　令和8年4月7日に閣議決定された「個人情報の保護に関する法律等の一部を改正する法律案」（以下「改正法案」といいます。なお、改正法案として条番号を記載しているものは、改正後の法律の条番号を指します。）では、特定の個人に対する働きかけが可能となる個人に関する情報を新たに「連絡可能個人関連情報」と定義した上で、当該情報の不適正利用及び不正取得の禁止に係る新たな規律を導入することが提案されています。

　このような連絡可能個人関連情報に関する規律は、「個人情報保護法いわゆる3年ごと見直しの制度改正方針」（令和8年1月9日）（以下「制度改正方針」といいます。）において示された4つの柱のうち、オプトアウト制度に基づく個人データの第三者提供時の提供先の身元及び利用目的の確認の義務化とともに、「不適正利用等の防止」として位置づけられており、個人データ等が犯罪行為等の不適正な利用形態で用いられることによる個人の権利利益侵害のリスクが高まっていることを背景として、それに対応するための規律の整備を提案するものです※1。

　本ニュースレターでは、①現行の個人情報の保護に関する法律（以下「現行法」又は「法」といいます。）における個人関連情報に関する規律と今回の改正提案の背景について簡潔に整理した上で、②連絡可能個人関連情報の規律に関する改正法案の内容及びポイントを解説します。

個人関連情報に関する現行法上の規律と改正提案の背景

　現行法上、個人関連情報は、「生存する個人に関する情報であって、個人情報、仮名加工情報及び匿名加工情報のいずれにも該当しないもの」（法2条7項）と定義されています※2。生存する個人に関する情報のうち、当該情報に含まれる氏名、生年月日その他の記述等により特定の個人を識別することができるものは、「個人情報」（法2条1項）に該当するため、個人関連情報とは、大要、生存する個人に関する情報ではあるものの、特定の個人を識別するには至らないものであるといえます。

　現行法上、個人関連情報に関する規律が適用されるのは、個人関連情報の第三者提供のうち、提供先が当該個人関連情報を個人データとして取得することが想定される場面に限られています（法31条1項）。現行法上の規律は、個人関連情報が、提供先の第三者において個人データと紐付けられ、特定の個人を識別する形で利用されることを前提としたものであり、個人関連情報を個人関連情報のまま利用又は取得する行為については、規律の対象となっていません。

　また、現行法上の不適正利用の禁止（法19条）及び不正取得の禁止（法20条1項）は、いずれも個人情報を対象とするものであり、個人関連情報は適用対象外となっています。

　しかしながら、特定の個人を識別するには至らない情報（すなわち個人情報に該当しない場合）であっても、特定の個人に対して何らかの連絡を行うことができる記述等（例：電話番号、住所、メールアドレス、Cookie ID等）が含まれる情報については、①当該記述等を媒介として秘匿性の高い記述等を含む情報を名寄せすることによって、プライバシー等が侵害されたり、②当該個人への連絡を通じて当該個人のプライバシーや財産権等の権利利益の侵害が発生したりすること※3が、いわゆる3年ごと見直しの検討の過程で指摘されていました※4。

　このような問題意識を踏まえ、改正法案では、特定の個人への連絡が可能となる情報について、個人の権利利益の侵害につながる蓋然性が特に高い行為類型である不適正利用及び不正取得に限って、個人情報と同様の規律を導入することが提案されています。

　なお、連絡可能個人関連情報と同様にCookie IDや広告識別子を対象とする規律として、電気通信事業法のいわゆる外部送信規律（同法27条の12）があります。外部送信規律は、利用者のパソコンやスマートフォン等の端末に記録された当該利用者に関する情報（例：Cookieや広告ID等の識別子、閲覧履歴等）を当該利用者以外の者の電気通信設備（例：Webサーバ等）に外部送信するプログラム等（以下「外部送信プログラム」といいます。）について利用者に確認の機会を付与することを求めるものであり、連絡可能個人関連情報の規律のように送信される情報の取扱いについて規律するものではありません。また、対象となる事業者や情報の点でも、連絡可能個人関連情報の規律と異なる点があります※5。

連絡可能個人関連情報に係る規律の内容及びポイント

1. 連絡可能個人関連情報の定義

　改正法案では、新たに「連絡可能個人関連情報」という定義が設けられており、具体的には、以下の記述等が含まれる個人関連情報（他の情報と容易に照合することができ、それにより以下の記述等を特定することができることとなるものを含む。）を指します（改正法案2条8項）。

住居、勤務先その他の特定の個人が所在し、又は所在していた場所の所在地（同項1号）※6
電話番号※7（同項2号）
電子メールアドレス※8（同項3号）
電気通信設備※9を利用する者又は電気通信設備を識別することができるように付された符号※10（同項4号）
その他特定の個人に対する連絡その他の情報の伝達に利用することができる記述等として個人情報保護委員会規則で定めるもの（同項5号）

　個人情報保護委員会の説明※11を踏まえると、上記④にはCookie IDが含まれることが想定されます。上記④については、そのほかに、広告識別子、SNSのユーザーID等が含まれ得るように思われますが、対象となる情報の具体例については、今後ガイドライン等で明確化されることが期待されます。

　また、上記⑤では、個人情報保護委員会規則で定めるものが挙げられていますが、現時点で連絡可能個人関連情報の外延は明らかになっておらず、上記①～④を含む個人関連情報に加えてどのような情報が連絡可能個人関連情報に含まれるのかについては、今後策定される個人情報保護委員会規則を待つ必要があります。

　なお、連絡可能個人関連情報の定義においては、他の情報と容易に照合することができ、それによって上記①～⑤の記述等を特定することができるものが含まれています。そのため、例えば、あるデータベースAにおいて管理している個人関連情報には上記①～⑤の記述等が含まれていないとしても、顧客ID等を通じて紐付けられている他のデータベースBにおいて上記①～⑤の記述等を含む情報を管理している場合には、データベースAに保存されている情報も連絡可能個人関連情報の一部を構成することになる※12と思われます。したがって、改正法対応として社内で取り扱う連絡可能個人関連情報の棚卸しを行う際には、連絡可能個人関連情報の範囲に留意する必要があります。

2. 連絡可能個人関連情報の不適正利用及び不正取得の禁止

　改正法案では、個人関連情報取扱事業者は、違法又は不当な行為を助長し、又は誘発するおそれがある方法により連絡可能個人関連情報を利用してはならず（改正法案31条の2第1項）、また、偽りその他の不正の手段により連絡可能個人関連情報を取得してはならないとされています（同条2項）。

　改正法案31条の2では、個人情報の不適正利用及び不正取得の禁止に係る条文（法19条、20条1項）と同様の文言が用いられているため、条文の解釈（例えば、不適正利用の禁止の規定における「違法又は不当な行為」の意義や「おそれ」の有無の判断方法※13等）については、基本的に個人情報に係る規律の解釈と同様になる可能性が高いように思われます。

　他方、この規律の具体的な適用場面としては、3年ごと見直しの検討の過程及び改正法案の説明において、連絡可能個人関連情報の利用等により個人の権利利益の侵害のおそれがある事例として、以下の事例が挙げられていました※14。そのため、個人情報保護委員会は、これらの事例を、新たな規律の適用対象となるケースとして想定している可能性が高いように思われます。

メールアドレス等を用いて、有名企業等をかたったメール等を個人に送信し、当該メールの本文に記載したフィッシングサイトのURLにアクセスさせて認証情報やクレジットカード情報等を窃取する事例
オンラインメンタルヘルスカウンセリングサービスを運営する事業者が、
1. 治療支援等のためにのみ利用し第三者に共有しない旨等を約していたにもかかわらず、ユーザーから取得したメールアドレス及び健康情報を、広告目的で第三者に提供する事例
2. 治療支援目的のみに利用し第三者に提供しない旨の偽りの説明により、ユーザーから、メールアドレス及び健康情報を取得する事例※15
事業者がメールアドレスやCookie ID等を用いて個人の端末に投資詐欺広告を表示し、その後、当該個人をSNS等へ誘導する事例

　現行法上、個人情報の不適正利用の禁止（法19条）及び不正取得の禁止（法20条1項）の適用範囲については、ガイドラインやQ&A等において示されている具体例を通じて明確化が図られているため、連絡可能個人関連情報の不適正利用及び不正取得の禁止との関係でも、同様に、ガイドラインやQ&A等で示される具体例を通じて、適用範囲が明確化されることが期待されます。

3. その他

(1) 仮名加工情報及び匿名加工情報への準用

　連絡可能個人関連情報に係る規律の背景である、特定の個人に対して何らかの連絡を行うことができる記述等を含む情報の利用による個人の権利利益の侵害のおそれは、上記1の①～⑤の記述等が仮名加工情報や匿名加工情報に含まれる場合にも同様に当てはまります。そのため、改正法案においては、上記2の連絡可能個人関連情報の不適正利用及び不正取得の禁止の規定が、上記1の①～⑤の記述等を含む仮名加工情報（個人情報でないもの）の仮名加工情報取扱事業者による取扱い※16や、上記1の①～⑤の記述等を含む匿名加工情報の匿名加工情報取扱事業者による取扱い※17に準用されています（改正法案42条4項、46条の2）。

(2) 行政機関等における同様の規律

　行政機関の長等による連絡可能個人関連情報の取扱いについては、上記2で述べた個人関連情報取扱事業者向けの規律と同様の規律が設けられており（改正法案72条の2）、また、当該規律は、上記1の①～⑤の記述等を含む（i）仮名加工情報（個人情報でないもの）、（ii）行政機関等匿名加工情報、及び（iii）匿名加工情報についての行政機関の長等による取扱いにそれぞれ準用されています（改正法案73条6項、121条の2、123条5項）。

おわりにー今後の展望と注目すべき点

　改正法案における連絡可能個人関連情報の不適正利用の禁止や不正取得の禁止は、本人への連絡が可能となり得る記述等を含むか否かという点に着目して、個人関連情報そのものの取得又は利用に規律を及ぼすという点で、新しい規律であるといえます。もっとも、適用対象となるのは、現行法における個人情報の不適正利用の禁止や不正取得の禁止と同様に、主として悪質な行為が想定されていると思われ、個人情報保護委員会がこれまでに示している事例（上記2のA～C）からも、このような傾向が読み取れるように思われます。

　施行に向けた準備を進めるに当たっては、今後の法案審議やガイドライン・Q&Aの策定等のプロセスを注視することが重要です。特に注目すべきと思われるポイントとしては、以下のとおりです。

　まず、上記2のB-1)の事例のように、ユーザーに対する当初の説明に反して連絡可能個人関連情報を利用した場合も不適正利用の禁止に該当し得るとすれば、連絡可能個人関連情報の取扱いに当たって、ユーザーに説明した目的・方法に反する利用を行うことがないように一層の注意を払うことが求められることになります。個人情報と異なり、個人関連情報そのものに対する利用目的の特定、利用目的の通知・公表等、目的外利用の禁止に係る規定が存在しない中で、どの程度の逸脱がある場合に不適正利用と判断されることになるのかは、今後、法案審議やガイドライン・Q&A等で一定の明確化がなされることが期待されます。

　また、上記2のCの事例のような詐欺広告の掲載のケースとの関係では、例えば、広告主が第三者のウェブサイトに広告を出稿する場合、詐欺広告の内容を決定した広告主のほかに、当該広告の掲載のプロセスに関与する主体（例：広告会社・代理店、広告を表示するウェブサイトの運営者）が存在することになりますが、このうちCookie ID等の連絡可能個人関連情報の不適正利用という評価を受ける主体は誰になるのか、不適正利用に関与したとの誹りを受けないようにするためにどのような措置を講じる必要があるかについては、今後の議論の動向を注視する必要があるように思われます。

　さらに、不正取得の禁止との関係では、連絡可能個人関連情報にCookie IDや広告識別子等といった、広い用途に用いられており、本人が取得されていることを通常認識しづらいものが含まれること等も踏まえて、どのような場合に不正取得に該当するかの明確化が望まれます。

脚注一覧

※1
制度改正方針2頁

※2
具体例としては、（i）Cookie等の端末識別子を通じて収集された、ある個人のウェブサイトの閲覧履歴、（ii）メールアドレスに結び付いた、ある個人の年齢・性別・家族構成等、（iii）ある個人の商品購買履歴・サービス利用履歴、（iv）ある個人の位置情報、(v)ある個人の興味・関心を示す情報が挙げられます（個人情報保護委員会「個人情報の保護に関する法律についてのガイドライン（通則編）」（以下「ガイドライン（通則編）」といいます。）2-8）。

※3
いわゆる3年ごと見直しの検討過程では、具体例として、（i）国内では、電話番号を用いて、宅配便事業者や通信事業者になりすました SMS によりメッセージを送信し、不正アプリのダウンロード等を行わせるといった事例が発生しており、また、（ii）国外においても、米国において、大手 SNS 事業者が利用者から二段階認証用等として取得した電話番号及びメールアドレスをターゲティング広告に利用したことが問題視された事例が発生していること等が挙げられています（個人情報保護委員会事務局「個人情報保護法いわゆる3年ごと見直し規定に基づく検討（個人の権利利益のより実質的な保護の在り方①）」（令和6年3月6日）25頁以降参照）。

※4
個人情報保護委員会「個人情報保護法いわゆる3年ごと見直しに係る検討の中間整理」（令和6年6月27日）5～6頁参照。また、個人情報保護委員会「個人情報保護法の制度的課題に対する考え方について」（令和7年3月5日）（以下「制度的課題に対する考え方」といいます。）5～6頁参照。

※5
外部送信規律の対象となる事業者は、電気通信事業者又はいわゆる第三号事業者（電気通信事業法164条1項3号に掲げる電気通信事業を営む者をいい（同法2条7号イ）、典型的には、オンライン検索サービス、SNS、電子掲示板、ECモール、インターネットニュース等が含まれます。）であるのに対し、連絡可能個人関連情報の規律については、連絡可能個人関連情報を扱う事業者が広く適用となり得ます。また、外部送信規律では、対象サービス事業者が利用者のブラウザや端末に付した識別符号（First Party Cookieに保存されたID）であって、当該対象サービス事業者自身に送信するもの等の一定の情報の外部送信プログラムについては規律の対象外となっています（同法27条の12第2号）が、First Party Cookieに保存されたIDは連絡可能個人関連情報に該当し、連絡可能個人関連情報の規律の対象となると思われます。

※6
特定の個人に対する郵便若しくは民間事業者による信書の送達に関する法律2条6項に規定する一般信書便事業者若しくは同条9項に規定する特定信書便事業者による同条2項に規定する信書便による送付、電報の送達又は特定の個人への訪問に利用することができるものに限る。

※7
特定の個人に対する電話又はファクシミリ装置を用いた送信に利用することができるものに限る。

※8
特定電子メールの送信の適正化等に関する法律2条3号に規定する電子メールアドレスをいい、特定の個人に対する同条1号に規定する電子メールの送信に利用することができるものに限る。

※9
電気通信事業法2条2号に規定する電気通信設備をいう。

※10
特定の個人に対する電気通信（電気通信事業法2条1号に規定する電気通信をいう。）を利用した情報の伝達に利用することができるものに限る。

※11
制度的課題に対する考え方5頁、個人情報保護委員会事務局「個人情報保護法等の一部を改正する法律案について」（令和8年4月）（以下「個人情報保護委員会事務局資料」といいます。）14頁

※12
なお、データベースAに含まれる情報とデータベースBに含まれる情報を照合した結果、特定の個人を識別することができる場合は、これらの情報は「個人情報」に該当するため、連絡可能個人関連情報に係る規律ではなく、通常の個人情報に係る規律の適用を受けることになります。

※13
ガイドライン（通則編）3-2参照

※14
A及びB-1)の事例について、制度的課題に対する考え方5頁参照。B-2)及びCの事例について、個人情報保護委員会事務局資料14頁参照

※15
B-1)では、事業者が、メールアドレス及び健康情報の取得後に、ユーザーとの約束に反してこれらの情報を第三者に提供する行為に着目した記載となっていますが（制度的課題に対する考え方5頁）、B-2)では、事業者がユーザーに偽りの説明をしてメールアドレス及び健康情報を取得する行為に着目した記載となっています（個人情報保護委員会事務局資料14頁）。B-2)の事例のように、連絡可能個人関連情報の取得の時点で事業者に虚偽の説明をする意図があった場合は、不正取得に該当することになることは比較的明らかであるように思われます。これに対して、B-1）の事例との関係では、取得の時点で虚偽の説明をする意図は無かったものの、取得後に、ユーザーへの事前の説明と異なる形で連絡可能個人関連情報の取扱いを行った場合に、常に不適正利用に該当することになるのか（それとも、B-1）の事例については、健康情報という情報の性質や広告目的での第三者提供という行為態様を踏まえたものであって、不適正利用に該当する事案には一定の限定があり得るのか）については、今後ガイドライン・Q&A等で明らかにされることが期待されます。

※16
現行法上、仮名加工情報を取り扱う場合には、電話をかけ、郵便若しくは信書便により送付し、電報を送達し、ファクシミリ装置若しくは電磁的方法を用いて送信し、又は住居を訪問するために、当該仮名加工情報に含まれる連絡先その他の情報の利用を行ってはならないこととされており（法41条8項、42条3項）、例えば、Cookie IDを用いて受信する者を特定した上で、当該受信者に対して固有の内容のインターネット広告を表示することも禁止の対象となっています（個人情報保護委員会「個人情報の保護に関する法律についてのガイドライン（仮名加工情報・匿名加工情報編）」2-2-3-5）。

※17
なお、匿名加工情報の加工基準（法43条1項、個人情報保護委員会規則34条）に沿って匿名加工情報を作成する場合には、住所、電子メールアドレスその他の本人への連絡が可能となる情報は削除されることが通常であると思われますが（それ故に、仮名加工情報とは異なり、現行法上、連絡禁止の規定は設けられていません。）、理論的には上記1の①～⑤の記述等の（少なくとも）一部は残る可能性があり得ることを踏まえて、匿名加工情報への準用がなされているものと思われます。

2026年5月11日

本ニュースレターは、各位のご参考のために一般的な情報を簡潔に提供することを目的としたものであり、当事務所の法的アドバイスを構成するものではありません。また見解に亘る部分は執筆者の個人的見解であり当事務所の見解ではありません。一般的情報としての性質上、法令の条文や出典の引用を意図的に省略している場合があります。個別具体的事案に係る問題については、必ず弁護士にご相談ください。

全文ダウンロード（PDF）