2025年2月5日、個人情報保護委員会は、「個人情報保護法の制度的課題に対する考え方について (個人データ等の取扱いにおける本人関与に係る規律の在り方)」と題する文書を公表しました(以下「本文書」といいます。)。本文書の公表に先立って2025年1月22日に決定・公表された「個人情報保護法 いわゆる3年ごと見直しに係る検討」の今後の検討の進め方において、事務局ヒアリング等の結果を踏まえて追加的に検討すべき論点と、中間整理で示された個別検討事項を含め、一般法としての個人情報保護法の基本的な在り方の観点から検討すべき制度的な論点が再整理されました。
本文書は、再整理された「制度的な論点」のうち、「(1)個人データ等の取扱いにおける本人関与に係る規律の在り方」に記載された各論点について、想定される具体的な規律の方向性に関する考え方等を示すものです。以下、本文書の概要について解説します。
TMIP&S コラム記事一覧
記事や動画の一覧は、こちらからご覧ください…..一覧を見る
目次
Ⅰ.個人の権利利益への影響という観点も考慮した同意規制の在り方
個人情報の取扱いにおいて、以下の点について、本人同意を不要とする新たな規律の導入が検討されています。
(1) 統計情報等の作成
統計情報等の作成のために複数の事業者が持つ個人データを統合して解析するニーズが高まっている一方、統計情報の作成や利用は個人の権利利益を侵害するリスクは低いといえます。そこで、統計情報等の作成にのみ利用されることが担保されていることを条件にして、本人の同意なしの個人データの第三者提供および公開されている要配慮個人情報の取得を認める方向で議論されています。
(2) 本人の意思に反しないデータの取得と利用
個人データの第三者提供等が契約の履行に必要不可欠な場合など、目的外利用、要配慮個人情報の取得または第三者提供が本人の意思に反しないため本人の権利利益を害しないことが明らかなケースでは、本人の同意を不要とすることが提案されています。
(3) 生命等の保護や公衆衛生の向上のための個人情報取扱い
人の生命、身体又は財産の保護のための例外規定および公衆衛生の向上又は児童の健全な育成の推進のための例外規定について、本人の同意取得手続きの負担を軽減するために、「本人の同意を得ることが困難であるとき」に加え、「その他の本人の同意を得ないことについて相当の理由があるとき」にも、当該例外規定に依拠できるようにする提案がなされています。
(4) 病院等による学術研究目的での個人情報の取扱い
現在、「学術研究機関等」は、いわゆる学術研究例外に基づいて、目的外利用規制、要配慮個人情報取得規制、第三者提供規制の例外扱いが認められているところ、「学術研究機関等」には、病院その他の医療の提供を目的とする機関等(診療所等)が含まれることを明示する提案がなされています。
Ⅱ.漏えい等発生時に本人への通知が不要となる場合
現行法では、個人情報取扱事業者は、漏えい等が発生し報告義務を負う場合、本人への通知が困難な場合を除き、一律に本人への通知義務を負います。そこで、例えば、サービス利用者の社内識別子(ID)等、漏えいした情報の取得者において、それ単体ではおよそ意味を持たない情報のみが漏えいした場合など、本人への通知がなくても本人の権利利益の保護に欠けるおそれが小さい場合には、本人への通知義務を緩和し、代替措置による対応を認める提案がなされています。
Ⅲ.子供の個人情報の取扱い
- 子供の個人情報の取扱いについては一定の規律を設ける必要があること、その場合の対象年齢を16歳未満とすることの提案がなされています。
- 16歳未満の者が本人である場合における、本人からの同意取得や本人への通知等に関する規定について、原則として、当該本人の法定代理人からの同意取得や当該法定代理人への通知等を義務付けることが提案されています。
- 16歳未満の者を本人とする保有個人データについて、一定の例外事由を設けつつ、違法行為の有無を問わず利用停止等請求を可能とすることが提案されています。
- 未成年者の個人情報等を取り扱う事業者は、未成年者の発達または権利利益を害することのないよう必要な措置を講ずるよう努めるべき責務規定、および、個人情報の取扱いに係る同意等をするに当たって、法定代理人は本人の最善の利益を優先的に考慮すべき責務規定を設けることが提案されています。
Ⅳ.まとめ
本稿では、2025年2月5日に公表された「個人情報保護法の制度的課題に対する考え方について (個人データ等の取扱いにおける本人関与に係る規律の在り方)」の概要について解説しました。
個人情報保護法は、技術の進展や社会の変化に対応するため、継続的に見直しが行われています。今回の見直しでは、個人の権利利益の保護と、データ利活用の促進のバランスをどのように取るかが重要な課題となっています。
今後も、個人情報保護委員会は、ステークホルダーとの議論を重ねながら、より適切な制度設計を目指していくと考えられます。
関連記事
日本企業も対応が必要な中国個人情報保護法をわかりやすく解説…..続きを読む
関連記事
【コラム】日本におけるPIA手続きを解説…..続きを読む
関連記事
匿名加工情報、仮名加工情報などデータ利活用に関わる「情報」の種類を分かりやすく解説…..続きを読む
海外データ保護法対応ならTMI
TMIプライバシー&セキュリティコンサルティングとTMI総合法律事務所では、海外データ保護法対応が可能です。
また、GDPR対応の法的サービスの領域は、プライバシーポリシーの作成、個人情報管理規程の作成、SCC及びDPAの作成などTMI総合法律事務所がサービス提供しております。
また、GDPRはじめ、世界各国の個人情報保護法対応の法的側面と技術的側面図をワンストップで提供しておりますので、世界各国の個人情報保護法対応を計画している企業の法務担当者・情報完了担当者の方は、お気軽にお問い合わせください。
TMIP&S コラム記事一覧
記事や動画の一覧は、こちらからご覧ください…..一覧を見る
TMIプライバシー&セキュリティコンサルティング株式会社 代表
TMI総合法律事務所 パートナー弁護士
日本企業のサイバーインシデント対応およびデータ利活用・EUデジタル規制対応の双方に特化した国内でも数少ないIT・プライバシー法務の専門家。日本企業のサイバー危機対応およびデータ規制分野における第一人者の一人として上場企業、グローバル企業を含む多数の企業を支援している。
クラウド、インターネット・インフラ/コンテンツ、SNS、アプリ・システム開発、アドテクノロジー、ビッグデータアナリティクス、IoT、AI、サイバーセキュリティ分野における法務を専門とする。
主な専門領域:
- 企業へのサイバーアタック・情報漏えいインシデント対応
- 個人情報保護法に適合したDMP/CDP導入支援
- GDPR、EUデータ法、EU AI法、サイバーリジリエンス法対応
- 国内外データ保護規制に基づくセキュリティアセスメント
セキュリティISMS認証機関公平性委員会委員長、社団法人クラウド利用促進機構(CUPA)法律アドバイザー、経済産業省情報セキュリティタスクフォース委員を歴任。
主な実績:
【サイバー攻撃・情報漏えいインシデント対応(有事対応)】
- 初動調査・ディレクション: インシデント発生時の初動調査支援や、フォレンジック調査のスコープ決定、業者選定のディレクション
- トリアージと被害拡大防止: 被害状況の初動把握(トリアージ)を行い、システム稼働停止の判断や二次被害防止のアドバイス
- 第三者委員会の組成・運営: 外部の情報漏えい事故調査委員会や再発防止委員会の組成、および委員長への就任
- 当局および対外対応: 個人情報保護委員会への速報・確報、警察への被害届出、プレスリリース作成、記者会見の支援まで総合的サポート
- 法的手続・被害回復: インシデントに伴う損害賠償請求、ベンダへの責任追及、刑事告訴などの法的措置
【データ利活用・プライバシー対応支援】
- 高度データの利活用支援: 人事・顧客データに加え、Cookie、バイタルデータ、生体情報データ、IoT、AI等の利活用における適法性評価
- 匿名加工情報の評価: ビッグデータ利活用における「匿名加工手続き」の個人情報保護法適合性評価
- DMP/CDP・アドテクノロジー: アドテクノロジーやビッグデータアナリティクス分野における実務支援
【プライバシーガバナンス構築の支援】
- 体制構築・規程整備: セキュリティ管理委員会の組成、各種ポリシー、管理規程、インシデント対応マニュアル等の策定・改定支援
- リスクアセスメント: セキュリティアセスメントやプライバシーインパクトアセスメント(PIA)を通じた分析
- 教育・研修: 経営層向けのレクチャーから事業部向けのセキュリティ研修
- リスク転嫁支援: 経済的インパクトを抑えるためのサイバーセキュリティ保険の導入支援や、保険料割引のためのセキュリティ診断
【IT・先端技術の法的支援】
- 多産業分野のアドバイス: クラウド、インターネット・インフラ、SNS、アプリ・システム開発、スマートシティ等の各分野で法的助言
- 適合性評価: クラウド導入に伴う国内外の個人情報保護法、およびガイドライン等の適合性評価
【国内外の個人情報保護規制へのアドバイス】
- 国内法: 個人情報保護法、不正競争防止法、電気通信事業法等に加え、資金決済法、特定商取引法等
- 海外法・規制: EUのGDPR、米国のCCPA、およびアジア・アフリカ・南米・中東各地域の個人情報保護法への対応、EUデータ法、EU AI法、サイバーリジリエンス法などEUデジタル規制対応、海外当局対応、IGDTA(Intra-Group Data Transfer Agreement)対応
- 国際基準: PCI-DSS要件やISMS認証基準への対応、米国財務省のOFAC規制(身代金支払いに関する制裁リスク)
TMI総合法律事務所 弁護士
京都大学理学部にて原子核物理学を専攻し、マサチューセッツ工科大学スローンスクールにてファイナンス&応用経済学修士号を取得。日系大手証券会社と米国系インベストメントバンクにて長年金融デリバティブ部門でキャリアを積んだのち、TMI総合法律事務所に参画。個人情報その他のデータ関係の法務に専門性を有し、各国個人情報保護法に精通する。