コラム

その他

個人情報保護法 いわゆる(第二次)3年ごと見直しの検討状況

【執筆者】角川 正憲

1.はじめに

令和6年8月現在、個人情報保護委員会(以下「個情委」という。)が個人情報保護法の見直しを進めている。
令和5年11月から個情委による検討が開始され、関係団体や有識者からのヒアリングを経て、令和6年6月27日、「個人情報保護法 いわゆる3年ごと見直しに係る検討の中間整理」が公表され、引き続き検討が進められている状況である。
本コラムでは、早ければ令和7年頃に成立することが見込まれる改正個人情報保護法(以下「改正法」という。)の検討状況の全体像を紹介し、改正検討項目の一つであるこどもの個人情報等に関する規律に関する点を取り上げて説明する。

2.3年ごと見直しのスケジュール

個人情報保護法は、平成27年に初めて大幅な改正がなされて以降、施行後3年ごとに見直すこととされている。その根拠は、個人情報保護法附則10条である。

政府は、この法律の施行後三年ごとに、個人情報の保護に関する国際的動向、情報通信技術の進展、それに伴う個人情報を活用した新たな産業の創出及び発展の状況等を勘案し、新個人情報保護法の施行の状況について検討を加え、必要があると認めるときは、その結果に基づいて所要の措置を講ずるものとする。1

個人情報保護法附則(令和2年6月12日法律第44号)10条 より

令和5年11月15日、個情委により、「個人情報保護法 いわゆる3年ごと見直し規定に基づく検討」が公表されて改正に向けた審議が始まり、有識者や関係団体へのヒアリングが順次行われ、令和6年6月27日、「個人情報保護法 いわゆる3年ごと見直しに係る検討の中間整理」2(以下「中間整理」という。)が公表された。
ヒアリングの開催状況(令和6年8月16日時点)は以下のとおりである。

※個情委のホームページ3を参考に、本コラム執筆者が作成

中間整理はパブリックコメントに付され、同年7月29日まで意見募集が行われた。寄せられた意見を踏まえて最終的な方向性のとりまとめを行う予定とされている。
なお、今回の3年ごと見直しでは、「個人情報保護法のいわゆる3年ごと見直しに関する検討会」が設けられ、事業者、個人それぞれに与える影響が大きく、今後とも一層の意見集約作業が必要とされる以下の論点について、様々なステークホルダーとの間で制度改正の必要性を含めて議論することとされている。4

  • 課徴金制度
  • 団体による差止請求制度及び被害回復制度
  • その他(検討会における議論の状況等を踏まえ必要と考えられる事項)
3.改正法の成立・施行予定

改正法の成立・施行の具体的時期は現時点で明らかになっていない。
推測になるが、令和2年改正の際には平成31年4月25日に中間整理案が公表され、令和2年6月5日に改正法が成立、令和4年4月1日に改正法が施行されたので、仮にこのスケジュールと同様に考えれば、改正法の

  • 成立は、令和7年6月頃(ただし、法案提出が令和7年通常国会に間に合うかは定かでない)
  • 施行は、令和9年6月頃

との一応の見立てが可能である。

4.予想される改正項目の骨子

現在見直しの項目として議論されているのは、次の項目である。「想定される影響」列(最右列)には、改正に当たり必要と想定される企業の対応を記載している。ただし、例えば中間整理において「引き続き検討する」と記載されている項目など、今回の改正法においては、改正が見送られることが濃厚な項目もある。

1)個人の権利利益のより実質的な保護の在り方

(*)個情委のホームページを参考に本コラム執筆者が作成。「項目」列の記号は、中間整理「第2」における見出し項目である。以下同じ。

2)実効性のある監視・監督の在り方

3)データ利活用に向けた取組に対する支援等の在り方

4)その他

5.こどもの個人情報等に関する規律の在り方について

本コラムでは、上記の項目のうちこどもの個人情報等に関する規律の在り方について取り上げ、状況を整理する。

1) こどもの本人同意について

こどもに関しては、現行法上、開示等の請求について未成年者に言及した条文があるほか、本人同意との関係で解釈上の問題がある。
すなわち、個情法には、

  • 要配慮個人情報を取得する場合(法20条2項本文)
  • 特定された利用目的の達成に必要な範囲を超えて個人情報を取り扱う場合(法18条1項、17条2項)
  • 事業の承継に伴って個人情報を取得し、承継前における当該個人情報の利用目的の達成に必要な範囲を超えて当該個人情報を取り扱う場合(法18条2項)
  • 個人データの第三者提供を行う場合(法27条1項本文)
  • 外国にある第三者に個人データを提供する場合で、提供の根拠として本人同意を選択する場合(法28条1項、2項)

など、「本人の同意」を得ることが必要な場面がある。
かかる「同意」について、通則ガイドライン52-16では、「個人情報の取扱いに関して同意したことによって生ずる結果について、未成年者、成年被後見人、被保佐人及び被補助人が判断できる能力を有していないなどの場合は、親権者や法定代理人等から同意を得る必要がある」と定められている。

「未成年者、成年被後見人、被保佐人及び被補助人」という民法上の制限行為能力者については、これらの者が「同意したことによって生ずる結果について、……判断できる能力を有していないなどの場合」には、親権者や法定代理人等から同意を得る必要があることのように思える。この点、個情委は、「法定代理人等から同意を得る必要がある子ども(注:こども)の具体的な年齢は、対象となる個人情報の項目や事業の性質等によって、個別具体的に判断されるべきですが、一般的には12歳から15歳までの年齢以下の子ども(注:こども)について、法定代理人等から同意を得る必要があると考えられます」との解釈を示していることから(Q&A61-62)、実務上、事業者は、「対象となる個人情報の項目や事業の性質等」に応じて事業者が設定した12歳から15歳までのいずれかの年齢以下のこどもを本人とする取扱いについて、同意取得が必要な場面では、親権者等の法定代理人の同意を得る運用としていたものと思われる。

2) 現行法の問題点

しかし、現行法には、例えば、次のような問題点がある。

  • 同意が必要となる年齢に幅があり、画一的処理が難しい。
  • 通則ガイドライン2-16、Q&A1-62の解釈は、意思能力と行為能力(に相当するもの)を混同しており理論上おかしい。7
  • 多くの外国でこどもの個人情報に関して厳格な規律が存在する。主として以下のような規律が設けられている(中間整理9頁)。
    • こどもの個人情報等をセンシティブデータに分類した上で特別な規律の対象とするケース
    • センシティブデータに関する規律とは別に、こどもの個人情報等に特有の規律を設けるケース
    • オンライン分野等一定の分野に限定した上で、包括的な個人情報保護法令とは異なる法令において、こどもの個人情報等に関する規律を設けるケース
      なお、こどもに関する外国の法制度については、第280回個人情報保護委員会配布資料1(https://www.ppc.go.jp/files/pdf/240410_shiryou-1.pdf)に詳細な説明がある。
    • 国内において、こどもの個人情報に関する社会的反響の大きい事例がみられる。
    • 利用目的の通知等や同意の前提となる情報提供を本人(こども)に行うべきか法定代理人等に行うべきか必ずしも明らかでない。
3) 改正の方向性
ア 同意、通知等

上記のとおり本人(こども)の同意が必要とされる場面において、法定代理人の同意を取得すべきことを明確化することが検討されている。

また、利用目的の通知や明示(法21条)、漏えい等に関する本人(こども)への通知(法26条2項)等を法定代理人に対して行うべきことを法令の規定上明文化することが検討されている。

未成年者のうち何歳未満の者を「こども」と定義するかについては、中間整理では「16歳未満とすることについて検討を行う」とされている。「16歳未満」としていることについては、現行のQ&Aの記載やGDPRが16歳を基準にしていること以外に特段の理由はないと思われ、「決め打ち」の問題になっていると思料する。

中間整理に関するパブリックコメントや中間整理後の議論で特段の意見が出なければ16歳に落ち着きそうである。例えば、個情法上の同意が利用規約への同意と一遍に行われる場面が多いことからすると、民法上の未成年者と合わせて18歳未満などとしても重大な支障が生じるとまでは思われないが、行政法規である個情法の同意の法的性質をどのように捉えるかや、同意の対象によって脅かされるこどもの法益も異なることを踏まえて、「本人の権利利益の保護と関係のないスタンプラリー」(脚注7参照)にならない規律が望まれる。

イ その他

アのほか、こどもを本人とする保有個人データの利用停止等請求権の拡張、安全管理措置義務の強化、こどもの個人情報等の取扱いに関する責務規定の新設が検討されている。

4) 事業者への影響

サービスの性質上、未成年者の個人情報を取り扱う必要がない事業者は、サービス利用規約やプライバシーポリシーに未成年者の個人情報を取得しないことや未成年者がウェブフォーム等に個人情報を入力して送信しないよう記載するなどの手立てを既に打っていることが想定されるが、未成年者の個人情報を取り扱う事業者については、改正法の成立により、主に本人同意の取得や利用目的の通知の方法に関して影響を受けることが想定される。具体的には、プライバシーポリシーの文面及び通知・同意取得方法について見直す必要が出てくるものと思われる。

6.おわりに

こどもの個人情報等に関する規律以外にも、事業者に少なからず影響を与え得る複数の項目の改正が行われることが予想される。
改正法が成立すれば、コラムに要対応項目を掲載する予定である。

1 https://www.ppc.go.jp/files/pdf/231115_shiryou-2-1.pdf

2 https://www.ppc.go.jp/files/pdf/240627_02_houdou_betten1.pdf

3 https://www.ppc.go.jp/index.html

4 https://www.ppc.go.jp/files/pdf/240724_shiryou-1.pdf

5 個情委「個人情報の保護に関する法律についてのガイドライン(通則編)」

6 個情委「個人情報の保護に関する法律についてのガイドライン」 に関するQ&A

7 第290回個人情報保護委員会 板倉陽一郎弁護士の有識者ヒアリング資料6頁