2025年2月5日、個人情報保護委員会は、「個人情報保護法の制度的課題に対する考え方について (個人データ等の取扱いにおける本人関与に係る規律の在り方)」と題する文書を公表しました(以下「本文書」といいます。)。本文書の公表に先立って2025年1月22日に決定・公表された「個人情報保護法 いわゆる3年ごと見直しに係る検討」の今後の検討の進め方において、事務局ヒアリング等の結果を踏まえて追加的に検討すべき論点と、中間整理で示された個別検討事項を含め、一般法としての個人情報保護法の基本的な在り方の観点から検討すべき制度的な論点が再整理されました。
本文書は、再整理された「制度的な論点」のうち、「(1)個人データ等の取扱いにおける本人関与に係る規律の在り方」に記載された各論点について、想定される具体的な規律の方向性に関する考え方等を示すものです。以下、本文書の概要について解説します。
TMIP&S コラム記事一覧
記事や動画の一覧は、こちらからご覧ください…..一覧を見る
目次 [非表示]
Ⅰ.個人の権利利益への影響という観点も考慮した同意規制の在り方
個人情報の取扱いにおいて、以下の点について、本人同意を不要とする新たな規律の導入が検討されています。
(1) 統計情報等の作成
統計情報等の作成のために複数の事業者が持つ個人データを統合して解析するニーズが高まっている一方、統計情報の作成や利用は個人の権利利益を侵害するリスクは低いといえます。そこで、統計情報等の作成にのみ利用されることが担保されていることを条件にして、本人の同意なしの個人データの第三者提供および公開されている要配慮個人情報の取得を認める方向で議論されています。
(2) 本人の意思に反しないデータの取得と利用
個人データの第三者提供等が契約の履行に必要不可欠な場合など、目的外利用、要配慮個人情報の取得または第三者提供が本人の意思に反しないため本人の権利利益を害しないことが明らかなケースでは、本人の同意を不要とすることが提案されています。
(3) 生命等の保護や公衆衛生の向上のための個人情報取扱い
人の生命、身体又は財産の保護のための例外規定および公衆衛生の向上又は児童の健全な育成の推進のための例外規定について、本人の同意取得手続きの負担を軽減するために、「本人の同意を得ることが困難であるとき」に加え、「その他の本人の同意を得ないことについて相当の理由があるとき」にも、当該例外規定に依拠できるようにする提案がなされています。
(4) 病院等による学術研究目的での個人情報の取扱い
現在、「学術研究機関等」は、いわゆる学術研究例外に基づいて、目的外利用規制、要配慮個人情報取得規制、第三者提供規制の例外扱いが認められているところ、「学術研究機関等」には、病院その他の医療の提供を目的とする機関等(診療所等)が含まれることを明示する提案がなされています。
Ⅱ.漏えい等発生時に本人への通知が不要となる場合
現行法では、個人情報取扱事業者は、漏えい等が発生し報告義務を負う場合、本人への通知が困難な場合を除き、一律に本人への通知義務を負います。そこで、例えば、サービス利用者の社内識別子(ID)等、漏えいした情報の取得者において、それ単体ではおよそ意味を持たない情報のみが漏えいした場合など、本人への通知がなくても本人の権利利益の保護に欠けるおそれが小さい場合には、本人への通知義務を緩和し、代替措置による対応を認める提案がなされています。
Ⅲ.子供の個人情報の取扱い
- 子供の個人情報の取扱いについては一定の規律を設ける必要があること、その場合の対象年齢を16歳未満とすることの提案がなされています。
- 16歳未満の者が本人である場合における、本人からの同意取得や本人への通知等に関する規定について、原則として、当該本人の法定代理人からの同意取得や当該法定代理人への通知等を義務付けることが提案されています。
- 16歳未満の者を本人とする保有個人データについて、一定の例外事由を設けつつ、違法行為の有無を問わず利用停止等請求を可能とすることが提案されています。
- 未成年者の個人情報等を取り扱う事業者は、未成年者の発達または権利利益を害することのないよう必要な措置を講ずるよう努めるべき責務規定、および、個人情報の取扱いに係る同意等をするに当たって、法定代理人は本人の最善の利益を優先的に考慮すべき責務規定を設けることが提案されています。
Ⅳ.まとめ
本稿では、2025年2月5日に公表された「個人情報保護法の制度的課題に対する考え方について (個人データ等の取扱いにおける本人関与に係る規律の在り方)」の概要について解説しました。
個人情報保護法は、技術の進展や社会の変化に対応するため、継続的に見直しが行われています。今回の見直しでは、個人の権利利益の保護と、データ利活用の促進のバランスをどのように取るかが重要な課題となっています。
今後も、個人情報保護委員会は、ステークホルダーとの議論を重ねながら、より適切な制度設計を目指していくと考えられます。
関連記事
日本企業も対応が必要な中国個人情報保護法をわかりやすく解説…..続きを読む
関連記事
【コラム】日本におけるPIA手続きを解説…..続きを読む
関連記事
匿名加工情報、仮名加工情報などデータ利活用に関わる「情報」の種類を分かりやすく解説…..続きを読む
海外データ保護法対応ならTMI
TMIプライバシー&セキュリティコンサルティングとTMI総合法律事務所では、海外データ保護法対応が可能です。
また、GDPR対応の法的サービスの領域は、プライバシーポリシーの作成、個人情報管理規程の作成、SCC及びDPAの作成などTMI総合法律事務所がサービス提供しております。
また、GDPRはじめ、世界各国の個人情報保護法対応の法的側面と技術的側面図をワンストップで提供しておりますので、世界各国の個人情報保護法対応を計画している企業の法務担当者・情報完了担当者の方は、お気軽にお問い合わせください。
TMIP&S コラム記事一覧
記事や動画の一覧は、こちらからご覧ください…..一覧を見る
TMIプライバシー&セキュリティコンサルティング 代表
TMI総合法律事務所 パートナー弁護士
クラウド、インターネット・インフラ/コンテンツ、SNS、アプリ・システム開発、アドテクノロジー、ビッグデータアナリティクス、IoT、AI、サイバーセキュリティの各産業分野における実務を専門とし、個人情報保護法に適合したDMP導入支援、企業へのサイバーアタック、情報漏えいインシデント対応、国内外におけるデータ保護規制に対応したセキュリティアセスメントに従事。セキュリティISMS認証機関公平性委員会委員長、社団法人クラウド利用促進機構(CUPA)法律アドバイザー、経済産業省の情報セキュリティに関するタスクフォース委員を歴任する。自分達のサービスがクライアントのビジネスにいかに貢献できるか、価値を提供できるかに持ちうる全神経を注ぐことを信条とする。
TMI総合法律事務所 弁護士
京都大学理学部にて原子核物理学を専攻し、マサチューセッツ工科大学スローンスクールにてファイナンス&応用経済学修士号を取得。日系大手証券会社と米国系インベストメントバンクにて長年金融デリバティブ部門でキャリアを積んだのち、TMI総合法律事務所に参画。個人情報その他のデータ関係の法務に専門性を有し、各国個人情報保護法に精通する。