
鈴木明美 Akemi Suzuki
パートナー
東京
NO&T Data Protection Legal Update 個人情報保護・データプライバシーニュースレター
本ニュースレターでは、5回にわけて国・地域別に同テーマをご紹介していますので、以下もご参照ください。
No.51(2025年1月)「個人情報保護・プライバシー 2024年の振り返りと2025年の展望 ~米国編~」
No.52(2025年1月)「個人情報保護・プライバシー 2024年の振り返りと2025年の展望 ~欧州編~」
No.53(2025年2月)「個人情報保護・プライバシー 2024年の振り返りと2025年の展望 ~東南アジア・インド編~」
No.54(2025年2月)「個人情報保護・プライバシー 2024年の振り返りと2025年の展望 ~東アジア編~」
ニュースレター
「個人情報保護法 いわゆる3年ごと見直しに係る検討の中間整理」を踏まえた法改正の議論の現状と展望(2024年7月)
2024年も、世界各国で、個人情報保護及びデータに関連する法令が成立・改正・施行され、当局による重要な執行事例やサイバー攻撃、不正アクセスによる情報漏えい事案も多く見られました。また、AI関連の規制、こどものプライバシーといった関連領域についても、国内外で大きな進展が見られました。本年もこの流れは継続することは間違いなく、グローバルに活動している日本企業にとって、各国における規制動向や潮流をタイムリーに把握し、平時・有事に備えることが重要です。
本ニュースレターでは、本号から5回にわたり、日本、米国、欧州、東南アジア・インド、東アジアという各主要地域について、昨年の個人情報保護・データプライバシーに関する動き(法令改正・当局ガイダンス、当局による執行事例、生成AIやクラウドサービスその他注目を集めたトピック)を振り返ると共に、本年の展望をご紹介してまいります。
2024年6月26日、個人情報保護委員会(以下「委員会」といいます。)は、「個人情報保護法 いわゆる3年ごと見直しに係る検討の中間整理」(以下「中間整理」といいます。)※1を公表しました。中間整理における個別検討事項は以下の表のとおりです。
中間整理における個別検討事項
このうち、比較的多くの事業者に影響があると考えられる又は特に関心が高いと考えられる項目として、①生体データの取扱い(表1.(1)ア)②こどもの個人情報等に関する規律(表1.(3))、③課徴金制度の新設(表2.(1))、④漏えい等報告・本人通知の合理化(表2.(3))、⑤本人同意を要しないデータ利活用等の在り方(表3.(1))が挙げられます。
中間整理では、例えば①の生体データの取扱いについては、具体的な利用場面を示して利用目的を特定することや、生体データの取扱いに関する一定事項の本人に対する通知等を前提として、より柔軟に事後的な利用停止を可能とすることが考えられる旨が示されています。このほか、④の漏えい等報告については、一定の範囲での速報免除や確報の取りまとめ報告を許容する等の漏えい等報告義務を軽減する可能性に関する考え方が、また⑤の本人同意を要しないデータ利活用等については、生成AI等、社会に有益かつ公益性が高いと考えられる場面及び医療機関等における研究活動等の場面を取り上げ、そのような場面における例外規定に係る規律の在り方について検討する必要がある旨の考え方が示されました※2。
中間整理で示された個別検討事項に対して、事業者団体等から、まずは制度の基本的な在り方に立ち返った議論を行うべきであるとの意見も出されたことを踏まえ、委員会は、2024年10月16日に「個人情報保護法のいわゆる3年ごと見直しの検討の充実に向けた視点」を公表しました。その上で、中間整理で示された主要個別論点にとどまらず、より包括的なテーマや個人情報保護政策全般に関する点についても、有識者や関係団体に対してヒアリングが実施され、「「個人情報保護法のいわゆる3年ごと見直しの検討の充実に向けた視点」に関するヒアリングの概要について」(以下「本ヒアリング概要」といいます。)が同年12月17日に公表されました。
本ヒアリング概要においては、個人情報保護法の保護法益、個人データの利用における本人関与の趣旨、認定個人情報保護団体やプライバシーガバナンスなどの自主的な取組等を織り交ぜた全体のガバナンスの在り方等についての視点が示されており、今後、これらの視点を踏まえ、全体としてバランスのとれた規律の運用や見直しを行うことが委員会に対して求められているといえます。
さらに、中間整理の個別検討事項のうち、課徴金制度(表2.(1))及び団体による差止請求制度・被害回復制度(表1.(4))について、委員会は7回にわたって検討会を開催し、2024年12月25日に、検討会における議論状況を取りまとめた「個人情報保護法のいわゆる3年ごと見直しに関する検討会報告書」(以下「検討会報告書」といいます。)を公表しました。
検討会報告書では、課徴金の対象行為についてア)違法な第三者提供等関連とイ)漏えい等・安全管理措置義務違反関連に区別した上で、それぞれについて、①対象行為を限定し、②主観的要素により限定し、③個人の権利利益が侵害された場合等に限定し、④大規模な違反行為等に限定する(違反行為に係る本人の数について1,000人を基準とする。)といった方向性が示されました。算定方法についても、ア)違法な第三者提供等関連では、違反行為又は違反行為により取得した個人情報の利用に関して得た財産的利益の全額を課徴金額とするとともに、違反行為をより実効的に抑止する観点から、当該財産的利益の全額を上回る金額を課徴金額とすること、またイ)漏えい等・安全管理措置義務違反関連では、安全管理措置義務違反行為の期間における事業活動により生じた売上額に一定の「算定率」を乗じることによって課徴金額を算定することも考えられるとされています。
団体による差止請求制度については、個人の権利利益が侵害されるおそれが高い違反行為(具体的には、法19条、20条及び27条1項違反)を適格消費者団体による差止請求の対象とすることが示されています※3。
2023年12月に成立した改正個人情報保護法施行規則(以下「施行規則」といいます。)及び各改正ガイドラインが、2024年4月1日に施行されました。実務に影響する主な改正内容としては、漏えい等報告及び安全管理措置について、対象となる個人データの範囲が、既に個人情報データベース等を構成する個人データのみならず、「個人情報取扱事業者が取得し、又は取得しようとしている個人情報であって、個人データとして取り扱われることが予定されているもの」にも拡大された点が挙げられます。
改正後の「「個人情報の保護に関する法律についてのガイドライン」に関するQ&A」(以下「ガイドラインQ&A」といいます。)6-1において、施行規則7条3号で定める「個人データ」に含まれる具体的な情報類型が示されており、これは事業者が安全管理措置を講じるべき対象情報を把握する際に参考となると考えられます。また、同Q&A6-7及び6-10等においては、フィッシングサイト事案における漏えい等報告の対象となる事態の該当性判断について示されており、これらは漏えい等発生時において当局への報告等の対象となる事態に該当するかを判断するに当たって参考になるものと考えられます。
また、上記の施行規則改正を受けて個別分野ガイドラインについても改正が実施されており、事業者においては、これらを踏まえて、安全管理措置の運用やインシデント対応を行うことが求められます。
2024年4月1日、個人情報保護法の特別法である次世代医療基盤法の改正法※4、同改正施行令及び同改正施行規則が施行されました※5。主な改正点の1つとして、既存の匿名加工医療情報に加え、仮名加工医療情報の利活用に係る仕組みが新たに創設され、仮名加工医療情報利用事業者について大臣の認定が必要とされることとなった点が挙げられます※6。改正法に基づく仮名加工医療情報作成事業者の認定及び医療データの利活用に関する動向は、本年以降に本格化するものと思われます。
以下の表は、委員会が公表している民間事業者に対する監督等の実績をまとめたものです※7。
R3 上半期 |
R3 下半期 |
R4 上半期 |
R4 下半期 |
R5 上半期 |
R5 下半期 |
R6 上半期 |
|
---|---|---|---|---|---|---|---|
漏えい等報告の受付 | 517件 | 525件 | 1,587件 | 2,630件 | 3,154件 | 3,921件 | 5,212件 |
報告徴収 | 179件 | 149件 | 62件 | 19件 | 60件 | 13件 | 61件 |
立入検査 | 0件 | 0件 | 1件 | 0件 | 0件 | 0件 | 2件 |
指導・助言 | 113件 | 104件 | 30件 | 85件 | 165件 | 168件 | 203件 |
勧告 | 1件 | 2件 | 1件 | 0件 | 0件 | 3件 | 0件 |
命令 | 0件 | 1件 | 0件 | 1件 | 0件 | 0件 | 0件 |
令和6年度上半期は、前年同期と比較して、漏えい等報告の受付件数が1.5倍以上になっています。令和2年改正法により漏えい等報告が義務化されて以降(上記表のR4上半期以降)、受付数は増加し続けており、義務化以前の令和3年度上半期と比較すると約10倍になっています。漏えい等した個人データに係る本人の数が1人の事案が全体の約8割を占めているとのことであり※8、中間整理でも示されたように漏えい等報告の合理化が望まれます。
また、報告徴収の件数は前年同期と比してほぼ同程度であったものの、指導・助言の件数は、大幅に増加しており、委員会による執行強化の傾向が引き続きみられます。
2024年の民間事業者に対する執行事案で、委員会により公表されたものは以下の表のとおりです。
これらのうち、2の事案は、判明分だけで約928万人分の大量の個人データ等が、約10年間という長期にわたってシステムの保守運用業者の従業員によって持ち出され、名簿業者に売却された事案でした。コールセンター事業者、システムの保守運用業者、コールセンター業務の委託元及び名簿業者等複数の主体が関与しており、名簿業者らについては、委員会による立入検査も行われました※9。
5及び6の事案は、ランサムウェアやマルウェアによる被害による不正アクセスを契機としています。5の事案ではユーザーのパスワードルールや管理者権限のパスワードの脆弱性、ソフトウェアのセキュリティ更新が適切に行われていなかったこと等、6の事案ではネットワーク接続のリスクに照らしたアクセス制御の不備や、多要素認証を導入していなかったこと等が問題となっており、委託先を含めたサイバー攻撃への対策やネットワーク環境・アクセス管理について、改めて確認しておくことが考えられます。
No. | 執行対象 | 事案の概要 | 処分内容 |
---|---|---|---|
1 | オプトアウト届出事業者※10 | 違法な第三者にも名簿を転売する転売屋と認識しながら当該転売屋に名簿を販売するという不適正な利用、及び第三者提供時の確認記録義務の懈怠が認められた事案について、定期的な監査及び教育等による個人情報の取扱状況の適切な把握及び徹底、並びに法に基づく確認記録義務の実施を指導したほか、当該指導に係る改善措置の実施状況についての報告を求めたもの | 法147条に基づく指導及び法146条1項に基づく報告等の求め(1月17日) |
2 | コールセンター事業者及び当該システムの保守運用業者※11並びに名簿業者※12 |
システムの保守運用業務に従事していた保守運用業者(再委託先)の担当者が、委託元の顧客等に関する個人データ等を不正に持ち出し、名簿業者に売却した事案について、
|
|
3 | インターネットサービス等提供事業者及び顧客情報管理業者※13 | インターネットサービス等提供事業者の委託先である顧客情報管理業者の元社員が、業務上使用するPCから個人契約するクラウドサービスに個人データをアップロードしたことにより漏えいのおそれが発生した事案について、インターネットサービス等提供事業者において、組織的・人的・物理的・技術的安全管理措置及び委託先の監督義務の不備が、顧客情報管理業者において、組織的・人的安全管理措置の不備が認められるとして、これを是正・改善するよう指導等したもの | 法147条に基づく指導及び法146条1項に基づく報告等の求め(2月15日) |
4 | 学習塾の運営事業者※14 | 学習塾を運営する事業者に勤務していた者が、在職中に特定の校舎に通う児童らの写真及び動画とともに、当該事業者が管理する当該児童らの個人データを検索・閲覧した上で私用スマートフォンに入力して記録し、個人データを自らのSNSアカウントに掲載して漏えいさせた事案について、漏えい等対応の体制整備や個人データの取扱状況の把握に関する不備等、組織的安全管理措置の是正・見直しについて指導するとともに、当該指導に係る改善措置の実施状況についての報告を求めたもの | 法147条に基づく指導及び法146条1項に基づく報告等の求め(2月29日) |
5 | 社会保険/人事労務業務支援システムの提供事業者※15 | 社会保険/人事労務業務支援システムを提供する事業者のサーバが不正アクセスを受け、ランサムウェアにより、当該システム上で管理されていた個人データが暗号化され、漏えい等のおそれが発生した事案について、セキュリティの深刻な脆弱性が残存されていたことに加え、外部からの不正アクセス等の防止のための措置に問題があったこと等、技術的安全管理措置の不備があったとして、是正・見直しについて指導するとともに、当該指導に係る改善措置の実施状況についての報告を求めたもの | 法147条に基づく指導及び法146条1項に基づく報告等の求め(3月25日) |
6 | ウェブサービス提供事業者※16 |
ウェブサービス提供事業者において、①当該事業者の業務委託先の企業の従業者が業務で使用していたPCがマルウェアに感染したことを契機として情報システムが不正アクセスを受け、個人データが漏えい等した事案について、組織的・技術的安全管理措置の不備が認められるとして、これを是正・改善するよう勧告するとともに、当該改善措置の実施状況についての報告を求めたもの また、②当該事業者が運営するウェブサービス上で利用者の識別子が表示される仕様となっており、当該識別子の漏えいのおそれが発生した事案について、法に基づく必要かつ適切な安全管理措置を講ずること等を指導したもの |
法148条に基づく勧告、法147条に基づく指導及び法146条1項に基づく報告等の求め(3月28日) |
7 | 一般送配電事業者及び関係小売電気事業者※17 | 一般送配電事業者及びそのグループ会社である関係小売電気事業者において、顧客との接点情報を集約するシステム及び顧客からの意見・要望、対応状況や結果を共有するシステムのアクセス権限が誤って設定されていた事案について、当該事業者らにより顧客の個人データの不正取得がなされていた点及び組織的・技術的・人的安全管理措置に係る不備を是正するための必要かつ適切な措置を講じ、さらに個人情報の適正な取扱いについて全社的に総点検を実施し、必要に応じて改善策を講ずること等を指導したもの | 法147条に基づく指導(6月27日) |
委員会により公表された執行事案以外で、2024年に注目された事案として、金融庁が損害保険事業者らに対して、保険業法及び個人情報保護法に基づき徴求命令を発出した事案があります。報道※18によれば、損害保険の代理店における契約者情報の漏えい事案や、出向先の契約者情報を出向元の損保会社に提供した事案を受けて命令が発出されたとのことです。
以上のほか、2024年に注目を集めた個人情報保護・プライバシーに関する主なトピックとしては、以下が挙げられます。
従前、AIの開発や利活用等に関する各ガイドライン※19が策定・公表されていましたが、生成AIの普及に対応するため、2024年4月、これら既存の各ガイドラインを統合及びアップデートした統一的指針として、総務省・経産省から「AI事業者ガイドライン(第1.0版)」が公表されました(同年11月には第1.01版公表)。個人情報保護・プライバシーとの関係では、AIシステムの開発者、提供者及び利用者に共通の指針として「プライバシー保護」及び「セキュリティ確保」が掲げられ、特に前者との関係では、法の遵守及びプライバシーポリシーの策定・公表に加え、法に基づく対応の確保と、国際的な個人データ保護の原則及び基準※20の参照が求められています。加えて、AIシステム開発者に対しては学習時のデータに個人情報等が含まれる場合の法令を遵守した適切な扱いの確保、AI提供者に対してはAIシステム実装時に個人情報へのアクセスを適切に管理する仕組みの導入等の対策、AI利用者に対してはAIシステムへの不適切な個人情報の入力をしないことを重要な事項として挙げています。
本AI事業者ガイドラインの公表に対応した委員会からのガイダンス等は公表されていませんが、同ガイドラインにおける個人情報保護関連の記載を参照し、個人情報・プライバシー保護に配慮したAIの利活用を行うことが求められています。
2024年3月、委員会は、「クラウドサービス提供事業者が個人情報保護法上の個人情報取扱事業者に該当する場合の留意点について(注意喚起)」を公表しました。これは、上記Ⅱ.2「公表された執行事案」の5に記載の、SaaS事業者が提供していた社会保険/人事労務業務支援システムへの不正アクセス事案を契機とするものです。
本注意喚起は、クラウドサービスを利用する場合には、当該サービスの利用が個人データの取扱いの「委託」に該当するか判断し、該当する場合には委託先に対する必要かつ適切な監督を行うよう促しています。クラウドサービスの利用が委託に該当するかについては、従前ガイドラインQ&Aにおいて一定の基準が示されていたところですが※21、本注意喚起においては、上記事案において委託と判断された考慮要素が示されており、実務上参考になります。また、クラウドサービスの利用が委託に該当する場合、クラウドサービス提供事業者の監督にあたって特に留意すべき点として、サービスに付随するセキュリティ対策を適切に確認した上でクラウドサービス提供事業者及びサービスを選定すること、合意した安全管理措置の内容を文書化等により明確化すること、及び定期的な報告の受領等により安全管理措置の状況について確認することが挙げられています。また、委託先の事業者が別のクラウドサービス提供事業者が提供するサービスを用いて個人データを取り扱っている場合には、「再委託」に該当し得ることを念頭において、委託先に対する必要かつ適切な監督を行うべきことについても注意喚起がなされています。事業者においては、本注意喚起を踏まえて、個人データの取扱いに係るクラウドサービスの利用について、再確認することが有益であると考えられます。
サイバー攻撃による機密情報への不正アクセスが高度化・巧妙化する中、2024年も出版等事業者をはじめとするランサムウェア攻撃の被害により従業員や顧客等の個人情報が広範囲で漏えいした事案が耳目を集めました。そのような状況の中、個人情報保護委員会は、サイバー攻撃による個人データ漏えい事案を類型化し、原因及び対策をまとめた「不正アクセスによる個人データ漏えい防止のための注意喚起」を公表しました。
本注意喚起においては、主要な個人データ漏えいの類型として、情報システムの脆弱性の放置又は脆弱性に対するグループ会社の対応の遅れ、本人認証における不正ログイン対策の不足、海外拠点を足がかりとする情報システムへの侵入、グループ会社間のアクセス制御不備、個人領域に保存したデータの管理不足、個人データ取扱の委託先であるグループ会社への監督不十分が挙げられています。
ランサムウェア攻撃に繋がる情報システムへの侵入経路が拡大していることから、事業者においては、本注意喚起において指摘されている類型等も踏まえて、ランサムウェア攻撃に対する備えが十分になされているか、改めて見直しを行うことが望ましいと考えられます。
上記Ⅰ.1で触れた、個人情報保護法の令和2年改正法附則10条の規定※22を踏まえたいわゆる3年ごと見直しについて、同改正法の「施行後三年」となるのが本年(2025年)であり、今春の通常国会において改正法の審議が予定されています。
もっとも、本ニュースレター発行時点において制度改正大綱の公表は行われておらず、令和2年改正の際の動向と比較するとスケジュールの遅れが見受けられます※23。また、中間整理後に追加ヒアリングを実施したり(上記Ⅰ.1(2)参照)、検討会を設置・開催して特定論点について議論を行う(上記Ⅰ.1(3)参照)等、前回改正時には見られなかった動きもあります。改正法案のタイミングや内容については引き続き注視が必要といえます。
次回改正法の方向性及び最新の動向については、本ニュースレターでも随時ご紹介してまいります。
※1
詳細については、個人情報保護・データプライバシーニュースレターNo.47「「個人情報保護法 いわゆる3年ごと見直しに係る検討の中間整理」を踏まえた法改正の議論の現状と展望」をご参照ください。
※2
なお、中間整理に関する意見募集手続の結果、⑤の本人同意を要しないデータ利活用等に関する意見は、提出意見合計数2,448件のうち、1,560件(うち生成AIに関するものが1,486件)と相当数を占めています(「「個人情報保護法 いわゆる3年ごと見直しに係る検討の中間整理」に関する意見募集結果」参照。)。
※3
検討会報告書では被害回復制度の言及もありますが、個人情報の漏えい等が発生した場合の慰謝料請求等が現行の消費者裁判手続特例法上の被害回復手続の対象にはならない場合が多いことに対する意見をまとめた上で、中間整理における「個人情報の漏えいに伴う損害賠償請求は極端な少額大量被害事案となる(過去の裁判例等を踏まえると、認容被害額は数千円から数万円程度と考えられる。)こと、立証上の問題があることが課題と考えられる」とされたことも踏まえつつ検討する必要があると述べるにとどまり、具体的な制度の方向性については示されていません。
※4
改正後の正式名称は、「医療分野の研究開発に資するための匿名加工医療情報及び仮名加工医療情報に関する法律」
※6
2024年12月13日付で3事業者が仮名加工医療情報作成事業者の認定を取得しました。
(https://www8.cao.go.jp/iryou/nintei/nintei/jigyousha/pdf/nintei.pdf)
なお、認定された3事業者は、いずれも匿名加工医療情報作成事業者の認定を取得していた事業者です。
※7
https://www.ppc.go.jp/aboutus/report/
ここでは個人情報保護委員会が直接受付又は実施したものの集計値を記載しており、このほかに、委任先省庁等を経由して受付したもの及び委任先省庁の実施した報告徴収・立入検査が存在します。
※8
中間整理第2.2(3)
※9
当該事案を踏まえ、委員会から、「コールセンター業務における個人データの取扱いに係る安全管理措置、従業者の監督及び委託先の監督に関する留意点について(注意喚起)」(2024年1月24日)が公表されています。
(https://www.ppc.go.jp/files/pdf/240124_alert_call_center.pdf)
※18
日本経済新聞での報道について、以下。いずれも2025年1月13日閲覧。
https://www.nikkei.com/article/DGXZQOUB2314G0T20C24A7000000/?msockid=1edf8640559c6e062271959a54e66f7d
https://www.nikkei.com/article/DGXZQOUB15C310V11C24A1000000/?msockid=306fa666632164db1c8db5de62b06501
※20
プライバシー関係の国際的指針としてOECD, Recommendation of the Council concerning Guidelines Governing the Protection of Privacy and Transborder Flows of Personal Data, OECD/LEGAL/0188, ISO/IEC 29100:2011 Information technology Security techniques Privacy framework。個人データの越境移転及び規律の国際的相互運用に関するGlobal CBPR Framework等。
※21
「クラウドサービスを提供する事業者において個人データを取り扱うこととなっているのかどうかが判断の基準となります。」「クラウドサービス提供事業者が、当該個人データを取り扱わないこととなっている場合とは、契約条項によって当該外部事業者がサーバに保存された個人データを取り扱わない旨が定められており、適切にアクセス制御を行っている場合等が考えられます。」(ガイドラインQ&A7-53)
※22
「政府は、この法律の施行後三年ごとに、個人情報の保護に関する国際的動向、情報通信技術の進展、それに伴う個人情報を活用した新たな産業の創出及び発展の状況等を勘案し、新個人情報保護法の施行の状況について検討を加え、必要があると認めるときは、その結果に基づいて所要の措置を講ずるものとする。」
※23
令和2年春の通常国会に提出された改正法案に係る制度改正大綱は、前年令和元年12月13日に公表されました。なお、中間整理も、令和2年改正時は平成31年4月25日に公表されていた一方で、今回は令和6年6月26日に公表されています。
本ニュースレターは、各位のご参考のために一般的な情報を簡潔に提供することを目的としたものであり、当事務所の法的アドバイスを構成するものではありません。また見解に亘る部分は執筆者の個人的見解であり当事務所の見解ではありません。一般的情報としての性質上、法令の条文や出典の引用を意図的に省略している場合があります。個別具体的事案に係る問題については、必ず弁護士にご相談ください。
川合正倫、鹿はせる、艾蘇(共著)
長谷川良和、今野由紀子(共著)
森大樹、早川健、関口朋宏、灘本宥也(共著)
(2025年1月)
澤山啓伍
殿村桂司、松﨑由晃、近藤正篤(共著)
川合正倫、鹿はせる、艾蘇(共著)
長谷川良和、今野由紀子(共著)
森大樹、早川健、関口朋宏、灘本宥也(共著)
殿村桂司、松﨑由晃、近藤正篤(共著)
川合正倫、鹿はせる、艾蘇(共著)
長谷川良和、今野由紀子(共著)
森大樹、早川健、関口朋宏、灘本宥也(共著)
森大樹、早川健、関口朋宏、灘本宥也(共著)
殿村桂司、近藤正篤、丸田颯人、小宮千枝(共著)
鈴木明美、椎名紗彩、正井勇、植松茉理乃(共著)
(2025年1月)
森大樹、工藤靖、早川健(共著)