責務規定は定められていません。
これらの点について、考え方では、子どもは心身が発達段階にあるためその判断能力が不十分であり、個人情報の不適切な取扱いに伴う悪影響を受けやすいこと等から、子どもの発達や権利利益を適切に守る観点から、一定の規律を設ける必要がある旨が指摘されていました(考え方2頁)。
本方針では、子どもの個人情報について、以下の改正の方針が示されています。
(1)16歳未満の本人同意・通知における「法定代理人」の原則化
16歳未満の者が本人である場合、同意取得や通知等について当該本人の法定代理人を対象とすることを明文化することが示されています(本方針2頁)。
なお、本方針では言及がないものの、考え方の時点では、以下の場合には、例外的に本人からの同意取得や本人への通知等を認める必要がある旨が指摘されており(考え方4頁)、令和8年改正個人情報保護法案ではこの方針が維持されることが見込まれます。
- 本人が16歳未満であることを事業者が知らないことについて正当な理由がある場合
- 法定代理人が本人の営業を許可しており、事業者が当該営業に関して個人情報を取得した場合 10
- 本人に法定代理人がない、またはそのように事業者が信ずるに足りる相当な理由がある場合
(2)16歳未満の本人の「利用停止等請求」に関する要件緩和
16歳未満の本人の保有個人データの利用停止等請求の要件を緩和することが示されています(本方針2頁)。
なお、本方針では同様に言及がないものの、考え方の時点では、以下の場合には、例外的に利用停止等請求を拒否できるような制度にする旨が示唆されており(考え方4頁)、令和8年改正個人情報保護法案ではこの方針が維持されることが見込まれます。
(3)未成年者の個人情報の取扱いにおける「最善の利益」の責務規定
未成年者の個人情報等の取扱い等について、本人の最善の利益を優先して考慮すべき旨の責務規定を設けることが示されています(本方針2頁)。
なお、本方針では同様に言及がないものの、考え方の時点では、以下の責務規定が提案されており(考え方4頁)、令和8年改正個人情報保護法案ではこの方針が維持されることが見込まれます。
- 未成年者の個人情報等を取り扱う事業者に対しては、当該未成年者の年齢および発達の程度に応じて、その最善の利益を優先して考慮した上で、未成年者の発達または権利利益を害することのないように必要な措置を講ずるよう努めなければならない旨の責務規定
- 法定代理人に対しては、個人情報の取扱いに係る同意等をするにあたって、本人の最善の利益を優先して考慮しなければならない旨の責務規定
顔特徴データ等に係る規律の新設(項目④)
現行法では、顔特徴データ等は個人識別符号に該当する可能性はありますが(法2条2項、施行令1条1号ロ)、顔特徴データ等に係る固有の要求事項は定められていません。
この点について、考え方では、顔識別機能付きカメラシステム等のバイオメトリック技術の利用が拡大する中で、生体データのうち、本人が関知しないうちに容易に(それゆえに大量に)入手することができ、かつ、一意性および不変性が高く特定の個人を識別する効果が半永久的に継続するという性質を有する顔特徴データ等は、その他の生体データに比べてその取扱いが本人のプライバシー等の侵害に類型的につながりやすいという特徴を有することとなっている旨が指摘されていました(考え方6頁)。
本方針では、顔特徴データ等について、以下の改正の方針が示されています 13。
(1)顔特徴データ等の取扱いに関する一定事項の周知の義務化
顔特徴データ等の取扱いに関する一定の事項の周知を義務化することが示されています(本方針2頁)。
ここでいう「一定の事項」について、本方針では言及がないものの、考え方の時点では、以下を周知の対象とする旨が提案されていました(考え方6頁)14。
- 顔特徴データ等を取り扱う当該個人情報取扱事業者の名称・住所・代表者の氏名
- 顔特徴データ等を取り扱うこと
- 顔特徴データ等の利用目的
- 顔特徴データ等の元となった身体的特徴の内容
- 利用停止請求に応じる手続 等
また、周知義務の例外事由として、以下の場合が提案されていました(考え方6頁)。
- 周知により本人または第三者の権利利益を害するおそれがある場合
- 周知により当該個人情報取扱事業者の権利または正当な利益を害するおそれがある場合
- 国または地方公共団体の事務の遂行に協力する必要がある場合であって、周知により当該事務の遂行に支障を及ぼすおそれがあるとき 等
令和8年改正個人情報保護法案ではこれらの方針が維持されることが見込まれます。
(2)顔特徴データ等の利用停止等請求の要件緩和
顔特徴データ等の利用停止等請求の要件を緩和することが示されています(本方針2頁)。
なお、本方針では同様に言及がないものの、考え方の時点では、以下の場合が利用停止等請求を拒否することができる例外事由とすることが示唆されており(考え方7頁)、令和8年改正個人情報保護法案ではこの方針が維持されることが見込まれます。
- 本人の同意を得て作成または取得された顔特徴データ等である場合
- 要配慮個人情報の取得に係る例外要件と同種の要件に該当する場合 等
(3)顔特徴データ等のオプトアウト制度に基づく第三者提供の禁止
顔特徴データ等のオプトアウト制度に基づく第三者提供を禁止することが示されています(本方針2頁)。
委託を受けた事業者の規律の強化(項目⑤)
現行法では、個人データの取扱いの委託を行う場合、委託をする事業者は委託を受けた事業者に対する必要かつ適切な監督を行わなければならないと定められていますが(法25条)、それ以外に委託を受けた事業者に固有の規定は定められておらず、個人情報取扱事業者一般の規律が適用されることになっています。
この点について、考え方では、個人情報取扱事業者等におけるDXの進展に伴い、個人データ等の取扱いについて、実質的に第三者に依存するケースが拡大している状況を踏まえ、委託を受けた事業者に対する規律の在り方を検討する旨が提案されていました(考え方5頁)。
本方針では、データ処理等の委託を受けた事業者について、委託された個人データ等の適正な取扱いに係る義務の見直しを行う方針が示されています(本方針2頁)。
具体的には、委託を受けた事業者の規律について、以下の義務を新設する方針が示されています。
(1)委託先に対する「目的外利用」の禁止(明文化)
取扱いを委託された個人データ等を当該委託を受けた業務の遂行に必要な範囲を超えて取り扱ってはならない旨の義務を委託先に明文規定により課すことが示されています(本方針5頁)。
ただし、法令に基づく場合および人命の救助、災害の救援その他非常の事態への対応のため緊急の必要がある場合には、例外的に委託先が独自の判断で利用できることとします(同5頁)。
(2)個人データの取扱方法の決定を行わない委託先への「義務の免除規定」
委託先自らは取扱いの方法を決定しないケース(例:委託先が委託元から指示された方法で機械的に個人データ等を取り扱うのみの場合)においては、委託契約において、取扱いの方法の全部について合意し、かつ委託先における取扱いの状況を委託元が把握するために必要な措置等(例:漏えい等が生じたことを知ったときに委託先が委託元に対して速やかにその旨を報告すること等 15)について合意した場合は、当該委託先に対しては、個人情報保護法4章の各義務規定の適用を原則として免除することが示されています(本方針5頁)。
その場合、委託先に対しては、取扱い方法を決定する権限の存在を前提としない規定として、①委託を受けた業務の遂行に必要な範囲を超えて取り扱ってはならない旨の義務、および②安全管理に係る義務のみが適用されることになります(同5頁)。
漏えい等発生時の本人通知義務の緩和(項目⑥)
現行法では、個人情報取扱事業者は、漏えい等報告の義務を負うときは、本人への通知が困難な場合であって、代替措置を講じたときを除き、一律に本人への通知義務を負うこととなります(法26条2項)。
本方針では、漏えい等発生時について、本人の権利利益の保護に欠けるおそれが少ない場合は、本人への通知義務を緩和する方針が示されています(本方針2頁)。
ここでいう「本人の権利利益の保護に欠けるおそれが少ない場合」の具体的な内容について、本方針では示されていませんが、考え方の時点では、以下の具体例として挙げられており(考え方3頁)16、令和8年改正個人情報保護法案または委員会規則ではその方針が維持されることが見込まれます。
- サービス利用者の社内識別子(ID)等、漏えいした情報の取得者において、それ単体ではおよそ意味を持たない情報のみが漏えいした場合 等
不適正利用等の防止
特定の個人に対する働きかけが可能となる情報への規制の強化(項目⑦)
現行法では、個人情報について不適正利用の禁止および不正取得の禁止が定められていますが(法19条、20条1項)、個人関連情報、仮名加工情報および匿名加工情報については定められていません。
この点について、考え方の時点では、特定の個人に対して何らかの連絡を行うことができる記述等である電話番号、メールアドレス、Cookie ID等を含む情報については、当該情報が個人情報に該当しない場合であっても、当該個人への連絡を通じて当該個人のプライバシー、財産権等の権利利益の侵害が発生し得る上、当該記述等を媒介として秘匿性の高い記述等を含む情報を名寄せすることにより、プライバシー等が侵害されたり、上記連絡を通じた個人の権利利益の侵害がより深刻なものとなったりするおそれがある旨が指摘されていました(考え方5頁)。
本方針では、特定の個人に対する働きかけが可能となる個人関連情報等について、不適正利用および不正取得を禁止する方針が示されています(本方針2頁)。
ここでいう「個人関連情報等」の具体的な内容について、本方針では説明されていませんが、考え方の時点では、以下を対象とすることが提案されており(考え方5・6頁)、令和8年改正個人情報保護法案ではその方針が維持されることが見込まれます。
- 特定の個人の所在地(住居、勤務先等)
- 電話番号
- メールアドレス
- Cookie ID 等
オプトアウトによる提供先の身元および利用目的の確認の義務化(項目⑧)
現行法では、オプトアウト制度に基づく個人データの第三者提供を行う場合、提供先の身元および利用目的の確認は義務付けられていません(法27条2項)。
この点について、考え方の時点では、近時いわゆる「闇名簿」問題が深刻化する中で、オプトアウト届出事業者である名簿屋が、提供先が悪質な(法に違反するような行為に及ぶ者にも名簿を転売する)名簿屋であると認識しつつ名簿を提供した事案が発生しており、オプトアウト制度に基づいて提供された個人データが「闇名簿」作成の際の情報源の1つとなっている現状がある旨が指摘されていました(考え方7頁)。
本方針では、オプトアウト制度に基づく第三者提供時の提供先の身元および利用目的の確認を義務化する方針が示されています(本方針2頁)。
なお、本方針においては言及されていないものの、考え方では、以下の場合には上記の確認義務を例外的に適用しない旨が提案されており(考え方7・8頁)、令和8年改正個人情報保護法案ではその方針が維持されることが見込まれます。
- オプトアウト届出事業者が当該個人データを取得した時点において、当該個人データが本人、国の機関、地方公共団体等によって公開されていたものである場合 等
規律遵守の実効性確保のための規律
勧告および命令の行使の柔軟化(項目⑨)
現行法では、勧告の前置を要しない緊急命令は、「個人の重大な権利利益を害する事実があるため緊急に措置をとる必要があると認めるとき」に限って発出することができるとされています(法148条3項)。
また、勧告によって要求することができるのは「違反行為の中止その他違反を是正するために必要な措置をとるべき旨」であり(同条1項)、問題のある取扱いがあったことを認知させるための積極的な措置(例:本人通知または公表)を求めることができるようになっていません。
本方針では、勧告および命令の行使の柔軟化の観点から、以下の点を改正する方針が示されています。
(1)命令の要件緩和による「是正措置の迅速化」
速やかに違反行為の是正を求めることができるよう命令の要件を見直すことが示されています(本方針2頁)。
見直しの具体的な内容について、本方針では説明されていませんが、考え方の時点では、以下の①の場合に加えて②または③の場合にも命令を発出することができるようにすることが提案されており(考え方8頁)、令和8年改正個人情報保護法案ではその方針が維持されることが見込まれます。
- 違反行為により個人の重大な権利利益が侵害される事実が既に発生している場合(現行法)
- 当該侵害が切迫している場合(改正法)17
- 切迫しているとまでは認められない場合であっても、当該侵害のおそれが生じており、かつ、勧告によって自主的な是正を待ったにもかかわらず、依然として当該違反行為が是正されない場合(改正法)
(2)命令の内容拡大による「本人の利益保護のための措置」を命ずる権限の追加
本人に対する違反行為に係る事実の通知または公表等の本人の権利利益の保護のために必要な措置をとるよう勧告・命令することも可能とすることが示されています(本方針2頁)18。
違反行為を補助等する第三者への措置の法定(項目⑩)
現行法では、命令は個人情報保護法の義務規定に違反した個人情報取扱事業者等に対してのみ発出することができるものであり(法148条2項・3項)、当該違反行為に関わる第三者に対して、当該個人情報取扱事業者等へのサービス提供の停止等を命じることはできず、任意の要請に係る根拠規定もありません。
本方針では、違反行為を補助等する第三者に対して当該違反行為の中止のために必要な措置等をとるよう要請する際の根拠規定を設ける方針が示されています(本方針2頁)。
違反行為に関わる第三者としてどのような主体が想定されているかについて、本方針では説明されていませんが、考え方の時点では、以下のものが言及されており(考え方9・10頁)19、令和8年改正個人情報保護法案ではその方針が維持されることが見込まれます。
- 個人情報等の保存に用いるためのクラウドサービスを提供する事業者
- 個人情報を公開するためのサーバのホスティング事業者
- 当該サーバのドメイン名をIPアドレスに変換するDNSサーバのホスティング事業者 等
また、考え方では、第三者が上記要請に応じた場合における、当該第三者の当該個人情報取扱事業者等に対する損害賠償責任を制限することが提案されており(考え方10頁)、令和8年改正個人情報保護法案ではその方針が維持されることが見込まれます。
罰則の強化および拡大(項目⑪)
現行法では、個人情報データベース等の不正提供等に係る罰則は、「不正な利益を図る目的」で実行行為を行った場合のみが対象となっており、「損害を加える目的」で実行行為を行った場合は対象となっていません(法179条、180条)。
この点について、考え方の時点では、本人の権利利益を害する程度には、不正な利益を図る目的での提供行為と加害目的での提供行為とで差異が認められない旨が指摘されていました(考え方10頁)。
また、現行法では、個人情報データベース等の不正提供等に係る罰則は、提供または盗用であり、取得それ自体を対象としていません。
この点について、考え方の時点では、不正に取得された個人情報は不適正な利用がなされる蓋然性が高いため、詐欺行為・不正アクセス等の個人情報を保有する者の管理を害する行為により個人情報を取得する行為について、直罰の対象とする必要がある旨が指摘されていました(考え方10頁)。
本方針では、罰則の強化および拡大の観点から、以下の点の改正の方針が示されています。
- 個人情報データベース等の不正提供等に係る罰則について、加害目的の提供行為も処罰対象とすることとともに、法定刑を引き上げる(本方針3頁)
- 詐欺行為等により個人情報を不正に取得する行為に対する罰則を設ける(本方針3頁)
課徴金制度の導入(項目⑫)
現行法では、個人情報保護法違反に対する金銭的制裁は、刑事罰としての罰金しか定められておらず、行政上の制裁としての課徴金は課すことができません。
この点について、考え方の時点では、課徴金は、行政上の措置として機動的に賦課されるものであり、違反行為の経済的誘因を小さくすることにより、違反行為を抑止することを目的として導入されるものであるところ、事後チェック型を志向する現代の市場経済社会において重要な法執行上の役割を果たしている旨が指摘されていました(考え方10頁)。
なお、課徴金制度については、慎重な議論を行う観点から、2024年7月から「個人情報保護法のいわゆる3年ごと見直しに関する検討会」にて議論し、同年12月末に報告書 20 が取りまとめられています。
本方針では、経済的誘因のある、大量の個人情報の取扱いによる悪質な違反行為を実効的に抑止するため、重大な違反行為により個人の権利利益が侵害された場合等について、当該違反行為によって得られた財産的利益等に相当する額の課徴金の納付を命ずることとする方針が示されています(本方針3頁)。
(1)対象行為
以下のいずれかの行為または当該行為をやめることの対価として金銭等を得たときを課徴金納付命令の対象とするとされています(本方針6頁)。
- 個人情報の提供であって、当該個人情報を利用して違法な行為または不当な差別的取扱いを行うことが想定される状況にある第三者に対して行うもの
- 第三者の求めにより行う個人情報の利用であって、当該第三者が当該個人情報の利用を通じて違法な行為または不当な差別的取扱いを行うことが想定される状況にある場合に行われるもの
- 法20条1項の規定に違反して、偽りその他不正の手段により個人情報を取得し、当該個人情報を利用する行為
- 法27条1項の規定に違反して、あらかじめ本人の同意を得ないで、個人データを第三者に提供する行為
- 統計作成等の特例に基づき取得した個人情報を、当該特例に係る義務に反して目的外に取り扱う行為または第三者に提供する行為 等
(2)適用条件
以下の適用条件をすべて満たす場合に限り、課徴金納付命令の対象となるとされています(本方針6頁)。
相当の注意(主観的要素):当該個人情報取扱事業者が、当該対象行為を防止するための相当の注意を怠った者でないと認められる場合でないこと
- 大規模事案であること:当該対象行為に係る個人情報または個人データの本人の数が 1,000人を超える
- 権利利益侵害があること:個人の権利利益を害する程度が大きくない場合に該当しない
(3)課徴金額
課徴金額は、対象行為または対象行為をやめることの対価として個人情報取扱事業者が得た金銭等の財産上の利益に相当する額とするとされています(本方針6頁)。
-
附則10条は、「政府は、この法律の施行後3年ごとに、個人情報の保護に関する国際的動向、情報通信技術の進展、それに伴う個人情報を活用した新たな産業の創出及び発展の状況等を勘案し、新個人情報保護法の施行の状況について検討を加え、必要があると認めるときは、その結果に基づいて所要の措置を講ずるものとする」と定めています。 ↩︎
-
本方針・参考2(9~11頁) ↩︎
-
首相官邸ウェブサイト「デジタル行財政改革会議」(令和7年12月24日) ↩︎
-
個人情報保護法17条の規定により特定された利用目的の達成に必要な範囲を超える第三者提供を含みます(考え方2頁)。また、個人データ等の第三者提供により提供先が本人同意なく要配慮個人情報を取得することも可能とすることが想定されています(同2頁)。 ↩︎
-
具体的な対象範囲は、制度が円滑に運用されるよう、改正の趣旨を踏まえつつ、委員会規則等で定めることが想定されています(考え方2頁)。 ↩︎
-
具体的な事例については、制度が円滑に運用されるよう、改正の趣旨を踏まえつつ、ガイドライン等において明確化することが想定されています(考え方3頁)。 ↩︎
-
「大学その他の学術研究を目的とする機関若しくは団体」とは、国公立・私立大学、公益法人等の研究所等の学術研究を主たる目的として活動する機関や「学会」をいい、「それらに属する者」とは、国公立・私立大学の教員、公益法人等の研究所の研究員、学会の会員等をいいます(個人情報保護委員会「個人情報の保護に関する法律についてのガイドライン(通則編)」(平成28年11月策定、令和7年6月一部改正)2-18。 ↩︎
-
具体的な対象範囲は、制度が円滑に運用されるよう、改正の趣旨を踏まえつつ、ガイドライン等において明確化することが想定されています(考え方3頁)。 ↩︎
-
個人情報保護委員会「「個人情報の保護に関する法律についてのガイドライン」に関するQ&A」(平成29年2月16日策定、令和7年7月1日更新)A1-62 ↩︎
-
民法では「一種又は数種の営業を許された未成年者は、その営業に関しては、成年者と同一の行為能力を有する」(民法6条1項)と定めており、この例外は民法の未成年者の営業の許可制度を踏まえたものだと考えられます。たとえば、子どもが親権者から許可された範囲内で商品のオンライン販売を行っている場合、そのオンライン販売に関して当該子どもの個人情報を取得した個人情報取扱事業者は、当該親権者との関係で同意取得および通知をすることは求められず、当該子どもとの関係で同意取得および通知をすることで足りると考えられます。 ↩︎
-
民法では「制限行為能力者(筆者注:未成年者を含みます)が行為能力者であることを信じさせるため詐術を用いたときは、その行為を取り消すことができない」(民法21条)と定めており、この例外は制限行為能力者の詐術制度を踏まえたものだと考えられます。たとえば、子どもがECサイトで年齢欄に16歳以上の年齢を入力し、当該ECサイト運営者がそれを信じて契約を締結した場合、当該子ども固有の広範な利用停止等請求の対象とはならず、一般的な利用停止等請求の対象になると考えられます。 ↩︎
-
この例外は、前掲注10と同様に、民法の未成年者の営業の許可制度を踏まえたものだと考えられます。たとえば、子どもが親権者から許可された範囲内で商品のオンライン販売を行っている場合、そのオンライン販売に関して当該子どもの保有個人データを取得した個人情報取扱事業者は、当該子ども固有の広範な利用停止等請求の対象とはならず、一般的な利用停止等請求の対象になると考えられます。 ↩︎
-
「顔特徴データ」としては、顔の骨格および皮膚の色ならびに目、鼻、口その他の顔の部位の位置および形状から抽出した特徴情報を、本人を識別することを目的とした装置やソフトウェアにより、本人を識別することができるようにしたものを施行令以下において規定することが想定されています(考え方6頁)。なお、単なる顔写真はここでいう「顔特徴データ」に該当しません(同6頁)。 ↩︎
-
具体的な周知の方法は、制度が円滑に運用されるよう、改正の趣旨を踏まえつつ、 委員会規則等で定めることが想定されています(考え方6頁)。 ↩︎
-
典型例は、漏えい等が生じたことを知ったときに委託先が委託元に対して速やかにその旨を報告することとされていますが、その他の具体的な内容は、制度が円滑に運用されるよう、改正の趣旨を踏まえつつ、委員会規則等で定めることが想定されています(本方針5頁)。 ↩︎
-
具体的な対象範囲は、制度が円滑に運用されるよう、改正の趣旨を踏まえつつ、委員 会規則等で定めることが想定されています(考え方3頁)。 ↩︎
-
たとえば、名簿の販売先が、法に違反するような行為を行う者にも名簿を転売する転売屋(ブローカー)だと名簿販売業者が認識していたにもかかわらず、当該販売先に対し、意図的にその用途を確認せずに名簿を販売した事案が想定されます(考え方8頁)。このような事案においては、当該販売先(転売屋)を通じて当該名簿が犯罪グループ等により取得され、当該名簿を利用した特殊詐欺等が行われるおそれがあるため、当該名簿に掲載された本人は、当該名簿が販売される限り、特殊詐欺等の被害に遭うおそれにさらされ、かつ、そのおそれが高まっていく状態に置かれることとなることが指摘されています(同8頁)。 ↩︎
-
たとえば、個人情報の不適正な利用の禁止(法19条)に違反して、犯罪者グループ等の違法行為を行う蓋然性が高い第三者に名簿が提供された場合が想定されています(考え方8頁)。このような事案においては、当該名簿に掲載された本人は、これを利用した特殊詐欺の被害等を受けるおそれがあるが、そのような状況を認知していなければ、特殊詐欺等から自らを守るための対策を講ずることができないことが指摘されています(同8頁)。 ↩︎
-
たとえば、個人情報の不適正な利用の禁止(法19条)や個人データの第三者提供の制限(法27 条)等に違反して、官報に掲載されている破産手続開始決定を受けた個人の氏名や住所等の個人データが、地図データと紐づけられる形でウェブサイト上にて公表された場合が想定されます(考え方9頁)。このような事案において、当該ウェブサイトの運営者が個人情報保護委員会の命令に従わなかったとしても、当該ウェブサイトの配信に用いられているサーバのホスティング事業者が当該運営者による当該サーバの利用や当該サーバ自体の機能を停止することや、検索エンジンサービス事業者が当該ウェブサイトのドメイン名等の情報表示を停止することにより、個人の権利利益侵害のおそれを減少させることが可能であることが指摘されています(同9頁)。 ↩︎
-
個人情報保護法のいわゆる3年ごと見直しに関する検討会「個人情報保護法のいわゆる3年ごと見直しに関する検討会 報告書」(令和6年12月25日) ↩︎
TMI総合法律事務所
- IT・情報セキュリティ
- 知的財産権・エンタメ
- 危機管理・内部統制
- 国際取引・海外進出
- 訴訟・争訟
