個人情報保護委員会は1月9日、個人情報保護法の3年ごとの見直しに伴う制度改正の方針を示した「個人情報保護法 いわゆる3年ごと見直しの制度改正方針」を公表しました。
「いわゆる3年ごと見直し」は、2022年4月に施行された個人情報保護法において規定されたものです。委員会はこれを受け、2023年11月より、その検討を進めてきました。2025年3月には「個人情報保護法の制度的課題に対する考え方について」を公表し、同年4月に有識者などからのヒアリング内容を公開しています。今回公表された制度改正方針は、政府全体の取り組みと連携しつつ関係者との議論を深め、取りまとめられたものです。
今回の制度改正の方針では、①適正なデータ利活用の推進、②リスクに適切に対応した規律、③不適正利用等の防止、④規律遵守の実効性確保のための規律、の4つの柱が提示されています。
「適正なデータ利活用の推進」では、統計情報などの作成(AI開発による統計作成を含む)にのみ利用することが保証されているなどの条件に限り(※)、個人データの第三者提供と、要配慮個人情報のデータ取得について、本人の同意を不要とする方針が示されました。人の命を保護する場合や公衆衛生の向上のためにデータが必要な際、同意を得ることが難しいケースについて、手続きの要件が緩和されることなども明示されました。
一方、「リスクに適切に対応した規律」では、子どもや身体データに関する保護強化が打ち出されています。具体的には、16歳未満の者が本人である場合、個人データの利用に関する同意や通知は、本人ではなく保護者(法定代理人)に対して行うことが明文化されます。
子どもが保有する個人データの利用停止を求める要件も緩和され、子どもの利益を最優先に考慮すべきであるという責務規定を設けるとしています。また、顔特徴データなどを扱う際は、その内容を周知することを義務化し、利用停止請求要件を緩和することや、オプトアウト制度(本人の同意なく第三者に提供する制度)に基づく第三者提供を禁止する方針を示しました。
「不適正利用等の防止」および「規律遵守の実効性確保のための規律」では、悪質な事業者への対応が強化されます。「不適正利用等の防止」では、特定の個人にアプローチすることが可能となる個人関連情報などに関して、不適正利用と不正取得を禁止すると明記しました。
「規律遵守の実効性確保のための規律」では、個人情報データベースなどの不正提供に対する罰則について、今後は加害を目的として個人データを提供した場合も処罰対象とし、法定刑を引き上げるほか、詐欺行為などによる不正取得への罰則を新設するとしました。
さらに、経済的誘因のある、大量の個人情報を取り扱うことによる悪質な違反行為に対しては、重大な違反行為により個人の権利利益が侵害された場合、違反行為によって得られた財産的利益に相当する額の課徴金の納付を命じる、課徴金制度の導入が明記されました。
今後は、今回取りまとめた方針に基づき法制面の検討を行い、個人情報保護法の改正案について、国会への早期提出を目指すとしています。
(※)個人の権利利益を害するおそれが少ないものとして個人情報保護委員会規則で定めるものに限定することを想定
