法令改正・当局ガイダンス
1. 個人情報保護法3年ごと見直しの動向
2023年11月から検討が進められている個人情報保護法の3年ごと見直しに関して、2025年における動向を振り返りますと、まず、1月に個人情報保護委員会(以下、「委員会」といいます。)は、「「個人情報保護法 いわゆる3年ごと見直しに係る検討」の今後の検討の進め方について」を公表し、同月及び4月にこれらに対して寄せられた意見を公表しました。また、委員会は、同年3月には、「個人情報保護法の制度的課題に対する考え方について」(以下、「制度的課題に対する考え方」といいます。)を公表しました。
そして、2026年1月9日、委員会は「個人情報保護法 いわゆる3年ごと見直しの制度改正方針」(以下、「制度改正方針」といいます。)を公表し、個人情報保護法の改正案について「国会への早期提出を目指」すと表明しました。制度改正方針では、以下のとおり、「適正なデータ利活用の推進」、「リスクに適切に対応した規律」、「不適正利用等防止」及び「規律遵守の実効性確保のための規律」という4つの柱が示されています。
出典:「個人情報保護法 いわゆる3年ごと見直しの制度改正方針 概要」
制度改正方針で示された内容は、概ね「制度的課題に関する考え方」で示された内容に沿ったものといえます。紙幅の都合上、ここでは詳細な説明は割愛しますが、特に関心が高いと思われる点を概観します。
(1) 課徴金制度の導入
課徴金制度の導入については様々議論がありましたが、制度改正方針では、悪質な違反行為である以下の5類型について、その行為又はこれをやめることの対価として、金銭等を得たときに課徴金納付命令の対象とする方針が示されています。安全管理措置の不備や過失による情報漏えい等は含まれていません。この5類型のいずれかに該当し、一定の要件(相当の注意を怠ったこと、1,000人以上の本人に影響する大規模事案であること、権利利益侵害があること)を満たした場合に、課徴金納付命令の対象となります。課徴金額は、対象行為又は対象行為をやめることの対価として得た金銭等の財産上の利益に相当する額とされています。
-
個人情報の提供であって、当該個人情報を利用して違法な行為又は不当な差別的取扱いを行うことが想定される状況にある第三者に対して行うもの
-
第三者の求めにより行う個人情報の利用であって、当該第三者が当該個人情報の利用を通じて違法な行為又は不当な差別的取扱いを行うことが想定される状況にある場合に行われるもの
-
偽りその他不正の手段により個人情報を取得し利用する行為(法20条1項違反)
-
あらかじめ本人の同意を得ずに個人データを第三者に提供する行為(法27条1項違反)
-
統計作成等の特例に基づき取得した個人情報を、当該特例に係る義務に反して目的外に取り扱う行為又は第三者に提供する行為等
(2) AI開発等を含む統計情報等の作成のための本人同意の不要化
個人データ等の第三者提供及び公開されている要配慮個人情報の取得について、統計情報等の作成(統計作成等であると整理できるAI開発等を含みます。)にのみ利用されることが担保されていること等を条件に、本人同意が不要とされる方針が示されました。クローリング等を通じたAI用学習データの収集等を容易にするもので、経済界の要望に応えてAI開発を後押しすることが期待されます。
(3) 同意取得に係る例外規定の要件の緩和
①取得の状況からみて本人の意思に反しないため本人の権利利益を害しないことが明らかな場合は本人同意を不要とすること、②生命等の保護又は公衆衛生の向上等のために必要がある場合の同意取得義務の例外要件を緩和すること、③学術研究に係る例外規定の対象である「学術研究機関等」に病院や診療所が含まれることを明示する方針が示されています。契約の履行に必須の場合に個人データを共有することや、創薬の促進など、プライバシー・個人情報保護とバランスがはかられたデータ利用に資するものと考えられます。
(4) 子供の個人情報等・顔特徴データ等の取扱いに係る規律の強化
16歳未満の子供の個人情報等について、①同意取得や通知等の対象を法定代理人とすることを明文化する、②保有個人データの利用停止等請求の要件を緩和する、③子どもの個人情報等の取扱いについて、本人の最善の利益を優先して考慮すべき責務規定を設けるといった方針が示されています。これまで実務上は子どもが本人である場合に配慮した対応がなされてきたところ、新たな規制へ対応するためのルールと体制の整備が必要となることが予想されます。
(5) 顔特徴データ等の取扱いに係る規律の新設
生体データのうち、①プライバシー等の侵害に類型的につながりやすい顔特徴データ等について、取扱いに関する一定の事項の周知を義務化する、②利用停止等請求の要件を緩和する、及び③オプトアウト制度に基づく第三者提供を禁止するという方針が示されています。「制度的課題に関する考え方」で示されていた周知事項や例外事由・要件が維持されるか今後確認する必要があります。
(6) データ処理等の委託を受けた事業者に係る規律の明確化
①取扱いを委託された個人データ等を当該委託業務の遂行に必要な範囲を超えて取り扱わない旨の義務を委託先に明文規定により課し、一方、②委託先が委託元から指示された方法で機械的に個人データ等を取り扱うのみの場合において、委託契約において、委託先における取扱いの状況を委託元が把握するために必要な措置等(例:漏えい等が生じたことを知ったときに委託先が委託元に速やかに通知する。)について合意する等、一定の要件を満たす場合、委託先に対しては法第4章の各義務規定の適用を原則として免除し、①の義務及び安全管理義務のみを負わせるという方針が示されています。
(7) 漏えい等報告の合理化の継続検討・団体による差止請求・被害回復制度の導入見送り
漏えい等発生時について、本人の権利利益の保護に欠けるおそれが少ない場合は、本人への通知義務を緩和するとされ、その一方、漏えい等報告の合理化については検討が継続されることとなりました。また、適格消費者団体等による差止請求・被害回復制度については、消費者団体訴訟制度との関係の整理等の課題があること等を理由として、今般の改正では導入を見送る方針が示されています。
2. その他の規則・ガイドライン改正
(1) ランサムウェアによる漏えい等報告の統一様式の導入
2025年10月1日施行の改正個人情報保護法施行規則(以下、「規則」といいます。)により、ランサムウェアによる個人データの漏えい等事案について、現在の漏えい等報告様式※1に加えて、各監督官庁への統一した報告様式(ランサムウェア事案共通様式)※2が追加されました。特別社会基盤事業者※3がサイバー攻撃被害等の発生を認知したときに、事業所管大臣等に対する報告義務が定められた※4ことに伴い、複数の法令に基づき同一事案を各監督官庁にそれぞれ報告する負担を軽減するための手当といえます。
(2) グローバルCBPRに関するガイドライン改正
2025年12月12日、「個人情報の保護に関する法律についてのガイドライン(外国にある第三者への提供編)」が一部改正されました。外国にある第三者に個人データを提供する場合、当該第三者が「個人情報の取扱いに係る国際的な枠組みに基づく認定を受けている」場合には域外移転規制の例外となりますが※5、この「国際的な枠組み」として、従前のAPEC CBPRシステムに加えて、グローバルCBPRシステム※6が追加されました。グローバルCBPRシステムは、2025年6月2日に運用開始しており、現時点において日本・米国・韓国・台湾・オーストラリア等13の国・地域が参加しており、79社が認証を取得しています。このうち米国企業は50社、日本企業は4社※7が認証を取得しています。
3. 医療データ関連※8
医療データについて、2025年も様々な動きがありました。2025年12月には医療法が改正され、レセプト情報・特定健診等情報データベース等の公的データベース(公的DB)において、従来の匿名化情報に加えて、仮名化情報の利用・提供及び他のデータベースの仮名化情報との連結解析が可能となりました※9。2023年に次世代医療基盤法が改正され、仮名加工医療情報の制度が新設されましたが、上記の改正はこれに次ぐ流れとなります。仮名化情報の提供は、相当の公益性や必要性を要するといった制約がある※10一方、特異な値・記述等を削除することまでは求められないという利点があります。
また、医療情報を取り扱う情報システムに関するいわゆる3省2ガイドラインについても動きがありました。一例として、「医療情報システムの安全管理に関するガイドライン 第6.0版」のQ&Aが公表されました。医療情報の漏えい等があった場合の責任や医療情報の共同利用に関する留意事項が記載されているほか、生成AIサービスのプロンプトとして医療情報を入力する場合に、入力情報が「AIの学習等のために保存されないこと」が契約等において担保されていれば、当該サービスのサーバが国内法の適用を受けている必要はないこと等が明確化されました。
当局による執行事例等
1. 委員会の活動実績
以下の表は、委員会による民間事業者に対する監督等の実績をまとめたものです※11。令和7年度も、委員会による活発な執行傾向は続いています。なお、権限委任先省庁分も含めると、漏えい等事案の報告の受付数は、令和7年度上半期は過去最多になっています。
|
|
R5
上半期
|
R5
下半期
|
R6
上半期
|
R6
下半期
|
R7
上半期
|
|
個人データの漏えい等事案の報告の受付
|
3,154件
|
3,921件
|
5,212件
|
8,986件
|
6,806件
|
|
報告徴収
|
60件
|
13件
|
61件
|
6件
|
11件
|
|
立入検査
|
0件
|
0件
|
2件
|
0件
|
2件
|
|
指導・助言
|
165件
|
168件
|
203件
|
192件
|
236件
|
|
勧告
|
0件
|
3件
|
0件
|
1件
|
2件
|
|
命令
|
0件
|
0件
|
0件
|
0件
|
1件
|
2025年には、勧告を経ない緊急命令(法148条3項)がなされました(下記「2.公表された執行事案」No.4参照)。委員会が緊急命令を出すのは初めてであり、公表資料※12によれば、個人データに係る本人の重大な権利利益が侵害される事態であることや、意図的に法違反が繰り返されていたとして、法令違反の重大性が極めて悪質な事案であったことを踏まえ、この度の対応に至ったとのことです。
2. 公表された執行事案
2025年の民間事業者に対する執行事案で、委員会により公表されたものは下の表のとおりです※13。
|
No.
|
執行対象
|
事案の概要
|
処分内容
|
|
1
|
建設業界の職業紹介・転職支援事業者※14
|
建設業界の職業紹介・転職支援事業者が、建築現場に掲示されている法定標識や公共工事の入札・落札情報検索サイト等の公開情報から、建設会社等の従業者である者の個人情報を入手し、当該情報を基に当該建設会社等に架電し、架空の事業者名を名乗って虚偽の事実を伝え、電話応答者から当該現場監督者等の電話番号等の個人情報を取得し、データベース化した上で、業務に利用した事案。法20条1項の規定に違反して取得した個人情報を全て消去し、同種違反行為の再発防止策を策定し、これを実施するように勧告するとともに、再発防止策の策定及び実施状況等についての報告を求めたもの。
|
法148条1項に基づく勧告及び法146条1項に基づく報告等の求め(1月29日)
|
|
2
|
通知書等の印刷・発送業務の受託事業者※15
|
金融機関や地方公共団体等の取引先からの委託を受け、通知書等の印刷・発送を行う事業者のサーバが第三者から不正アクセスを受け、個人データを含む電子ファイルがランサムウェアにより暗号化され、窃取された当該ファイルがダークウェブ上に公開されたことにより、個人データについて漏えい及び毀損が生じた事案。法23条に基づく安全管理措置を講ずるよう指導したもので、影響を受けた本人数、委託元(多くが地方公共団体)、漏洩した個人データ項目の性質等を考慮して公表された。
|
法147条に基づく指導(3月19日)
|
|
3
|
損害保険会社及び保険代理店※16※17
|
①複数の損害保険会社の保険商品を取り扱う保険代理店が、損害保険会社からの保険契約の締結等の業務の委託に伴って取り扱っていた保険契約者の個人データを、本人の同意なく、他の損害保険会社に提供等していた事案、及び②損害保険会社から保険代理店に出向している従業者が、出向先の保険代理店が管理する他の損害保険会社の保険契約者に関する個人データ等を、出向先保険代理店に無断で、かつ、本人の同意を得ることなく、出向元の損害保険会社に対し送付し、出向元の損害保険会社が個人データ等を取得していた事案。定期的な監査等による個人情報の取扱状況の適切な把握及び適正な取扱いの周知徹底を行うこと、個人データの安全管理のために必要かつ適切な措置を講じること並びに個人データを取り扱う委託先に対する必要かつ適切な監督を行うことを指導したほか、再発防止策の実施状況等の報告を求めたもの。
|
(損害保険会社に対して)法147条に基づく指導及び法146条1項に基づく報告等の求め(4月30日)
|
|
4
|
オプトアウト届出事業者である名簿販売事業者※18
|
オプトアウト届出事業者である名簿販売事業者において、名簿の販売先が特殊詐欺グループを含む違法な行為に及ぶ者である可能性を認識していたにもかかわらず、反復継続して個人情報を提供した事案。警察からの情報提供により委員会が立入検査を行ったことを端緒とする。法19条(不適正な利用の禁止)に違反する個人情報の提供の即時中止や再発防止のための確実な体制整備を命じるとともに、個人データの第三者提供時の必要な記録の作成・保存の履行を勧告したほか、命令事項及び勧告事項の履行状況等について報告を求めたもの。
|
法148条3項に基づく緊急命令、法148条1項に基づく勧告及び法146条1項に基づく報告等の求め(5月16日)
|
|
5
|
オプトアウト届出事業者である名簿販売事業者※19
|
オプトアウト届出事業者である名簿販売事業者において、特殊詐欺グループに提供される可能性を認識しながら合計60万人の個人情報を第三者に提供した事案。警察からの情報提供により委員会が立入検査を行ったことを端緒とする。法19条に違反する個人情報の提供を確実に中止し、再発防止のための体制整備を勧告したほか、勧告事項の履行状況等について報告を求めたもの。
|
法148条1項に基づく勧告及び法146条1項に基づく報告等の求め(9月10日)
|
なかでも、No.2の事案は、ランサムウェアによる被害を契機として、委員会から安全管理措置の不備が認定・公表されており、教訓となります。具体的には、①外部からの不正アクセス等の防止のための技術的安全管理措置に関連して、VPN機器のアップデートが未了であったこと、②組織的安全管理措置に関連して、個人情報の保管ルールの明文化や遵守がなされておらず、パスワードポリシー上に桁数や文字の制限がなく遵守もされておらず、個人データの取扱状況について定期的な監査や点検がなされていなかったこと、③人的安全管理措置に関連して、従業者が保管ルールを常時確認できる状態ではなく、従業者の適切な教育がなされていなかったこと等の問題点が指摘されています。昨今のランサムウェアによる被害の増加も踏まえ、技術的安全管理措置・組織的安全管理措置・人的安全管理措置のそれぞれについて、ガイドラインも参照の上、定期的な取扱いの見直し及び改善が求められます。
3. その他の注目された事案
このほか、2025年に注目された事案として、総務省が移動体通信事業者に対して、電気通信事業法4条1項に規定する通信の秘密の漏えい等を理由に行政指導を行った事案があります。総務省の報道資料※20によれば、犯行グループが当該事業者の通信回線を契約しているユーザーのIDとパスワードを入手したことにより、ユーザーの通信の秘密に係る情報が閲覧可能となっていたものの、通信の秘密の漏えいの有無の検討が行われず、漏えい報告の第一報が3か月以上遅れたことが指摘されています。これを踏まえ、インシデント対応発生時のフローの整備や、コンプライアンス・リスク体制全般の見直し(社内規程及びマニュアルの整備、実効的なコンプライアンス・リスク管理体制の構築、経営層への報告体制等)の再発防止策が求められており、他の企業にとっても参考になると思われます。
注目を集めたトピック
以上のほか、2025年に注目を集めた個人情報保護・プライバシーに関する主なトピックとして、サイバーセキュリティ関連の動きを取り上げます。
2025年の初めには、2024年末から発生していた航空会社や大手銀行に対するDDoS攻撃に続き、通信事業者へのDDoS攻撃や大手カード会社へのアクセス集中による接続障害等、重要インフラに対するサイバー攻撃が複数発生しました。
また、9月に大手飲料メーカーに対するランサムウェア攻撃により、2か月にわたり受注出荷システムが停止し、190万件以上の個人情報について漏えい又はそのおそれが発生した事案や、10月に大手ECサイト事業者へのランサムウェア攻撃によって個人情報が70万件以上流出し、同社通販サイトが停止した事案等で注目を集めたとおり、サプライチェーンの複雑化により、一主体の被害・事業停止が取引先はもちろん広く社会に影響を与える事案が発生しています。
サイバー攻撃の脅威の増大を受け、2025年5月にサイバー対処能力強化法※21及び同整備法※22が成立、7月に国家サイバー統括室が発足し、日本のサイバーセキュリティ政策は新たな転換点を迎えています。12月には「サイバーセキュリティ戦略」が閣議決定され、国家を背景とするサイバー攻撃に対する、安全保障の観点を含めた国主導での対策への取り組みと、幅広い主体による社会全体のサイバーセキュリティ及びレジリエンスの向上等(重要インフラ事業者等による対策強化、サプライチェーン等の信頼性確保の基盤作り等)の方針が示されました。
また、サプライチェーン全体でのサイバーセキュリティ対策の強化に向け、12月には経済産業省及び国家サイバー統括室から「サプライチェーン強化に向けたセキュリティ対策評価制度に関する制度構築方針(案)」が発表されました。同制度は、サプライチェーンにおけるリスクに応じて受注側が備えるべき対策水準の段階を設定し、各企業の対策状況の可視化を図るものです。同制度は2026年度末に運用開始予定であり、現在当該制度に対する意見募集が行われています。
2026年の展望
上記のとおり、個人情報保護法のいわゆる3年ごと見直しについて、改正法案が本年国会に提出される見通しです。民間事業者に影響のある内容も少なくなく、改正法案や規則の内容を含めた最新の動向について引き続き注視が必要です。これらの動向については、本ニュースレターでも随時ご紹介してまいります。
また、2025年は緊急命令も出される重大な事案や、重大なサイバーセキュリティ事案も多く発生しており、各事業者におかれましては各事案における行政指導の内容も踏まえて、改めてセキュリティ・ガバナンス体制の定期的な見直し・改善を行うことが望ましいといえます。
脚注一覧
※3
経済安全保障推進法50条1項に定める特定社会基盤事業者のうち、特定重要電子計算機を使用するもの
※4
能動的サイバー防御に関するサイバー対処能力強化法5条(2025年5月13日公布)
※7
インタセクト・コミュニケーションズ株式会社、株式会社インターネットイニシアティブ、Paidy合同会社及びPayPay株式会社
※11
ここでは個人情報保護委員会が直接受付又は実施したものの集計値を記載しており、このほかに、委任先省庁等を経由して受付したもの及び委任先省庁の実施した報告徴収・立入検査が存在します。
※21
正式名称は「重要電子計算機に対する不正な行為による被害の防止に関する法律」(令和7年法律第42号)。
※22
正式名称は「重要電子計算機に対する不正な行為による 被害の防止に関する法律の施行に伴う関係法律の整備等に関する法律」(令和7年法律第43号)。
