個人情報保護法が3年ごとに見直されている理由と改正方針を解説

デジタル化が進む現代社会では個人情報の収集や利用がますます広範囲にわたるようになっており、情報技術の進化や新しいビジネスモデルの登場により個人情報の取り扱いに関する課題が変化しています。このような背景から、プライバシーの保護を強化しつつ、企業活動を阻害しないようにするため、定期的な見直しが必要とされているわけです。

■個人情報保護法とは

個人情報保護法は、個人のプライバシーを守るために制定された法律です。企業や団体が個人情報を取り扱う際のルールを定め、個人情報の漏えいや不正利用を防ぐことを目的としています。「個人情報」とは、氏名や住所、電話番号、メールアドレスなど、特定の個人を識別できる情報です。個人情報保護法では、個人情報の収集から利用、保存、提供までの各段階で、適切な管理を求めています。

この法律が制定された背景には、情報技術の発展に伴い、個人情報が容易に収集・利用されるようになり、プライバシー侵害のリスクが高まったことがあります。こうした状況を受けて、個人情報保護法は2005年に施行され、定期的に改正が行われています。

【関連記事】

個人情報保護法とは？具体例や改正内容、違反した場合の罰則について解説

2. 個人情報保護法の3年ごと見直しに関する中間整理のポイント

2024年6月27日、「個人情報保護法いわゆる３年ごと見直しに係る検討の中間整理」が公表されました。

【参考】

個人情報保護法いわゆる３年ごと見直しに係る検討の中間整理「個人情報保護委員会」

中間整理のポイントは以下の3つです。

個人の権利利益のより実質的な保護の在り方
実効性のある監視・監督の在り方
データ利活用に向けた取組に対する支援等の在り方

それぞれのポイントについて詳しく解説します。

■個人の権利利益のより実質的な保護の在り方

個人の権利利益のより実質的な保護の在り方で議論された具体的な内容は以下の4つです。

個人情報等の適正な取扱いに関する規律の在り方
第三者提供規制の在り方（オプトアウト等）
こどもの個人情報等に関する規律の在り方
個人の権利救済手段の在り方

個人情報が不適切に扱われるリスクが高まっている現代社会において、個人情報の取り扱いがますます高度化し、個人のプライバシーが脅かされるリスクが増えているためです。

個人情報の取り扱いに関する透明性の向上や、個人情報を提供する際の同意取得プロセスの明確化、修正を求める権利の強化が求められています。

■実効性のある監視・監督の在り方

実効性のある監視・監督の在り方で議論された具体的な内容は以下の3つです。

課徴金、勧告・命令等の行政上の監視・監督手段の在り方
刑事罰の在り方
漏えい等報告・本人通知の在り方

個人情報の漏えいや不正利用を未然に防ぐためには、適切な監視体制を整え、法令遵守を徹底する必要があります。また、監視体制の透明性を高めるために、定期的な報告や情報公開も重要です。

■データ利活用に向けた取組に対する支援等の在り方

データ利活用に向けた取組に対する支援等の在り方で議論された具体的な内容は以下の2つです。

本人同意を要しないデータ利活用の在り方
民間における自主的な取組の促進

データの利活用は企業の成長や社会の発展にとって欠かせない要素ですが、個人情報の保護とのバランスを取る必要があります。中間整理では、このバランスを保ちながら、データの安全な活用を促進するための支援策が検討されています。

3. 個人情報保護法の改正方針を解説

2026年1月9日、個人情報保護委員会は、「個人情報保護法いわゆる３年ごと見直しの制度改正方針」を公表しました。

【参考】

個人情報保護法いわゆる３年ごと見直しの制度改正方針「個人情報保護委員会」

個人情報保護法の改正案として、以下の4つを中心に議論が進められました。

適正なデータ利活用の推進
リスクに適切に対応した規律
不適正利用等の防止
規律遵守の実効性確保のための規律

具体的な改正方針は以下の通りです。

要配慮個人情報の取得における同意取得義務の免除
同意取得義務要件の緩和
未成年者の個人情報等の取扱いの明確化
顔特徴データ等の取扱いに関する規定の新設
委託された個人データ等の取扱いの強化
漏えい等発生時の本人通知義務の緩和
特定の個人に対する働きかけが可能となる情報に対する規制強化
オプトアウト方式による提供先の身元及び利用目的の確認の義務化
勧告及び命令の要件緩和
違反行為の中止のために必要な措置を要請する根拠規定
罰則の強化及び拡大
課徴金制度の導入

それぞれの改正方針の内容について詳しく解説します。

■要配慮個人情報の取得における同意取得義務の免除

現行法においては、個人情報を取得する際に、個人の同意を得ることが義務付けられています。改正方針では、個人データ等の第三者提供及び公開されている要配慮個人情報の取得について、統計情報等の作成のみで使用され、個人の権利利益を害する可能性が低い場合には、同意取得の手続きを省略できる方針が示されています。

この背景には、データの利活用が進む中で、迅速かつ効率的にデータを活用する必要性が高まっていることがあります。例えば、医療や教育分野での研究においては、大量のデータを迅速に分析することが求められるからです。

■同意取得義務要件の緩和

現行法においては、以下に該当する場合、原則として本人の同意を得る必要があります。

利用目的の達成に必要な範囲を超えて個人情報を取り扱う場合（個人情報保護法第18条第1項）
要配慮個人情報を取得する場合（個人情報保護法第20条第2項）
個人データを第三者に提供する場合（個人情報保護法第27条）

改正方針では、以下に該当する場合、同意取得義務の要件を緩和する方針が示されています。

取得の状況からみて本人の意思に反しないため本人の権利利益を害しないことが明らか
な取扱いである場合
生命等の保護又は公衆衛生の向上等のために取り扱う場合
学術研究に係る例外規定の対象である「学術研究機関等」に医療の提供を目的とする機関又は団体が含まれることが明示されている場合

■未成年者の個人情報等の取扱いの明確化

現行法では、未成年者の個人情報等の取得に関して、同意や通知の対象となる年齢について定められていません。12歳から15歳までの年齢以下の子供について、法定代理人等から同意を得る必要があると個人情報保護委員会のQ&Aで述べられているだけです。

【参考】

「個人情報の保護に関する法律についてのガイドライン」に関するＱ＆Ａ　Ａ１－62

改正方針では、未成年者の個人情報等の取扱いに関して以下の方針が示されています。

16 歳未満の者が本人である場合、同意取得や通知等について当該本人の法定代理人を対象とすることを明文化すること
当該本人の保有個人データの利用停止等請求の要件を緩和すること
未成年者の個人情報等の取扱い等について、本人の最善の利益を優先して考慮すべき旨の責務規定を設けること

■顔特徴データ等の取扱いに関する規定の新設

現行法では、顔特徴データ等の取り扱いについて、明確な規定はありません。

「顔特徴データ」とは、個人の顔の形状、目や鼻の位置などの情報を指します。これらのデータは一意性及び不変性が高く、他の生体データに比べて個人を特定されやすい点が指摘されていました。

改正方針では、顔特徴データ等について、以下の方針が示されています。

取扱いに関する一定の事項の周知を義務化する
利用停止等請求の要件を緩和する
オプトアウト制度に基づく第三者提供を禁止する

■委託された個人データ等の取扱いの強化

現行法では、個人データを取り扱う業務を委託された事業者に対する明確な義務は定められていません。一方、近年では個人データ等の取り扱いを第三者に委託するケースが増加しており、受託事業者に対する規定の必要性が指摘されていました。

改正方針では、個人データを取り扱う業務を委託された事業者に対し、委託された個人データ等の適正な取扱いに関する義務を見直す方針が示されています。

見直しの具体的な内容は以下の通りです。

取扱いを委託された個人データ等を当該委託を受けた業務の遂行に必要な範囲を超えて取り扱ってはならない旨の義務を委託先に明文規定により課す
法令に基づく場合及び人命の救助、災害の救援その他非常の事態への対応のため緊急の必要がある場合には、例外的に委託先が独自の判断で利用できることとする

■漏えい等発生時の本人通知義務の緩和

現行法では、本人への通知が困難で、本人の権利利益を保護するため必要なこれに代わるべき措置をとる場合を除き、漏えい等発生時の本人への通知が義務付けられています。（個人情報保護法26条2項）

改正方針では、本人の権利利益の保護に欠けるおそれが少ない場合、漏えい等が発生した際の本人への通知義務を緩和する方針が示されています。

■特定の個人に対する働きかけが可能となる情報に対する規制強化

現行法では、個人情報について不適正利用の禁止及び不正取得が禁止されています。

個人情報取扱事業者は、違法又は不当な行為を助長し、又は誘発するおそれがある方法により個人情報を利用してはならない。

引用：個人情報保護法第19条

個人情報取扱事業者は、偽りその他不正の手段により個人情報を取得してはならない。

引用：個人情報保護法第20条1項

一方で、仮名加工情報や匿名加工情報については、不適正利用の禁止及び不正取得の禁止が明確に定められていません。

電話番号やメールアドレスなど、特定の個人に対して働きかけることが出来る情報については、個人情報に該当しない場合であっても権利利益の侵害が発生する可能性がある点が指摘されていました。

改正方針では、特定の個人に対する働きかけが可能となる情報について、不適正利用及び不正取得を禁止する方針が示されています。

■オプトアウト方式による提供先の身元及び利用目的の確認の義務化

現行法では、個人情報を第三者に提供する際に本人の同意を得ずに提供できるオプトアウト方式があります。一方で、オプトアウト方式については提供先の情報が不明確なまま利用されるリスクが指摘されていました。

改正方針では、オプトアウト制度に基づく第三者提供時の提供先の身元及び利用目的の確認を義務化する方針が示されています。

■勧告及び命令の要件緩和

現行法では、「違反行為の中止その他違反を是正するために必要な措置をとるべき旨」を勧告によって要求することができます。（個人情報保護法第148条1項）

また、「個人の重大な権利利益を害する事実があるため緊急に措置をとる必要があると認めるとき」に限り、勧告の前置を要しない緊急命令ができるとされています。（個人情報保護法第148条3項）

一方、違法行為の公表・通知を勧告・命令することはできません。

改正方針では、勧告及び命令に関する要件を緩和する以下の方針が示されています。

速やかに違反行為の是正を求めることができるよう命令の要件を見直す
本人に対する違反行為に係る事実の通知又は公表等の本人の権利利益の保護のために必要な措置をとるよう勧告・命令することも可能とする。

■違反行為の中止のために必要な措置を要請する根拠規定

現行法で命令を発出することができるのは、個人情報保護法の義務規定に違反した個人情報取扱事業者等に対してのみです。（個人情報保護法148条2項・3項）

違反行為に関わる第三者に対し、サービス提供の停止を命じることはできず、任意の要請を行う根拠規定もありません。

改正方針では、違反行為を補助等する第三者に対して当該違反行為の中止のために必要な措置等をとるよう要請する際の根拠規定を設ける方針が示されています。

■罰則の強化及び拡大

現行法で個人情報データベース等の不正提供等の罰則の対象となるのは、不正な利益を図る目的で実行行為を行った場合のみです。（個人情報保護法179条・180条）

損害を加える目的で提供した場合には、罰則の対象となりません。

改正方針では、個人情報データベース等の不正提供等に係る罰則について以下の方針が示されています。

加害目的の提供行為も処罰対象とするとともに法定刑を引き上げる
詐欺行為等により個人情報を不正に取得する行為に対する罰則を設ける

■課徴金制度の導入

現行法における個人情報保護法違反に対する罰則は、刑事罰としての罰金のみです。行政上の制裁としての課徴金制度は導入されていません。

改正方針では、重大な違反行為により個人の権利利益が侵害された場合等について、当該違反行為によって得られた財産的利益等に相当する額の課徴金の納付を命ずることとする方針が示されています。

課徴金制度を導入する目的は、経済的誘因のある、大量の個人情報の取扱いによる悪質な違反行為を実効的に抑止することです。

課徴金制度の対象となる違反行為は以下の通りです。

不適正利用のうち具体的に明記された類型
不正取得
違法な第三者提供
目的外の利用・第三者提供

4. まとめ

今回は、個人情報保護法が3年ごとに見直されている理由と改正方針について解説しました。

個人情報保護法は、個人情報の取り扱いが適切に行われるようにするために、3年ごとに社会の変化や技術の進歩に応じた見直しが行われています。個人情報保護法が改正された際に適切に対応するためにも、定期的に法改正に関する情報を収集し、必要な対策を講じていきましょう。

アトミテックでは、委託先リスク管理の手順をまとめた委託先リスク管理ガイドを公開しています。ぜひ自社の委託先管理の参考になさってください。