【I&S インサイト】【連載】法務担当者として今こそ押さえたい個人情報保護法 第1回「(いわゆる)3年ごと見直しの制度改正方針概説」

DATE 2026.02.13

執筆者:今村  敏
大畑 拓也

 

【連載】
法務担当者として今こそ押さえたい個人情報保護法
  第1回「(いわゆる)3年ごと見直しの制度改正方針概説」

 

はじめに(いわゆる3年ごと見直しの現在地と本連載の目的)

 

 個人情報保護委員会は、令和2年改正法附則第10[1]の規定を踏まえ、いわゆる「3年ごと見直し」について、2023年(令和5年)11月から法改正に向けた検討を進めてきました。この検討では、個人情報保護法に課徴金制度が導入されるかが大きな焦点となり、事業者の皆様もその動向に注目してきたものと思われます。特に、行政命令や刑事罰だけでは、違反行為によって得られる経済的利益を十分に上回る抑止を確保しにくい場面があり得るとの問題意識から、課徴金による実効的な監督手段の在り方が議論の中心となってきました。そして、個人情報保護委員会は、2026年(令和8年)19日に「個人情報保護法 いわゆる3年ごと見直しの制度改正方針」を公表しました。

 

 本連載は、このタイミングで、企業の法務・コンプライアンス担当者、個人情報(契約者情報)を取り扱い得るプロダクト担当者及びマーケティング担当者等を主な読者として、個人情報保護法の全体像を実務上の疑問点も交えながら、全12回程度で解説することを目指すものです。

 個人情報保護法は、もはや「一度理解すれば終わりの法律」ではありません。近年、同法は3年ごと見直しを通じて継続的に議論が進められており、企業における実務に与える影響も年々大きくなっています。現在も、個人情報保護委員会を中心に、次期国会への提出が予定される改正法案を見据えた議論が進められています。

 本稿は、こうした「今まさに動いている個人情報保護法」の現在地を俯瞰し、どのような問題意識のもとで見直し議論が行われているのか、そして実務にどのような変化が想定されるのかを整理します。第1回は、初回の特別号として、本連載を読み進めるための前提整理(現在地確認)に位置付ける回です。

 今回の見直しは課徴金制度の導入が中心論点であったと言えますが、他方で、同意規律の整理等、実務への影響の大きい論点も含まれるところです。そこで本稿では、課徴金制度を軸にしつつ、同意規律に関して概観します。

 

課徴金制度の導入(不正・不適切な利活用の抑止(制裁強化と執行力の向上))

1 制度の狙い

 課徴金制度は、独占禁止法、景品表示法、薬機法など、既に複数の法分野に導入されている制度です。ただし、各法令における課徴金制度は、それぞれの立法目的や規制対象となる違反行為の性質に応じて設計思想が異なっており、その内容が完全に同一の制度となっているわけではありません。

 個人情報保護法において課徴金制度の導入が検討されている背景には、大量の個人情報を不正に取得・提供・利用し、それ自体を価値として経済的利益を得る事業者の存在があります。このような事業者に対しては、従来の行政命令や刑事罰のみでは、違法行為によって得られる期待利益を十分に上回る制裁を科すことが困難であり、抑止力に限界があるとの指摘がなされてきました。具体的には、行政命令は違反行為を是正させる効果はあるものの、違反によって既に得られた経済的利益を直接的に剥奪する制度ではありません。また、刑事罰については、悪質性の高い事案に限定される傾向があり、立証や手続に多大なコストを要することから、実務上適用される場面は限定的です。その結果、違法なデータ取得・流通・利用をビジネスモデルとする事業者にとっては、違反による期待利益が制裁コストを上回る構造が生じ得るとの問題意識が共有されてきました。

 そこで、本制度は、悪質な個人情報の取得・流通・利用を通じて得られた経済的利益そのものを剥奪することにより、違法行為の抑止を図ることを目的として構成されています。以下では、現時点で明らかとなっている課徴金制度の対象行為及びその要件について確認します。

 

2 対象範囲

 個人情報保護法における課徴金制度の導入を検討するにあたり、どのような行為を課徴金の対象とするのかという点は、大きな論点の一つでした。特に、不正アクセス等の被害を受けた事業者について、安全管理措置義務違反等が理論上は観念し得る場面においても、課徴金の対象とすべきか否かが議論されていました。しかしながら、最終的には、課徴金制度は「被害を受けた事業者」ではなく、「個人情報を不正又は不適切に利用して経済的利益を得る主体」に対して適用されるべきであるとの考え方が採用されています。その結果、不正アクセス被害等の場面は、課徴金の対象行為からは除外されています。

 現時点で示されている課徴金の対象行為は、以下の5つの行為又は当該行為をやめることの対価として金銭等を得たときが対象とされています。

① 個人情報の提供であって、当該個人情報を利用して違法な行為又は不当な差別的取扱いを行うことが想定される状況にある第三者に対して行うもの

② 第三者の求めにより行う個人情報の利用であって、当該第三者が当該個人情報の利用を通じて違法な行為又は不当な差別的取扱いを行うことが想定される状況にある場合に行われるもの

③ 法第 20 条第 1 項の規定に違反して、偽りその他不正の手段により個人情報を取得し、当該個人情報を利用する行為

④ 法第 27 条第 1 項の規定に違反して、あらかじめ本人の同意を得ないで、個人データを第三者に提供する行為

⑤ 統計作成等の特例に基づき取得した個人情報を、当該特例に係る義務に反して目的外に取り扱う行為又は第三者に提供する行為等

 これらの行為に共通するのは、本人の意思に反する形で個人情報を取得・利用・流通させ、その行為自体を通じて経済的利益を得る点にあります。単なる管理不十分や、第三者による不正行為の結果として発生した情報漏えい等を広く課徴金の対象とするものではない点に、本制度の特徴があります。

 また、課徴金制度の適用に当たっては、対象行為に該当するだけで直ちに課徴金が課されるわけではなく、以下の要件を満たすことが想定されています。

  • 当該個人情報取扱事業者が、当該対象行為を防止するための相当の注意を怠った者でないと認められる場合でないこと
  • 当該対象行為に係る個人情報又は個人データの本人の数が1,000人を超えること
  • 個人の権利利益を害する程度が大きくない場合に該当しないこと

 このうち、「相当の注意」を尽くしていたか否かの判断は、形式的な体制整備の有無のみならず、当該行為の発生を防止するために実質的な措置が講じられていたかという観点から判断されるものと考えられます。なお、「相当の注意を怠った」としており、重過失の場面を想起させる文言ではあるものの、前述の①から⑤は、故意による場合に限定しているものではないため、いわゆる悪徳事業者のみが問題になるものではなく、通常の事業者であっても個人情報の取扱いの対応に問題があれば、課徴金の対象となり得る点には注意が必要かと思われます。

 課徴金の算定方法については、「違反事業者が対象行為又は対象行為をやめることの対価として得た金銭その他の財産上の利益に相当する額」とされており、独占禁止法や景品表示法等において採用されている売上額を基準とする一定割合方式とは異なる設計が想定されています。この点については、今後の制度設計や運用の具体化を引き続き確認する必要があります。

 

3 まとめ

 本制度の導入により、法令を遵守するためにコストを負担している事業者と、違法又は不適切なデータ活用によって利益を得ている事業者との間の不公平が是正される方向性が明確になります。自社においては、個人情報の取得・利用・第三者提供の各局面において、当該行為が「不正な取得」や「本人の意思に反する提供・利用」に該当しないかを改めて点検することが重要です。また、それらの行為が事業上の利益獲得と結び付く構造となっていないかという観点から、ガバナンス体制を再確認する契機とすべきであると考えられます。特に、データ連携、AI学習、マーケティング利用等の分野では、従来問題視されにくかった行為が課徴金制度の射程に入る可能性があることを踏まえ、制度趣旨を理解した上での実務運用が求められます。とりわけ、データ取得・分析・提供が事業収益と結び付く構造を有する場合には、従来以上に厳格な整理が必要となります。

 また、現時点ではその制度の全容が明らかになっていませんが、独占禁止法や景品表示法との比較で考えた場合には、課徴金減免(リニエンシー)制度の有無や、自主的な是正計画によって違反の疑いある状態を解消し、認定を受けることで処分を免れる確約手続の有無等についても問題になり得るところですが、現時点では導入されるか不明です。

 もっとも、これらの制度の導入の有無に関わらず、ガバナンス体制構築がより重要になっているという点は指摘できると思われます。

 

 

同意規律の柔軟化と高度化

 1 背景(同意の形骸化と事業萎縮の解消)

 個人情報保護法は、個人データの第三者提供については原則として本人の同意を要する一方で(法第27条第1項)、一定の例外事由に該当する場合や、委託・事業承継・共同利用等の「第三者」に該当しない取扱いについては、同意取得を不要とする規定を設けてきました。もっとも、令和2年改正法附則に基づく、いわゆる「3年ごと見直し」においては、実務上、本人の意思に明らかに反しない利用であっても形式的に同意取得を求めざるを得ない場面が多く、同意の形骸化や過度な事業萎縮を招いているのではないかとの問題意識が、事業者・有識者双方から指摘されてきました。このような背景の下、個人情報保護委員会は、令和5年11月以降、施行状況の検証、関係者ヒアリング、国際的なデータ保護制度との比較等を踏まえ、本人関与(同意)を中心とした規律のあり方そのものを再整理する観点から検討を進めており、その中で、本人同意を不要とする例外規律の見直し・明確化が重要な検討テーマとして位置付けられています。

 

2 本人同意不要の新たな類型の明確化(本人意思に反しない・本人の権利利益を害さない)

 従来、個人データの第三者提供や要配慮個人情報の取得、目的外利用等については、本人の同意を原則とする整理が採られてきました。その一方で、取得の経緯や利用目的からみて、当該取扱いが本人の合理的な期待の範囲内にあり、本人の意思に反するとは評価し難い場合であっても、明文上の根拠がないことから、実務上は形式的な同意取得に依拠せざるを得ない場面が少なくありませんでした。

 こうした実務状況を踏まえ、今回の見直しにおいては、個人データの取得状況や利用態様からみて、本人の意思に反しないことが明らかであり、かつ本人の権利利益を害するおそれがない場合については、本人同意を不要とすることを制度上明確化する方向性が示されています。

 この整理が実現した場合、これまで解釈・運用によって対応されてきた「本人の合理的期待に沿った利用」について、法的根拠が明確化され、事業者にとっての予見可能性・法的安定性が向上することが期待されます。例えば、契約の履行やサービス提供のために不可欠であり、当該個人データの取得時点から本人が通常想定し得る利用については、同意要否の判断がより整理されることになります

 

3 生命・公衆衛生等の例外の要件緩和

 現行法においては、生命・身体の保護や公衆衛生の向上等を目的とする個人情報の取扱いについて、本人同意を不要とする例外類型(法第27条第1項第2号・第3号)が設けられていますが、いずれも「本人の同意を得ることが困難であること」を要件としています。もっとも、実務上は、同意取得が「不可能」とまではいえないものの、緊急性や社会的要請の観点から、同意取得を前提とすることが必ずしも合理的でない場面も少なくなく、同要件が過度に厳格であるとの指摘がなされてきました。

 この点を踏まえ、今回の制度見直しでは、「本人の同意を得ることが困難であるとき」に加え、「その他本人の同意を得ないことについて相当の理由があるとき」を要件として位置付けることが検討されており、例外適用の判断枠組みを柔軟化する方向性が示されています。これにより、緊急医療対応や感染症対策等、公衆衛生上の迅速な対応が求められる場面において、実務判断の幅が一定程度広がることが期待されます。他方で、「相当の理由」の具体的な判断基準については、恣意的運用を防ぐ観点からも、今後のガイドラインやQ&Aによる補足が不可欠であり、引き続きの動向把握が重要となります。

 

4 学術研究例外の明確化

 学術研究例外(法第27条第1項第5号〜第7号)については、従来、「学術研究機関等」の範囲が必ずしも明確でなく、特に医療機関が行う研究活動との関係で解釈上の不明確さが指摘されてきました。この点について、今回の見直しでは、「学術研究機関等」に「医療の提供を目的とする機関又は団体」を含むことを制度上明確化する方向で整理が進められています。

 この整理により、医療機関等が診療情報・臨床データを学術研究目的で取り扱う場合の法的根拠がより明確となり、研究活動の円滑化が期待されます。特に、新型コロナウイルス感染症対応において顕在化した、迅速な研究データ活用と個人情報保護とのバランスに関する課題を踏まえ、研究例外の位置付けを整理する趣旨を有するものと評価できます。

 

5 まとめ(「同意頼み」の脱却と説明責任の深化)

 同意取得が不要となる類型に関しての今回の改正の方向性は、単純に「同意不要の範囲を広げる」というよりは、同意偏重となっていた実務を、本人の合理的期待や権利利益保護という2軸で改めて整理し直し、本人同意が必ずしも必要でない類型を改めて整理したものと捉えることができると思います。そのため、現状のプライバシーポリシーでとりあえず同意を取得するという実務に対して一石を投じるものであって、改めて、対象サービスにおける個人情報(個人データ)の取得状況、利用目的の合理性、本人の期待可能性を整理し直すきっかけをもたらすものであると考えられます。本改正は、一見すると『規制緩和』に見えますが、その実態は『同意さえ取れば何でもできる』という考え方から、『データ取扱いの正当性を事業者が自ら説明する』という、より高度なガバナンスへの移行を求めるものとも捉えることができると考えます。

 実務的には、医療分野への影響は相当なものが容易に想定されるところですが、それにとどまるものではなく、例えば、広告分析やその前提としてのID連携等の実施の場面にも相当に影響が生じ得るものです。これまで何となくプライバシーポリシーで同意を取得し、そもそも何のためのプライバシーポリシーだったのかということがきちんと社内で整理・理解できていない場合にはそれを見直すことにより、不要な同意等を減らし、より深い制度趣旨の理解に根ざしたガバナンス体制の構築や事業戦略へもつながり得るところかと思われます。

 

最後に

 個人情報保護委員会が2026年(令和8年)19日に公表した「個人情報保護法 いわゆる3年ごと見直しの制度改正方針」には、本稿で取り上げた論点以外にも、今後の企業活動に少なからず影響を及ぼし得る示唆が数多く含まれています。本稿では、制度改正方針に示された論点のうち、とりわけ実務への影響が大きいと考えられる「課徴金制度」と「同意規律」に絞って概観しましたが、その他の論点についても重要な示唆が含まれており、今後の連載の中で適宜取り上げていく予定です。

 データの取得・利用・外部連携の設計次第では、従来は問題にならなかった取扱いが、新たにリスクとして顕在化する可能性もあります。新規サービスの企画、既存施策の見直し、データ連携の検討などにおいて、個人情報の取扱いについて判断に迷う場面が生じた場合には、できるだけ早い段階で相談することで、手戻りや想定外のリスクを回避しながら検討を進めることが可能となります。本連載を、そうした相談を行う際の共通認識づくりの一助としても活用していただければ幸いです。

 なお、今後個人情報保護法全体に関する実務的に悩むポイント等を中心に連載をする予定です。概ね以下のようなテーマでそれぞれについて、解説を予定していますのでご期待ください。

  • 個人情報保護法の全体像と立法趣旨
  • 個人情報・個人データ・保有個人データの基本概念
  • 個人情報取扱事業者と適用範囲
  • 個人情報の取得・利用目的・利用制限
  • 適正取得・要配慮個人情報
  • 安全管理措置と従業者・委託先監督
  • 第三者提供規制の全体像
  • 個人関連情報・Cookie等の規律
  • 開示・訂正・利用停止等の本人の権利
  • 越境移転と外国第三者提供
  • 監督・罰則・行政対応
  • 実務対応と今後の展望(AI・データ利活用)

 

以上

 

 

 

 

[1]10条政府は、この法律の施行後3年ごとに、個人情報の保護に関する国際的動向、情報通信技術の進展、それに伴う個人情報を活用した新たな産業の創出及び発展の状況等を勘案し、新個人情報保護法の施行の状況について検討を加え、必要があると認めるときは、その結果に基づいて所要の措置を講ずるものとする。

 

詳細情報

執筆者
  • 大畑 拓也
  • 今村 敏
取り扱い分野

Back to Insight Archive