一般財団法人日本情報経済社会推進協会
電子情報利活用研究部　主幹　恩田　さくら

• 「IT-Report 2025 Spring」全文はこちらから別ウインドウで開く

個人情報の保護に関する法律（以下、「個人情報保護法」）のいわゆる3年ごと見直しに係る検討が進められています。IT-Report 2024 Winter号のレポート「個人情報保護法のいわゆる3年ごと見直しについて」¹では、2024年6月に公表された「個人情報保護法 いわゆる3年ごと見直しに係る検討の中間整理」（以下、「中間整理」）の内容²や7月にかけて実施されたパブリック・コメントについてご紹介しました。

本レポートでは、その後の検討状況と主な論点について、2025年3月10日時点の内容をご紹介します。

• 1　 IT-Report 2024 Winterレポート「個人情報保護法のいわゆる３年ごと見直しについて」（2024年12月、JIPDEC）
  別ウインドウで開く
• 2　「 個人情報保護法いわゆる３年ごと見直しに係る検討の中間整理」（2024年6月27日、個人情報保護委員会（以下、PPC））
  別ウインドウで開く

パブリック・コメントで寄せられた意見の内容等を踏まえて、課徴金、団体による差止請求制度や被害回復制度については2024年7月に設置された「個人情報保護法のいわゆる３年ごと見直しに関する検討会」（以下、「検討会」）にて議論・検討を深化することとされ、その他の主要個別論点は、多様なステークホルダーと対話しつつ議論が進められることとなりました。

2024年10月には、パブリック・コメント等において「制度の基本的な在り方に立ち返った議論を行うべき」との意見も出されたこと等を受けて、短期的には「中間整理」で示した検討事項に係る具体的制度設計の在り方や優先順位、緊要性などについて結論を得るための共通の視座を得ることを目指しつつ、中期的にも、国・地方の行政機関に関する制度を含めた一体的な見直しへとつなげるための議論の土台としていくことを目指し、意見を聴取・整理していくとの方針も示されました³。

2024年12月25日には、課徴金、団体による差止請求制度や被害回復制度について検討してきた検討会が、2024年7月以降の計7回の会合における議論状況を整理し、12月に「個人情報保護法のいわゆる3年ごと見直しに関する検討会報告書」を公表しました⁴。報告書では、検討に係る前提条件や想定される制度について、前向きな観点から慎重に進めるべきとの観点の意見まで整理されています。

2025年１月22日には、2024年11月～12月にかけて個人情報保護委員会（以下、PPC）事務局が実施したヒアリング（以下、「事務局ヒアリング」）⁵を通じて得られた四つの視点（1．個人情報保護法の保護法益、2．本人の関与、3．事業者のガバナンス、4．官民を通じたデータ利活用）等を踏まえて、制度的な論点全体（2024年6月の中間整理で提示されていた個別検討事項に、「事務局ヒアリング」で明らかになった短期的に検討すべき論点を追加したもの）を、図１のとおり再整理したことが示されました⁶。図中下線が引かれている内容が2024年11月からの「事務局ヒアリング」を受けて追加された論点です。

• 3　「 個人情報保護法のいわゆる３年ごと見直しの検討の充実に向けた視点」（2024年10月16日、第304回PPC決定）別ウインドウで開く
• 4　「 個人情報保護法のいわゆる３年ごと見直しに関する検討会報告書」（2024年12月25日、個人情報保護法のいわゆる３年ごと見直しに関する検討会）　別ウインドウで開く
• 5　有識者11名、経済団体・消費者団体等17団体に対して実施された。
• 6　『「 個人情報保護法　いわゆる３年ごと見直しに係る検討」の今後の進め方について』（2025年１月22日、PPC）別ウインドウで開く

2025年2月5日、19日、3月5日には、再整理された論点それぞれについて、想定される具体的な規律の方向性に関する考え方等が示されました⁷。今後、この内容を踏まえてステークホルダーとの議論を続けていくとされています。

• 7　「 個人情報保護法の制度的課題に対する考え方について」（2025年3月5日、PPC）
  なお、2025年3月5日の上記資料中には、同年2月5日および2月19日に示された項目も併せて示されています。別ウインドウで開く

2025年3月5日に示された、各論点についての想定される具体的な規律の方向性に関する考え方等について、主な内容をご紹介します。詳細は資料原文をご確認ください。

同意規制の在り方、漏えい等発生の対応（本人通知等）の在り方、そして2024年6月の「中間整理」でも取り上げられていた子どもの個人情報の取り扱いについて、ア）として整理されています。

同意規制の在り方に係る内容としては、統計情報等の作成のために複数の事業者が持つデータを共有し横断的に解析するニーズが高まっていること、特定の個人との対応関係が排斥された統計情報などの作成や利用は個人の権利利益を侵害する恐れが少ないことから、統計情報等の作成にのみ利用されることが担保されていること等を条件に、本人同意なき個人データ等の第三者提供および公表されている要配慮個人情報の取得を可能としてはどうか、とされています。この「統計情報等の作成」には、統計作成等であると整理できるAI開発等を含むとされています。また、統計情報等の作成にのみ利用されることを担保するために、個人データなどの提供元・提供先における一定事項の公表、書面による提供元・提供先間の合意、提供先における目的外利用・第三者提供の禁止の義務付けなどを想定するとされています。

上記の他、同意規制の在り方に係る論点として、以下の内容も示されています。

• 個人データの第三者提供等が契約の履行のために必要不可欠の場合等、目的外利用、要配慮個人情報取得または第三者提供が本人の意思に反しないため本人の権利利益を害しないことが明らかである場合、本人同意を不要としてはどうかとの論点（例　ホテル予約サイト運営事業者から宿泊予約を行ったホテルの運営事業者への宿泊者情報の提供、海外送金を行うための金融機関から送金先金融機関への送金者情報の提供等）
• 生命等の保護または公衆衛生の向上などのために個人情報を取り扱う場合、現行制度では「本人の同意を得ることが困難であるとき」との要件が付されているが事業者・本人の同意取得手続きに係る負担を軽減する等の観点からも「その他の本人の同意を得ないことについて相当の理由があるとき」についても例外規定に依拠できることとしてはどうかとの論点
• 医学・生命科学研究において病院等による研究活動が広く行われている実態があることから、学術研究例外に依拠できる「学術研究機関等」に医療の提供を目的とする機関または団体（病院、診療所等）が含まれることを明示してはどうかとの論点
  

漏えい等発生時の対応（本人通知等）の在り方については、現行法上、個人情報取扱事業者は、漏えい等報告の義務を負うときは、本人への通知が困難な場合を除き、一律に本人への通知義務を負いますが、本人通知を行わなくても本人の権利利益の保護に欠ける恐れが少ない場合（例　サービス利用者の社内識別子（ID）等、漏えいした情報の取得者においてそれ単体ではおよそ意味をもたない情報のみの漏えい等）は、本人への通知義務を緩和し、代替措置による対応を認めることとしてはどうかとされています。

子どもの個人情報等の取り扱いに係る内容としては、子どもは心身が発達段階にあるため判断能力が不十分であり、個人情報の不適切な取り扱いに伴う悪影響を受けやすいため、発達や権利利益を適切に守る観点から一定の規律を設ける必要があるのではないか、その年齢については16歳未満としてはどうかとされています。

なお、16歳未満の者が本人である場合、同意取得や本人への通知などに係る規定について、例外は認めるものの、原則として本人の法定代理人からの同意取得や法定代理人への通知等を義務付けてはどうか、違法行為などの有無を問うことなく利用停止等請求を行うことを可能としてはどうかとされています。また未成年者の個人情報を取り扱う事業者は、未成年者の発達または権利利益を害することのないよう必要な措置を講ずるよう努めなければならない旨の責務規定、同意等をするにあたり法定代理人は本人の利益を優先して考慮しなければならない旨の責務規定を設けてはどうかとされています。

委託を受けた事業者に係る規律の在り方、および「中間整理」でも取り上げられていた個人関連情報、生体データ、オプトアウト届出事業者に係る内容が、イ）として整理されています。

委託を受けた事業者に対する規律の在り方に係る内容として、DXの進展に伴い個人データ等の取り扱いについて実質的に第三者に依存するケースが拡大していることを受け、個人情報取扱事業者等からデータ処理などの委託が行われた場合、適正性を確保する能力などの実態を踏まえ、当該個人データなどの適切な取り扱いに係る義務の在り方を検討すべきではないかとされています。

個人関連情報に係る内容としては、特定の個人に対して何らかの連絡を行うことができる記述等（電話番号、メールアドレス、Cookie ID等）を含む情報について、個人情報に該当しない場合でも、当該個人への連絡を通じてプライバシーや財産権などの権利侵害が発生し得る上、当該記述を媒介して秘匿性の高い記述等を含む情報を名寄せすることによりプライバシー侵害等の恐れがあるため、不適正利用や不正取得に限って個人情報と同様の規律を導入してはどうかとされています。また、仮名加工情報や匿名加工情報についても同様の規律を導入してはどうかとされています。

生体データに係る内容については、生体データの内、本人が関知しないうちに容易に（それゆえ大量に）入手でき、かつ一意性および不変性が高く特定の個人を識別する効果が半永久的に継続するという性質を有する顔特徴データ等は、透明性を確保した上で本人の関与を強化する規律を導入する必要があるのではないかとされています。具体的には、顔特徴データ等の取り扱いに関する一定の事項（個人情報取扱事業者の名称・住所・代表者氏名、顔特徴データを取り扱うこと、利用目的、特徴データ等のもととなった身体的特徴の内容、利用停止請求に応じる手続き等を想定）の周知を義務付けてはどうかとされています。また、違法行為の有無を問うことなく利用停止等請求を行うことを可能としてはどうか、顔特徴データ等については、オプトアウト制度に基づく第三者提供を認めないこととしてはどうかとされています。

オプトアウト届出事業者に係る内容については、オプトアウト届出事業者である提供先が悪質な名簿屋であることを認識した上で名簿を提供した事案の発生を受け、オプトアウト制度に基づく個人データ提供時の当該第三者（提供先）の身元や利用目的の確認義務や、当該第三者が確認事項を偽ってはならないこととし、違反者（提供先）に過料を科すこととしてはどうかとされています。

勧告・命令等の実効性確保、悪質事案に対応するための刑事罰の在り方、課徴金制度の導入の要否、差止請求制度・被害回復制度の導入の要否、漏えい等報告の在り方が、ウ）として整理されています。

勧告・命令等の実効性確保としては、違反行為による個人の重大な権利利益の侵害がすでに発生している場合に限られている緊急命令の発出を、重大な権利利益の侵害が切迫している段階においても速やかに発出できるようにしてはどうかとされています。勧告・命令の内容については、違反行為の中止その他違反を是正するためだけでなく、本人に対する違反行為に係る事実の通知または公表その他の本人の権利利益の保護のために必要な措置も含めることができることとしてはどうかとされています。

また、命令は、義務規定に違反した個人情報取扱事業者等に対してのみ発出可能ですが、違法な個人情報の取り扱いを当該事業者との契約に基づき補助する第三者（例　クラウドサービス提供事業者、サーバーのホスティング事業者等）や、特定電気通信による当該個人情報の送信である場合には特定電気通信役務提供者に対して、必要な措置を講ずるべき旨の要請ができるよう根拠規定を設けてはどうかなどとされています。

悪質事案に対応するための刑事罰の在り方については、刑事罰の対象となる個人情報データベース等の提供行為について、不正な利益を図る目的に限らず「損害を加える目的」も対象としてはどうか、また、詐欺行為や不正アクセス行為その他の個人情報を保有する者の管理を害する行為により個人情報を取得しようとする行為について、「不正な利益を図る目的」または「損害を加える目的」に基づくものに限り直罰の対象とすべきではないかとされています。

経済的誘因のある違反行為に対する実効的な抑止手段（課徴金制度）、違反行為による被害の未然防止・拡大防止のための団体による差止請求制度、個人情報の漏えい等により生じた被害の回復のための団体による被害回復制度の導入の要否については、2024年12月公表の「個人情報保護法のいわゆる３年ごと見直しに関する検討会報告書」の内容を踏まえて継続して議論していく必要があるのではないかとされています。

漏えい報告などの在り方については、体制・手順に係る認定個人情報保護団体などの第三者の確認を前提に一定の範囲で速報の免除を可能としてはどうか、漏えいした個人データに係る本人の数が１名である誤交付・誤送付のようなケースは、確報を一定期間ごとに取りまとめた上で行うことを許容してはどうかなどとされています。また、違法な個人データの第三者提供についても報告対象事態にすることとしてはどうかとされています。

なお、2025年１月22日にPPCから示された今後の検討の進め方に対して有識者や経済団体・業界団体から寄せられた意見が公表されています⁸。ステークホルダーとの間で、３年ごと見直しに係る短期的議論や、個人情報保護法制に係る中期的な議論が、引き続き進められていくと考えられます。

• 8　『 「個人情報保護法　いわゆる３年ごと見直しに係る検討」 の今後の検討の進め方」に対して寄せられた意見の概要』（2025年4月16日、PPC）
  ※こちらのリンクのみ、原稿校了後、2025年４月16日時点のものへ更新。別ウインドウで開く