生成AI×個人情報保護法 ― 改正動向から読み解く実務の行方

Transcript

1. #改正動向から読み解く実務の行方 生成AI×個人情報保護法 ― 改正動向から読み解く実務の行方 2025.11.5 於 Legal Innovation Conference

2. #改正動向から読み解く実務の行方 「インターネット企業」 と「法律事務所LEACT」で兼業をしています 2 世古 修平（せこ しゅうへい） ◼ インターネット企業（インハウス・正社員） ◼

   法律事務所LEACT（弁護士 66期） ◼ IPA（試験委員） ◼ 経済産業省（電子商取引及び情報財取 引等に関する準則 研究会委員）

3. #改正動向から読み解く実務の行方 【@ インターネット企業】 法務部門ではなく、プライバシー部門でインハウスとして働いています 3 投影のみ

4. #改正動向から読み解く実務の行方 【@ 法律事務所LEACT】 プライバシー領域に絞ってサービスを提供しています 4

5. #改正動向から読み解く実務の行方 ついにLegal Innovation Conferenceにお声がけいただき嬉しく思います 5 出所：https://event.bengo4.com/20251105/

6. #改正動向から読み解く実務の行方 感想はぜひ、随時X（旧Twitter）でハッシュタグを付けて教えてください 6 # 改正動向から読み解く実務の行方

7. #改正動向から読み解く実務の行方 本日のお品書き ◼ 改正の動向 ◼ 注目ポイント ◼ 今日からできること 7

8. #改正動向から読み解く実務の行方 今日の前提となる論点的な話は、ぜひ過去のセミナー資料をご覧ください 8 出所：https://speakerdeck.com/seko_shuhei/ruo-shou-fa-wu-dan-dang-zhe-bi-jian-zeng-esok-kerusaas-sheng-cheng-aisabisuli-yong-shi-nofa-wu-tietukupointo

9. #改正動向から読み解く実務の行方 4月のセミナーは、電子書籍でもご覧いただける予定です 9

10. #改正動向から読み解く実務の行方 本日のお品書き ◼ 改正の動向 ◼ 注目ポイント ◼ 今日からできること 10

11. #改正動向から読み解く実務の行方 本日のお品書き ◼ 改正の動向 ➢「３年ごと見直し」とは ➢過去の改正背景・内容 ➢今回の見直しのトピック ◼ 注目ポイント ◼

    今日からできること 11

12. #改正動向から読み解く実務の行方 本日のお品書き ◼ 改正の動向 ➢「３年ごと見直し」とは ➢過去の改正背景・内容 ➢今回の見直しのトピック ◼ 注目ポイント ◼

    今日からできること 12

13. #改正動向から読み解く実務の行方 「3年ごと見直し」とは、制度的に組み込まれた法改正のルールです 13 出所：https://www.shugiin.go.jp/internet/itdb_housei.nsf/html/housei/20120200612044.htm 個人情報保護法（令和2年6月12日法律第44号附則10条）

14. #改正動向から読み解く実務の行方 「3年ごと見直し」とは、制度的に組み込まれた法改正のルールです 14 出所：https://www.shugiin.go.jp/internet/itdb_housei.nsf/html/housei/20120200612044.htm 個人情報保護法（令和2年6月12日法律第44号附則10条）

15. #改正動向から読み解く実務の行方 「3年ごと見直し」とは、制度的に組み込まれた法改正のルールです 15 出所：https://www.shugiin.go.jp/internet/itdb_housei.nsf/html/housei/20120200612044.htm 個人情報保護法（令和2年6月12日法律第44号附則10条） ＋３年 施行

16. #改正動向から読み解く実務の行方 個人情報保護法（令和2年6月12日法律第44号附則10条） 「3年ごと見直し」とは、制度的に組み込まれた法改正のルールです 16 出所：https://www.shugiin.go.jp/internet/itdb_housei.nsf/html/housei/20120200612044.htm ＋３年 見直し 施行 動向・状況

17. #改正動向から読み解く実務の行方 個人情報保護法（令和2年6月12日法律第44号附則10条） 「3年ごと見直し」とは、制度的に組み込まれた法改正のルールです 17 出所：https://www.shugiin.go.jp/internet/itdb_housei.nsf/html/housei/20120200612044.htm ＋３年 見直し 改正 施行 施行

    動向・状況

18. #改正動向から読み解く実務の行方 変化が早い領域なので、定期的な法改正自体は必要なことだと思います 18 出所：https://www.ppc.go.jp/files/pdf/r2kaiseihou.pdf （令和２年改正）

19. #改正動向から読み解く実務の行方 変化が早い領域なので、定期的な法改正自体は必要なことだと思います 19 出所：https://www.ppc.go.jp/files/pdf/r2kaiseihou.pdf （令和２年改正）

20. #改正動向から読み解く実務の行方 変化が早い領域なので、定期的な法改正自体は必要なことだと思います 20 出所：https://www.ppc.go.jp/files/pdf/r2kaiseihou.pdf （令和２年改正）

21. #改正動向から読み解く実務の行方 変化が早い領域なので、定期的な法改正自体は必要なことだと思います 21 出所：https://www.ppc.go.jp/files/pdf/r2kaiseihou.pdf （令和２年改正）

22. #改正動向から読み解く実務の行方 本日のお品書き ◼ 改正の動向 ➢「３年ごと見直し」とは ➢過去の改正背景・内容 ➢今回の見直しのトピック ◼ 注目ポイント ◼

    今日からできること 22

23. #改正動向から読み解く実務の行方 過去の主な改正の内容を振り返ってみましょう 23 2003年 （平成15年） 2015年 （平成27年） 2020年 （令和2年） 2021年

    （令和3年） 成立 改正 改正 改正

24. #改正動向から読み解く実務の行方 「施行」のタイミングを基準に、4つの改正を振り返ります 24 2005年 （平成17年） 2017年 （平成29年） 2022年 （令和4年） 2023年

    （令和5年） 2003年 （平成15年） 2015年 （平成27年） 2020年 （令和2年） 2021年 （令和3年） 成立 施行 施行 施行 施行 改正 改正 改正

25. #改正動向から読み解く実務の行方 ①2005年：現在の個人情報保護法のベースの成立 25 背景： ◼ 急速な情報化 ◼ 国際的な法制定の動向 制定内容： ◼

    個人情報保護法の全面施行 2005年 （平成17年） 2017年 （平成29年） 2022年 （令和4年） 2023年 （令和5年） 2003年 （平成15年） 成立 施行

26. #改正動向から読み解く実務の行方 ②2017年：個人情報保護法最初の改正の施行 26 2005年 （平成17年） 2017年 （平成29年） 2022年 （令和4年） 2023年

    （令和5年） 2015年 （平成27年） 改正 施行 背景： ◼ ビッグデータ時代 ◼ 名簿屋問題 制定内容： ◼ PPC新設 ◼ 個人情報の定義の明確化 ◼ 確認記録義務 ◼ ３年ごと見直しのルール

27. #改正動向から読み解く実務の行方 2005年 （平成17年） 2017年 （平成29年） 2022年 （令和4年） 2023年 （令和5年） 27

    2020年 （令和2年） 改正 施行 ③2022年：最初の「3年ごと見直し」改正の施行 背景： ◼ リクナビ事件 制定内容： ◼ 漏えい等の報告・通知 ◼ 不適正利用の禁止 ◼ 個人関連情報の提供

28. #改正動向から読み解く実務の行方 ④2023年：直近の改正の施行 2005年 （平成17年） 2017年 （平成29年） 2022年 （令和4年） 2023年 （令和5年）

    28 2021年 （令和3年） 改正 施行 背景： ◼ 官民の法制の不整合 制定内容： ◼ 官民一元化

29. #改正動向から読み解く実務の行方 改正自体が3年ごとにされるわけではなく、ちょっとわかりにくいですよね 29

30. #改正動向から読み解く実務の行方 30 ①３年ごとなのは「改正」「施行」ではなく、「見直し」の開始 ＋３年 見直し 改正 施行 施行

31. #改正動向から読み解く実務の行方 ②「X年改正」の「施行」はX＋N年後 31 見直し 改正 施行 施行 ＋N年 X年 X＋N年

32. #改正動向から読み解く実務の行方 ③「3年ごと見直し」以外の改正も発生する 32 2003年 （平成15年） 2015年 （平成27年） 2020年 （令和2年） 2021年

    （令和3年） 成立 改正 改正 改正 ３年ごと見直し ３年ごと見直し ３年ごと見直し ３年ごと見直し

33. #改正動向から読み解く実務の行方 33 【まとめ】現在、2022年を起算点とした3年ごと見直しが走っています 施行 改正 2022年 （令和4年） 2020年 （令和2年）

34. #改正動向から読み解く実務の行方 34 【まとめ】現在、2022年を起算点とした3年ごと見直しが走っています ＋３年 見直し 改正 施行 施行 改正 2022年

    （令和4年） 2020年 （令和2年） 2025年 （令和7年）

35. #改正動向から読み解く実務の行方 本日のお品書き ◼ 改正の動向 ➢「３年ごと見直し」とは ➢過去の改正背景・内容 ➢今回の見直しのトピック ◼ 注目ポイント ◼

    今日からできること 35

36. #改正動向から読み解く実務の行方 個人情報保護委員会の資料から、現在の検討状況をみてみましょう 36 出所： https://www.ppc.go.jp/personalinfo/3nengotominaoshi/

37. #改正動向から読み解く実務の行方 個人情報保護委員会は、有識者に対してヒアリングを実施しており… 37 出所：https://www.ppc.go.jp/files/pdf/seidotekikadainosaiseiri_r6.pdf

38. #改正動向から読み解く実務の行方 個人情報保護委員会は、有識者に対してヒアリングを実施しており… 38 出所：https://www.ppc.go.jp/files/pdf/seidotekikadainosaiseiri_r6.pdf

39. #改正動向から読み解く実務の行方 今回の見直しのテーマが3つのカテゴリーに整理されています 39

40. #改正動向から読み解く実務の行方 まずは「個人データ等の取扱いにおける本人関与」に関するもの 40

41. #改正動向から読み解く実務の行方 続いて「個人データ等の取扱いの態様の多様化等に」関するもの 41

42. #改正動向から読み解く実務の行方 そして「規律遵守の実効性を確保」するためのものです 42

43. #改正動向から読み解く実務の行方 今日の「生成AI」というお題も踏まえ、どこを取り上げると面白いかな… 43

44. #改正動向から読み解く実務の行方 まずは本命の「統計作成等」を目的とした場合の同意規制の軽減 44 1

45. #改正動向から読み解く実務の行方 続いてこちらも生成AIサービス利用で重要な、委託先への監督に関するもの 45 2

46. #改正動向から読み解く実務の行方 最後に、皆が悩まされる漏えい等発生時の対応を取り上げます 46 3

47. #改正動向から読み解く実務の行方 47 出所：https://www.ppc.go.jp/files/pdf/minaoshi_kongonosusumekatanitsuite_r6.pdf 「今後の検討の進め方について」で論点が整理されています

48. #改正動向から読み解く実務の行方 48 出所：https://www.ppc.go.jp/files/pdf/minaoshi_kongonosusumekatanitsuite_r6.pdf 「今後の検討の進め方について」で論点が整理されています

49. #改正動向から読み解く実務の行方 本日のお品書き ◼ 改正の動向 ◼ 注目ポイント ➢ ①同意規制 ➢ ②委託先の監督

    ➢ ③漏えい等対応 ◼ 今日からできること 49

50. #改正動向から読み解く実務の行方 本日のお品書き ◼ 改正の動向 ◼ 注目ポイント ➢ ①同意規制 ➢ ②委託先の監督

    ➢ ③漏えい等対応 ◼ 今日からできること 50

51. #改正動向から読み解く実務の行方 まずは「今後の検討の進め方について」での言及内容を見てみましょう 51 出所：https://www.ppc.go.jp/files/pdf/minaoshi_kongonosusumekatanitsuite_r6.pdf

52. #改正動向から読み解く実務の行方 まずは「今後の検討の進め方について」での言及内容を見てみましょう 52 出所：https://www.ppc.go.jp/files/pdf/minaoshi_kongonosusumekatanitsuite_r6.pdf

53. #改正動向から読み解く実務の行方 53 （適正な取得） 第20条2項 個人情報取扱事業者は、次に掲げる場合を除くほか、あらかじめ本人の同意を得ないで、要配慮個人情報 を取得してはならない。 （第三者提供） 第27条1項 個人情報取扱事業者は、次に掲げる場合を除くほか、あらかじめ本人の同意を得ないで、個人データを第 三者に提供してはならない。

    （外国にある第三者への提供の制限） 第28条1項 個人情報取扱事業者は、外国（略）にある第三者（略）に個人データを提供する場合には、前条第一項各 号に掲げる場合を除くほか、あらかじめ外国にある第三者への提供を認める旨の本人の同意を得なければ ならない。（略） 個情法上、「同意」の取得が問題になる場面はいくつかあります

54. #改正動向から読み解く実務の行方 54 （適正な取得） 第20条2項 個人情報取扱事業者は、次に掲げる場合を除くほか、あらかじめ本人の同意を得ないで、要配慮個人情報 を取得してはならない。 （第三者提供） 第27条1項 個人情報取扱事業者は、次に掲げる場合を除くほか、あらかじめ本人の同意を得ないで、個人データを第 三者に提供してはならない。

    （外国にある第三者への提供の制限） 第28条1項 個人情報取扱事業者は、外国（略）にある第三者（略）に個人データを提供する場合には、前条第一項各 号に掲げる場合を除くほか、あらかじめ外国にある第三者への提供を認める旨の本人の同意を得なければ ならない。（略） 要配慮個人情報の取得

55. #改正動向から読み解く実務の行方 個人データの第三者提供 55 （適正な取得） 第20条2項 個人情報取扱事業者は、次に掲げる場合を除くほか、あらかじめ本人の同意を得ないで、要配慮個人情報 を取得してはならない。 （第三者提供） 第27条1項 個人情報取扱事業者は、次に掲げる場合を除くほか、あらかじめ本人の同意を得ないで、個人データを第

    三者に提供してはならない。 （外国にある第三者への提供の制限） 第28条1項 個人情報取扱事業者は、外国（略）にある第三者（略）に個人データを提供する場合には、前条第一項各 号に掲げる場合を除くほか、あらかじめ外国にある第三者への提供を認める旨の本人の同意を得なければ ならない。（略）

56. #改正動向から読み解く実務の行方 外国にある第三者への提供 56 （外国にある第三者への提供の制限） 第28条1項 個人情報取扱事業者は、外国（略）にある第三者（略）に個人データを提供する場合には、前条第一項各 号に掲げる場合を除くほか、あらかじめ外国にある第三者への提供を認める旨の本人の同意を得なければ ならない。（略） （適正な取得） 第20条2項

    個人情報取扱事業者は、次に掲げる場合を除くほか、あらかじめ本人の同意を得ないで、要配慮個人情報 を取得してはならない。 （第三者提供） 第27条1項 個人情報取扱事業者は、次に掲げる場合を除くほか、あらかじめ本人の同意を得ないで、個人データを第 三者に提供してはならない。

57. #改正動向から読み解く実務の行方 今日は第三者提供における「同意」に着目してみます 57 （第三者提供） 第27条1項 個人情報取扱事業者は、次に掲げる場合を除くほか、あらかじめ本人の同意を得ないで、個人データを第 三者に提供してはならない。 （外国にある第三者への提供の制限） 第28条1項 個人情報取扱事業者は、外国（略）にある第三者（略）に個人データを提供する場合には、前条第一項各

    号に掲げる場合を除くほか、あらかじめ外国にある第三者への提供を認める旨の本人の同意を得なければ ならない。（略） （適正な取得） 第20条2項 個人情報取扱事業者は、次に掲げる場合を除くほか、あらかじめ本人の同意を得ないで、要配慮個人情報 を取得してはならない。

58. #改正動向から読み解く実務の行方 これはデータのライフサイクルにおける「提供」に着目した規制です 58 取得 利用 安全管理 提供 消去

59. #改正動向から読み解く実務の行方 日本の個人情報保護法のガイドラインの構成を見てみると、 59 出所：https://www.ppc.go.jp/personalinfo/legal/guidelines_tsusoku/

60. #改正動向から読み解く実務の行方 60 「提供」に着目したルールがありますが、 利用 提供 提供 取得 管理 漏えい 権利

61. #改正動向から読み解く実務の行方 GDPR等外国の法制度では、「提供」に着目して規制するのはまれ 61 取扱い 権利 管理 越境 提供 出所：https://gdpr-info.eu/

62. #改正動向から読み解く実務の行方 この場合「取扱い」一般についての規制の中で適法性が判断されます 62 「取扱いの適法性」 出所：https://gdpr-info.eu/

63. #改正動向から読み解く実務の行方 「正当な利益」 その中の「正当な利益」について見てみましょう 63 出所：https://gdpr-info.eu/

64. #改正動向から読み解く実務の行方 64 （略） 出所：https://www.ppc.go.jp/files/pdf/gdpr-provisions-ja.pdf その中の「正当な利益」について見てみましょう

65. #改正動向から読み解く実務の行方 本改正は「正当な利益」としての第三者提供を認めるものとも理解できます 65 事業者の 利益 データ主体の 利益

66. #改正動向から読み解く実務の行方 本改正は「正当な利益」としての第三者提供を認めるものとも理解できます 66 出所：https://www.ppc.go.jp/files/pdf/minaoshi_kongonosusumekatanitsuite_r6.pdf 「今後の検討の進め方について」

67. #改正動向から読み解く実務の行方 本改正は「正当な利益」としての第三者提供を認めるものとも理解できます 67 「今後の検討の進め方について」 出所：https://www.ppc.go.jp/files/pdf/minaoshi_kongonosusumekatanitsuite_r6.pdf

68. #改正動向から読み解く実務の行方 本改正は「正当な利益」としての第三者提供を認めるものとも理解できます 68 出所：https://www.ppc.go.jp/files/pdf/minaoshi_kongonosusumekatanitsuite_r6.pdf 「今後の検討の進め方について」

69. #改正動向から読み解く実務の行方 本改正は「正当な利益」としての第三者提供を認めるものとも理解できます 69 出所：https://www.ppc.go.jp/files/pdf/minaoshi_kongonosusumekatanitsuite_r6.pdf 「今後の検討の進め方について」

70. #改正動向から読み解く実務の行方 この改正がなされると、どんな良いことがあるの？ 70

71. #改正動向から読み解く実務の行方 これは現在、各所で具体のユースケースが議論されているところですが 71 出所：AI時代における適正なパーソナルデータ活用の在り方検討会 ケース別検討部会

72. #改正動向から読み解く実務の行方 例えば、to BのSaaSは委託データを使ったAI開発の範囲が広がる？ 72

73. #改正動向から読み解く実務の行方 委託は「委託元の利用目的の達成に必要な範囲内」で行われるものですよね 委託元 委託先 73 過去セミナー資料より 出所：https://www.ppc.go.jp/personalinfo/legal/guidelines_tsusoku/

74. #改正動向から読み解く実務の行方 委託は「委託元の利用目的の達成に必要な範囲内」で行われるものですよね 委託元 委託先 74 出所：https://www.ppc.go.jp/personalinfo/legal/guidelines_tsusoku/ 過去セミナー資料より

75. #改正動向から読み解く実務の行方 よって、委託先では「委託された業務の範囲内でのみ」取扱いが許されます 出所：https://www.ppc.go.jp/personalinfo/faq/APPI_QA/#q7-38 委託元 委託先 75 過去セミナー資料より

76. #改正動向から読み解く実務の行方 委託先は、委託された業務の範囲外で加工することはできません 出所：https://www.ppc.go.jp/personalinfo/faq/APPI_QA/#q7-38 委託元 委託先 76 過去セミナー資料より

77. #改正動向から読み解く実務の行方 他方で、委託された業務の範囲内なのであれば… 出所：https://www.ppc.go.jp/personalinfo/faq/APPI_QA/#q7-39 委託元 委託先 77 過去セミナー資料より

78. #改正動向から読み解く実務の行方 自社の分析技術の改善等に利用することができます 出所：https://www.ppc.go.jp/personalinfo/faq/APPI_QA/#q7-39 委託元 委託先 78 過去セミナー資料より

79. #改正動向から読み解く実務の行方 こうなると、気になるのはどこまでが利用目的の達成に必要な範囲内かです 既存機能の改善？ 79 過去セミナー資料より

80. #改正動向から読み解く実務の行方 委託元に提供しているプロダクトの、新機能の開発はどうでしょうか？ 既存機能の改善？ 新機能の開発？ 80 過去セミナー資料より

81. #改正動向から読み解く実務の行方 さらに進んで、委託元が潜在ユーザーである別プロダクトの開発は？ 既存機能の改善？ 新機能の開発？ 別プロダクトの開発？ 81 過去セミナー資料より

82. #改正動向から読み解く実務の行方 新機能の開発までが、適法性を説明しやすい限界ラインかなと考えています 既存機能の改善 新機能の開発 別プロダクトの開発 82 過去セミナー資料より

83. #改正動向から読み解く実務の行方 他方で、今回の改正がなされると… 83

84. #改正動向から読み解く実務の行方 委託で預かっているデータの利用余地が広がるかもしれません 既存機能の改善 新機能の開発 別プロダクトの開発 84 ？

85. #改正動向から読み解く実務の行方 本日のお品書き ◼ 改正の動向 ◼ 注目ポイント ➢ ①同意規制 ➢ ②委託先の監督

    ➢ ③漏えい等対応 ◼ 今日からできること 85

86. #改正動向から読み解く実務の行方 こちらも「今後の検討の進め方について」での言及内容を見てみましょう 86 出所：https://www.ppc.go.jp/files/pdf/minaoshi_kongonosusumekatanitsuite_r6.pdf

87. #改正動向から読み解く実務の行方 こちらも「今後の検討の進め方について」での言及内容を見てみましょう 87 出所：https://www.ppc.go.jp/files/pdf/minaoshi_kongonosusumekatanitsuite_r6.pdf

88. #改正動向から読み解く実務の行方 プラットフォーマーやビッグテック企業の存在感は増す一方です 88

89. #改正動向から読み解く実務の行方 SaaSの利用も増えていますよね 89 出所：https://corp.freee.co.jp/news/0717bundle_by_freee.html

90. #改正動向から読み解く実務の行方 これらSaaS等の利用は「委託」として整理されることが多いと思います 90 提供先 提供元 委託

91. #改正動向から読み解く実務の行方 「委託」によって個人データを提供する場合、委託先の監督が必要です 91 委託元 委託先 監督

92. #改正動向から読み解く実務の行方 監督としては、3つの項目への対応が求められていますが 92 出所：https://www.ppc.go.jp/personalinfo/legal/guidelines_tsusoku/#a3-4-4

93. #改正動向から読み解く実務の行方 パワーバランスの観点から、十分な監督ができないことも 93

94. #改正動向から読み解く実務の行方 PF側が、日本の法律に合わせて情報を開示してくれることは少ないし 94 出所：https://www.ppc.go.jp/personalinfo/legal/guidelines_tsusoku/#a3-4-4

95. #改正動向から読み解く実務の行方 「定期的に監査」を行うのにもそれなりにハードルがあります 95 出所：https://www.ppc.go.jp/personalinfo/legal/guidelines_tsusoku/#a3-4-4

96. #改正動向から読み解く実務の行方 そんな背景を踏まえて、こういうことを言っているのかな？ 96

97. #改正動向から読み解く実務の行方 97 海外企業の場合、現在でもウェブ上で一定の情報が公開されていることも

98. #改正動向から読み解く実務の行方 DPAという「個人情報の取扱いに関する覚書」のような文書です 98 DPA： ①Data Processing Addendum ②Data Processing Agreement

99. #改正動向から読み解く実務の行方 とりわけ海外企業の場合、検索すればウェブ上で出てくることも 99 DPA 企業名

100. #改正動向から読み解く実務の行方 DPAを見れば、安全管理措置の実施状況をチェックすることができます

101. #改正動向から読み解く実務の行方 日本法でも、委託先自ら情報開示を行うような運用はあり得るのかも 101

102. #改正動向から読み解く実務の行方 本日のお品書き ◼ 改正の動向 ◼ 注目ポイント ➢ ①同意規制 ➢ ②委託先の監督

     ➢ ③漏えい等対応 ◼ 今日からできること 102

103. #改正動向から読み解く実務の行方 こちらも「今後の検討の進め方について」での言及内容を見てみましょう 103 出所：https://www.ppc.go.jp/files/pdf/minaoshi_kongonosusumekatanitsuite_r6.pdf

104. #改正動向から読み解く実務の行方 こちらも「今後の検討の進め方について」での言及内容を見てみましょう 104 出所：https://www.ppc.go.jp/files/pdf/minaoshi_kongonosusumekatanitsuite_r6.pdf

105. #改正動向から読み解く実務の行方 現状は、PPCへの報告が必要な場合には、本人への通知も必要です 105 第26条 1 個人情報取扱事業者は、その取り扱う個人データの漏えい、滅失、毀損その他の個人データ の安全の確保に係る事態であって個人の権利利益を害するおそれが大きいものとして個人情 報保護委員会規則で定めるものが生じたときは、個人情報保護委員会規則で定めるところによ り、当該事態が生じた旨を個人情報保護委員会に報告しなければならない。ただし、当該個人 情報取扱事業者が、他の個人情報取扱事業者又は行政機関等から当該個人データの取扱い

     の全部又は一部の委託を受けた場合であって、個人情報保護委員会規則で定めるところにより、 当該事態が生じた旨を当該他の個人情報取扱事業者又は行政機関等に通知したときは、この 限りでない。 ２ 前項に規定する場合には、個人情報取扱事業者（同項ただし書の規定による通知をした者 を除く。）は、本人に対し、個人情報保護委員会規則で定めるところにより、当該事態が生じた旨 を通知しなければならない。ただし、本人への通知が困難な場合であって、本人の権利利益を 保護するため必要なこれに代わるべき措置をとるときは、この限りでない。

106. #改正動向から読み解く実務の行方 現状は、PPCへの報告が必要な場合には、本人への通知も必要です 106 第26条 1 個人情報取扱事業者は、その取り扱う個人データの漏えい、滅失、毀損その他の個人データ の安全の確保に係る事態であって個人の権利利益を害するおそれが大きいものとして個人情 報保護委員会規則で定めるものが生じたときは、個人情報保護委員会規則で定めるところによ り、当該事態が生じた旨を個人情報保護委員会に報告しなければならない。ただし、当該個人 情報取扱事業者が、他の個人情報取扱事業者又は行政機関等から当該個人データの取扱い

     の全部又は一部の委託を受けた場合であって、個人情報保護委員会規則で定めるところにより、 当該事態が生じた旨を当該他の個人情報取扱事業者又は行政機関等に通知したときは、この 限りでない。 ２ 前項に規定する場合には、個人情報取扱事業者（同項ただし書の規定による通知をした者 を除く。）は、本人に対し、個人情報保護委員会規則で定めるところにより、当該事態が生じた旨 を通知しなければならない。ただし、本人への通知が困難な場合であって、本人の権利利益を 保護するため必要なこれに代わるべき措置をとるときは、この限りでない。

107. #改正動向から読み解く実務の行方 そして、PPCへの報告が必要なケースとしては4つの類型が示されています 107 出所：https://www.ppc.go.jp/personalinfo/legal/guidelines_tsusoku

108. #改正動向から読み解く実務の行方 しかし、こんなケースでは本人通知はそこまで必要性は高くない場合も 108 ◼ 漏えいしたデータが、単独で特定の個人を識別できず、かつ機微性が低い場合 ◼ 漏えいの「おそれ」は否定できないが、現実的な危険性が低い場合 ◼ 滅失や毀損が生じており「漏えい等」には該当するが、ユーザーへの影響がほとんど ない場合

109. #改正動向から読み解く実務の行方 しかし、こんなケースでは本人通知はそこまで必要性は高くない場合も 109 ◼ 漏えいしたデータが、単独で特定の個人を識別できず、かつ機微性が低い場合 ◼ 漏えいの「おそれ」は否定できないが、現実的な危険性が低い場合 ◼ 滅失や毀損が生じており「漏えい等」には該当するが、ユーザーへの影響がほとんど ない場合

110. #改正動向から読み解く実務の行方 「ユーザー登録情報」と「利用履歴情報」のテーブルがあるとします ユーザーID 氏名 電話番号 メールアドレス 00001 00002 ユーザーID Aサービス

     利用履歴情報 00001 00002 ユーザー登録情報 利用履歴情報 110 過去セミナー資料より

111. #改正動向から読み解く実務の行方 「利用履歴情報」が被害にあった場合はどうでしょうか？ ユーザーID Aサービス 利用履歴情報 00001 00002 利用履歴情報 111 過去セミナー資料より

112. #改正動向から読み解く実務の行方 ユーザー登録情報の被害が漏えいに該当することはもちらろん、 ユーザーID 氏名 電話番号 メールアドレス 00001 00002 ユーザー登録情報 112

     過去セミナー資料より

113. #改正動向から読み解く実務の行方 「利用履歴情報」が被害にあった場合も漏えいに該当します ユーザーID Aサービス 利用履歴情報 00001 00002 利用履歴情報 113 過去セミナー資料より

114. #改正動向から読み解く実務の行方 なぜなら、「漏洩元」での個人データ該当性が基準だから ユーザーID Aサービス 利用履歴情報 00001 00002 利用履歴情報 ”対象となった情報が個人データに該当するかどうかは、 当該個人データを漏えい等した個人情報取扱事業者を基

     準に考えることになります。” 出所：「個人情報の保護に関する法律についてのガイドライン（通則編）の一部を改正する告示案」に関する意見募集結果（ https://public-comment.e- gov.go.jp/servlet/PcmFileDownload?seqNo=0000223334 ） 114 過去セミナー資料より

115. #改正動向から読み解く実務の行方 「漏えい元」が個人データとして管理するデータが漏れたら漏えいなのです ユーザーID Aサービス 利用履歴情報 00001 00002 利用履歴情報 ユーザーID 氏名

     電話番号 メールアドレス 00001 00002 ユーザー登録情報 115 過去セミナー資料より

116. #改正動向から読み解く実務の行方 「利用履歴情報」単独で被害にあった場合も、報告・通知が必要です ユーザーID Aサービス 利用履歴情報 00001 00002 利用履歴情報 116 過去セミナー資料より

117. #改正動向から読み解く実務の行方 データ単体での機微性・可読性は、通知要否に関係しません ユーザーID Aサービス 利用履歴情報 00001 00002 ECの購入履歴 117 過去セミナー資料より

     ユーザーID Aサービス 利用履歴情報 00001 00002 アプリケーション上の機械的なログ

118. #改正動向から読み解く実務の行方 ユーザー目線では、自分の趣味嗜好がわかるような情報だけでなく ユーザーID Aサービス 利用履歴情報 00001 00002 ECの購入履歴 118 過去セミナー資料より

119. #改正動向から読み解く実務の行方 それ単体では機微性が高くないデータでも同様に通知は必要です 119 過去セミナー資料より ユーザーID Aサービス 利用履歴情報 00001 00002 アプリケーション上の機械的なログ

120. #改正動向から読み解く実務の行方 企業としては、実害がないのならなるべく通知はしたくない？ 120

121. #改正動向から読み解く実務の行方 本日のお品書き ◼ 改正の動向 ◼ 注目ポイント ◼ 今日からできること 121

122. #改正動向から読み解く実務の行方 計画を立てる上では、前回のロードマップが参考になります 122 出所：https://www.ppc.go.jp/files/pdf/200615_shiryou1.pdf

123. #改正動向から読み解く実務の行方 改正に向けて、少しづつ情報収集を開始しておきましょう 123 2025.3 2026.1 2027.1 2028.1 2025.1 2025.12 2027.7

     今後の 検討の 進め方 基本的な 考え方の 提示 2026.7 制度改正 大綱？ 法案審議 政令・規則 ガイド ライン QA 施行？ パブコメ パブコメ パブコメ 通常国会 臨時国会 制度的 課題 公布？

124. #改正動向から読み解く実務の行方 例えば、個人情報保護委員会のXアカウントをフォローするのも手です 124 出所：https://x.com/PPC_JPN

125. #改正動向から読み解く実務の行方 最新の情報を都度アナウンスしてくれていますし 125

126. #改正動向から読み解く実務の行方 引用リポストを辿れば、色々な人のコメントを確認することもできます 126

127. #改正動向から読み解く実務の行方 私も改正に向けて、継続的に情報を発信していく予定です！ 127 出所：https://x.com/seko_law

128. #改正動向から読み解く実務の行方 ご清聴いただきありがとうございました！ 世古修平（せこしゅうへい） Website（事務所） ：https://www.leact.law/ Website（個人） ：https://www.seko-law.info/ X（旧Twitter） ：@seko_law Mail

     ：[email protected] 128