個人情報保護法が3年ごとに見直しされていることは、ご存じでしょうか。
この5年でデジタルマーケティングを取り巻く環境は劇的に変化しています。2019年、GoogleがChromeブラウザでサードパーティーCookieの使用廃止方針を発表すると、広告テック業界ではID5、Unified ID 2.0、RampIDなどの代替ソリューション開発が活発化しました。しかし、どれも決定的な解決策とはならず、2024年7月にはGoogleがサードパーティCookie廃止方針を撤回する事態となりました。
それでも、SafariやFirefoxはサードパーティCookieを全面廃止しており、デジタルマーケティングの「通貨」とも言えるサードパーティCookieの未来は依然として不透明です。この動きの背景には、2018年のEU GDPR、2020年のカリフォルニア州CCPA施行があります。日本でも2022年4月に改正個人情報保護法が施行され、デジタルマーケティング分野に多岐にわたる影響を与えました。
そして今、2025年の「3年ごと見直し」により、どのような変化が待っているのでしょうか。そこで、インターネットビジネス、パーソナルデータの取扱いに関する領域に造詣が深いライトプレイス法律事務所の弁護士 大平修司さんに、2025年改正の論点などを解説していただきました。
目次
なぜ個人情報保護法は3年ごとに見直されているのか
現在、個人情報保護委員会(以下「個情委」といいます)において個人情報保護法の改正作業が進められています。2025年の通常国会への提出は見送られましたが、改正作業自体が止まることはないと思われます。「改正作業がされていたこと自体知らなかった」とか「気にならないことはないけど個情委の資料を見るのも大変そうなのでちょっと……」という方も多いと思います。そこで、これまでの流れと改正についての最新の議論について、できるだけ簡潔にお伝えしたいと思います。
個人情報保護は2015年、2020年に改正、今年は見直し検討中
個人情報保護法は数年ごとに大きな改正がされています。個人情報保護法は平成15年(2003年)に成立し、平成27年(2015年)に大きな改正がなされたのですが、その改正法の附則において、個人情報保護法をその施行後3年ごとに見直す旨が定められました。これに基づき見直しがなされ令和2年(2020年)にも改正法が成立しましたが、その際にも同じく3年ごとに見直す旨の定めが置かれています。
個人情報保護法が令和2年に改正された際の附則第10条の内容は、次のようなものです。
政府は、この法律の施行後三年ごとに、個人情報の保護に関する国際的動向、情報通信技術の進展、それに伴う個人情報を活用した新たな産業の創出及び発展の状況等を勘案し、新個人情報保護法の施行の状況について検討を加え、必要があると認めるときは、その結果に基づいて所要の措置を講ずるものとする。
要するに、個人情報保護に関する国際的な動向やテクノロジーの進展、個人情報を活用した新たなビジネスの状況などの動きが激しいので、個人情報保護法も3年ごとに見直すことにしよう、ということです。
ここ数年、個人情報保護に関する国際的な立法動向は激しいです。また、国内においても、鉄道会社が顧客の乗降履歴を利用・提供した事例や就活情報サイトによる内定辞退率提供サービスの事例など、データの利活用の適法性・適切性に疑義が呈される事例が発生し、法改正に直結する例も発生しています。これらのことからすると、3年ごとに見直すという姿勢は妥当であると思われます。
2023年に始まった今回の「3年ごと見直し」の経緯と内容は?
個情委は、2023年11月から「3年ごと見直し」に関する検討を始め、各種団体へのヒアリング等を行いました。その後、2024年6月に「いわゆる3年ごと見直しに係る検討の中間整理について」(「中間整理」といいます)を発表しました。
中間整理では、様々な論点が提示されました。この中間整理を元にその後も議論が続けられました(参考までに、改正作業のタイムラインを下に掲載しています)。その結果は、2025年2月から3月にかけて、以下の各文書などに集約されました。
- 個人情報保護法の制度的課題に対する考え方について(個人データ等の取扱いにおける本人関与に係る規律の在り方)
- 個人情報保護法の制度的課題に対する考え方について(個人データ等の取扱いの態様の多様化等に伴うリスクに適切に対応した規律の在り方)
- 個人情報保護法の制度的課題に対する考え方について
これから、これらの文書に集約された改正の議論をみていきたいと思います。ただ、これらの内容は極めて多岐にわたるので、全体像についてはこの記事の末尾に表でまとめることにして、以下では重要な論点を三つ挙げて、これらの論点についてやや詳しめに説明したいと思います。
個人情報保護法改正作業のタイムライン
マーケターなら知っておきたい改正の三つの論点
では、今回の改正ではどのような議論がなされているのでしょうか? その内容は極めて多岐にわたるため、マーケティング業界の皆様のご関心があると思われる三つを取り上げて、簡潔にご説明したいと思います。なお、この三つ以外の論点を含む全ての論点を本記事の末尾に表の形でまとめていますので、ご興味のある方はそちらをご参照ください。
- 統計作成等目的での個人データの提供等に本人同意を不要とすること
- 子供の個人情報等の取扱い
- 課徴金制度の導入
以下で、より詳しく見ていきましょう。
論点① 統計作成等目的での個人データの提供等に本人同意を不要とすること
末尾の表では「統計作成等、特定の個人との対応関係が排斥された一般的・汎用的な分析結果の獲得と利用のみを目的とした取扱いを実施する場合の本人の同意の在り方」としてまとめている論点です。総論として反対意見が少ないと思われることと、統計情報の利用はマーケティング業界でも多く行われておりその影響は小さくないと思われることから、ここで取り上げました。
個人データの第三者提供の同意が一定の条件下で不要となる
「統計情報」は「個人情報」に該当しないため「統計情報」を取り扱うことについては個人情報保護法上の規律が基本的には適用されません(※)。しかし、現行法下では、統計作成目的であっても、個人データを第三者提供する行為自体は通常の個人データの第三者提供としての規制を受けるので、あらかじめ本人の同意を取得することが必要です。例えば、広告会社等に対して、データを分析して統計化してもらうために個人データを第三者提供する場合には、その個人データの主体である本人の同意を取得することが必要になります。
改正案は、このような第三者提供について、統計作成目的であることが担保されていることを前提に、本人の同意を不要とすることを提案しています。統計目的であることを担保する手段としては、個人データ等の提供元・提供先における一定の事項(提供元・提供先の氏名・名称、行おうとする統計作成等の内容等)の公表、統計作成等のみを目的とした提供である旨の書面による提供元・提供先間の合意、提供先における目的外利用及び第三者提供の禁止を義務付けることが想定されています。
※個情委は「統計情報」について「複数人の情報から共通要素に係る項目を抽出して同じ分類ごとに集計等して得られる情報であり、一般に、特定の個人との対応関係が排斥されているため『個人情報』に該当しないものです。」と説明しています。そのため、特定の個人との対応関係が排斥されていないデータについては集計値であっても「個人情報」に該当する可能性があるため注意が必要です。
AI技術の開発等において個人データをAIモデルの学習用データとして利用することは多くの場合、統計情報作成目的と整理されることから、本論点はAI開発等との関係で論じられることが多いのですが、マーケティング業界への影響も大きいと思われます。マーケティング業界においてもAI開発がなされているから、というのはもちろんなのですが、それだけではありません。消費者の行動を分析するためにそのデータを利用する場合において、個票でのやりとりはプライバシー保護やビジネス上の理由から難しいため、統計情報の形でアウトプットするということもしばしば行われているからです。
上でも挙げた例ですが、事業会社が広告会社等に広告効果の分析を依頼する場合、事業会社から広告会社等へはユーザーのデータを個票で提供しますが、広告会社等においては統計的な分析がなされ、その統計的な結果のみが事業会社に提供される、ということはよくあると思います。この場合の事業会社から広告会社等への提供が個人データの第三者提供である場合、現行法では本人の同意が必要です。しかし改正案では、統計作成目的であることが担保されている場合、このようなデータ提供に本人の同意が不要となります。
なお、このようなデータ分析は「委託」としてそもそも本人同意なく提供できる場合もあるかもしれませんが、広告会社が保有する他の個人情報や個人関連情報とのマッチングが生じる場合にはいわゆる「混ぜるな危険」の法理により「委託」として整理できないものと思われます。改正法が成立した場合に、この「混ぜるな危険」との抵触が生じる場合にどのような解釈・運用がなされるかは現段階では不明です。
要配慮個人情報についてはどうなる?
なお、現行法上、要配慮個人情報(人種、信条、社会的身分、病歴、犯罪歴など、不当な差別や偏見その他の不利益が生じないようにその取扱いに特に配慮を要するものとして政令で定める記述等が含まれる個人情報をいいます)を取得する際には原則として本人の同意が必要です。本論点においては公開された要配慮個人情報の取得についても、個人データの提供と同様の規律を設けることが提案されています。
論点②子供の個人情報等の取扱い
末尾の表では「心身の発達過程にあり、本人による関与等の規律が必ずしも期待できない子供の個人情報等の取扱い」としてまとめている論点です。総論としては反対意見が少ないと思われることと、具体的な規律の内容次第では、現在利用規約やプライバシーポリシー等により行われている通知・公表・同意取得等のプラクティスに影響が生じる可能性があるため、取り上げました。
そもそも「子供」とは?
本論点の中心は、個人情報保護法上の「子供」を定義し、子供について通知や同意の取得が必要な場合は、原則として法定代理人(親権者等)を対象としなければならないこととする点にあります。現在のところ「子供」は16歳未満とする案が提案されています。また、法定代理人を対象として通知や同意取得の方法については、法律が成立した後に個情委のガイドラインにおいて具体的なものが規定される可能性が高いと思われます。その内容についてはまだ想像の域を出ません。
ただ、改正法が年齢確認までを義務づけるものではなかったとしても、例えば、会員登録の際に生年月日や年齢の入力を求めるものについては、ユーザーが「子供」であることが明らかに把握できるので、規制の対象になりそうです。また、例えばオンライン学習塾など明らかに子供を対象としているサービスや、子供向けのゲームアプリなど基本的には子供を対象にしているものの大人も含まれる可能性がある場合などにどうなるのか(年齢確認が義務づけられることがあるのかなど)も注目されるところです。
プライバシーポリシーへの記載事項も変わる可能性
また、規制の内容が、法定代理人に直接通知したり、法定代理人から直接同意を取得したりすることを必須とするものになれば、現在よく行われているような、利用規約やプライバシーポリシーに「未成年の方は法定代理人の同意を取得してください」や「法定代理人の同意を取得しているものとみなします」といった記載を置くという対応は認められないことになります。
なお、総論として反対意見が少ないと書きましたが、子供の保有個人データについて原則として違法行為の有無等を問うことなく利用停止等請求ができるようにするという改正案も提示されていて、この点については、疑問を呈する意見もあります。
論点③課徴金制度の導入
課徴金制度の導入の要否や範囲等については、個情委は中間整理が固まった後に「個人情報保護法のいわゆる3年ごと見直しに関する検討会」を設置して、個別に検討しました。課徴金制度については強い反対意見があり、他の論点と比べても一層の意見集約作業が必要と考えられたためです(なお、同様の理由から上記の「検討会」で検討された他の論点として、消費者団体による差止請求制度や被害回復制度が挙げられます)。
課徴金制度未導入であることにより悪質な事業者の標的になる可能性も
国際的には、課徴金制度を設けている例が多くなっています。「個人情報保護法のいわゆる3年ごと見直しに関する検討会報告書」では、G7の中で制裁金の制度を設けていないのは日本とカナダだけで、カナダも現在検討されている消費者プライバシー保護法(CPPA)案に制裁金制度を導入する規定があるとされています。そのため、日本だけ何も設けないのは難しい状況にあると思われます。
よって、反対意見も多くあるものの、どれくらい厳しい内容になるかはともかく、改正法によって課徴金制度が設けられる可能性は高いと考え、ここに取り上げました。
課徴金制度の導入により悪質な違反行為を抑止することの重要性はいうまでもありません。諸外国に比べて日本の個人情報保護法違反の制裁が軽ければ、日本でビジネスを行う外国企業による日本人の個人情報保護が軽視される可能性もあります。実際、上述した「個人情報保護法のいわゆる3年ごと見直しに関する検討会報告書」においても「課徴金制度が導入されていないことにより、日本が、制裁金制度を有する諸外国よりも、悪質な事業者から狙われやすくなると合理的に想定される」ことを指摘する意見が挙げられています(ただし一方で、日本の個人情報が狙われているという具体的事実は確認できていないのではないかという指摘もなされています)。
また、個人情報の利活用推進のために規制緩和がなされること(例えば、①に記載したように、統計作成等目的での個人データの提供等に本人同意を不要とする改正がなされること)は歓迎されるべきことですが、これにより個人情報の取扱いが杜撰になることはあってはなりません。規制緩和というアクセルと課徴金によるブレーキが噛み合うことにより、個人情報の利活用が適切に推進されるのではないでしょうか。
課徴金納付命令の対象を限定することも検討されている
一方で、課徴金制度が過剰な規制(ブレーキ)となり個人情報等の利活用が妨げられることも避けなければなりません。そこで、現時点では、課徴金納付命令の対象を限定することが検討されています。
具体的には、以下の4点が提案されています。
- 対象行為(事態) を限定すること
- 違反行為者の主観的要素により限定すること
- 個人の権利利益が侵害された場合等に限定すること
- 大規模な違反行為が行われた場合等に限定すること
課徴金制度への一番の対策は?
課徴金は個人情報保護法に違反しなければ課せられることはありません。そのため、違反しなければよいのですが、個人情報保護法の内容は、技術の発展に伴いどんどん難解になっており、個人情報を利活用しつつ遵守することは容易ではありません。個人情報のやりとりに関する法務を取り扱っていると、例えば、個人情報の定義(「容易照合性」を踏まえて個人情報の範囲を画定できているか)や個人データの第三者提供該当性の判断(いわゆる提供元基準を踏まえて評価できているか)などの基本的な部分において、依頼者や依頼者の取引の相手方の理解に不安を覚えることも少なくありません。「委託」や「共同利用」によるデータ提供についても、解釈上複雑であったり定説がなかったりする点があるので、適法に行われていないと思われるケースが多々あります。
課徴金制度への一番の対策は、社内の個人情報保護に関するコンプライアンス体制を確立してこのような点を一つ一つ整理することです。高額な課徴金が課せられることがなかったためこのような対応がなおざりになっている事業者の皆様も、今回の課徴金制度に関する議論を期に検討されてはいかがでしょうか。
最後に〜個人情報保護法の改正にどう対処していけばよいか〜
以上、個人情報保護法の3年ごと見直しに関する議論を概観してきました。独断と偏見によりとりあげた三つの論点が実際に改正法に反映されるかどうか、反映されるとしてもどのような内容になるかは現時点ではまったく不明ですが、改正法が成立した際に答え合わせできればと思います。
なお、このように頻繁に行われる個人情報保護法の改正にどのように対処していけばよいのかはとても難しい問題です。ただ、今回の改正の動きの中で、個情委は「個人情報保護法のいわゆる3年ごと見直しの検討の充実に向けた視点」という文書を公表し「個人情報保護政策の基本理念、法の目的」や「個人の権利利益を保護するために考慮すべきリスク」について整理しました。内容にはここでは触れませんが、このような個人情報保護法が何を守ろうとし、何をリスクと考えているのかを踏まえた上での骨太な対応ができていれば、細かな制度が改正されても、慌てずに対処できるように思います。また、個人情報保護法の改正は、数年毎に発生する個人情報に関する大事件をきっかけとしたり、情報法分野で先行するEUの法制を参照したりしてなされることも多いので、これらにもアンテナを張っておくことが重要かと思われます。
※本件に関するお問い合わせは、以下までお願いいたします。
ライトプレイス法律事務所
弁護士 大平 修司
shuji_ohira※rightplace-lo.com
(メール送信の際は、※を@に置き換えてください)
(資料)「個人情報保護法の制度的課題に対する考え方について」のまとめ
基本的に、背景が青の論点は規制を緩和する方向、背景が赤の論点は規制を厳しくする方向の議論です。
|
論点 |
具体的な提案内容等 |
|
| 個人データ等の取扱いにおける本人関与に係る規律の在り方 | ア 個人の権利利益への影響という観点も考慮した同意規制の在り方 | |
| 1 統計作成等、特定の個人との対応関係が排斥された一般的・汎用的な分析結果の獲得と利用のみを目的とした取扱いを実施する場合の本人の同意の在り方 | 統計情報等の作成(統計作成と整理できるAI開発を含む。)にのみ利用されることが担保されていること等を条件に、本人同意なき個人データ等の第三者提供及び公開されている要配慮個人情報の取得を可能とする。 | |
| 2 取得の状況からみて本人の意思に反しない取扱いを実施する場合の本人の同意の在り方 | 個人データの第三者提供等が契約の履行のために必要不可欠な場合など、目的外利用、要配慮個人情報取得又は第三者提供が本人の意思に反しないため本人の権利利益を害しないことが明らかである場合について、本人の同意を不要とする。 | |
| 3 生命等の保護又は公衆衛生の向上等のために個人情報を取り扱う場合における同意取得困難性要件の在り方 | 人の生命、身体又は財産の保護のための例外規定及び公衆衛生の向上又は児童の健全な育成の推進のための例外規定について、現行制度においては「本人の同意を得ることが困難であるとき」という要件が付されているが、「その他の本人の同意を得ないことについて相当の理由があるとき」についても、上記例外規定の適用を認める。 | |
| 4 病院等による学術研究目的での個人情報の取扱いに関する規律の在り方 | 目的外利用規制、要配慮個人情報取得規制、第三者提供規制に係るいわゆる学術研究例外に依拠することができる主体である「学術研究機関等」に、医療の提供を目的とする機関又は団体が含まれることを明示する。 | |
| イ 本人への通知が行われなくても本人の権利利益の保護に欠けるおそれが少ない場合における漏えい等発生時の対応の在り方 | 現行法では、漏えい等報告の義務を負うときは、 原則として一律に本人への通知義務を負うこととなるが、本人への通知が行われなくても本人の権利利益の保護に欠けるおそれが少ない場合について、代替措置による対応を認める。 | |
| ウ 心身の発達過程にあり、本人による関与等の規律が必ずしも期待できない子供の個人情報等の取扱い | ・特に厚い保護を与える「子供」の年齢を16歳未満とする。
・子供については、現行法では本人が同意取得や通知の対象とされている場合について、一定の例外を除き法定代理人を対象とする。 ・子供の保有個人データについては、原則として違法行為の有無等を問うことなく利用停止等請求ができるようにする。 ・未成年者の発達又は権利利益を害することのないように必要な措置を講ずるよう努める義務を負う旨の責務規定、及び、個人情報の取扱いに係る同意等をするに当たって、法定代理人は、本人の最善の利益を優先して考慮しなければならない旨の責務規定を設ける。 |
|
| 個人データ等の取扱いの態様の多様化等に伴うリスクに適切に対応した規律の在り方 | ア 個人情報取扱事業者等からデータ処理等の委託を受けた事業者に対する規律の在り方 | データ処理等の委託が行われる場合について、委託された個人データ等の取扱いの態様や、その適正性を確保する能力など、当該個人データ等の取扱いに関わる実態を踏まえ、当該個人データ等の適正な取扱いに係る義務の在り方を検討する |
| イ 特定の個人に対する働きかけが可能となる個人関連情報に関する規律の在り方 | 特定の個人に対して何らかの連絡を行うことができる記述等である電話番号、メールアドレス、Cookie ID 等を含む匿名加工情報、仮名加工情報、匿名加工情報について、個人情報と同様の不適正利用及び不正取得禁止の規律を設ける。 | |
| ウ 本人が関知しないうちに容易に取得することが可能であり、一意性・不変性が高いため、本人の行動を長期にわたり追跡することに利用できる身体的特徴に係るデータ(顔特徴データ等)に関する規律の在り方 | ・顔特徴データ等の取扱いに関する一定の事項の周知を義務付ける。
・顔特徴データ等について、違法行為の有無等を問わず利用停止等請求を行うことを可能とする。 ・顔特徴データ等について、オプトアウト制度に基づく第三者提供を認めないこととする。 |
|
| エ 悪質な名簿屋への個人データの提供を防止するためのオプトアウト届出事業者に対する規律の在り方 | ・オプトアウトによる第三者提供をするときは、あらかじめ、提供先の身元及び利用目的を確認しなければならないこととする。
・提供先は、オプトアウト届出事業者(提供元)が上記確認を行う際に確認事項を偽ってはならないこととし、違反者に過料を科すこととする。 |
|
| 個人情報取扱事業者等による規律遵守の実効性を確保するための規律の在り方 | ア 勧告・命令等の実効性確保 | |
| ・速やかに是正を図る必要がある事案に対する勧告・命令の在り方 | 現行法において、緊急命令は、違反行為による個人の重大な権利利益の侵害が既に発生している場合に限り発することができる緊急命令を、侵害が切迫している場合においても、(勧告を経ることなく)発出することができるようにする等。 | |
| ・個人の権利利益のより実効的な保護のための勧告・命令の内容の在り方 | 違反行為の中止その他違反を是正するために必要な措置に加えて、本人に対する違反行為に係る事実の通知又は公表その他の本人の権利利益の保護のために必要な措置を勧告・命令の内容にすることができるようにする。 | |
| ・命令に従わない個人情報取扱事業者等の個人情報等の取扱いに関係する第三者への要請の導入の要否 | 個情委による命令を受けても従わない者がいる事案に対応するため、その者を補助する第三者に対する中止命令等の発出ができるようにする等。 | |
| イ 悪質事案に対応するための刑事罰の在り方 | 刑事罰の対象となる個人情報データベース等又は保有個人情報の提供行為について、罰則の対象となる行為を拡大する等。 | |
| ウ 経済的誘因のある違反行為に対する実効的な抑止手段(課徴金制度)の導入の要否 | 一定の違反行為に課徴金(行政目的達成のため行政が違反者等に対して課す金銭的不利益のこと)を課すことができるようにする。 | |
| エ 違反行為による被害の未然防止・拡大防止のための団体による差止請求制度、個人情報の漏えい等により生じた被害の回復のための団体による被害回復制度の導入の要否 | 一定の違反行為について、適格消費者団体に、個人情報保護法上の差止請求権を適格消費者団体自身の権利として付与すること、漏えい等発生時の慰謝料請求を消費者裁判手続特例法上の被害回復手続(集団訴訟)の対象とすること等。 | |
| オ 漏えい等発生時の体制・手順について確認が得られている場合や違法な第三者提供が行われた場合における漏えい等報告等の在り方 | 漏えい等発生時の個情委への報告について、一定の要件の下で速報を免除する、違法な個人データの第三者提供を報告対象とする等、制度の見直しをする。 |
※『個人情報保護法の制度的課題に対する考え方について』等を基に筆者が作成
facebook
X (twitter)
note
LINE