個人情報保護法「いわゆる３年ごと見直し」の重要テーマ

Transcript

1. 個人情報保護法「いわゆる３年ごと見直し」の 重要テーマについて 2025年6月25日 関原法律事務所 弁護士 関原秀行（Sekihara Hideyuki）

2. 弁護士紹介 関原 秀行（せきはら ひでゆき） 総務省で個人情報保護法・電気通信事業法（通信の秘 密）といったデータプライバシーに関する法制度の解 釈・執行などを担当した後、大手IT企業でインハウス ローヤーとして様々なサービス・機能・システムのレ ビューやインシデント対応、プライバシーガバナンス の構築に関与し、情報通信分野の法制度や企業の運用

   実務、テクノロジーに関する豊富な経験と知識を持つ 弁護士です。

3. Agenda 本日は以下の４つをお話しします 1. 「いわゆる３年ごと見直し」とは？ 2. 「いわゆる３年ごと見直し」の検討状況 3. 全体像 4. 重要テーマについて

4. 「いわゆる３年ごと見直し」とは？

5. 「いわゆる３年ごと見直し」とは？ • 平成27年改正法・附則12条２項 • 令和２年改正法・附則10条 「政府は、この法律の施行後３年ごとに、個人情報の保護に関する国際的動向、 情報通信技術の進展、それに伴う個人情報を活用した新たな産業の創出及び発展 の状況等を勘案し、新個人情報保護法の施行の状況について検討を加え、必要が あると認めるときは、その結果に基づいて所要の措置を講ずるものとする。」 ３年ごとに検討

   ＋ （必要があると認めるときは）検討結果に基づく所要の措置

6. 過去の「いわゆる３年ごと見直し」による改正 • 平成27年改正法・附則12条２項 「政府は、この法律の施行後３年ごとに、個人情報の保護に関する国際的動向、 情報通信技術の進展、それに伴う個人情報を活用した新たな産業の創出及び発展 の状況等を勘案し、新個人情報保護法の施行の状況について検討を加え、必要が あると認めるときは、その結果に基づいて所要の措置を講ずるものとする。」 検討が行われた結果、令和２年改正法案が提出・成立

7. 「いわゆる３年ごと見直し」の検討状況

8. 「いわゆる３年ごと見直し」の直近の検討経過 （令和５年） ９～10月 11月15日 11月下旬 （令和６年） ２月21日 ４月上旬～ ６月27日 ９月４日

   10月16日 12月17日 12月25日 （令和７年） １月22日 ２月５日 ２月19日 ３月５日 ４月16日 「改正個人情報保護法の施行状況について」公表 「個人情報保護法 いわゆる３年ごと見直し規定に基づく検討」公表 関係団体等ヒアリングを順次実施 「個人情報保護法 いわゆる３年ごと見直し規定に基づく検討項目」公表 有識者ヒアリングを順次実施 「中間整理」公表（～７月29日までパブコメ実施） 「中間整理」に関する意見募集の結果・今後の検討の進め方 公表 「個人情報保護法のいわゆる３年ごと見直しの検討の充実に向けた視点」公表 事務局ヒアリング（有識者、経済団体・消費者団体）の状況報告 「個人情報保護法のいわゆる３年ごと見直しに関する検討会 報告書」公表 「「個人情報保護法 いわゆる３年ごと見直しに係る検討」の今後の進め方について」公表 「個人情報保護法の制度的課題に対する考え方（案）について（個人データ等の取扱いにおける本人関与に係る規 律の在り方）」公表 「個人情報保護法の制度的課題に対する考え方（案）について（個人データ等の取扱いの態様の多様化等に伴うリ スクに適切に対応した規律の在り方」公表 「個人情報保護法の制度的課題に対する考え方について」公表、意見の概要① 意見の概要②

9. 「いわゆる３年ごと見直し」の直近の検討経緯 （令和５年） ９～10月 11月15日 11月下旬 （令和６年） ２月21日 ４月上旬～ ６月27日 ９月４日

   10月16日 12月17日 12月25日 （令和７年） １月22日 ２月５日 ２月19日 ３月５日 ４月16日 「改正個人情報保護法の施行状況について」公表 「個人情報保護法 いわゆる３年ごと見直し規定に基づく検討」公表 関係団体等ヒアリングを順次実施 「個人情報保護法 いわゆる３年ごと見直し規定に基づく検討項目」公表 有識者ヒアリングを順次実施 「中間整理」公表（～７月29日までパブコメ実施） 「中間整理」に関する意見募集の結果・今後の検討の進め方 公表 「個人情報保護法のいわゆる３年ごと見直しの検討の充実に向けた視点」公表 事務局ヒアリング（有識者、経済団体・消費者団体）の状況報告 「個人情報保護法のいわゆる３年ごと見直しに関する検討会 報告書」公表 「「個人情報保護法 いわゆる３年ごと見直しに係る検討」の今後の進め方について」公表 「個人情報保護法の制度的課題に対する考え方（案）について（個人データ等の取扱いにおける本人関与に係る規 律の在り方）」公表 「個人情報保護法の制度的課題に対する考え方（案）について（個人データ等の取扱いの態様の多様化等に伴うリ スクに適切に対応した規律の在り方」公表 「個人情報保護法の制度的課題に対する考え方について」公表、意見の概要① 意見の概要②

10. データ利活用制度の在り方に関する基本方針 デジタル行財政改革会議決定「データ利活用制度の在り方に関する基本方針」 （2025年６月13日） 「本基本方針の取組を具体化するため、官民データ活用推進基本法…の抜本的な 改正、新法など必要な検討を行い、次期通常国会に法案を提出することを目指す。 その際、個人情報保護法は、データ利活用の推進を下支えする礎となる規律であ り、データ利活用全体や個別分野における制度整備と同時並行でアップデートを 行う必要があることに留意する。」（同方針21頁）

11. 全体像

12. テーマの全体像 個人情報保護委員会「個人情報保護法の制度的課題に対する考え方について」 （令和７年３月５日） ３つの制度的論点 1. 個人データ等の取扱いにおける本人関与に係る規律の在り方 2. 個人データ等の取扱いの態様の多様化等に伴うリスクに適切に対応した規律 の在り方 3.

    個人情報取扱事業者等による規律遵守の実効性を確保するための規律の在り 方

13. テーマの全体像 個人情報保護委員会「個人情報保護法の制度的課題に対する考え方について」 （令和７年３月５日） ３つの制度的論点 1. 個人データ等の取扱いにおける本人関与に係る規律の在り方 2. 個人データ等の取扱いの態様の多様化等に伴うリスクに適切に対応した規律 の在り方 3.

    個人情報取扱事業者等による規律遵守の実効性を確保するための規律の在り 方

14. テーマの全体像 個人データ等の取扱いにおける本人関与に係る規律の在り方 ⚫ 同意規制の在り方 ➢ 統計作成等、特定の個人との対応関係が排斥された一般的・汎用的な分析結果の獲 得と利用のみを目的とした取扱いを実施する場合の本人の同意の在り方 ➢ 取得の状況からみて本人の意思に反しない取扱いを実施する場合の本人の同意の在 り方

    ➢ 生命等の保護又は公衆衛生の向上等のために個人情報を取り扱う場合における同意 取得困難性要件の在り方 ➢ 病院等による学術研究目的での個人情報の取扱いに関する規律の在り方 ⚫ 漏えい等発生時の対応（本人通知等）の在り方 ⚫ 子供の個人情報等の取扱い

15. テーマの全体像 個人情報保護委員会「個人情報保護法の制度的課題に対する考え方について」 （令和７年３月５日） ３つの制度的論点 1. 個人データ等の取扱いにおける本人関与に係る規律の在り方 2. 個人データ等の取扱いの態様の多様化等に伴うリスクに適切に対応した規律 の在り方 3.

    個人情報取扱事業者等による規律遵守の実効性を確保するための規律の在り 方

16. テーマの全体像 個人データ等の取扱いの態様の多様化等に伴うリスクに適切に対応した規律の在り 方 ⚫ 個人情報取扱事業者等からデータ処理等の委託を受けた事業者に対する規律の 在り方 ⚫ 特定の個人に対する働きかけが可能となる個人関連情報に関する規律の在り方 ⚫ 身体的特徴に係るデータ（顔特徴データ等）に関する規律の在り方

    ⚫ オプトアウト届出事業者に対する規律の在り方

17. テーマの全体像 個人情報保護委員会「個人情報保護法の制度的課題に対する考え方について」 （令和７年３月５日） ３つの制度的論点 1. 個人データ等の取扱いにおける本人関与に係る規律の在り方 2. 個人データ等の取扱いの態様の多様化等に伴うリスクに適切に対応した規律 の在り方 3.

    個人情報取扱事業者等による規律遵守の実効性を確保するための規律の在り 方

18. テーマの全体像 個人情報取扱事業者等による規律遵守の実効性を確保するための規律の在り方 ⚫ 勧告・命令等の実効性確保 ⚫ 刑事罰の在り方 ⚫ 経済的誘引のある違反行為に対する実効的な抑止手段（課徴金制度）の導入の 要否 ⚫

    団体による差止請求制度・被害回復制度の導入の要否 ⚫ 漏えい等報告等の在り方

19. 重要テーマについて

20. データ利活用

21. データ利活用 統計作成等、特定の個人との対応関係が排斥された一般的・汎用的な分析結果の獲 得と利用のみを目的とした取扱いを実施する場合の本人の同意の在り方 統計情報等の作成*のために複数の事業者が持つデータを共有し横断的に解析す るニーズが高まっていること、特定の個人との対応関係が排斥された統計情報等 の作成や利用はこれによって個人の権利利益を侵害するおそれが少ないものであ ることから、このような統計情報等の作成にのみ利用されることが担保されてい ること等を条件に、本人同意なき個人データ等の第三者提供及び公開されている 要配慮個人情報の取得を可能としてはどうか。 *

    統計作成等であると整理できるAI開発等を含む。 個人情報保護委員会「個人情報保護法の制度的課題に対する考え方について」（令和７年３月５日） https://www.ppc.go.jp/files/pdf/seidotekikadainitaisurukangaekatanitsuite_250305.pdf

22. 個人データの第三者提供規制 現行法における第三者提供規制 個人情報保護法27条 １ 個人情報取扱事業者は、次に掲げる場合を除くほか、あらかじめ本人の同意 を得ないで、個人データを第三者に提供してはならない。 … ５ 次に掲げる場合において、当該個人データの提供を受ける者は、前各項の規 定の適用については、第三者に該当しないものとする。

    一 個人情報取扱事業者が利用目的の達成に必要な範囲内において個人データ の取扱いの全部又は一部を委託することに伴って当該個人データが提供される場 合 …

23. 第三者提供による個人データの提供 A社データ C社データ （提供元A） （提供先B） 個人データ提供 ML A社・C社用のmodel （提供元C） 個人データ提供

    第三提供により個人データをB社に提供す る場合 法27条１項により、本人の同意を得なけ れば提供できない

24. 委託に伴う個人データの提供 A社データ C社データ （委託元A） （委託先B） 個人データ提供 ML A社・C社用のmodel （委託元C） 個人データ提供

    （GL通則編3-6-3） 「委託された業務以外」に当該個人データ を取扱うことができない。 Q 委託先が複数社から収集したデータ を利用してモデル開発を行うことを受託 した場合、「委託」の範囲内と解釈でき るか？ （GL・QA7-37） 複数の個人情報取扱事業者から個人デー タの取扱いの委託を受けている者が、各 個人情報取扱事業者から提供された個人 データを区別せずに混ぜて取り扱ってい る場合、「委託」の範囲を超える。 Ｑ 委託先が複数社から収集したデータ を混ぜてモデル開発を行った場合、「委 託」の範囲内と解釈できるか？

25. 要配慮個人情報とは 「要配慮個人情報」とは、以下のセンシティブな情報が含まれる「個人情報」 1. 人種：人種、世系又は民族的若しくは種族的出身を広く意味する。 2. 信条：個人の基本的なものの見方、考え方を意味し、思想と信仰の双方を含む。 3. 社会的な身分：ある個人にその境遇として固着していて、一生の間、自らの力によって容易 に脱し得ないような地位 4.

    病歴：病気に罹患した経歴 5. 犯罪の経歴：前科、すなわち有罪の判決を受けこれが確定した事実 6. 犯罪により害を被った事実：犯罪の被害を受けた事実 7. その他政令で定めるもの：施行令・施行令から委任された施行規則で規定 • 身体障害、知的障害、精神障害その他の規則で定める心身の機能障害があること • 本人に対して医師等により行われた健康診断等の結果 • 健康診断等の結果に基づき、又は疾病、負傷その他の心身の変化を理由として、本人に対して医師等によ り心身の状態改善のための指導又は診療若しくは調剤が行われたこと • 本人を被疑者又は被告人として、逮捕、捜索、差押え、勾留、公訴提起その他の刑事事件に関する手続が 行われたこと • 本人を少年法3条1項に規定する少年又はその疑いのある者として、調査、観護措置、審判、保護処分その 他の少年の保護事件に関する手続が行われたこと

26. 要配慮個人情報の原則取得禁止 現行法における要配慮個人情報の原則取得禁止 個人情報保護法20条 １ … ２ 個人情報取扱事業者は、次に掲げる場合を除くほか、あらかじめ本人の同意 を得ないで、要配慮個人情報を取得してはならない。 … 七

    当該要配慮個人情報が、本人、国の機関、地方公共団体、学術研究機関等、 第五十七条第一項各号に掲げる者その他個人情報保護委員会規則で定める者によ り公開されている場合 …

27. 公開されているウェブサイト等からの要配慮個人情報の取得 公開データ （収集先A） ML AI model 利用目的が特定・公表されていれば一般 的な「個人情報」は適法に収集・利用が 可能（同意までは不要） 他方、公開情報に「要配慮個人情報」が

    含まれている場合、原則として本人同意 がなければ取得できない （公開ウェブサイト） 公開データ（個人情報）

28. データ利活用 統計作成等、特定の個人との対応関係が排斥された一般的・汎用的な分析結果の獲 得と利用のみを目的とした取扱いを実施する場合の本人の同意の在り方 統計情報等の作成*のために複数の事業者が持つデータを共有し横断的に解析す るニーズが高まっていること、特定の個人との対応関係が排斥された統計情報等 の作成や利用はこれによって個人の権利利益を侵害するおそれが少ないものであ ることから、このような統計情報等の作成にのみ利用されることが担保されてい ること等を条件に、本人同意なき個人データ等の第三者提供及び公開されている 要配慮個人情報の取得を可能としてはどうか。 *

    統計作成等であると整理できるAI開発等を含む。 個人情報保護委員会「個人情報保護法の制度的課題に対する考え方について」（令和７年３月５日） https://www.ppc.go.jp/files/pdf/seidotekikadainitaisurukangaekatanitsuite_250305.pdf

29. 本人同意なき統計情報等を作成するための条件 （本人同意なき個人データ等の第三者提供） 当該個人データ等が統計情報等の作成にのみ利用されることを担保する観点等か ら以下の条件を想定 • 個人データ等の提供元・提供先における一定の事項（提供元・提供先の氏名・ 名称、行おうとする統計作成等の内容等）の公表 • 統計作成等のみを目的とした提供である旨の書面による提供元・提供先間の合 意

    • 提供先における目的外利用及び第三者提供の禁止を義務付け 個人情報保護委員会「個人情報保護法の制度的課題に対する考え方について」（令和７年３月５日） https://www.ppc.go.jp/files/pdf/seidotekikadainitaisurukangaekatanitsuite_250305.pdf

30. 本人同意なき統計情報等を作成するための条件 （本人同意なき公開されている要配慮個人情報の取得） 当該要配慮個人情報が統計情報等の作成又は本規律に基づく本人同意なき個人 データ等の第三者提供にのみ利用されることを担保する観点等から以下の条件を 想定 • 公開されている要配慮個人情報の取得者における一定の事項（取得者の氏名・ 名称、行おうとする統計作成等の内容又は本規律に基づく本人同意なき個人 データ等の第三者提供を行う目的である旨等）の公表 •

    取得者における目的外利用及び第三者提供（本規律に基づく本人同意なき個人 データ等の第三者提供を行う目的である場合における当該第三者提供を除 く。）の禁止を義務付け 個人情報保護委員会「個人情報保護法の制度的課題に対する考え方について」（令和７年３月５日） https://www.ppc.go.jp/files/pdf/seidotekikadainitaisurukangaekatanitsuite_250305.pdf

31. 本人の意思に反しない取扱い

32. 本人の意思に反しない取扱い 取得の状況からみて本人の意思に反しない取扱いを実施する場合の本人の同意の 在り方 個人データの第三者提供等が契約の履行のために必要不可欠な場合を始め、目的 外利用、要配慮個人情報取得又は第三者提供が本人の意思に反しないため本人の 権利利益を害しないことが明らかである場合について、本人の同意を不要として はどうか。 個人情報保護委員会「個人情報保護法の制度的課題に対する考え方について」（令和７年３月５日） https://www.ppc.go.jp/files/pdf/seidotekikadainitaisurukangaekatanitsuite_250305.pdf

33. （参考）GDPR EUのGDPRにおける処理の適法化根拠 （GDPR６条１項） 処理は、以下の少なくとも一つが適用される場合においてのみ、その範囲内で、 適法である： … (b) データ主体が契約当事者となっている契約の履行のために処理が必要となる 場合、又は、契約締結の前に、データ主体の要求に際して手段を講ずるために処 理が必要となる場合。

    …

34. 本人の意思に反しない取扱い 想定されている具体例 • 本人が、事業者Aの運営するホテル予約サイトで事業者Bの運営するホテルの宿 泊予約を行ったため、事業者Aが事業者Bに当該本人の氏名等を提供する場合 • 金融機関が海外送金を行うために送金者の情報を送金先の金融機関に提供する 場合 個人情報保護委員会「個人情報保護法の制度的課題に対する考え方について」（令和７年３月５日） https://www.ppc.go.jp/files/pdf/seidotekikadainitaisurukangaekatanitsuite_250305.pdf

35. 子供の個人情報等の取扱い

36. 子供の個人情報等の取扱い 心身の発達過程にあり、本人による関与等の規律が必ずしも期待できない子供の個 人情報等の取扱い • 子供は、心身が発達段階にあるためその判断能力が不十分であり、個人情報の 不適切な取扱いに伴う悪影響を受けやすいこと等から、子供の発達や権利利益 を適切に守る観点から、一定の規律を設ける必要があるのではないか。その場 合、対象となる子供の年齢については、現在の運用の基礎となっているQ＆A の記載や、GDPRの規定などを踏まえ、16歳未満としてはどうか。 個人情報保護委員会「個人情報保護法の制度的課題に対する考え方について」（令和７年３月５日）

    https://www.ppc.go.jp/files/pdf/seidotekikadainitaisurukangaekatanitsuite_250305.pdf

37. （参考）QA （QA1-62） 「法定代理人等から同意を得る必要がある子どもの具体的な年齢は、対象となる 個人情報の項目や事業の性質等によって、個別具体的に判断されるべきですが、 一般的には 12 歳から 15 歳までの年齢以下の子どもについて、法定代理人等から 同意を得る必要があると考えられます。」

38. （参考）GDPR （GDPR８条） 1. 子どもに対する直接的な情報社会サービスの提供との関係において第 6 条第 1 項(a)が適用される場合、その子どもが16 歳以上であるときは、その子ども の個人データの処理は適法である。その子どもが16

    歳未満の場合、そのよう な処理は、その子どもの親権上の責任のある者によって同意が与えられた場 合、又は、その者によってそれが承認された場合に限り、かつ、その範囲内 に限り、適法である。 加盟国は、その年齢が 13 歳を下回らない限り、法律 によって、それらの目的のためのより低い年齢を定めることができる。 2. 管理者は、利用可能な技術を考慮に入れた上で、その子どもについて親権上 の責任のある者によって同意が与えられたこと、又は、その者によってそれ が承認されたことを確認するための合理的な努力をするものとする。 …

39. 子供の個人情報等の取扱い • 16歳未満の者が本人である場合における、本人からの同意取得や本人への通知 等に係る規定について、原則として、当該本人の法定代理人からの同意取得や 当該法定代理人への通知等を義務付けることとしてはどうか。その上で、一定 の場合については、例外的に、本人からの同意取得や本人への通知等を認める 必要があるのではないか。 • 16歳未満の者を本人とする保有個人データについて、違法行為の有無等を問う ことなく利用停止等請求を行うことを可能としてはどうか。その場合において、

    一定の例外事由を設ける必要があるのではないか。 • 未成年者の個人情報等を取り扱う事業者は、当該未成年者の年齢及び発達の程 度に応じて、その最善の利益を優先して考慮した上で、未成年者の発達又は権 利利益を害することのないように必要な措置を講ずるよう努めなければならな い旨の責務規定、及び、個人情報の取扱いに係る同意等をするに当たって、法 定代理人は、本人の最善の利益を優先して考慮しなければならない旨の責務規 定を設けてはどうか。 個人情報保護委員会「個人情報保護法の制度的課題に対する考え方について」（令和７年３月５日） https://www.ppc.go.jp/files/pdf/seidotekikadainitaisurukangaekatanitsuite_250305.pdf

40. 子供の個人情報等の取扱い まとめると • 子供の基準は16歳未満かどうか • 子供については、同意取得や本人への通知等は、原則として当該子供の法定代理人か らの同意取得や法定代理人への通知等を義務付け。 • 子供の保有個人データについては、原則として違法行為の有無等を問うことなく利用 停止等請求を行うことを可能にする。

    • 未成年者の個人情報等を取り扱う事業者は、未成年者保護のために必要な措置を講ず るよう努める。 • 法定代理人は、本人の最善の利益を考慮する旨の責務を負う。

41. 顔特徴データ等に関する規律

42. 顔特徴データ等に関する規律 本人が関知しないうちに容易に取得することが可能であり、一意性・不変性が高い ため、本人の行動を長期にわたり追跡することに利用できる身体的特徴に係るデー タ（顔特徴データ等）に関する規律の在り方 • 顔識別機能付きカメラシステム等のバイオメトリック技術の利用が拡大する中 で、生体データのうち、本人が関知しないうちに容易に（それゆえに大量に） 入手することができ、かつ、一意性及び不変性が高く特定の個人を識別する効 果が半永久的に継続するという性質を有する顔特徴データ等は、その他の生体 データに比べてその取扱いが本人のプライバシー等の侵害に類型的につながり

    やすいという特徴を有することとなっている。 • そこで、上記侵害を防止するとともに、顔特徴データ等の適正な利活用を促す ため、顔特徴データ等の取扱いについて、透明性を確保した上で本人の関与を 強化する規律を導入する必要があるのではないか。 個人情報保護委員会「個人情報保護法の制度的課題に対する考え方について」（令和７年３月５日） https://www.ppc.go.jp/files/pdf/seidotekikadainitaisurukangaekatanitsuite_250305.pdf

43. 顔特徴データ等に関する規律 顔特徴データの特徴 • 本人が取得を関知できない • 容易・大量に取得可能 • 一意性＋不変性（→識別効果が半永久的に継続） 類型的にプライバシー侵害につながりやすい

44. 顔特徴データの取得・利用のイメージ 顔画像 顔の特徴量 顔の特徴量 顔画像 顔特徴データのDB ②登録 ④特徴量を抽出 ①特徴量を抽出 ⑤DBと照合

    ③顔画像の撮影 ⑥照合して同一人かを評価・判定 評価・判定結果を利用

45. 顔特徴データ等に関する規律 • 顔特徴データ等の取扱いに関する一定の事項の周知を義務付けてはどうか。そ の場合において、一定の例外事由を設ける必要があるのではないか。 • 顔特徴データ等（保有個人データであるものに限る）について、違法行為の有 無等を問うことなく利用停止等請求を行うことを可能としてはどうか。その場 合において、一定の例外事由を設ける必要があるのではないか。 • 顔特徴データ等について、オプトアウト制度に基づく第三者提供（法27Ⅱ）を

    認めないこととしてはどうか。 個人情報保護委員会「個人情報保護法の制度的課題に対する考え方について」（令和７年３月５日） https://www.ppc.go.jp/files/pdf/seidotekikadainitaisurukangaekatanitsuite_250305.pdf

46. 顔特徴データ等に関する規律 まとめると • 顔特徴データの特徴 →本人が関知できない、容易・大量に取得可能、一意性・不変性 • 顔特徴データの取扱いに関する一定事項の周知の義務付け →周知事項としては、事業者の名称・住所・代表者氏名、顔特徴データを取り扱 うこと、顔特徴データの利用目的、顔特徴データの元となった身体的特徴の内容、 利用訂正請求に応じる手続等を想定

    • 違法行為の有無を問わない利用停止請求 • オプトアウト制度による提供禁止

47. インシデント関連

48. インシデント関連 • 現行法上、個人情報取扱事業者は、漏えい等報告の義務を負うときは、本人へ の通知が困難な場合を除き、一律に本人への通知義務を負うこととなるが、本 人への通知が行われなくても本人の権利利益の保護に欠けるおそれが少ない場 合について、本人への通知義務を緩和し、代替措置による対応を認めることと してはどうか。 • 委員会規則で定めるところによる、報告対象事態（規則7）が発生した場合の 委員会への報告（法26Ⅰ）について、体制・手順に係る認定個人情報保護団体

    などの第三者の確認を受けること等を前提として、一定の範囲で速報を免除す ることを可能としてはどうか。さらに、漏えいした個人データに係る本人の数 が１名である誤交付・誤送付のようなケースについては、委員会への報告のう ち確報を、一定期間ごとに取りまとめた上で行うことを許容してはどうか。 • 違法な個人データの第三者提供についても報告対象事態にすることとしてはど うか。 個人情報保護委員会「個人情報保護法の制度的課題に対する考え方について」（令和７年３月５日） https://www.ppc.go.jp/files/pdf/seidotekikadainitaisurukangaekatanitsuite_250305.pdf

49. 課徴金

50. 課徴金 経済的誘因のある違反行為に対する実効的な抑止手段（課徴金制度）の導入の要否 • 課徴金は、行政上の措置として機動的に賦課されるものであり、違反行為の経 済的誘引を小さくすることにより、違反行為を抑止することを目的として導入 されるものである。このような課徴金制度については、事後チェック型を志向 する現代の市場経済社会において重要な法執行上の役割を果たしていると指摘 されている。 • 課徴金制度については、個人情報保護法いわゆる３年ごと見直しに係る検討の

    中間整理を踏まえ、昨年７月から「個人情報保護法のいわゆる３年ごと見直し に関する検討会」（以下「検討会」という）を開催し、計７回の会合を経て、 昨年12月末に、議論の状況を整理した報告書（以下「報告書」という）を取り まとめた。 • 報告書は、課徴金制度の導入の必要性及び想定される制度設計の在り方や課題 についての議論状況をまとめたものである。同制度の導入の要否及び制度設計 の在り方については、報告書の内容を踏まえ、継続して議論していく必要があ るのではないか。 個人情報保護委員会「個人情報保護法の制度的課題に対する考え方について」（令和７年３月５日） https://www.ppc.go.jp/files/pdf/seidotekikadainitaisurukangaekatanitsuite_250305.pdf

51. 課徴金 個人情報保護委員会「個人情報保護法のいわゆる３年ごと見直しに関する検討会報 告書」（令和６年12月25日） 以下の４つの要件で対象範囲を限定した上、２つの違反行為に類型化 （違反行為を限定するための要件） ① 対象行為（事態）を限定すること ② 違反行為者の主観的要素により限定すること ③

    個人の権利利益が侵害された場合等に限定すること ④ 大規模な違反行為が行われた場合等に限定すること （違反行為の類型） • 違法な第三者提供等関連 • 漏えい等・安全管理措置義務違反関連

52. 違法な第三者提供等関連 違法な第三者提供等（27Ⅰ、19、18、20違反）＋金銭的利得【要件①】 【要件②】 主観的要素 （相当の注意） により限定 【要件③】 個人の権利利益が侵害 された場合等に限定 【要件④】

    大規模な事案に限定 1,000人以上 課徴金納付命令 の対象となり得る 違反行為

53. 算定方法（違法な第三者提供等関連） • 違反事業者は、違反行為又は違反行為により取得した個人情報（すなわち違反 行為がなければ取得し得なかった個人情報）から直接的に違法な収益を得てお り、違反事業者が得る経済的利得そのものが違法な収益であるといえる。 • そこで、違反事業者が違反行為又は違反行為により取得した個人情報の利用に 関して得た経済的利益の全額を課徴金額とすることが考えられる。さらに、違 反行為をより実効的に抑止する観点から、当該財産的利益の全額を上回る金額 を課徴金額とすることも考えられる。

    • なお、課徴金額の算定基礎に係る推計規定を導入することも考えられる。 個人情報保護委員会「個人情報保護法の制度的課題に対する考え方について」（令和７年３月５日） https://www.ppc.go.jp/files/pdf/seidotekikadainitaisurukangaekatanitsuite_250305.pdf

54. 漏えい等・安全管理措置義務違反関連 安全管理措置義務違反（個人データ等の漏えい）【要件①】 【要件②】 主観的要素 （相当の注意） により限定 【要件③】 個人の権利利益が侵害 された場合等に限定 【要件④】

    大規模な事案に限定 1,000人以上 課徴金納付命令 の対象となり得る 違反行為

55. 算定方法（違法な第三者提供等関連） • 安全管理措置義務に違反した事業者の当該違反行為の期間における事業活動に より生じた売上額の全部又は一部は、コストの低下・取引数量の増加に伴う利 益の増加額により構成されているとの考え方に立つと、安全管理措置義務の履 行を怠る動機を失わせるのに十分であり、かつ、想定される必要かつ適切な安 全管理措置を講じていれば負担していたであろうコストとの差額、取引数量の 増加分に伴う利益の増加額等に照らして過大な損失を与えない水準の課徴金額 を賦課する観点から、当該売上額に一定の「算定率」を乗じることによって課 徴金額を算定することも考えられる。

    • また、課徴金額の算定基礎に係る推計規定を導入することも考えられる。 個人情報保護委員会「個人情報保護法の制度的課題に対する考え方について」（令和７年３月５日） https://www.ppc.go.jp/files/pdf/seidotekikadainitaisurukangaekatanitsuite_250305.pdf

56. ご清聴ありがとうございました 関原秀行（せきはらひでゆき） X（旧Twitter） Mail ：@Hide_Sekihara ：[email protected]

57. 本資料はリーガルアドバイスを目的とするものではなく、個別の案件については当 該案件の個別の事情に応じ、弁護士の適切なアドバイスを求めていただく必要があ ります。 また、本資料に記載の見解にわたる部分は、当職の個人的見解であり、当職が所属 し、または過去に所属した組織の見解ではありません。