2025年の個人情報保護法改正はどうなる?
個人情報保護法は、3年ごとに見直しが入ることが決まっています。前回の改正は2022年4月1日に施行されました。 2025年の個人情報保護法改正はどうなるのでしょうか?
個人情報保護法とは
個人情報保護法(正式名称:個人情報の保護に関する法律)は、行政や医療、ビジネスなど様々な分野において、個人情報の有用性に配慮しながら、個人の権利や利益を守ることを目的とした法律です。具体的な個人情報としては、氏名、性別、生年月日、住所などがあります。
2003年5月に制定され、2005年4月に全面施行されました。法律の詳細はe-GOV法令検索で見ることができます。
個人情報保護法を見ていくと、個人情報を取り扱う際「個人情報を取得・利用するとき」、「個人データを保管・管理するとき」、「個人データを第三者に提供するとき」、「本人から保有個人データの開示等を求められたとき」にどのような対応をすべきかがわかります。例えば、個人情報を取得する際には、どのような目的で個人情報を利用するのかを具体的に明示する必要があります。
特定の製品を購入する際、氏名、電話番号、メールアドレスなどの個人情報を入力することがたびたびあると思いますが、一般的に取得する個人情報の種類や利用方法(契約の更新やアンケート調査などを利用する旨など)は具体的にWebページなどで明示されています。
参考ページ:お客さまから収集する個人情報の取り扱いについて
また、個人情報保護法では「個人情報データベース等」、「個人データ」、「保有個人データ」など様々な定義があるため、混同しやすいことが伺えます。政府広報オンラインなどでわかりやすく解説しているため、言葉の定義はこちらをご覧頂くと理解しやすいと思います。
2022年4月の改正を振り返る
2022年4月施行の個人情報保護法は、サイバーセキュリティの観点で留意すべき点が複数ありました。大きく
1. 利用目的の明確化
2. 個人情報の保存場所とアクセス権限(海外での個人情報の取り扱い)
3. 個人情報漏洩時の報告義務
の3つです。「利用目的の明確化」は、個人情報を取得する際、本人が予測・想定できる程度に、より具体的に利用目的を通知しなくてはならないというもので、今まで以上に目的を明示する必要がでてきました。「個人情報の保存場所とアクセス権限(海外での個人情報の取り扱い)」は、日本国内で取得した個人情報を海外に移転(海外にデータを保存、もしくは海外からアクセスが発生)する場合について留意すべきものです。経済安全保障という言葉もこの頃からより注目されることになりました。「個人情報漏洩時の報告義務」は、サイバーセキュリティ上最も留意すべきポイントと言えます。個人情報の漏洩があった際、報告対象事態に該当する場合は、個人情報保護委員会への報告や本人への通知が義務化されました。サイバー攻撃の兆候などをいち早く把握する必要があることから、EDRやXDRを用いて、不審な攻撃があったことを把握することの必要性も高まりました。
2022年4月に施行された改正個人情報保護法とサイバーセキュリティの関係性はこちらで詳細を解説しています。
参考記事:サイバーセキュリティの視点で考える、改正個人情報保護法の施行前に企業が対応すべきことは?
2025年の個人情報保護法改正は?
前回2022年4月に改正個人情報保護法が施行されたというと、3年ごとに見直されるので2025年4月に新たな個人情報保護法が施行されるのではないか?と考えている方も複数いらっしゃるのではないでしょうか。本稿執筆時点(2025年1月9日)において、個人情報保護員会が、2024年12月25日に公開した「個人情報保護法のいわゆる3年ごと見直しに関する検討会の報告書について」を鑑みると、引き続き改正の内容は検討中のように見受けられます。
改正の方向性案については、個人情報保護委員会が2024年6月27日に公開している「個人情報保護法 いわゆる3年ごと見直しに係る検討の中間整理」に詳しい情報が記載されています。ここから、特にポイントになりそうなキーワードを抽出し、解説していきたいと思います。
生体データの扱い
「人流を把握して防災に活用する」、「顔識別技術を有した防犯カメラを導入し、不審者等を検知する」といった活用方法が考えられます。しかし、現行法において、生体データに着目した特別の規律は設けられていません。生体データは、長期にわたり特定の個人を追跡することに利用できる等の特徴を持ち得るものであり、要保護性が高いと考えられる生体データについて、実効性ある規律を設けることを検討する必要がある、と個人情報保護委員会の報告書の中でも言及されています。
トレンドマイクロで行った生体情報に関するサイバーリスクのリサーチによれば、生体情報を悪用された場合、以下のようなリスクがあります。
●顔と声のパターンを使ってディープフェイクにより偽の動画を作成される
●音声認証を必要とするサービスへアクセスされ、アカウントが乗っ取られる
●顔認証を利用したサービスへアクセスされアカウントが乗っ取られる
特にディープフェイクについては、専門的な知識がなかったとしても容易に作ることができます。
AIを活用したビジネスや制度を考える際、個人情報に生体データに関する規約を含める必要が出てきていると言えます。
参考記事:
・大統領選挙でも悪用されうる生成AI
・エバンジェリスト、ICU高校の生徒と語る ~AIの「悪用」と「活用」~
また、トレンドマイクロのリサーチでは、機微な個人情報である「生体情報」を、SNSや企業および政府のWebサイト上に公開している例も複数確認しており、このような情報の取り扱いや公開ポリシーも検討していく必要がでてくるものと考えられます。
実際、欧州委員会が2021年4月に発表したEU AI法では、AIのリスクを4つに分類するなど、検討が進んでいます。
こどもの個人情報
個人情報保護委員会の資料には「現行法上、こどもの個人情報の取扱い等に係る明文の規定は基本的になく、次の記載があるのみである。法第32条第2項以下の開示等の請求等及び法第76条第1項の開示請求については、未成年者の法定代理人によってすることができるとされている(政令第13条第1号、法第76条第2項)。」と記載されています。これはお子さんがいる方などは馴染み深いと思いますが、子どもの代わりに保護者が個人情報の取得について承諾をする、といったものです。
それではこどもの個人情報に関して、どのような問題が起こったのかを見ていきたいと思います。2024年2月に、個人情報保護委員会は、学習塾の事業を展開する株式会社四谷大塚に対し、個人情報の保護に関する法律第147 条に基づく指導等を行っています。個人情報保護委員会が公表している資料には、過去に同社に勤務していた人物が、在職中に、校舎に通う小学生児童の写真及び動画、同社が管理する在校児童の個人データを検索して閲覧し、該当の人物の私用スマートフォンに入力して記録し、6人分の個人データ(氏名、年齢、生年月日、住所、所属小学校名及び電話番号)をSNSアカウントに掲載して漏洩させた事案だと記載されています。
また、本件において、個人情報保護委員会は、株式会社四谷大塚における個人データの取扱いに関する安全管理措置には、組織的安全管理措置に問題点が認められたとしています。同委員会が公表した資料には「大量の児童の個人データを保有及び管理しているにもかかわらず、人的なリソース不足を理由にコンプライアンス及びリスク管理に関する部署を設置していなかった」「責任者の設置はしていたものの、漏洩等事案が発生した場合に個人情報保護委員会に報告するための体制が機能しておらず、漏洩が発覚してから約2か月後の、10月6日に速報、同月13日に確報を提出した」ことが記載されています。
こどもの個人情報や情報セキュリティに関しては、一般的なビジネスシーンでの管理方法と比較すると脆弱になってしまう点は否めません。例えば、GIGAスクールにより現在小学生は一人一台のタブレット端末を貸与されています。お子さんがいるご家庭の方は実感される方もいると思いますが、ログインするパスワードが「学年+組+出席番号の4桁」というものが多いのではないでしょうか。未成熟なこどもに対して、大人と同じようなセキュリティ設定や運用方法を求めることは現実的ではなく、セキュリティと利便性のバランスを鑑みたセキュリティ設定にしていることは多々あると思います。
しかし、こどもが直接触れる情報セキュリティの状態と、こどもの機微な情報を扱う法人組織側が行うべきセキュリティは全く別物だということを踏まえて、こどもの個人情報を扱う法人組織はサイバーセキュリティ対策を講じる必要があると言えます。
関連記事:内部不正はなぜ起こるのか?~その発生のメカニズムを探る~
課徴金制度
個人情報保護委員会が公表している「個人情報保護法 いわゆる3年ごと見直しに係る検討の中間整理」には、課徴金に関するページが多く割かれています。
まずは、現在の罰金がどのようになっているかを見ていきたいと思います。現法上では、個人情報保護委員会から命令を受けた者が命令に違反した場合、法人企業であれば1億円以下の罰金を受ける可能性があります。これは2022年4月の改正前は30万円以下の罰金だったため、前回の改正で大幅に罰則が強化されました。
前述の文章に「課徴金」と「罰金」という2つの言葉が出てきていることに留意ください。「課徴金」と「罰金」は似ているようで異なるものです。
詳細は割愛しますが、罰金は、刑罰です。一方、課徴金は、行政処分です。つまり、従来は個人情報保護違反などでは罰金しか定義されていなかったものが、課徴金を検討している、ということが今回の大きなポイントです。ここでは、課徴金があるから、という理由ではなく、本来どのような対策を行うべきかを踏まえて個人情報の保護に取り組んでいくべきと言えます。
サイバーセキュリティの視点で見る個人情報保護
最後に、近年の状況を踏まえたうえで、サイバーセキュリティの視点で個人情報保護を解説していきたいと思います。2024年の最も注目すべき点の1つに「委託先へのサイバー攻撃」があげられます。これは、株式会社イセトー、株式会社関通、ライクキッズ株式会社、東京損保鑑定株式会社など個人情報を委託されている組織(委託先)がランサムウェアをはじめとしたサイバー攻撃を受け、委託元の情報が漏洩した、というものです。公表された事例をもとにトレンドマイクロが整理したところ、2024年下期には委託先から漏洩した情報の件数が300万件を超えるまでに拡大しており、組織は委託先のサイバーリスクを改めて検討する必要があると言えるでしょう。
「委託」はビジネスを行う上で多々発生しています。但し、個人情報や機微情報が絡む場合、その管理を適切におこなえているでしょうか。今一度、委託先の棚卸を行い、適切な契約になっているか、契約上記載されていることが守られているかを確認する必要があると言えます。
図:情報委託先が外部からサイバー攻撃を受けたことで委託したデータが漏洩した情報件数
(2023年~2024年の国内公表事例を元にトレンドマイクロにて整理。情報漏洩の可能性と言及されているものも含む))
※2024年は12月15日時点
2025年の個人情報保護法改正に向けて
ここまで現在検討されている2025年の個人情報保護法改正に際して、留意すべきと考えられるポイントなどを解説しました。本稿を執筆している2025年1月9日時点では、個人情報保護委員会から中間整理の情報が公表されているものの、明確に決まったものは出てきていません。
但し、本稿でいくつかのポイントを紹介したように、既にどういった点が議論されているのか、過去にどういった問題が発生しているのか、AIの普及などによりどのような考え方が新たに必要になってくるのか、といったことは現時点でも法人組織で個人情報保護を担う方々は検討を進められるでしょう。現時点の情報で自組織がどのような個人情報の取り扱いを行うべきかを検討しつつ、法改正の内容が明確になった際、そこに対して再度アラインしていく、ということができるのではないかと考えています。
本稿が個人情報保護に関わる方の一助になれば幸いです。
執筆者
高橋 昌也
トレンドマイクロ株式会社
シニアマネージャー
PCサーバ Express5800、ファイアウォール、ネットワーク検疫、シンクライアントのプロダクトマーケティングマネージャーに従事した後、2009年にトレンドマイクロ入社。
2012年当時、業界に先駆けて日本国内への標的型攻撃(APT)について、統計データを用いた情報発信をリード。
現在は、リサーチャーと連携し、サイバーリスクマネジメントやAIセキュリティに関する情報発信を行う。
取引先への個人情報監査やサプライチェーンリスクマネジメントも担う。
主なメディア出演:日本テレビ(NEWS ZERO)、フジテレビ(めざましテレビ)、テレビ朝日(報道ステーション)、TBS(林先生が驚く初耳学!)、日本経済新聞、朝日新聞、毎日新聞、読売新聞、産経新聞など
