個人情報保護委員会 — 2024-2025年ガイドライン更新の概要
個人情報保護委員会(PPC)は、個人情報保護法の執行を担当する第三者機関です。2024年から2025年にかけて、ガイドラインやQ&Aの更新が相次ぎ、実務に一定の影響を与えています。本記事では主要な更新項目を整理します。
The Personal Information Protection Commission (PPC) is the third-party agency in charge of enforcement of the Personal Information Protection Act. From 2024 into 2025, updates to guidelines and Q&A have occurred one after another, giving a certain impact on practical operations. This article organizes the main update items.
越境データ移転の同意要件
個人情報を海外の第三者に提供する際には、原則として本人からの同意を取得する必要があります。近年の更新では、同意取得にあたって移転先の国における個人情報保護制度や、移転先が講じる安全管理措置に関する情報を本人に提供することが求められるなど、厳格化が進んだとされます。
When providing personal information to a third party overseas, in principle it is necessary to obtain consent from the person himself or herself. In recent updates, tightening reportedly advanced — for example, when obtaining consent it is required to provide the person with information concerning the personal information protection system in the country of transfer destination, and concerning the safety management measures taken at the transfer destination.
仮名加工情報の活用整理
仮名加工情報は、2020年改正で導入された制度で、他の情報と照合しなければ特定個人を識別できないように加工した情報を指します。企業内部での分析やAI学習に活用しやすくする趣旨ですが、実務での適用に迷いが多かったことから、PPCはQ&Aを拡充し、利用できる範囲や制約を整理したとされます。
Pseudonymously processed information is a system introduced by the 2020 amendment, and refers to information processed so that a specific individual cannot be identified unless it is cross-referenced with other information. The intent is to make it easier to use such information for internal company analysis and AI training, but because there has been much confusion in its practical application, the PPC reportedly expanded its Q&A and organized the scope of permitted use and the constraints.
漏えい等報告の基準
2022年施行の改正個人情報保護法により、一定の条件に該当する漏えい等の事案は、PPCへの報告と本人への通知が義務化されました。要配慮個人情報が含まれる場合や、不正アクセスが原因の場合は件数を問わず報告対象となるなど、実務負担が高まっているとされ、PPCは最新のQ&Aで判断基準を追加整理しているとされます。
Through the amended Personal Information Protection Act enforced in 2022, reporting to the PPC and notifying the person himself or herself became obligated for cases of leakage etc. that meet certain conditions. Practical burden is reportedly rising — for example, cases where special-care personal information is contained, and cases caused by improper access, become reporting targets regardless of the number of cases. The PPC reportedly continues to add and organize judgment standards in its latest Q&A.
子供の個人情報に関する特別な取扱い
海外の動向を受けて、日本でも子供の個人情報を取扱う際の特別な配慮に関する議論が進んでいます。PPCは子供の個人情報に関するガイダンスを公表し、同意能力や親権者の関与、年齢認証の考え方などを整理したと伝えられています。
Reflecting overseas trends, discussion concerning special considerations when handling children's personal information is also advancing in Japan. The PPC reportedly published guidance concerning children's personal information and organized topics such as the concept of consent capacity, parental guardian involvement, and approaches to age verification.
AI学習データへの解釈
生成AIの学習データに個人情報が含まれる場合の扱いは、PPCが特に力を入れている論点です。学習データを第三者から購入する場合の利用目的の特定や、Webクローリングで収集されたデータの扱いなど、解釈が難しい論点が多く、今後も継続的なガイダンス更新が期待されています。
The treatment of cases where personal information is contained in generative AI training data is a point of discussion that the PPC is especially putting effort into. There are many difficult interpretation points — such as the specifying of use purposes when training data is purchased from third parties, and the treatment of data collected by web crawling — and continuous guidance updates are expected going forward.