詳細はこちら
サービスロゴ

もらえる!

Present!

【弁護士執筆】2025年「個人情報保護法改正」に向けて企業が準備すべきこと

公開日2024/10/29 更新日2024/12/25 ブックマーク数
2

【弁護士解説】2025年「個人情報保護法改正」に向けて企業が準備すべきこと

小坂 光矢様

▼この記事を書いた人

小坂 光矢

牛島総合法律事務所
弁護士

2014年弁護士登録。情報処理安全確保支援士。
データプライバシー領域における主要な案件実績として、パーソナルデータのビジネスへの利活用に関する法的助言やグローバルなデータ移転体制の構築を含む情報管理体制の構築に関する法的助言、情報漏えい事案への対応に関する法的助言等。近時の著作として「個人情報関連法令スピードチェック」(共著、商事法務・2024)がある。

個人情報保護法の2025年改正について

2025年改正の背景

個人情報保護法については、2022年4月から施行されている2020年改正法の附則において、法律の施行から3年ごとに、個人情報の保護に関する国際的動向、情報通信技術の進展、それに伴う個人情報を活用した新たな産業の創出及び発展の状況等を勘案し、改正法の施行状況についての検討を行い、必要があるときは措置をとるとされていました(以下、「見直し規定」といいます。)。2025年改正は、この見直し規定を踏まえて行われるものです。

2025年改正に向けた現在の状況

見直し規定に基づく検討作業は2023年11月から開始されており、有識者や関係団体等へのヒアリング等を経て、2024年6月27日に「個人情報保護法いわゆる3年ごと見直しにかかる検討の中間整理」(以下「中間整理」といいます。)が個人情報保護委員会から公表されました。また、2024年6月27日から同年7月29日まで、中間整理についてのパブリックコメント手続が実施され、1,731の団体・事業者・個人から、合計2,448件の意見が提出されました。

中間整理はその時点までの議論や検討を踏まえた個人情報保護委員会の考えをまとめたものであり、2025年に改正される内容が含まれている可能性があります。中間整理のうち、特に重要と思われるポイントについては、後述します。

想定される今後のスケジュール

2025年改正については、以前の個人情報保護法改正時のスケジュールに照らすと、2024年末頃に改正大綱が公表され、具体的な改正事項が明らかになると予想されます。その後、2025年春の通常国会での審議を経て、2025年改正法が公布されることになると予想されます。2025年改正法の施行時期については、公布から1年後ないし2年後(2026年から2027年頃)になる可能性が高いと予想されます。

中間整理の概要

以下、中間整理の内容について、特に重要と思われるポイントのみに絞って紹介します。

個人情報等の適切な取扱いに関する規律について

1. こどもの個人情報
現在の個人情報保護法では、子どもの個人情報の取扱いについて特に明文の規定は定められていません。個人情報の保護に関する法律についてのガイドライン等において、一般的に12歳から15歳までの年齢以下の子どもから同意を得る必要がある場合(例えば、目的外利用、要配慮個人情報の取得、第三者提供等を行う場合)には、法定代理人等から同意を得る必要があるとされているに留まります。

中間整理では、子どもの年齢基準については16歳未満とすることについて検討を行うとされています。また、上述した本人の同意を取得する必要がある場面のほか、本人への通知が必要となる場面(利用目的の通知、漏えい等に関する通知等)について、本人が子どもである場合には法定代理人を対象としてこれらを実施すべきことを法令の規定として明文化することを検討する必要があるとされています。

さらに、子どもの要保護性を踏まえ、利用停止請求を他の保有個人データよりも柔軟に認めることや、重大なこどもの個人情報の漏えい事件が発生したことも踏まえて事業者が講ずべき安全管理措置義務を強化することも検討の対象とされています。

2. 個人の権利救済手段
現在の個人情報保護法の下では、保有個人データの本人は、自らが識別される保有個人データが法律の規定に違反して取り扱われている場合や、本人の権利又は正当な利益が害されるおそれがある場合等には、事業者に対して自らが識別される保有個人データの利用停止等や第三者提供の停止を請求することができます。

もっとも、2020 年2月から3月に実施されたアンケート調査では、「保有個人データの利用停止・消去又は第三者提供の停止に関する請求を過去一年間で約何件受けましたか?」との質問に対して、回答のあった事業者(全158社)のうち47%が「10件未満」と回答するに留まっています。

中間整理では、法の規定に違反する個人情報の取扱いに対する抑止力を強化し、本人に生じた被害回復の実効性を高めるという観点から、適格消費者団体(消費者契約法に定める要件を満たし、差止請求を行うのに必要な適格性を有するとして、内閣総理大臣が認定した消費者団体)を念頭に置いて、差止請求制度や被害回復制度(特定適格消費者団体が、多数の消費者に共通して生じた被害について、訴訟を通じて集団的な被害の回復を求めることができるとするもの)の枠組みが有効な選択肢となり得るとされています。

もっとも、これらの点については、関係団体からのヒアリングにおいて、その導入について強く反対との意見があるところですので、2025年改正法において導入されるかどうかについては引き続き注視していく必要があります。

実効性のある監視・監督の在り方について

1. 事業者に対する監視・監督
現在の個人情報保護法では、個人情報取扱事業者に対する監視・監督は、概要以下の流れで行われます。

  • 個人情報保護委員会が、個人情報保護法相談ダイヤル、 個人情報取扱事業者からの漏えい等報告、その他メディア情報等の外部の情報源から情報を取得
  • 個人情報保護委員会が、取得した情報に基づいて必要に応じて報告徴収や立入検査を実施。
  • 個人情報保護委員会が、報告徴収や立入検査の結果に応じて、個人情報等の取扱いに関する必要な指導及び助言、又は違反行為の中止その他違反を是正するために必要な措置をとるべき旨の勧告を実施。
  • 事業者が正当な理由なく勧告に従わない場合で、個人の重大な権利利益の侵害が切迫している場合には、命令を発出。
  • なお、個人の重大な権利利益を害する事実があるため緊急に措置をとる必要があると認めるとき等の一定の要件を満たす場合には、例外的に勧告を経ることなく命令(いわゆる緊急命令)を発出することも可能。
  • 事業者が命令に違反した場合には、1年以下の懲役又は100万円以下の罰金の対象となる(個人情報保護法178条)。法人等は、1億円以下の罰金の対象となる(個人情報保護法184条)。

中間整理では、個人情報取扱事業者等による法に違反する個人情報等の取扱いにより個人の権利利益の侵害が差し迫っている場合に直ちに中止命令を出すことの必要性等について検討すべきとされています。

また、現行法に定められている指導・助言、勧告、命令、罰則に加えて、課徴金制度について検討する必要があるとされています。もっとも、課徴金制度に関しては、上述の差止請求制度や被害回復制度と同様に、関係団体からのヒアリングにおいて、その導入について強い反対意見が示されているところですので、2025年改正法において導入されるかどうかについて、引き続き注視する必要があります。

2. 漏えい等報告、本人通知の合理化
現在の個人情報保護法では、個人データについて、①要配慮個人情報が含まれる個人データの漏えい等、②不正利用により財産的被害が生じるおそれがある個人データ(クレジットカード番号等)の漏えい等、③不正の目的をもって行われたおそれがある行為(不正アクセスやランサムウェア攻撃等)による個人データの漏えい等、及び④個人データに係る本人の数が1000人を超える漏えい等が発生し、又は発生したおそれがある場合には、(1)個人情報保護委員会への報告(概ね3~5日以内の速報提出と30日又は60日以内の確報提出)、及び(2)漏えい等した個人データの本人への通知(通知困難である場合は、公表等の代替措置)を行うことが求められています。

中間整理では、関係団体等から、これらの義務が事業者の過度な負担になっているという意見が示されていることを踏まえ、制度趣旨を損なわない範囲で、報告・通知の範囲・内容の合理化を検討すべきであるとされています。具体的には、漏えい等事案への適切な対処(漏えい等が生じたか否かの確認、本人通知、原因究明など)を行うための体制・手順が整備されていると認定個人情報保護団体等から確認を受けた事業者については、一定の範囲で個人情報保護委員会への速報を免除することや、漏えい等した個人データに係る本人の数が1人である漏えい等事案において本人通知が的確になされた場合には、一定期間ごとに取りまとめた確報を許容することが考えられるとされています。

なお、現在の個人情報保護法では、本人の同意を得ていない第三者提供(以下「違法な第三者提供」といいます。)については、上記のような報告義務や本人通知義務は課されないことになっていますが、中間整理では、違法な第三者提供があった場合における報告義務や本人通知義務の必要性や、報告等の対象となる範囲を検討する必要があるとされています。

データ利活用に向けた取り組みに対する支援等の在り方

1. 本人同意を要しないデータ利活用等の在り方
現在の個人情報保護法では、特定された利用目的の達成に必要な範囲を超えて個人情報を取り扱う場合(法第18条)、要配慮個人情報を取得する場合(法第20条)、個人データを 第三者に提供する場合(法第27条)については、原則としてあらかじめ本人の同意を取得する必要があります。本人の同意を取得することなくこれらの取扱いを行うためには、法律上の例外要件を満たす必要がありますが、事業者が想定する利用対応が現行法の例外要件では必ずしもカバーされていないケースも見受けられるところでした。

中間整理では、医療機関等における研究活動等に係る利活用のニーズを踏まえ、公益性の程度や本人の権利利益保護とのバランスを踏まえて、例外規定に係る規律の在り方について検討する必要があるとされているほか、生成AIなどの、社会の基盤となり得る技術やサービスのように、社会にとって有益であり、公益性が高いと考えられる技術やサービスについては、社会的なニーズの高まりや公益性の程度を踏まえて、例外要件を設けるための検討が必要であるとされています。

2025年改正個人情報保護法に向けた対応策とアドバイス

中間整理では、個人の権利救済手段を設けることや課徴金制度を導入して事業者に対する監視・監督を強化することが中心的な検討対象とされています。そのため、現時点で行うことができる2025年改正に向けた準備としては、自社における個人情報保護法コンプライアンス体制に問題がないかについて、今のうちに総確認しておくことが考えられます。中間整理において、本人の同意を得ていない違法な第三者提供があった場合における個人情報保護委員会への報告等が検討の対象とされていることを踏まえると、まずは本人の同意を取得すべき場面において、適切に同意を取得することができているか(取得すべき同意に漏れはないか)という点について、確認しておくことが考えられます。

以 上


ニュースを読んでポイントGET!(公開日の翌日13時前限定で取得可能)

おすすめコンテンツ

人気記事ランキング

キャリア記事ランキング

新着動画

関連情報