「個人情報保護法いわゆる３年ごと見直しの制度改正方針」～想定される規律と企業側の対応～

「個人情報保護法いわゆる３年ごと見直しの制度改正方針」～想定される規律と企業側の対応～ 2026年1月14日関原法律事務所弁護士関原秀行（Sekihara Hideyuki）

自己紹介関原秀行（せきはらひでゆき）総務省で個人情報保護法・電気通信事業法（通信の秘密）といったデータプライバシーに関する法制度の解釈・執行などを担当した後、大手IT企業でインハウスローヤーとしてサービス・機能・システムのレビューやインシデント対応、プライバシーガバナンスの構築に関与し、現在は弁護士として企業向けに法的アドバ
イス・コンサルティングサービスを提供。 2

Agenda 本日は以下の５つをお話しします 1. 全体像 2. 適正なデータ利活用の推進 3. リスクに適切に対応した規律 4. 不適正利用等防止
5. 規律遵守の実効性確保のための規律 3

全体像

制度改正方針の概要（令和８年１月９日） 5 個人情報保護委員会「個人情報保護法いわゆる３年ごと見直しの制度改正方針概要」 https://www.ppc.go.jp/files/pdf/01-2_seidokaiseihousin_gaiyou.pdf

「考え方」からの変更点のサマリ昨年３月に公表された個人情報保護委員会「個人情報保護法の制度的課題に対する考え方について」（以下「考え方」）からの変更点 ⚫ 団体による差止・被害回復制度は見送り ⚫ 課徴金 ➢ 漏えい等・安全管理措置義務違反を違反行為から除外 ➢
利用目的制限規定違反を違反行為から除外 ➢ 統計情報等の特例違反を違反行為に追加 ➢ 課徴金の算定方式を明確化（得た利益にもとに算定） ⚫ インシデント関連 ➢ 違法な個人データの第三者提供に係る報告義務は記載なし ➢ 団体の確認等を得た上での速報免除等は継続検討 6

適正なデータ利活用の推進

適正なデータ利活用の推進 ⚫ 個人データ等の第三者提供及び公開されている要配慮個人情報の取得について、統計情報等の作成にのみ利用される場合は本人同意を不要とする。 ⚫ 目的外利用、要配慮個人情報取得及び第三者提供に関する規制について、 ➢ 取得の状況からみて本人の意思に反しないため本人の権利利益を害しな
いことが明らかな取扱いである場合は本人同意を不要とする。 ➢ 生命等の保護又は公衆衛生の向上等のために取り扱う場合における同意取得困難性要件を緩和する。 ➢ 学術研究例外の対象である「学術研究機関等」に、医療の提供を目的とする機関又は団体が含まれることを明示する。 8 個人情報保護委員会「個人情報保護法いわゆる３年ごと見直しの制度改正方針概要」 https://www.ppc.go.jp/files/pdf/01-2_seidokaiseihousin_gaiyou.pdf

いことが明らかな取扱いである場合は本人同意を不要とする。 ➢ 生命等の保護又は公衆衛生の向上等のために取り扱う場合における同意取得困難性要件を緩和する。 ➢ 学術研究例外の対象である「学術研究機関等」に、医療の提供を目的とする機関又は団体が含まれることを明示する。 9 個人情報保護委員会「個人情報保護法いわゆる３年ごと見直しの制度改正方針概要」 https://www.ppc.go.jp/files/pdf/01-2_seidokaiseihousin_gaiyou.pdf

本人同意不要の統計情報等の作成個人データ等の第三者提供及び公開されている要配慮個人情報の取得について、統計情報等の作成（注２）にのみ利用されることが担保されていること等を条件（注３）に、本人同意を不要とする※。注２：統計作成等であると整理できる AI 開発等を含む。注３：個人の権利利益を害するおそれが少ないものとして個人情報保護委員会規則（以下「委員会規則」という。）で定めるものに限定することを想定。個人情報保護委員会「個人情報保護法
いわゆる３年ごと見直しの制度改正方針」（令和８年１月９日） https://www.ppc.go.jp/files/pdf/01-1_seidokaiseihousin.pdf

本人同意不要の統計情報等の作成現行法上の課題 AI開発の観点では • 複数事業者が保有する個人データを集約してAIモデルを作成するためには、原則として本人同意を取得する必要がある。 • AIモデルを作成するために、公開されている要配慮個人情報を取得したり、要配慮個人情報を第三者から取得するためには、原則として本人同意を取得する必要がある。

本人同意不要の統計情報等の作成現行法上の課題 AI開発の観点では • 複数事業者が保有する個人データを集約してAIモデルを作成するためには、原則として本人同意を取得する必要がある。 • AIモデルを作成するために、公開されている要配慮個人情報を取得したり、要配慮個人情報を第三者から取得するためには、原則として本人同意を取得する必要がある。
一定の条件・義務を課した上、本人同意なくAIモデルの開発を可能にする方向

個人データの第三者提供規制現行法における第三者提供規制個人情報保護法27条１個人情報取扱事業者は、次に掲げる場合を除くほか、あらかじめ本人の同意を得ないで、個人データを第三者に提供してはならない。 … ５次に掲げる場合において、当該個人データの提供を受ける者は、前各項の規定の適用については、第三者に該当しないものとする。
一個人情報取扱事業者が利用目的の達成に必要な範囲内において個人データの取扱いの全部又は一部を委託することに伴って当該個人データが提供される場合 …

第三者提供による個人データの提供 A社データ C社データ（提供元A）（提供先B）個人データ提供 ML A社・C社用のmodel （提供元C）個人データ提供
第三提供により個人データをB社に提供する場合法27条１項により、本人の同意を得なければ提供できない

委託に伴う個人データの提供 A社データ C社データ（委託元A）（委託先B）個人データ提供 ML A社・C社用のmodel （委託元C）個人データ提供
（PPC・GL通則編3-6-3）「委託された業務以外」に当該個人データを取扱うことができない。 Q 委託先が複数社から収集したデータを利用してモデル開発を行うことを受託した場合、「委託」の範囲内と解釈できるか？（PPC・GL・QA7-37）複数の個人情報取扱事業者から個人データの取扱いの委託を受けている者が、各個人情報取扱事業者から提供された個人データを区別せずに混ぜて取り扱っている場合、「委託」の範囲を超える。Ｑ委託先が複数社から収集したデータを混ぜてモデル開発を行った場合、「委託」の範囲内と解釈できるか？

要配慮個人情報とは「要配慮個人情報」とは、以下のセンシティブな情報が含まれる「個人情報」 1. 人種：人種、世系又は民族的若しくは種族的出身を広く意味する。 2. 信条：個人の基本的なものの見方、考え方を意味し、思想と信仰の双方を含む。 3. 社会的な身分：ある個人にその境遇として固着していて、一生の間、自らの力によって容易に脱し得ないような地位 4.
病歴：病気に罹患した経歴 5. 犯罪の経歴：前科、すなわち有罪の判決を受けこれが確定した事実 6. 犯罪により害を被った事実：犯罪の被害を受けた事実 7. その他政令で定めるもの：施行令・施行令から委任された施行規則で規定 • 身体障害、知的障害、精神障害その他の規則で定める心身の機能障害があること • 本人に対して医師等により行われた健康診断等の結果 • 健康診断等の結果に基づき、又は疾病、負傷その他の心身の変化を理由として、本人に対して医師等により心身の状態改善のための指導又は診療若しくは調剤が行われたこと • 本人を被疑者又は被告人として、逮捕、捜索、差押え、勾留、公訴提起その他の刑事事件に関する手続が行われたこと • 本人を少年法3条1項に規定する少年又はその疑いのある者として、調査、観護措置、審判、保護処分その他の少年の保護事件に関する手続が行われたこと

要配慮個人情報の原則取得禁止現行法における要配慮個人情報の原則取得禁止個人情報保護法20条１ … ２個人情報取扱事業者は、次に掲げる場合を除くほか、あらかじめ本人の同意を得ないで、要配慮個人情報を取得してはならない。 … 七
当該要配慮個人情報が、本人、国の機関、地方公共団体、学術研究機関等、第五十七条第一項各号に掲げる者その他個人情報保護委員会規則で定める者により公開されている場合 …

公開されているウェブサイト等からの要配慮個人情報の取得公開データ（収集先A） ML AI model 利用目的が特定・公表されていれば一般的な「個人情報」は適法に収集・利用が可能（同意までは不要）他方、公開情報に「要配慮個人情報」が
含まれている場合、原則として本人同意がなければ取得できない（公開ウェブサイト）公開データ（個人情報）

本人同意不要の統計情報等の作成統計作成等、特定の個人との対応関係が排斥された一般的・汎用的な分析結果の獲得と利用のみを目的とした取扱いを実施する場合の本人の同意の在り方統計情報等の作成*のために複数の事業者が持つデータを共有し横断的に解析するニーズが高まっていること、特定の個人との対応関係が排斥された統計情報等の作成や利用はこれによって個人の権利利益を侵害するおそれが少ないものであることから、このような統計情報等の作成にのみ利用されることが担保されていること等を条件に、本人同意なき個人データ等の第三者提供及び公開されている要配慮個人情報の取得を可能としてはどうか。 *
統計作成等であると整理できるAI開発等を含む。個人情報保護委員会「個人情報保護法の制度的課題に対する考え方について」（令和７年３月５日） https://www.ppc.go.jp/files/pdf/seidotekikadainitaisurukangaekatanitsuite_250305.pdf

本人同意なく統計情報等を作成するための条件（本人同意不要の個人データ等の第三者提供）当該個人データ等が統計情報等の作成にのみ利用されることを担保する観点等から以下の①～③の条件を想定 ① 個人データ等の提供元・提供先における一定の事項（提供元・提供先の氏名・名称、行おうとする統計作成等の内容等）の公表 ② 統計作成等のみを目的とした提供である旨の書面による提供元・提供先間の合意
③ 提供先における目的外利用及び第三者提供の禁止を義務付け個人情報保護委員会「個人情報保護法の制度的課題に対する考え方について」（令和７年３月５日） https://www.ppc.go.jp/files/pdf/seidotekikadainitaisurukangaekatanitsuite_250305.pdf

本人同意なき統計情報等を作成するための条件（本人同意なき公開されている要配慮個人情報の取得）当該要配慮個人情報が統計情報等の作成又は本規律に基づく本人同意なき個人データ等の第三者提供にのみ利用されることを担保する観点等から以下の①及び ②の条件を想定 ① 公開されている要配慮個人情報の取得者における一定の事項（取得者の氏名・名称、行おうとする統計作成等の内容又は本規律に基づく本人同意なき個人データ等の第三者提供を行う目的である旨等）の公表 ②
取得者における目的外利用及び第三者提供（本規律に基づく本人同意なき個人データ等の第三者提供を行う目的である場合における当該第三者提供を除く。）の禁止を義務付け個人情報保護委員会「個人情報保護法の制度的課題に対する考え方について」（令和７年３月５日） https://www.ppc.go.jp/files/pdf/seidotekikadainitaisurukangaekatanitsuite_250305.pdf

行政機関等に係る規律（第５章）との関係行政機関等の取り扱う保有個人情報についても同様に、利用目的以外の目的のための提供に係る「統計の作成」の例外規定の対象を、統計情報等の作成に拡大してはどうか。個人情報保護委員会「個人情報保護法の制度的課題に対する考え方について」（令和７年３月５日） https://www.ppc.go.jp/files/pdf/seidotekikadainitaisurukangaekatanitsuite_250305.pdf

行政機関等の利用・提供現行法における行政機関の長等の利用・提供個人情報保護法69条１行政機関の長等は、法令に基づく場合を除き、利用目的以外の目的のために保有個人情報を自ら利用し、又は提供してはならない。２前項の規定にかかわらず、行政機関の長等は、次の各号のいずれかに該当すると認めるときは、利用目的以外の目的のために保有個人情報を自ら利用し、又は提供することができる。ただし、保有個人情報を利用目的以外の目的のために
自ら利用し、又は提供することによって、本人又は第三者の権利利益を不当に侵害するおそれがあると認められるときは、この限りでない。 … 四前三号に掲げる場合のほか、専ら統計の作成又は学術研究の目的のために保有個人情報を提供するとき、本人以外の者に提供することが明らかに本人の利益になるとき、その他保有個人情報を提供することについて特別の理由があるとき。

行政機関等の利用・提供現行法における行政機関の長等の利用・提供個人情報保護法69条１行政機関の長等は、法令に基づく場合を除き、利用目的以外の目的のために保有個人情報を自ら利用し、又は提供してはならない。２前項の規定にかかわらず、行政機関の長等は、次の各号のいずれかに該当すると認めるときは、利用目的以外の目的のために保有個人情報を自ら利用し、又は提供することができる。ただし、保有個人情報を利用目的以外の目的のために
自ら利用し、又は提供することによって、本人又は第三者の権利利益を不当に侵害するおそれがあると認められるときは、この限りでない。 … 四前三号に掲げる場合のほか、専ら統計情報等の作成統計の作成又は学術研究の目的のために保有個人情報を提供するとき、本人以外の者に提供することが明らかに本人の利益になるとき、その他保有個人情報を提供することについて特別の理由があるとき。

いことが明らかな取扱いである場合は本人同意を不要とする。 ➢ 生命等の保護又は公衆衛生の向上等のために取り扱う場合における同意取得困難性要件を緩和する。 ➢ 学術研究例外の対象である「学術研究機関等」に、医療の提供を目的とする機関又は団体が含まれることを明示する。 25

本人の意思に反しない取扱い目的外利用、要配慮個人情報取得及び第三者提供に関する規制について、・取得の状況からみて本人の意思に反しないため本人の権利利益を害しないことが明らかな取扱いである場合は本人同意を不要とする。個人情報保護委員会「個人情報保護法いわゆる３年ごと見直しの制度改正方針」（令和８年１月９日） https://www.ppc.go.jp/files/pdf/01-1_seidokaiseihousin.pdf

本人の意思に反しない取扱い取得の状況からみて本人の意思に反しない取扱いを実施する場合の本人の同意の在り方個人データの第三者提供等が契約の履行のために必要不可欠な場合を始め、目的外利用、要配慮個人情報取得又は第三者提供が本人の意思に反しないため本人の権利利益を害しないことが明らかである場合について、本人の同意を不要としてはどうか。個人情報保護委員会「個人情報保護法の制度的課題に対する考え方について」（令和７年３月５日） https://www.ppc.go.jp/files/pdf/seidotekikadainitaisurukangaekatanitsuite_250305.pdf

（参考）GDPR EUのGDPRにおける処理の適法化根拠（GDPR６条１項）処理は、以下の少なくとも一つが適用される場合においてのみ、その範囲内で、適法である： … (b) データ主体が契約当事者となっている契約の履行のために処理が必要となる場合、又は、契約締結の前に、データ主体の要求に際して手段を講ずるために処理が必要となる場合。
…

本人の意思に反しない取扱い想定されている具体例 • 本人が、事業者Aの運営するホテル予約サイトで事業者Bの運営するホテルの宿泊予約を行ったため、事業者Aが事業者Bに当該本人の氏名等を提供する場合個人情報保護委員会「個人情報保護法の制度的課題に対する考え方について」（令和７年３月５日） https://www.ppc.go.jp/files/pdf/seidotekikadainitaisurukangaekatanitsuite_250305.pdf 本人事業者A （ホテル予約サイト）
事業者B （ホテル）氏名、電話番号氏名、電話番号

本人の意思に反しない取扱い想定されている具体例 • 金融機関が海外送金を行うために送金者の情報を送金先の金融機関に提供する場合個人情報保護委員会「個人情報保護法の制度的課題に対する考え方について」（令和７年３月５日） https://www.ppc.go.jp/files/pdf/seidotekikadainitaisurukangaekatanitsuite_250305.pdf 依頼人（日本）送金銀行
（日本）経由銀行（A国）最終受取銀行（B国）受取人（B国）

生命・身体の保護等のため個人情報を取扱う場合の同意取得困難要件目的外利用、要配慮個人情報取得及び第三者提供に関する規制について、・生命等の保護又は公衆衛生の向上等のために取り扱う場合における同意取得困難性要件を緩和する。個人情報保護委員会「個人情報保護法いわゆる３年ごと見直しの制度改正方針」（令和８年１月９日） https://www.ppc.go.jp/files/pdf/01-1_seidokaiseihousin.pdf

生命・身体の保護等のため個人情報を取扱う場合の同意取得困難要件 • 人の生命、身体又は財産の保護のための例外規定及び公衆衛生の向上又は児童の健全な育成の推進のための例外規定について、現行制度においては「本人の同意を得ることが困難であるとき」という要件が付されているが、事業者・本人の同意取得手続に係る負担を軽減し、個人情報のより適正かつ効果的な活用及びより実効的な個人の権利利益の侵害の防止につなげる観点から、「本人の同意を得ることが困難であるとき」のみならず、「その他の本人の同意を得な
いことについて相当の理由があるとき」（＊）についても、上記例外規定に依拠できることとしてはどうか。＊例えば、（公衆衛生の向上のために特に必要である一方で、）本人のプライバシー等の侵害を防止するために必要かつ適切な措置（氏名等の削除、提供先との守秘義務契約の締結等）が講じられているため、当該本人の権利利益が不当に侵害されるおそれがない場合等が想定される。具体的な事例については、制度が円滑に運用されるよう、改正の趣旨を踏まえつつ、ガイドライン等において明確化することを想定している。個人情報保護委員会「個人情報保護法の制度的課題に対する考え方について」（令和７年３月５日） https://www.ppc.go.jp/files/pdf/seidotekikadainitaisurukangaekatanitsuite_250305.pdf 33

現行法の例外規定（法27条1項）（第三者提供の制限）第27条個人情報取扱事業者は、次に掲げる場合を除くほか、あらかじめ本人の同意を得ないで、個人データを第三者に提供してはならない。一 … 二人の生命、身体又は財産の保護のために必要がある場合であって、本人の同意を得ることが困難であるとき。（改正法？）
二人の生命、身体又は財産の保護のために必要がある場合であって、本人の同意を得ることが困難であるときその他の本人の同意を得ないことについて相当の理由があるとき。 34

学術研究例外に病院等が含まれることの明示目的外利用、要配慮個人情報取得及び第三者提供に関する規制について、・学術研究に係る例外規定の対象である「学術研究機関等」に、医療の提供を目的とする機関又は団体が含まれることを明示する。個人情報保護委員会「個人情報保護法いわゆる３年ごと見直しの制度改正方針」（令和８年１月９日） https://www.ppc.go.jp/files/pdf/01-1_seidokaiseihousin.pdf

学術研究例外に病院等が含まれることの明示医学・生命科学の研究においては、研究対象となる診断・治療の方法に関する臨床症例の分析が必要不可欠であり、病院等の医療の提供を目的とする機関又は団体による研究活動が広く行われている実態があることから、目的外利用規制、要配慮個人情報取得規制、第三者提供規制に係るいわゆる学術研究例外に依拠することができる主体である「学術研究機関等」に、医療の提供を目的とする機関又は団体（注９）が含まれることを明示することとしてはどうか。注９：例えば、病院や、その他の医療の提供を目的とする機関等（診療所等）が含まれることが
想定される。具体的な対象範囲は、制度が円滑に運用されるよう、改正の趣旨を踏まえつつ、ガイドライン等において明確化することを想定している。個人情報保護委員会「個人情報保護法の制度的課題に対する考え方について」（令和７年３月５日） https://www.ppc.go.jp/files/pdf/seidotekikadainitaisurukangaekatanitsuite_250305.pdf 37

リスクに適切に対応した規律

リスクに適切に対応した規律 ⚫ 16歳未満の者が本人である場合、同意取得や通知等について当該本人の法定代理人を対象とすることを明文化し、当該本人の保有個人データの利用停止等請求の要件を緩和するとともに、未成年者の個人情報等の取扱い等について、本人の最善の利益を優先して考慮すべき旨の責務規定を設ける。 ⚫ 顔特徴データ等について、その取扱いに関する一定の事項の周知を義務化し、利用停止等請求の要件を緩和するとともに、オプトア
ウト制度に基づく第三者提供を禁止する。 ⚫ データ処理等の委託を受けた事業者について、委託された個人データ等の適正な取扱いに係る義務の見直しを行う。 ⚫ 漏えい等発生時について、本人の権利利益の保護に欠けるおそれが少ない場合は、本人への通知義務を緩和する。 39 個人情報保護委員会「個人情報保護法いわゆる３年ごと見直しの制度改正方針概要」 https://www.ppc.go.jp/files/pdf/01-2_seidokaiseihousin_gaiyou.pdf

子供の個人情報等の取扱い 16 歳未満の者が本人である場合、同意取得や通知等について当該本人の法定代理人を対象とすることを明文化し、当該本人の保有個人データの利用停止等請求の要件を緩和するとともに、未成年者の個人情報等の取扱い等について、本人の最善の利益を優先して考慮すべき旨の責務規定を設ける※。個人情報保護委員会「個人情報保護法いわゆる３年ごと見直しの制度改正方針」（令和８年１月９日） https://www.ppc.go.jp/files/pdf/01-1_seidokaiseihousin.pdf

子供の個人情報等の取扱い心身の発達過程にあり、本人による関与等の規律が必ずしも期待できない子供の個人情報等の取扱い • 子供は、心身が発達段階にあるためその判断能力が不十分であり、個人情報の不適切な取扱いに伴う悪影響を受けやすいこと等から、子供の発達や権利利益を適切に守る観点から、一定の規律を設ける必要があるのではないか。その場合、対象となる子供の年齢については、現在の運用の基礎となっているQ＆A の記載や、GDPRの規定などを踏まえ、16歳未満としてはどうか。個人情報保護委員会「個人情報保護法の制度的課題に対する考え方について」（令和７年３月５日）
https://www.ppc.go.jp/files/pdf/seidotekikadainitaisurukangaekatanitsuite_250305.pdf

（参考）QA （QA1-62）「法定代理人等から同意を得る必要がある子どもの具体的な年齢は、対象となる個人情報の項目や事業の性質等によって、個別具体的に判断されるべきですが、一般的には 12 歳から 15 歳までの年齢以下の子どもについて、法定代理人等から同意を得る必要があると考えられます。」

（参考）GDPR （GDPR８条） 1. 子どもに対する直接的な情報社会サービスの提供との関係において第 6 条第 1 項(a)が適用される場合、その子どもが16 歳以上であるときは、その子どもの個人データの処理は適法である。その子どもが16
歳未満の場合、そのような処理は、その子どもの親権上の責任のある者によって同意が与えられた場合、又は、その者によってそれが承認された場合に限り、かつ、その範囲内に限り、適法である。加盟国は、その年齢が 13 歳を下回らない限り、法律によって、それらの目的のためのより低い年齢を定めることができる。 2. 管理者は、利用可能な技術を考慮に入れた上で、その子どもについて親権上の責任のある者によって同意が与えられたこと、又は、その者によってそれが承認されたことを確認するための合理的な努力をするものとする。 …

子供の個人情報等の取扱い • 16歳未満の者が本人である場合における、本人からの同意取得や本人への通知等に係る規定について、原則として、当該本人の法定代理人からの同意取得や当該法定代理人への通知等を義務付けることとしてはどうか。その上で、一定の場合については、例外的に、本人からの同意取得や本人への通知等を認める必要があるのではないか。 • 16歳未満の者を本人とする保有個人データについて、違法行為の有無等を問うことなく利用停止等請求を行うことを可能としてはどうか。その場合において、
一定の例外事由を設ける必要があるのではないか。 • 未成年者の個人情報等を取り扱う事業者は、当該未成年者の年齢及び発達の程度に応じて、その最善の利益を優先して考慮した上で、未成年者の発達又は権利利益を害することのないように必要な措置を講ずるよう努めなければならない旨の責務規定、及び、個人情報の取扱いに係る同意等をするに当たって、法定代理人は、本人の最善の利益を優先して考慮しなければならない旨の責務規定を設けてはどうか。個人情報保護委員会「個人情報保護法の制度的課題に対する考え方について」（令和７年３月５日） https://www.ppc.go.jp/files/pdf/seidotekikadainitaisurukangaekatanitsuite_250305.pdf

子供の個人情報等の取扱いまとめると • 子供の基準は16歳未満かどうか • 子供については、同意取得や本人への通知等は、原則として当該子供の法定代理人からの同意取得や法定代理人への通知等を義務付け。 • 子供の保有個人データについては、原則として違法行為の有無等を問うことなく利用停止等請求を行うことを可能にする。
• 未成年者の個人情報等を取り扱う事業者は、未成年者保護のために必要な措置を講ずるよう努める。 • 法定代理人は、本人の最善の利益を考慮する旨の責務を負う。

子供の個人情報等の取扱い実務的にどこまでの対応を求められるか？ • 年齢確認（16歳未満かどうかの確認）をどのように行うか－自己申告で足りるか？－厳密な確認を行うとするとMCN？（認証アプリ、スマホ搭載）－他事業者の確認結果に依拠？ • 継続的に確認するか－確認が必要なタイミングがいつか？（アカウント登録時、同意取得時）
• 法定代理人からの同意取得や通知等をどのように行うか－法定代理人であることの確認方法は？（自己申告、MCN、依拠）－同意取得や通知等をどのように行うか？（アプリ、サービスの利用の有無）

顔特徴データ等に関する規律顔特徴データ等について、その取扱いに関する一定の事項の周知を義務化し、利用停止等請求の要件を緩和するとともに、オプトアウト制度に基づく第三者提供を禁止する。個人情報保護委員会「個人情報保護法いわゆる３年ごと見直しの制度改正方針」（令和８年１月９日） https://www.ppc.go.jp/files/pdf/01-1_seidokaiseihousin.pdf

顔特徴データ等に関する規律本人が関知しないうちに容易に取得することが可能であり、一意性・不変性が高いため、本人の行動を長期にわたり追跡することに利用できる身体的特徴に係るデータ（顔特徴データ等）に関する規律の在り方 • 顔識別機能付きカメラシステム等のバイオメトリック技術の利用が拡大する中で、生体データのうち、本人が関知しないうちに容易に（それゆえに大量に）入手することができ、かつ、一意性及び不変性が高く特定の個人を識別する効果が半永久的に継続するという性質を有する顔特徴データ等は、その他の生体データに比べてその取扱いが本人のプライバシー等の侵害に類型的につながり
やすいという特徴を有することとなっている。 • そこで、上記侵害を防止するとともに、顔特徴データ等の適正な利活用を促すため、顔特徴データ等の取扱いについて、透明性を確保した上で本人の関与を強化する規律を導入する必要があるのではないか。個人情報保護委員会「個人情報保護法の制度的課題に対する考え方について」（令和７年３月５日） https://www.ppc.go.jp/files/pdf/seidotekikadainitaisurukangaekatanitsuite_250305.pdf 50

顔特徴データ等に関する規律顔特徴データの特徴 • 本人が取得を関知できない • 容易・大量に取得可能 • 一意性＋不変性（→識別効果が半永久的に継続）類型的にプライバシー侵害につながりやすい 51

顔特徴データの取得・利用のイメージ顔画像顔の特徴量顔の特徴量顔画像顔特徴データのDB ②登録 ④特徴量を抽出 ①特徴量を抽出 ⑤DBと照合
③顔画像の撮影 ⑥照合して同一人かを評価・判定評価・判定結果を利用 52

顔特徴データ等に関する規律 • 顔特徴データ等の取扱いに関する一定の事項の周知を義務付けてはどうか。その場合において、一定の例外事由を設ける必要があるのではないか。 • 顔特徴データ等（保有個人データであるものに限る）について、違法行為の有無等を問うことなく利用停止等請求を行うことを可能としてはどうか。その場合において、一定の例外事由を設ける必要があるのではないか。 • 顔特徴データ等について、オプトアウト制度に基づく第三者提供（法27Ⅱ）を
認めないこととしてはどうか。個人情報保護委員会「個人情報保護法の制度的課題に対する考え方について」（令和７年３月５日） https://www.ppc.go.jp/files/pdf/seidotekikadainitaisurukangaekatanitsuite_250305.pdf 53

顔特徴データ等に関する規律まとめると • 顔特徴データの特徴 →本人が関知できない、容易・大量に取得可能、一意性・不変性 • 顔特徴データの取扱いに関する一定事項の周知の義務付け →周知事項としては、事業者の名称・住所・代表者氏名、顔特徴データを取り扱うこと、顔特徴データの利用目的、顔特徴データの元となった身体的特徴の内容、利用訂正請求に応じる手続等を想定
• 違法行為の有無を問わない利用停止請求 • オプトアウト制度による提供禁止 54

データ処理等の委託を受けた事業者に係る規律データ処理等の委託を受けた事業者について、委託された個人データ等の適正な取扱いに係る義務の見直しを行う（見直しの具体的な内容は別添の第 1 に記載のとおり。）※。個人情報保護委員会「個人情報保護法いわゆる３年ごと見直しの制度改正方針」（令和８年１月９日） https://www.ppc.go.jp/files/pdf/01-1_seidokaiseihousin.pdf

現行制度の課題現行規定では、個人データの取扱いの全部又は一部を委託する場合は、委託元は、その取扱いを委託された個人データの安全管理が図られるよう、委託先に対する必要かつ適切な監督を行わなければならない（法第 25 条）。具体的には、自らが講ずべき安全管理措置と同等の措置が講じられるよう、監督を行う必要がある（①適切な委託先の選定、②委託契約の締結、③委託先における個人データ取扱状況の把握）。しかしながら、個人データ等の取扱いについて、実質的に第三者に依存するケー
スが拡大しており、更に、委託元による委託先の監督等が十分に機能せず、委託先が委託された業務の範囲を超えて独自に個人データ等を利用する事案も生じている。一方で、個人データ等の取扱いの委託の中には、委託先自らは取扱いの方法を決定しないケースも存在する。これらを踏まえ、委託の実態に合わせた規律を整備することとする。個人情報保護委員会「個人情報保護法いわゆる３年ごと見直しの制度改正方針」（令和８年１月９日） https://www.ppc.go.jp/files/pdf/01-1_seidokaiseihousin.pdf

制度的考え方具体的には、まず、取扱いを委託された個人データ等を当該委託を受けた業務の遂行に必要な範囲を超えて取り扱ってはならない旨の義務を委託先に明文規定により課すこととする。ただし、法令に基づく場合及び人命の救助、災害の救援その他非常の事態への対応のため緊急の必要がある場合には、例外的に委託先が独自の判断で利用できることとする。委託先が行政機関等である場合についても、同様の規律の整備を行う。他方、委託先自らは取扱いの方法を決定しないケース（注１）においては、委託契約において、取扱いの方法の全部について合意し、かつ委託先における取扱いの状況を委託元が把握するために必要な措置等（注２）について合意した場合は、
当該委託先に対しては、法第４章の各義務規定の適用を原則として（注３）免除することとする。注１：委託先が委託元から指示された方法で機械的に個人データ等を取り扱うのみの場合（委託先がデータ入力作業を委託され、委託元の指示に従って機械的に入力作業を行う場合等）。注２：漏えい等が生じたことを知ったときに委託先が委託元に対して速やかにその旨を報告すること等を想定しているが、その他の具体的な内容は、制度が円滑に運用されるよう、改正の趣旨を踏まえつつ、委員会規則等で定めることを想定。注 3：取扱い方法を決定する権限の存在を前提としない規定（委託を受けた業務の遂行に必要な範囲を超えて取り扱ってはならない旨の義務及び安全管理に係る義務）のみ適用する。個人情報保護委員会「個人情報保護法いわゆる３年ごと見直しの制度改正方針」（令和８年１月９日） https://www.ppc.go.jp/files/pdf/01-1_seidokaiseihousin.pdf

漏えい等発生時の本人への通知義務の緩和漏えい等発生時について、本人の権利利益の保護に欠けるおそれが少ない場合は、本人への通知義務を緩和する※。個人情報保護委員会「個人情報保護法いわゆる３年ごと見直しの制度改正方針」（令和８年１月９日） https://www.ppc.go.jp/files/pdf/01-1_seidokaiseihousin.pdf

インシデント関連「考え方」では３つの話があった（義務の緩和が２つ、義務の追加が１つ）（義務の緩和） • 本人への影響が少ない案件に関する通知義務の免除（代替措置で足りる）例：本人への影響が少ない社内識別子（ID）が外部に漏えい • 一定範囲での速報免除＋軽微案件についてとりまとめた確報例：メールの誤送信案件（被害者１名）について速報を免除した上、一定期間内に発生した軽微案件をまとめて確報として報告
（義務の追加） • 違法な個人データの第三者提供（法27条）の通知・報告を義務化 61

インシデント関連 • 現行法上、個人情報取扱事業者は、漏えい等報告の義務を負うときは、本人への通知が困難な場合を除き、一律に本人への通知義務を負うこととなるが、本人への通知が行われなくても本人の権利利益の保護に欠けるおそれが少ない場合について、本人への通知義務を緩和し、代替措置による対応を認めることとしてはどうか。 • 委員会規則で定めるところによる、報告対象事態（規則7）が発生した場合の委員会への報告（法26Ⅰ）について、体制・手順に係る認定個人情報保護団体
などの第三者の確認を受けること等を前提として、一定の範囲で速報を免除することを可能としてはどうか。さらに、漏えいした個人データに係る本人の数が１名である誤交付・誤送付のようなケースについては、委員会への報告のうち確報を、一定期間ごとに取りまとめた上で行うことを許容してはどうか。 • 違法な個人データの第三者提供についても報告対象事態にすることとしてはどうか。個人情報保護委員会「個人情報保護法の制度的課題に対する考え方について」（令和７年３月５日） https://www.ppc.go.jp/files/pdf/seidotekikadainitaisurukangaekatanitsuite_250305.pdf 62

現行法における漏えい等が生じた場合の対応当局への報告と本人への通知が必要 4類型 ① 要配慮個人情報の漏えい等 ② 財産的被害のおそれがある漏えい等 ③ 不正の目的によるおそれがある漏えい等 ④
本人数1,000人を超える漏えい等 ①～③は件数に関わりなく対象漏えい等企業個人情報保護委員会被害者（本人）報告（速報：3-5日以内、確報：原則30日以内）通知 63

現行法における漏えい等が生じた場合の対応（改正後？）当局への報告と本人への通知が必要 4類型 ① 要配慮個人情報の漏えい等 ② 財産的被害のおそれがある漏えい等 ③ 不正の目的によるおそれがある漏えい等 ④
本人数1,000人を超える漏えい等 ⑤ 違法な個人データの第三者提供（追加？） ①～③は件数に関わりなく対象漏えい等企業個人情報保護委員会被害者（本人）報告（速報：3-5日以内、確報：原則30日以内）通知影響が少ないケースでは代替措置を許容？一定の要件を満たす場合速報免除、まとめて確報を許容？ 64

現行法における漏えい等が生じた場合の対応（改正後？）当局への報告と本人への通知が必要 4類型 ① 要配慮個人情報の漏えい等 ② 財産的被害のおそれがある漏えい等 ③ 不正の目的によるおそれがある漏えい等 ④
本人数1,000人を超える漏えい等 ⑤ 違法な個人データの第三者提供（追加？） ①～③は件数に関わりなく対象漏えい等企業個人情報保護委員会被害者（本人）報告（速報：3-5日以内、確報：原則30日以内）通知影響が少ないケースでは代替措置を許容？一定の要件を満たす場合速報免除、まとめて確報を許容？ 65

不適正利用等防止

不適正利用等 ⚫ 個人情報ではないが、特定の個人に対する働きかけが可能となる情報について、不適正利用及び不正取得を禁止する。 ⚫ 本人の求めにより提供を停止すること等を条件に同意なく第三者提供を可能とする制度（オプトアウト制度）について、提供先の身元及び利用目的の確認を義務化する。 67 個人情報保護委員会「個人情報保護法
いわゆる３年ごと見直しの制度改正方針概要」 https://www.ppc.go.jp/files/pdf/01-2_seidokaiseihousin_gaiyou.pdf

個人関連情報等の不適正利用・不適正取得の禁止特定の個人に対する働きかけが可能となる個人関連情報等について、不適正利用及び不正取得を禁止する※。個人情報保護委員会「個人情報保護法いわゆる３年ごと見直しの制度改正方針」（令和８年１月９日） https://www.ppc.go.jp/files/pdf/01-1_seidokaiseihousin.pdf

個人関連情報等の不適正利用・不適正取得の禁止特定の個人に対して何らかの連絡を行うことができる記述等である電話番号、メールアドレス、Cookie ID 等を含む情報については、当該情報が個人情報に該当しない場合であっても、当該個人への連絡を通じて当該個人のプライバシー、財産権等の権利利益の侵害が発生（注 15）し得る上、当該記述等を媒介として秘匿性の高い記述等を含む情報を名寄せすることにより、プライバシー等が侵害されたり、上記連絡を通じた個人の権利利益の侵害がより深刻なものとなったり
するおそれ（注 16）がある。このような記述等が含まれる個人関連情報（注 17）について、個人の権利利益の侵害につながる蓋然性の特に高い行為類型である不適正利用及び不正取得に限って、個人情報と同様の規律を導入することとしてはどうか。また、上記のような記述等が含まれる仮名加工情報及び匿名加工情報（注 18）についても同様の趣旨が当てはまることから、同様の規律を導入してはどうか。個人情報保護委員会「個人情報保護法の制度的課題に対する考え方について」（令和７年３月５日） https://www.ppc.go.jp/files/pdf/seidotekikadainitaisurukangaekatanitsuite_250305.pdf 70

個人関連情報等の不適正利用・不適正取得の禁止注 15 ：例えば、メールアドレス等を用いて、有名企業等をかたったメール等を個人に送信し、当該メールの本文に記載したフィッシングサイトの URL にアクセスさせて認証情報やクレジットカード情報等を窃取する事例等が挙げられる。注 16
：例えば、オンラインメンタルヘルスカウンセリングサービスを運営する事業者が、ユーザーから取得したメールアドレス及び健康情報を、治療支援等のためにのみ利用し第三者に共有しない旨等を約していたにもかかわらず、広告目的で第三者に提供する事例等が挙げられる。注 17：具体的には、特定の個人の所在地（住居、勤務先等）、電話番号、メールアドレス、Cookie ID 等の記述等（これを利用して特定の個人に対して連絡を行うことができるものに限る。）を含む個人関連情報等を規律の対象とすることを想定している。注 18：具体的には、注 17 の記述等を含む仮名加工情報・匿名加工情報等を規律の対象とすることを想定している。個人情報保護委員会「個人情報保護法の制度的課題に対する考え方について」（令和７年３月５日） https://www.ppc.go.jp/files/pdf/seidotekikadainitaisurukangaekatanitsuite_250305.pdf 71

オプトアウト制度に係る確認義務オプトアウト制度に基づく第三者提供時の提供先の身元及び利用目的の確認を義務化する。個人情報保護委員会「個人情報保護法いわゆる３年ごと見直しの制度改正方針」（令和８年１月９日） https://www.ppc.go.jp/files/pdf/01-1_seidokaiseihousin.pdf

オプトアウト制度に係る確認義務個人データがオプトアウト制度に基づいて悪質な名簿屋に提供され、犯罪者グループ等に利用されることを防止するため、オプトアウト制度に基づく個人データの提供時の確認義務を創設する必要があるのではないか。具体的には、以下の規律を導入することが考えられるのではないか。 • オプトアウト制度に基づき個人データを第三者に提供するときは、あらかじめ、当該第三者（提供先）の身元（氏名又は名称、住所、代表者氏名）及び利用目的を確認しなければならないこととしてはどうか。その場合において、一定の例外事由（注28）を設ける必要があるのではないか。
• 当該第三者（提供先）は、オプトアウト届出事業者（提供元）が上記確認を行う場合において、上記確認に係る事項を偽ってはならないこととし、これに違反した者（提供先）に対して、過料を科すこととしてはどうか。注 28 ：例えば、オプトアウト届出事業者が当該個人データを取得した時点において、当該個人データが本人、国の機関、地方公共団体等によって公開されていたものである場合等が想定される。個人情報保護委員会「個人情報保護法の制度的課題に対する考え方について」（令和７年３月５日） https://www.ppc.go.jp/files/pdf/seidotekikadainitaisurukangaekatanitsuite_250305.pdf 74

規律遵守の実効性確保のための規律

規律遵守の実効性確保のための規律 ⚫ 速やかに違反行為の是正を求めることができるよう命令の要件を見直し、さらに、本人に対する違反行為に係る事実の通知又は公表等の本人の権利利益の保護のために必要な措置をとるよう勧告・命令することも可能とする。 ⚫ 違反行為を補助等する第三者に対して当該違反行為の中止のために必要な措置等をとるよう要請する際の根拠規定を設ける。 ⚫
個人情報データベース等の不正提供等に係る罰則について加害目的の提供行為も処罰対象とするとともに法定刑を引き上げ、また、詐欺行為等により個人情報を不正に取得する行為に対する罰則を設ける。 ⚫ 経済的誘因のある、大量の個人情報の取扱いによる悪質な違反行為を実効的に抑止するため、重大な違反行為により個人の権利利益が侵害された場合等について、当該違反行為によって得られた財産的利益等に相当する額の課徴金の納付を命ずることとする。 76 個人情報保護委員会「個人情報保護法いわゆる３年ごと見直しの制度改正方針概要」 https://www.ppc.go.jp/files/pdf/01-2_seidokaiseihousin_gaiyou.pdf

命令要件の見直し、本人への通知・公表等に係る勧告・命令速やかに違反行為の是正を求めることができるよう命令の要件を見直し、さらに、本人に対する違反行為に係る事実の通知又は公表等の本人の権利利益の保護のために必要な措置をとるよう勧告・命令することも可能とする。個人情報保護委員会「個人情報保護法いわゆる３年ごと見直しの制度改正方針」（令和８年１月９日） https://www.ppc.go.jp/files/pdf/01-1_seidokaiseihousin.pdf

命令要件の見直し速やかに是正を図る必要がある事案に対する勧告・命令の在り方 • 現行法上、緊急命令は、違反行為による個人の重大な権利利益の侵害が既に発生している場合に限り、当該違反行為を是正させるために発出し得るが、個人の権利利益の侵害を防ぐ観点から、重大な権利利益の侵害が切迫している段階において速やかに緊急命令を発出して違反行為を是正させる必要のある事案が生じている。 • そこで、違反行為により個人の重大な権利利益が侵害される事実が既に発生し
ている場合に加えて、当該侵害が切迫している場合においても、（勧告を経ることなく）緊急命令を発出することができるようにしてはどうか。 • また、違反行為による個人の重大な権利利益の侵害がいまだ切迫しているとまでは認められない場合であっても、当該侵害のおそれが生じており、かつ、勧告によって自主的な是正を待ったにもかかわらず、依然として当該違反行為が是正されない場合においては、命令を発出することができるようにしてはどうか。個人情報保護委員会「個人情報保護法の制度的課題に対する考え方について」（令和７年３月５日） https://www.ppc.go.jp/files/pdf/seidotekikadainitaisurukangaekatanitsuite_250305.pdf

現行法の規定現行の個人情報保護法第148条２委員会は、前項の規定による勧告を受けた個人情報取扱事業者等が正当な理由がなくてその勧告に係る措置をとらなかった場合において個人の重大な権利利益の侵害が切迫していると認めるときは、当該個人情報取扱事業者等に対し、その勧告に係る措置をとるべきことを命ずることができる。３委員会は、前二項の規定にかかわらず、個人情報取扱事業者が…の規定に違反した場合において個人の重大な権利利益を害する事実があるため緊急に措置を
とる必要があると認めるときは、当該個人情報取扱事業者等に対し、当該違反行為の中止その他違反を是正するために必要な措置をとるべきことを命ずることができる。３項関係：権利侵害が切迫している場合＞命令を可能にする

本人への通知・公表等に係る勧告・命令個人の権利利益のより実効的な保護のための勧告・命令の内容の在り方 • 法に違反する個人情報等の取扱いがあった場合において、本人が自らその権利利益を保護するための措置を講ずるためには、その前提として、当該取扱いがあったことを認知する必要がある。 • そこで、違反行為の中止その他違反を是正するために必要な措置に加えて、本人に対する違反行為に係る事実の通知又は公表その他の本人の権利利益の保護のために必要な措置を勧告・命令の内容とすることができることとしてはどう
か。個人情報保護委員会「個人情報保護法の制度的課題に対する考え方について」（令和７年３月５日） https://www.ppc.go.jp/files/pdf/seidotekikadainitaisurukangaekatanitsuite_250305.pdf

第三者への要請の導入違反行為を補助等する第三者に対して当該違反行為の中止のために必要な措置等をとるよう要請する際の根拠規定を設ける。個人情報保護委員会「個人情報保護法いわゆる３年ごと見直しの制度改正方針」（令和８年１月９日） https://www.ppc.go.jp/files/pdf/01-1_seidokaiseihousin.pdf

第三者への要請の導入命令に従わない個人情報取扱事業者等の個人情報等の取扱いに関係する第三者への要請の導入の要否 • 近時、違反行為の中止命令及び当該命令違反の罪に係る刑事告発を受けるに至っても当該違反行為を停止しない悪質な個人情報取扱事業者等が現れてきている。個人情報取扱事業者等による違法な個人情報等の取扱いにより個人の権利利益の侵害又はそのおそれが生じ、個人情報保護委員会（以下「委員会」という。）による命令が発出されたが、当該個人情報取扱事業者等がこれに従わない場合において、当該違反行為による個人の権利利益の侵害又はそのおそれ
を排除するためには、当該個人情報等の取扱過程や流通過程の一部に関わることとなってしまっている事業者が、当該取扱いのために用いられる役務の提供の停止、当該個人情報等の送信の中止等の措置をとることが必要かつ効果的である。個人情報保護委員会「個人情報保護法の制度的課題に対する考え方について」（令和７年３月５日） https://www.ppc.go.jp/files/pdf/seidotekikadainitaisurukangaekatanitsuite_250305.pdf

第三者への要請の導入命令に従わない個人情報取扱事業者等の個人情報等の取扱いに関係する第三者への要請の導入の要否 • 現行法上は、委員会による命令は、法の義務規定に違反した個人情報取扱事業者等に対してのみ発出することができるものであり、当該違反行為に関わることとなってしまっている第三者に対して、当該個人情報取扱事業者等へのサービス提供の停止等を命じることはできず、任意の要請に係る根拠規定もない。 • これを踏まえ、違反事業者に対する命令が発出されている場合における、以下
二つの類型の委員会による第三者に対する要請について、根拠規定を設けることとしてはどうか。個人情報保護委員会「個人情報保護法の制度的課題に対する考え方について」（令和７年３月５日） https://www.ppc.go.jp/files/pdf/seidotekikadainitaisurukangaekatanitsuite_250305.pdf

第三者への要請の導入命令に従わない個人情報取扱事業者等の個人情報等の取扱いに関係する第三者への要請の導入の要否 • 委員会による命令を受けた個人情報取扱事業者等による違法な個人情報等の取扱いを、当該個人情報取扱事業者等との契約に基づき補助する第三者（＊１）に対する、当該違反行為を中止させるために必要な措置を講ずるべき旨の要請。 • 委員会による命令を受けた個人情報取扱事業者等による違法な個人情報等の取扱いが、特定電気通信による当該個人情報等の送信である場合における、当該
特定電気通信による当該個人情報等の流通に係る特定電気通信役務を提供する特定電気通信役務提供者（＊２）に対する、当該流通を防止するために必要な措置を講ずるべき旨の要請。＊１：クラウド、ホスティング、DNS事業者等を想定＊２：検索サービス事業者等を想定個人情報保護委員会「個人情報保護法の制度的課題に対する考え方について」（令和７年３月５日） https://www.ppc.go.jp/files/pdf/seidotekikadainitaisurukangaekatanitsuite_250305.pdf

第三者への要請の導入命令に従わない個人情報取扱事業者等の個人情報等の取扱いに関係する第三者への要請の導入の要否 • 第三者が上記要請に応じた場合における、当該第三者の当該個人情報取扱事業者等に対する損害賠償責任を制限することとしてはどうか。個人情報保護委員会「個人情報保護法の制度的課題に対する考え方について」（令和７年３月５日） https://www.ppc.go.jp/files/pdf/seidotekikadainitaisurukangaekatanitsuite_250305.pdf

処罰対象の拡大、法定刑の引き上げ個人情報データベース等の不正提供等に係る罰則について加害目的の提供行為も処罰対象とするとともに法定刑を引き上げ、また、詐欺行為等により個人情報を不正に取得する行為に対する罰則を設ける※。個人情報保護委員会「個人情報保護法いわゆる３年ごと見直しの制度改正方針」（令和８年１月９日） https://www.ppc.go.jp/files/pdf/01-1_seidokaiseihousin.pdf

処罰対象の拡大、法定刑の引き上げ ⚫現行法上、第 179 条及び第 180 条が定める刑事罰の対象となる個人情報データベース等又は保有個人情報の提供行為は、不正な利益を図る目的での提供行為に限られているが、本人の権利利益を害する程度には、不正な利益を図る目的での提供行為と加害目的での提供行為とで差異が認められないため、この点を見直し、「不正な利益を図る目的」に加え、「損害を加える目的」に基づく提
供行為についても、法第 179 条及び第 180 条に基づく刑事罰の対象行為としてはどうか。 ⚫また、不正に取得された個人情報は、当該情報を用いた詐欺その他の犯罪等につながり得る不適正な利用がなされる蓋然性が高いため、詐欺行為や不正アクセス行為その他の個人情報を保有する者の管理を害する行為により個人情報を取得する行為について、当罰性の観点から「不正な利益を図る目的」又は「損害を加える目的」に基づくものに限定した上で、直罰の対象とする必要があるのではないか。 ⚫なお、各罰則規定の法定刑について、他の罰則規定との均衡を踏まえ、適切な見直しをすることが適当ではないか。個人情報保護委員会「個人情報保護法の制度的課題に対する考え方について」（令和７年３月５日） https://www.ppc.go.jp/files/pdf/seidotekikadainitaisurukangaekatanitsuite_250305.pdf 90

課徴金経済的誘因のある、大量の個人情報の取扱いによる悪質な違反行為を実効的に抑止するため、重大な違反行為により個人の権利利益が侵害された場合等について、当該違反行為によって得られた財産的利益等に相当する額の課徴金の納付を命ずることとする（課徴金制度のより具体的な内容は別添の第２に記載のとおり。）。（注４）注４：課徴金制度については、対象とする違反行為を下記に限定することとする。・法第 19
条への違反行為（不適正利用）のうち、具体的に明記された類型・法第 20 条第 1 項への違反行為（不正取得）・法第 27 条第 1 項への違反行為（違法な第三者提供）・統計作成等の特例に係る義務への違反行為（目的外の利用、第三者提供）個人情報保護委員会「個人情報保護法いわゆる３年ごと見直しの制度改正方針」（令和８年１月９日） https://www.ppc.go.jp/files/pdf/01-1_seidokaiseihousin.pdf

課徴金の対象行為以下の行為又は当該行為をやめることの対価として金銭等を得たときを課徴金納付命令の対象とする。 ① 個人情報の提供であって、当該個人情報を利用して違法な行為又は不当な差別的取扱いを行うことが想定される状況にある第三者に対して行うもの ② 第三者の求めにより行う個人情報の利用であって、当該第三者が当該個人情報の利用を通じて違法な行為又は不当な差別的取扱いを行うことが想定される状況にある場合に行われるもの
③ 法第 20 条第 1 項の規定に違反して、偽りその他不正の手段により個人情報を取得し、当該個人情報を利用する行為 ④ 法第 27 条第 1 項の規定に違反して、あらかじめ本人の同意を得ないで、個人データを第三者に提供する行為 ⑤ 統計作成等の特例に基づき取得した個人情報を、当該特例に係る義務に反して目的外に取り扱う行為又は第三者に提供する行為等個人情報保護委員会「個人情報保護法いわゆる３年ごと見直しの制度改正方針」（令和８年１月９日） https://www.ppc.go.jp/files/pdf/01-1_seidokaiseihousin.pdf

対象行為以外の制度概要以下に該当する場合に限り、課徴金納付命令の対象となる。その場合において、課徴金額は、対象行為又は対象行為をやめることの対価として個人情報取扱事業者が得た金銭等の財産上の利益に相当する額とする。 ⚫当該個人情報取扱事業者が、当該対象行為を防止するための相当の注意を怠った者でないと認められる場合でないこと。（相当の注意（主観的要素）） ⚫当該対象行為に係る個人情報又は個人データの本人の数が 1,000 人を超えること。（大規模事案であること）
⚫個人の権利利益を害する程度が大きくない場合に該当しないこと。（権利利益侵害があること）その他、所要の規律を置くこととする。個人情報保護委員会「個人情報保護法いわゆる３年ごと見直しの制度改正方針」（令和８年１月９日） https://www.ppc.go.jp/files/pdf/01-1_seidokaiseihousin.pdf

課徴金個人情報保護委員会「個人情報保護法のいわゆる３年ごと見直しに関する検討会報告書」（令和６年12月25日）以下の４つの要件で対象範囲を限定した上、２つの違反行為に類型化（違反行為を限定するための要件） ① 対象行為（事態）を限定すること ② 違反行為者の主観的要素により限定すること ③
個人の権利利益が侵害された場合等に限定すること ④ 大規模な違反行為が行われた場合等に限定すること（違反行為の類型） • 違法な第三者提供等関連 • 漏えい等・安全管理措置義務違反関連 95

課徴金個人情報保護委員会「個人情報保護法のいわゆる３年ごと見直しに関する検討会報告書」（令和６年12月25日）以下の４つの要件で対象範囲を限定した上、２つの違反行為に類型化（違反行為を限定するための要件） ① 対象行為（事態）を限定すること ② 違反行為者の主観的要素により限定すること ③
個人の権利利益が侵害された場合等に限定すること ④ 大規模な違反行為が行われた場合等に限定すること（違反行為の類型） • 違法な第三者提供等関連（18条を対象外＋統計作成等の特例を追加） • 漏えい等・安全管理措置義務違反関連 96

課徴金の要件のイメージ違反行為（27Ⅰ、19、18、20違反）＋金銭的利得【要件①】【要件②】主観的要素（相当の注意）により限定【要件③】個人の権利利益が侵害された場合等に限定【要件④】
大規模な事案に限定 1,000人以上課徴金納付命令の対象となり得る違反行為 97

課徴金の要件のイメージ違反行為（27Ⅰ、19（限定）、18、20、統計情報の特例違反）＋金銭的利得【要件①】【要件②】主観的要素（相当の注意）により限定【要件③】個人の権利利益が侵害された場合等に限定【要件④】
大規模な事案に限定 1,000人以上課徴金納付命令の対象となり得る違反行為 98

算定方法（違法な第三者提供等関連） • 違反事業者は、違反行為又は違反行為により取得した個人情報（すなわち違反行為がなければ取得し得なかった個人情報）から直接的に違法な収益を得ており、違反事業者が得る経済的利得そのものが違法な収益であるといえる。 • そこで、違反事業者が違反行為又は違反行為により取得した個人情報の利用に関して得た経済的利益の全額を課徴金額とすることが考えられる。さらに、違反行為をより実効的に抑止する観点から、当該財産的利益の全額を上回る金額を課徴金額とすることも考えられる。
• なお、課徴金額の算定基礎に係る推計規定を導入することも考えられる。個人情報保護委員会「個人情報保護法の制度的課題に対する考え方について」（令和７年３月５日） https://www.ppc.go.jp/files/pdf/seidotekikadainitaisurukangaekatanitsuite_250305.pdf 99

算定方法（違法な第三者提供等関連） • 違反事業者は、違反行為又は違反行為により取得した個人情報（すなわち違反行為がなければ取得し得なかった個人情報）から直接的に違法な収益を得ており、違反事業者が得る経済的利得そのものが違法な収益であるといえる。 • そこで、違反事業者が違反行為又は違反行為により取得した個人情報の利用に関して得た経済的利益の全額を課徴金額とすることが考えられる。さらに、違反行為をより実効的に抑止する観点から、当該財産的利益の全額を上回る金額を課徴金額とすることも考えられる。
• なお、課徴金額の算定基礎に係る推計規定を導入することも考えられる。個人情報保護委員会「個人情報保護法の制度的課題に対する考え方について」（令和７年３月５日） https://www.ppc.go.jp/files/pdf/seidotekikadainitaisurukangaekatanitsuite_250305.pdf 100

ご清聴ありがとうございました関原秀行（せきはらひでゆき） X（旧Twitter） Mail ：@Hide_Sekihara ：[email protected]

本資料はリーガルアドバイスを目的とするものではなく、個別の案件については当該案件の個別の事情に応じ、弁護士の適切なアドバイスを求めていただく必要があります。また、本資料に記載の見解にわたる部分は、当職の個人的見解であり、当職が所属し、または過去に所属した組織の見解ではありません。 102

「個人情報保護法いわゆる３年ごと見直しの制度改正方針」～想定される規律と企業側の対応～

「個人情報保護法いわゆる３年ごと見直しの制度改正方針」～想定される規律と企業側の対応～

関原秀行

More Decks by 関原秀行

Featured

Transcript