■個人情報保護法の制度改正方針について
■個人情報保護法の制度改正方針について
(テレワークブログ)
みなさま、こんにちは。
2025年6月に政府の「デジタル社会の実現に向けた重点計画」が閣議決定されて、「データ利活用制度の在り方に関する基本方針」が取りまとめられました。
その中で、データ利活用と個人情報の適切な保護は不可分一体の関係にあることから、個人情報保護法について必要な改正を行うことが示されています。
2026年1月に個人情報保護委員会が公開した「個人情報保護法 いわゆる3年ごと見直しの制度改正方針」では、次の4つの観点が示されています。
1)適正なデータ利活用の推進
2)リスクに適切に対応した規律
3)不適正利用等の防止
4)規律遵守の実効性確保のための規律
==
1)適正なデータ利活用の推進
本人の権利利益への影響の有無という観点から、本人関与の在り方を再整理し、これにより、個人の信頼を確保した上での適正なデータ利活用の実現につなげることで、政府全体として検討しているデータ利活用に係る制度等の検討とも整合した形とする。
① 個人データ等の第三者提供及び公開されている要配慮個人情報の取得について、統計情報等の作成にのみ利用されることが担保されていること等を条件に、本人同意を不要とする。
② その他、目的外利用、要配慮個人情報取得及び第三者提供に関する規制について、
・ 取得の状況からみて本人の意思に反しないため本人の権利利益を害しないことが明らかな取扱いである場合は本人同意を不要とする。
・ 生命等の保護又は公衆衛生の向上等のために取り扱う場合における同意取得困難性要件を緩和する。
・ 学術研究に係る例外規定の対象である「学術研究機関等」に、医療の提供を目的とする機関又は団体が含まれることを明示する。
2)リスクに適切に対応した規律
個人データ等の取扱いの態様の変化により、個人の権利利益に対するリスクも変化していることから、これに応じて規律を整備する。
① 16 歳未満の者が本人である場合、同意取得や通知等について当該本人の法定代理人を対象とすることを明文化し、当該本人の保有個人データの利用停止等請求の要件を緩和するとともに、未成年者の個人情報等の取扱い等について、本人の最善の利益を優先して考慮すべき
旨の責務規定を設ける。
② 顔特徴データ等について、その取扱いに関する一定の事項の周知を義務化し、利用停止等請求の要件を緩和するとともに、オプトアウト制度に基づく第三者提供を禁止する。
③ データ処理等の委託を受けた事業者について、委託された個人データ等の適正な取扱いに係る義務の見直しを行う。
④ 漏えい等発生時について、本人の権利利益の保護に欠けるおそれが少ない場合は、本人への通知義務を緩和する。
3 不適正利用等の防止
個人データ等が犯罪行為等の不適正な利用形態で用いられることによる個人の権利利益侵害のリスクが高まっていることから、これに応じて規律を整備する。
① 特定の個人に対する働きかけが可能となる個人関連情報等について、不適正利用及び不正取得を禁止する。
② オプトアウト制度に基づく第三者提供時の提供先の身元及び利用目的の確認を義務化する。
4)規律遵守の実効性確保のための規律
個人データ等が不適切に取り扱われた場合において事後的にこれを是正する措置を充実するとともに、将来起こり得る不適切な取扱いを抑止するための仕組みを整備する。
① 速やかに違反行為の是正を求めることができるよう命令の要件を見直し、さらに、本人に対する違反行為に係る事実の通知又は公表等の本人の権利利益の保護のために必要な措置をとるよう勧告・命令することも可能とする。
② 違反行為を補助等する第三者に対して当該違反行為の中止のために必要な措置等をとるよう要請する際の根拠規定を設ける。
③ 個人情報データベース等の不正提供等に係る罰則について加害目的の提供行為も処罰対象とするとともに法定刑を引き上げ、また、詐欺行為等により個人情報を不正に取得する行為に対する罰則を設ける。
④ 経済的誘因のある、大量の個人情報の取扱いによる悪質な違反行為を実効的に抑止するため、重大な違反行為により個人の権利利益が侵害された場合等について、当該違反行為によって得られた財産的利益等に相当する額の課徴金の納付を命ずることとする。
5)その他
上記1から4までのほか、以下の項目について、引き続き検討を続けていくこととする。
(1) 漏えい等報告の合理化
漏えい等報告については、「個人情報保護法の制度的課題に対する考え方について」第 3 の 5 における整理のとおり、体制・手順に係る認定個人情報保護団体などの第三者の確認を受けること等を前提とした合理化の方策等について、検討を進めていく。
なお、漏えい等報告の対象となる事態のうち、大量の個人データの漏えい等や不正の目的をもって行われたおそれがある行為による漏えい等の中にはサイバー攻撃に起因するものも多く見られるところである。
これらについて、重要電子計算機に対する不正な行為による被害の防止に関する法律(令和7年法律第 42 号。以下「サイバー対処能力強化法」という。)に基づくインシデント報告の義務化の議論において、報告義務を負う事業者側の負担への配慮の必要性が指摘されたことを踏まえ、報告様式及び報告窓口の一元化に向けた調整を進めていく。
加えて、報告基準についてもその発生の「おそれ」がある場合が広く対象とされるものから見直し、個人の権利利益に対するリスクの程度を十分に踏まえ、サイバー対処能力強化法に基づくインシデント報告の基準とも整合性があるものとなるように整理を進める。
(2) 本人の権利利益の保護の向上のための関係者の連携
「個人情報保護法の制度的課題に対する考え方について」において、既存の適格消費者団体の活用を念頭に、団体による差止請求制度・被害回復制度の導入について提言を行ったところであるが、関係するステークホルダーとの相互の協力関係等の状況、「個人の権利利益を保護すること」を目的とする個人情報保護法と消費者団体訴訟制度との関係の整理等の課題があることを踏まえ、今回の見直しにおいては制度的な導入については見送ることとする。
今後、より実効性ある形で個人の権利利益の保護を実現していくために、権利利益の主体である個人と義務の主体である個人情報取扱事業者(企業)との間のコミュニケーションの充実が図られることが重要であり、適格消費者団体をはじめとする団体が個人情報の取扱いに関する個人の声の受け手となれるような環境の醸成が必要である。
個人情報保護委員会に設置されている個人情報保護法相談ダイヤルについてもその対応を充実させること等により、個人情報取扱事業者の個人情報の取扱いの実情をより具体的に把握し、これをもとに関係するステークホルダーとの連携を充実させていく必要がある。
==
当事務所は、テレワーク・セキュリティの専門家として、ITx法律の両面からトータルな制度改善へのご支援を行っております。
どうぞ安心してご相談ください。
2026年3月11日
小林勝哉社会保険労務士事務所 代表
特定社会保険労務士 小林勝哉
(参考)
・デジタル社会の実現に向けた重点計画
・個人情報保護法 いわゆる3年ごと見直しの制度改正方針 概要
・日本プライバシー認証機構 ブログ 2026年1月現在 個人情報保護法の改正の方針