令和2年改正法により改正され、令和4年4月1日に全面施行された個人情報の保護に関する法律（以下「個人情報保護法」）では、政府は、いわゆる3年ごと見直し規定により、法令の施行から3年ごとに、個人情報保護に関する国際的動向や技術発展、それに伴う産業の創出や発展の状況等を踏まえて制度の検討・見直しを行うこととされています。

令和8年1月9日、個人情報保護委員会は、上記見直しに関する「個人情報保護法 いわゆる3年ごと見直しの制度改正方針」（以下「本方針」）を公表しました。
本方針では、個人情報取扱事業者等に係る規律を中心に、主に次の法改正の方向性が示されています。

１ 適正なデータ利活用の推進

①個人データ等の第三者提供及び公開されている要配慮個人情報の取得について、現行法下では統計情報等の作成に利用する場合であっても原則として本人の同意の取得が必要ですが、本方針では、統計情報等の作成にのみ利用されることが担保されていること等を条件に本人同意を不要とする方針が示されています（統計作成等であると整理できる AI 開発等が含まれます）。

②現行法下では、目的外利用、要配慮個人情報取得及び第三者提供を行う場合、原則として本人の同意が必要ですが、この点について、

• 取得の状況からみて本人の意思に反しないため本人の権利利益を害しないことが明らかな取扱いである場合は本人同意を不要とする、
• 生命等の保護又は公衆衛生の向上等のために取り扱う場合における同意取得困難性要件を緩和する、
• 学術研究に係る例外規定の対象である「学術研究機関等」に、医療の提供を目的とする機関又は団体が含まれることを明示する、

との方針が示されています。これらは、本人の権利利益への影響が小さい類型又は研究等のための利用の必要性が高い類型について本人同意の例外を拡張するものであり、事業者の負担の軽減が見込まれます。

２ リスクに適切に対応した規律

③16歳未満の者が本人である場合に、同意取得や通知等について当該本人の法定代理人を対象とすることを明文化し、当該本人の保有個人データの利用停止等請求の要件を緩和するとともに、未成年者の個人情報等の取扱い等について、本人の最善の利益を優先して考慮すべき旨の責務規定を設けるとの方針が示されています。取り扱う個人情報等に16歳未満の子どもの個人情報等が含まれる事業者は多いと思われますので、留意が必要です。

④現行法下においては具体的に定められていなかった顔特徴データ等について、その取扱いに関する一定の事項の周知を義務化し、利用停止等請求の要件を緩和するとともに、オプトアウト制度に基づく第三者提供を禁止する方針が示されています。顔識別機能付きカメラシステム等の普及により、本人が関知しないまま、本人のプライバシー等の侵害に類型的につながりやすい顔特徴データ等を大量に入手することができるようになったことに対応するための改正であり、顔特徴データ等を取り扱う事業者は対応が必要となることが予想されます。

⑤データ処理等の委託を受けた事業者について、委託された個人データ等の適正な取扱いに係る義務の見直しを行う方針が示されています。現行法下では、委託を受けた事業者に直接適用される明示的義務がない一方で（特に、委託を受けた事業者において取り扱うデータが「個人データ」に該当しない場合）、個人データ等の取扱いの外部委託が増加し、委託元による委託先の監督等が十分に機能していない事案も発生している現状に鑑み、委託を受けた事業者における個人データ等の適正な取扱いに係る義務を新設する方針が示されています。個人データ等の取扱いを委託又は受託している事業者は留意が必要です。

⑥漏えい等発生時について、本人の権利利益の保護に欠けるおそれが少ない場合は、本人への通知義務を緩和するとの方針が示されています。現行法下における通知義務を緩和するものであり、事業者の負担を軽減する改正です。

３ 不適正利用等の防止

個人データ等が犯罪行為等の不適正な利用形態で用いられることによる個人の権利利益侵害のリスクが高まっていることから、以下の⑦⑧の方針が示されています。

⑦特定の個人に対する働きかけが可能となる個人関連情報等について、不適正利用及び不正取得を禁止する。

⑧オプトアウト制度に基づく第三者提供時の提供先の身元及び利用目的の確認を義務化する。

４ 規律遵守の実効性確保のための規律

個人データ等が不適切に取り扱われた場合において事後的にこれを是正する措置を充実するとともに、将来起こり得る不適切な取扱いを抑止するための仕組みを整備するため、以下の⑨から⑫の指針が示されています。

⑨速やかに違反行為の是正を求めることができるよう命令の要件を見直し、さらに、本人に対する違反行為に係る事実の通知又は公表等の本人の権利利益の保護のために必要な措置をとるよう勧告・命令することも可能とする。

⑩違反行為を補助等する第三者に対して当該違反行為の中止のために必要な措置等をとるよう要請する際の根拠規定を設ける。

⑪個人情報データベース等の不正提供等に係る罰則について加害目的の提供行為も処罰対象とするとともに法定刑を引き上げ、また、詐欺行為等により個人情報を不正に取得する行為に対する罰則を設ける。

⑫経済的誘因のある、大量の個人情報の取扱いによる悪質な違反行為を実効的に抑止するため、重大な違反行為により個人の権利利益が侵害された場合等について、当該違反行為によって得られた財産的利益等に相当する額の課徴金の納付を命ずることとする。

特に⑫については、個人情報保護委員会において長く検討され、その導入の有無に注目が集まっていたものです。業界団体等からの否定的な意見も踏まえ、悪質性の高い類型に限定されることにはなりましたが、個人情報保護委員会の執行権限を強化するものであり、今後個人情報保護法の遵守には一層の注意が必要となります。

改正が成立した場合、特に上記「２　リスクに適切に対応した規律」を中心として、多くの事業者において、個人情報保護関連の規程やプライバシーポリシーの改訂及び従業員への周知・教育等が必要となることが予想されます。本方針では、国会への改正案の早期提出を目指すこととされており、早ければ本年の通常国会にて改正法が成立する可能性があるため、今後の動向が注目されます。

≪弁護士　吉浦くにか≫