速報 令和8年個人情報保護法改正法案 第3回 個人情報取扱事業者の義務に関する例外事由の拡大

現行法上の制約と拡大する例外事由の内容・ポイント

　現行の個人情報保護法では、個人情報（個人データ）の一定の取扱いについて、原則として本人の同意を取得することが義務付けられています。これには例外事由が設けられており、個人情報の目的外利用（法18条3項各号）、要配慮個人情報の取得（法20条2項各号）、及び個人データの第三者提供の制限（法27条1項各号）に具体的事由が定められています。また、個人データの提供先である第三者が外国に所在する場合の制限（法28条）も、この例外事由が適用され、本人の同意を取得せずともよいこととなります。そのほか、個人データの第三者提供に係る確認・記録義務（法29条又は30条）、個人関連情報の第三者提供の制限（法31条）における確認（提供元による、提供先が個人データとして取得することを認める旨の本人の同意を得ていることの確認をいいます。）についても、同様の例外事由（法27条1項各号を除くとするもの）の適用があり、それぞれ確認等が不要とされています。

　改正法案で示された例外要件の緩和案は、以下の三点です。これらはいずれも令和8年1月に公表された「個人情報保護法 いわゆる3年ごと見直しの制度改正方針」における改正方針に沿った内容となっています。

1. 人の生命等の保護又は公衆衛生の向上等のために（特に）必要がある場合等の例外事由の拡大

(1) 現行法の内容と課題

　現行法では、「人の生命、身体又は財産の保護のために必要がある場合であって、本人の同意を得ることが困難であるとき」及び「公衆衛生の向上又は児童の健全な育成の推進のために特に必要がある場合であって、本人の同意を得ることが困難であるとき」が例外事由とされています。いずれも「本人の同意取得が困難なとき」が要件となりますが、例えば、本人の連絡先が不明であること等により、本人に同意を求めるまでもなく本人の同意を得ることが物理的にできない場合や、本人の連絡先の特定のための費用が極めて膨大で時間的余裕がない等の場合が該当します※1。連絡不能といった限定的なケースでしかこの要件に該当すると考えられていないため、対象となる本人が多数に及ぶ場合に、例外事由に依拠しうるものとそうではないものが混在しやすいことになるなど、実務上はこの例外事由に依拠することが難しい場面が多くあります。

(2) 改正法案の内容

　改正法案では、「本人の同意を得ることが困難であるとき」のみならず、「その他本人の同意を得ないことについて相当の理由があるとき」にも、本人の同意を得ないことが認められています（改正法案18条3項2号・3号、20条2項2号・3号、27条1項2号・3号）。

　この「本人の同意を得ないことについて相当の理由がある」といえる具体的な事例については、今後国会審議に加え、ガイドラインやQ＆Aにおいて明確化されることが期待されます。個人情報保護委員会事務局が本年4月に公表した「個人情報保護法等の一部を改正する法律案について」（以下「個人情報保護委員会事務局資料」といいます。）には、本人のプライバシー等の侵害を防止するために必要かつ適切な措置（氏名等の削除、提供先との守秘義務契約の締結等）が講じられているため、当該本人の権利利益が不当に侵害されるおそれがない場合が例として挙げられています。

(3) 実務への影響

　前記(1)のとおり本人の同意取得が困難であると認められるハードルは高く、この例外事由に依拠できる場面は限定的であると解されてきました。今回の改正により、特に、民間事業者や医療機関等による研究開発を含む様々な場面で、同意取得が困難であるとまではいえないケースでも、上記例外事由に依拠することによって個人情報（個人データ）を活用できるケースが増えることに期待が寄せられます。他方で、どのような場合に同意を得ないことの相当性が認められるかの程度については、国会審議での議論やガイドライン等において明確化されることが望まれます。

　なお、同意取得の困難性の要件のみならず、医学系研究（例：医薬品や医療機器の開発）の実施に際してこれらの例外事由の該当性が問題となることが多くあります。特に、公衆衛生例外の適用に関して明確化を望む意見が見られるところです。引き続き、「公衆衛生のために特に必要」とされる範囲※2という要件を中心に、大学や製薬・医療機器関連企業等を含めたステークホルダーの意見や例外事由の運用等の実態を踏まえつつ対応する必要があり、継続的検討事項であると考えられます。

2. 本人の意思に反しないため本人の権利利益を害しないことが明らかである場合の例外事由の新設

(1) 現行法の内容と課題

　現行法上、例外事由は限定的であり、事実上本人の意思に合致する又は反しないような場合であって、本人の権利利益の侵害が生じないような場合にも、原則どおり本人の同意を取得しなければなりません※3。実務では、個人データの第三者提供に伴って第三者提供確認・記録の作成が求められることもあり、本人の権利利益保護と同意取得を含むコストとのバランスにつき、その合理性に疑問が持たれつつ、規律に従った対応が実施されています。また、諸外国・地域の個人情報保護制度、たとえばEUのGDPR（General Data Protection Regulation：一般データ保護規則）における個人データ取扱いの適法性根拠※4及びその運用実態と比較して、事実上、日本の個人情報保護法及びその運用は柔軟性に欠け、硬直的ではないか等の指摘もありました。

(2) 改正法案の内容

　改正法案では、本人との間の契約の履行のために必要やむを得ないことが明らかである場合その他当該個人情報等の取得の状況からみて本人の意思に反しないため本人の権利利益を害しないことが明らかである場合として個人情報保護委員会規則で定める場合を、新たな例外事由とすることを提案しています（改正法案18条3項7号、20条2項7号、27条1項8号）。「本人との間の契約の履行のために必要やむを得ないことが明らかである場合」のほかに、どのような場合が例外となるかについての具体的な範囲は、個人情報保護委員会規則に委ねられています。

　個人情報保護委員会事務局資料には、本人が、事業者Aの運営するホテル予約サイトで事業者Bの運営するホテルの宿泊予約を行ったため、事業者Aが事業者Bに当該本人の氏名等を提供する場合や、金融機関が海外送金を行うために送金者の情報を送金先の金融機関に提供する場合が例として挙げられています。

(3) 実務への影響

　今回の改正が実現することで、個人情報の取得の状況からみて本人の意思に反しないため本人の権利利益を害しないことが明らかであり、本人の権利利益の保護のために同意を取得する意味に乏しいものの、法を遵守することを主眼として同意取得等を行っていたケース、具体的には、前記(2)で例示したようなケースを念頭に、これに類似又は相当するケースにおいて柔軟な運用が可能になることに期待が寄せられています※5。

3. 学術研究機関等の範囲の拡張に伴う例外事由の拡大

(1) 現行法の内容と課題

　本人同意の取得に係る例外事由の一つとして、いわゆる学術研究例外があります（法18条3項5号及び6号、法20条2項5号から7号まで、法27条1項5号から7号まで等）。学術研究例外では、学術研究機関等による学術研究目的での一定の行為（個人の権利利益を不当に侵害するおそれがある場合を除きます。）を例外事由としていますが、この例外は、「学術研究機関等」の行為に関して認められるものです。「学術研究機関等」とは、大学その他の学術研究を目的とする機関若しくは団体又はそれらに属する者をいい、具体的には、国公立・私立大学、公益法人等の研究所等の学術研究を主たる目的として活動する機関や学会、国公立・私立大学の教員、公益法人等の研究所の研究員、学会の会員等が該当します※6。

　医学・生命科学の研究においては、研究対象となる診断・治療の方法に関する臨床症例の分析が必要であり、医学・生命科学の研究と医療の提供とは密接な関係を有するところ、病院等の医療の提供を目的とする機関又は団体による研究活動が広く行われており、当該研究には患者の情報を提供するなど市中病院等やそこに所属する医師が関与することがあります。もっとも、現行法上、このような病院や医師は「学術研究機関等」に含まれていません。

(2) 改正法案の内容

　改正法案では「学術研究機関等」に病院その他の医療提供を目的とする機関若しくは団体又はそれらに属する者が含まれる旨の定義の変更が提案され（改正法案16条9項）、これによって大学病院や研究所に加え、市中の病院や診療所も学術研究機関等の対象に含まれることとなります。また、介護老人保健施設や介護医療院など、医学関連の研究に従事しているであろう介護施設は、医療法上の「医療提供施設」に含まれることから、「学術研究機関等」に含まれると考えられます。

(3) 実務への影響

　今回の改正により、市中病院等が学術研究例外を使用して、学術研究目的のために目的外利用、要配慮個人情報取得及び第三者提供を行うことが可能になると考えられます。もっとも、今回の改正法案によって「学術研究目的」の要件が緩和されるわけではなく、個人情報等を取り扱う目的に学術研究目的が全く含まれない場合（例えば、専ら製品開発等を目的とする第三者提供等）について学術研究例外に依拠できるようになるわけではないことには注意が必要です。

　なお、見直しの議論では、欧州の動向等も踏まえ、学術研究例外について、実施主体による規制ではなく、研究の目的や性質に着目した規制へと見直すべきとの指摘がありました。今回の「学術研究機関等」の定義の拡張や、学術研究目的その他の要件についての実務上の運用動向を注視しつつ、有益な科学技術や先進医療の発展のために支障があるようであれば、研究の目的や性質に着目した規制緩和を含めた対応の検討が望まれます。

4. その他の留意点

　今回紹介した例外事由は、第2回で解説した「統計作成等」の特例とは異なり、法27条1項各号の例外として位置付けられています。このため、越境移転規制（法28条1項）、確認記録義務（法29条又は30条）及び個人関連情報の第三者提供の制限（法31条1項）の規定も、この例外事由に該当する場合は、規律が適用されないこととなります。また、新たな規律である16歳未満の子どもの個人情報に関する規律及び特定生体個人情報（顔特徴データ等）に関する規律のうち、当該情報の利用停止等・提供停止請求について、今回紹介した例外事由に相当する例外事由がある場合には、当該請求権は認められないとされています（改正法案35条7項4号・5号・7号から9号まで、9項3号・4号・6号から8号まで）。※7

　なお、個人情報保護法上の例外事由の拡大に伴って番号法※8の改正も行われる予定であり、人の生命等の保護のために必要がある場合については、本人の同意を得ることが困難であるときのみならず、本人の同意を得ないことについて相当の理由があるときも、本人の同意を得ないで、利用目的以外の目的のために特定個人情報を自ら利用し、又は特定個人情報を提供できることが提案されています（改正法案（番号法）19条16号、同30条1項（特定個人情報の取扱いについて、改正法案（個人情報保護法）69条2項1号を読み替えて適用するとするもの））。

おわりに

　例外事由の拡大に関する改正法案は、事業者の同意取得その他の負担を軽減し、本人の権利利益をより実効的に保護しようとするものであると考えられ、AI特例のように統計等を作成する目的では無く、個人情報等を利用し、共有することが必要な場面で柔軟な運用が可能となることに期待が寄せられるところです。

　もっとも、法改正後の例外事由が適用される具体的な対象範囲は、今後、個人情報保護委員会規則で定められ、また、国会審議、ガイドラインやQ&Aにおいて明確化されることが予定されています。このため、制度が合理的なものとなり、また、円滑に運用されるものとなるよう、引き続き動向を注視していく必要があります。