速報 令和8年個人情報保護法改正法案 第4回 子どもの個人情報等に関する規律

(1) 通知義務※3

　本人が16歳未満の子どもの場合には、法21条1項に基づき利用目的の通知を行うときには、「法定代理人に通知しなければならない」こととなり、また、同条2項に基づき書面（電磁的記録を含みます。）により個人情報を本人から直接取得するときには法定代理人に対する利用目的の明示が必要となります。また、法26条2項に基づき、漏えい等の本人への通知をすべき場合には、法定代理人に対して通知することが必要となります。

(2) 同意取得義務

　本人が16歳未満の子どもの場合には、利用目的による制限に係る目的外利用等のための同意取得（法18条1項・2項）、要配慮個人情報の取得のための同意取得（法20条2項）、個人データの第三者提供のための同意取得（法27条1項）及び外国にある第三者への提供のための同意取得（法28条1項）について、例外事由※4に該当せず本人の同意取得が求められるときには、それぞれ法定代理人から同意を取得する必要があります。

(3) 適用除外

　もっとも、以下の場合については、法定代理人への通知及び法定代理人からの同意取得を義務づける読替の対象外とされています（改正法案40条の2第1項各号）。これらの適用除外は、①及び③については事業者の負担への配慮、②は民法上の規律との整合性※5を念頭に置いたものであると考えられます。

1. 当該個人情報取扱事業者が、当該個人情報が16歳未満の者のものであることを知らないことについて正当な理由がある場合（改正法案40条の2第1項1号）
2. 本人の法定代理人が当該本人の営業を許可していた場合であって、当該個人情報取扱事業者が当該営業に関して当該個人情報を取得したとき（改正法案40条の2第1項2号）
3. 本人に法定代理人がない場合又は当該個人情報取扱事業者が本人に法定代理人がないと信ずるに足りる相当な理由がある場合（改正法案40条の2第1項3号）

(4) 個人関連情報の取扱いに係る規律への影響

　個人関連情報取扱事業者が16歳未満の子どもに関する個人関連情報を取り扱う場合についても、法31条の適用に関して法定代理人への読替規定が置かれており、上記で述べた内容と同様の規律が提案されています（改正法案40条の2第2項）。

(1) 規律の適用範囲及び年齢確認の要否

　改正法案が成立した場合には、16歳未満の子どもの個人情報等を取り扱う場合の確認方法、並びに法定代理人への通知及び法定代理人からの同意取得の方法について、国会での法案審議や法案成立後のガイドライン・Q&A等で明確にされていくことが期待されます。改正法案においては、少なくとも文言上は子どもをターゲットとして設計されたサービスに限定して新たな規律を課すわけではなく、一定の適用除外の場面に該当しない限り上記の通知義務・同意取得義務の適用対象になる建て付けとなっていることから、事業者としても、除外事由への該当性を含めて対応を検討していく必要性があります。

　多くの事業者が一般に依拠することがあり得る適用除外としては、「当該個人情報取扱事業者が、当該個人情報が16歳未満の者のものであることを知らないことについて正当な理由がある場合」（改正法案40条の2第1項1号）が挙げられます。具体的にいかなる場合に「正当な理由」があると認められるのか（例えば、サービスの性質上、明らかに16歳未満の子どもによる利用が想定されないサービスである場合には「正当な理由」があると認められるのか、あるいは、サービスの性質にかかわらず年齢確認を行うことが必要になるのか）は、実務上大きな論点になると思われます。現状では、一定のサービスを除けば、本人が16歳未満の子どもであるかを特段確認せずに当該子どものデータを取得している（可能性のある）事業者は多いと思われ、この点については、国会審議やガイドライン・Q&A等での早期の明確化が必要な点であると考えられます。

(2) 年齢確認の方法

　上記(1)を踏まえて、「正当な理由」があると言えるためには年齢確認を経ることが必要である場合も、いかなる方法により年齢確認を行う必要があるか、といった点も実務上重要なポイントになると考えられます。年齢確認の手法については、諸外国での議論も参考になると考えられますが、例えば、2024年2月に公表された「Research report: Mapping age assurance typologies and requirements」（Raiz Shaffique, M., & van der Hof, S. (2024))」※7では、年齢確認は一般的に、自己申告、年齢検証、年齢推定の3つの類型に分けることができ、より具体的には、非網羅的なリストではあるとしつつ、(i)自己申告（個人が自身の年齢を申告したり年齢層を確認したりするものの、その申告を証明する証拠を一切提示しない方法）、(ii)本人確認済みの身分証明書（パスポート等）、(iii)クレジットカード、(iv)自己主権型ID（Self-sovereign identity）（ユーザーのデジタルIDを作成するためにブロックチェーン等の分散型台帳技術を活用する方法）、(v)アカウント保有者による確認（プラットフォームの現在の確認済みアカウント保有者が、別のユーザーがプラットフォームを利用するために必要な年齢に達していることを保証する方法）、(vi)クロスプラットフォーム認証（Google、Apple、Microsoft等の大規模プラットフォーム上の既存のユーザーアカウントを利用して、ユーザーの年齢を認証する方法）、(vii)顔による年齢推定、(vii)行動プロファイリング、(ix)能力テスト（例えば、年齢を推定するために、言語テストやパズルを解く等、ユーザーの適性や能力をテストすることで年齢を推定する方法）、(x)第三者の年齢確認サービスが挙げられています。

　本人の自己申告以外の方法による年齢確認が求められる場合には事業者に大きな負担となり得ることを考えると、自己申告が「正当な理由」として許容されるかが実務上重要なポイントになるものと考えられます。「自己申告」は、年齢確認の方法として簡便な方法と言えますが、本人が虚偽の申告をすることも容易であるため、年齢確認の有効性が高いとは言えないことに注意が必要です。「正当な理由」の判断にあたっては、サービスの性質、16歳未満の子どもがアクセスする蓋然性、事業者の認識、自己申告の具体的な方法・画面表示等が考慮されるのではないかと思われますが、判断基準が明確化されることが望まれます。

　年齢確認に関するフローを新たに設けようとする場合には、既存システム改修や事業者内部での運用変更・構築等に時間を要することが見込まれるところ、ガイドラインやQ&A等により具体的な判断基準がある程度明確化されることを待ってから検討を開始することでは改正法の施行に間に合わない可能性もあるため、どのような方法を採り得るか、どのような対応が必要になるかについて、国会審議の状況にも注視しつつ早期に検討を進めていくことが望ましいと考えられます。

(3) 本人が16歳未満の子どもである場合の法定代理人からの同意取得/法定代理人への通知の手続き

　また、上記(2)の年齢確認の結果、本人が16歳未満の子どもであることが判明した場合の法定代理人の同意の取得の方法についても具体的なルールが作成されることが期待されます。この点に関しても、本人と法定代理人との関係について、自己申告に依拠することで足りるのか、それとも何らかの書面の提出等を要求するのかといった点も実務上の負担に影響するところです。例えば、13歳未満の子どもの個人情報の保護を定める米国のCOPPA（及びそれに基づくCOPPA規則）では、検証可能な親権者の同意の方法として、親権者に署名させた同意書を、郵送、ファクシミリ又は電子的なスキャンにより事業者に返送させる方法や、取引に関連して、親権者に対し、クレジットカード、デビットカード又は各個別取引ごとに主たる口座名義人へ通知がなされるオンライン決済システムの利用を求める方法等が列挙されており、改正法案の下でもこのような確認が求められるのかについては注視する必要があると考えられます。

　また、法定代理人への通知のみが必要となる場合にも、そもそも通知のために法定代理人の連絡先の情報を取得しておく必要があるのか、それとも本人を通じて法定代理人への通知をすることも許容される場合があるのか、といった点により、実務上の負担が大きく変わり得るところと言えます。

(4) その他の対応を検討すべき点

　上記の他にも、ある本人について16歳未満の子どもであることが事後的に発覚した場合に、どのような対応をとるか（法定代理人への通知や法定代理人からの同意取得を行うか、あるいは情報を削除するか等）についてのフローを決めておくといった対応も必要になってくると考えられます。

利用停止等・第三者提供の停止の請求

　現行法上、利用停止若しくは消去（以下「利用停止等」といいます。）又は第三者提供の停止の請求は、一定の法令違反、利用する必要がなくなった場合、漏えい等の報告対象事態が生じた場合その他本人の権利又は正当な利益が害されるおそれがある場合に可能とされています。

　改正法案35条9項では、一定の場合を除き、16歳未満の本人は、個人情報取扱事業者に対し、自己が識別される保有個人データについて、その利用の停止等又は第三者提供の停止の請求を可能としています。

　かかる請求が認められない一定の場合としては、以下の場合が含まれます※8。

1. あらかじめ法定代理人の同意を得て取得した場合（1号）
2. 法令に基づいて取り扱う場合（2号）
3. 人の生命、身体又は財産の保護のために取り扱う必要がある場合（3号）
4. 本人との間の契約の履行のために必要やむを得ないことが明らかである場合、その他取得の状況からみて16歳未満の本人の権利利益を害しないことが明らかな場合として個人情報保護委員会規則で定める場合（8号）
5. 取得時点において本人の法定代理人、国の機関、地方公共団体、学術研究機関等により公開されていたものである場合（9号）
6. 法定代理人が本人の営業を許可している場合において、当該営業に関して取得したとき（10号）
7. 本人が自らが16歳以上であると信じさせるために詐術を用いていた場合（11号）
8. その他①～⑦等に準ずるものとして政令で定める場合（12号）

　個人情報取扱事業者としては、上記のような除外事由が無い限り、16歳未満の本人からの改正法案35条9項の請求を拒むことはできないことになるため、利用停止等や第三者提供の停止に関する請求を受けた場合の対応プロセス、判断基準等を設ける必要があります。この点、あらかじめ法定代理人の同意を得て取得した保有個人データについては利用停止等又は第三者提供の停止に関する請求に応じる必要はないとされていることを踏まえ、16歳未満の子どもの個人情報を取得する際に可能な限り法定代理人の同意を得るようにする対応も検討に値します。また、今後、個人情報の保護に関する法律施行令（以下「施行令」といいます。）や個人情報保護委員会規則（以下「規則」といいます。）において定められる事項、及び各除外事由についての国会審議やガイドライン・Q&A等における明確化（例えば、いかなる場合に「詐術を用いていた」と扱われるか）を注視する必要があります。