Lens Blog
2025/5/28
#法令対応

「3年毎に見直し」が必要となる個人情報保護法で、委託先管理・サードパーティリスク管理(TPRM)に与える影響は?〜2024年12月報告書を踏まえて〜

デジタルトランスフォーメーション(DX)が進展し、企業活動におけるデータの利活用が不可欠となる一方、個人情報保護の重要性も増しています。このような背景の中、日本の個人情報保護法は、社会状況や技術動向の変化に対応するため、定期的な見直しが行われています。

令和2年(2020年)改正法の附則に基づき、施行後「3年ごとに見直し」を行うことが定められ、個人情報保護委員会を中心に検討が進められてきました。令和6年(2024年)12月には、「個人情報保護法のいわゆる3年ごと見直しに関する検討会 報告書」(以下、報告書) が公表され、今後の法改正の方向性が示唆されました。

本記事では、令和6年(2024年)12月報告書及び関連資料 の内容を基に、特に企業の「委託先管理」や「サードパーティリスク管理(Third-Party Risk Management:TPRM)」に与える影響と、企業が取るべき対応について解説します。

「3年ごとに見直し」報告書の概要と注目点

報告書では、主に以下の論点について、これまでの検討会の議論状況が整理されています。

  • 課徴金制度の導入要否
    • 現行法では、命令違反等に対する罰則は存在するものの、違反行為によって得た経済的利得を事業者が保持できてしまう可能性がある。
    • 違反抑止の観点から、行政上の措置として機動的に金銭的不利益を課す課徴金制度導入の是非が議論されている。
    • 対象行為の範囲(違法な第三者提供、安全管理措置義務違反など)、算定方法、自主的報告による減算、繰り返し違反への加算などが検討されている。
    • ただし、立法事実の十分性や、データ利活用への萎縮効果、現行の監督権限の活用状況などについて様々な意見が示されている。
  • 団体による差止請求制度及び被害回復制度の導入要否
    • 個人情報の違法な取扱いによる被害は事後的な救済が困難な場合が多く、未然防止・拡大防止が重要。
    • 現行法では本人による利用停止請求や損害賠償請求が可能だが、限界もある。
    • 委員会の監督権限にもリソースの限界がある。
    • これらの点を踏まえ、適格消費者団体等が消費者に代わって違反行為の差止めや被害回復を求める制度の導入が検討されている。
    • 差止請求の対象行為(利用停止等請求の対象条文違反など)や、被害回復制度の対象範囲(漏えい事案における慰謝料請求など)が議論されている。
    • 濫訴の懸念や、認定個人情報保護団体との関係性、団体の体制整備なども論点に挙がっている。

これらの制度導入は賛否両論があり、引き続き慎重な検討が求められています。また、令和7年(2025年)4月に公表された意見概要では、AI開発等における同意規制の在り方、子供の個人情報の取扱い、顔特徴データ等の規律、クラウドサービス利用時の委託先管理など、より広範な論点について多様な意見が寄せられていることが示されています。

法令・ガイドラインと情報管理・セキュリティ課題

個人情報保護法は、個人情報の有用性に配慮しつつ、個人の権利利益を保護することを目的としています。そのため事業者は、利用目的の特定、適正な取得、安全管理措置、従業員・委託先の監督、第三者提供の制限など、多岐にわたる義務を負っています。

特に、企業が業務の一部を外部に委託する場合、「委託先の監督義務」(個人情報保護法第25条)が重要になります。委託元は、委託先が個人データを適切に取り扱っているかを確認し、必要に応じて指導等を行う責任があります。

近年のサイバー攻撃の高度化・巧妙化 や、クラウドサービスの利用拡大 により、委託先やサードパーティ(取引先、サービス提供事業者など)を経由した情報漏えいリスクは増大しています。サプライチェーン全体でのセキュリティ対策の重要性が高まる中で、自社だけでなく、委託先を含むサードパーティの管理体制やセキュリティ対策状況を適切に評価・管理することが、コンプライアンス遵守およびレピュテーションリスク回避のために不可欠です。

見直し議論と委託先管理・サードパーティリスク管理(TPRM)の関係性

今回の「3年ごとに見直し」に関する議論は、企業の委託先管理・TPRMに以下の点で影響を与える可能性があります。

  • リスク評価基準の変化
    • 課徴金制度が導入された場合、委託先での法令違反が自社の経済的損失に直結するリスクが高まります。これにより、委託先選定や契約時のリスク評価基準がより厳格になる可能性があります。特に、安全管理措置義務違反が課徴金の対象となる可能性が議論されており、委託先のセキュリティ体制の評価が一層重要になります。
  • 監督義務の重要性向上
    • 委託先での不適切な個人情報の取扱い(目的外利用、不正取得、違法な第三者提供など)が、差止請求の対象となる可能性も考えられます。委託元としては、委託先における法令遵守状況をより厳密に監督する必要性が高まります。
    • 報告書や意見概要では、クラウドサービス利用時など、実質的に第三者にデータ処理を依存するケースにおけるガバナンスの在り方も論点として挙げられており、委託元・委託先双方の責任分界点の明確化や、委託先の管理監督手法の見直しが求められる可能性があります。
  • 情報収集・確認項目の増加
    • オプトアウト届出事業者に対する規律強化が検討されている点は、名簿業者等を委託先や取引先とする場合に、提供元情報の確認などより詳細なデューデリジェンスが必要になる可能性を示唆します。
    • 子供の個人情報に関する規律が強化された場合、子供向けサービスを提供する委託先に対して、法定代理人の同意取得状況などを確認する必要が出てくるかもしれません。
  • 管理体制の強化
    • 漏えい等報告義務の合理化が検討される一方、違法な第三者提供が行われた場合の報告義務導入も議論されており、インシデント発生時の対応体制や手順の整備・確認が、委託先管理においても重要になります。
    • 全体として、法規制強化の動きは、委託先・サードパーティに対するリスク評価、契約内容の見直し、定期的な監査、インシデント発生時の連携体制構築など、TPRM全体の強化を企業に促すものと考えられます。

個人情報保護法の見直しに向けた企業が取るべき対応は?

個人情報保護法の「3年ごとに見直し」の議論は、まだ最終決定に至っていませんが、企業、特に多くの委託先やサードパーティと取引を行う企業にとっては、今後の動向を注視し、備えを進めることが重要です。

具体的には、以下の対応が考えられます。

  1. 最新動向の把握:個人情報保護委員会の発表 や関連報道を引き続き確認し、法改正やガイドライン変更の具体的な内容を把握する。
  2. 委託先管理・TPRM体制の見直し
    • リスク評価基準に、議論されている新たな罰則(課徴金等)や規制(差止請求等)の可能性を織り込む。
    • 委託先・サードパーティの選定基準、契約条項(特に安全管理措置、目的外利用禁止、再委託、監査権限、インシデント報告義務など)を見直す。
    • 委託先に対する定期的な監査やアンケート調査の項目を更新し、実効性を高める。
  3. 社内体制・規程の整備:自社の個人情報管理体制や関連規程を最新の法令・ガイドラインに合わせて整備するとともに、委託先管理に関する責任体制を明確化する。
  4. 従業員教育の実施:法改正の動向や委託先管理の重要性について、関連部署の従業員への教育・周知を徹底する。

Lens RMでは、委託先管理・サードパーティリスク管理ソリューションを提供しています。本記事で解説した対応についても、お気軽にご相談ください。

← 記事一覧に戻る

AIの力で委託先・サードパーティ管理に革新を。

AIの力で委託先・サードパーティ管理を高度化・効率化しませんか? Lens RMは、煩雑な業務を削減し、リスク評価を強化し、包括的なリスクの所在を確かめた上で本質的な対応策や残存リスクの管理に集中することができます。 まずは、お気軽にお問い合わせください。

お問い合わせ