個人情報保護法ニュース No.20
個人情報保護委員会「令和7年度年次報告」のご報告
― 民間事業者にとって重要な監督・漏えい等報告・データ利活用・国際移転の動向 ―
個人情報保護委員会は、令和8年7月、令和7年度(令和7年4月1日から令和8年3月31日まで)の所掌事務の処理状況をまとめた「令和7年度年次報告」[1]を公表しました。
令和7年度は、いわゆる3年ごと見直しに基づく個人情報保護法改正に向けた検討が大きく進展したほか、民間事業者に対する漏えい等報告の処理、指導・助言、勧告・命令、名簿業者に対する緊急命令、保険代理店・損害保険会社における個人データの取扱い、サイバー攻撃・不正アクセス対応、越境移転・グローバルCBPR等、企業実務に直結する動きが多数みられました。
本ニュースレターでは、同年次報告及び概要資料のうち、民間事業者が押さえるべき事項を中心に、重要な数値データを含めて整理いたします。今後の個人情報保護法改正、委員会規則・ガイドライン整備、社内規程・安全管理措置・委託先管理の見直しの参考としていただければ幸いです。
令和8年7月
弁護士法人三宅法律事務所
| *本ニュースレターに関するご質問・ご相談がありましたら、下記にご連絡ください。 弁護士法人三宅法律事務所 弁護士 渡邉雅之、越田晃基(執筆者) TEL 03-5288-1021 FAX 03-5288-1025 Email: m-watanabe@miyake.gr.jp k-koshida@miyake.gr.jp |
ニュースレターのPDFファイルは下記(↓)
個人情報保護委員会「令和7年度年次報告」のご報告― 民間事業者にとって重要な監督・漏えい等報告・データ利活用・国際移転の動向 ―(個人情報保護法ニュース No.20)
個人情報保護委員会「令和7年度年次報告」のご報告
― 民間事業者にとって重要な監督・漏えい等報告・データ利活用・国際移転の動向 ―
| 【目次】 1 年次報告の全体像――民間事業者が押さえるべきポイント 2 個人情報保護法改正に向けた動き 3 民間事業者に対する監視・監督の実績 4 漏えい等報告の分析――要配慮個人情報・紙媒体・ヒューマンエラー 5 漏えい等報告後に確認される事項 6 サイバー攻撃・不正アクセス対応の重点化 7 勧告・命令事案――名簿業者への厳格対応 8 保険代理店・学校・中小規模事業者等への注意喚起 9 利活用支援、オプトアウト手続、認定団体 10 相談ダイヤルの動向 11 マイナンバー・特定個人情報関係 12 国際移転・越境データ流通 13 データガバナンス・PIA・データマッピング 14 民間事業者の実務対応チェックリスト 15 まとめ |
1 年次報告の全体像――民間事業者が押さえるべきポイント
令和7年度年次報告は、個人情報保護委員会の監視・監督、相談受付、広報、国際協力、マイナンバー法対応等を総合的に整理したものです。民間事業者にとっては、単に行政機関の活動報告というだけでなく、今後の執行姿勢、重点監督分野、社内体制整備の方向性を読み取る資料として重要です。
| 項目 | 民間事業者にとっての意味 |
| 個人情報保護法改正 | 本人同意、AI・統計利用、課徴金・命令・罰則等を含む実効性確保が今後の重要論点となる。 |
| 漏えい等報告 | 民間事業者等の報告処理件数は17,139件。報告後の本人通知、原因分析、再発防止策も確認対象となる。 |
| 紙媒体リスク | 委員会直接受付分では「紙媒体のみ」が76.9%。デジタル対策だけでなく、紙の誤交付・誤送付対策が重要。 |
| サイバー攻撃 | VPN機器、ECサイト、推測容易なID・パスワード、アクセス制御設定ミスが具体的に問題視されている。 |
| 不適正利用・名簿提供 | 特殊詐欺につながる可能性を認識しながら個人情報を提供した名簿業者に緊急命令・勧告。 |
| 第三者提供・委託 | 相談ダイヤルでは第三者提供に関する相談が最多。クラウド、委託、共同利用、出向者管理が重要。 |
| 越境移転 | グローバルCBPRの運用開始、日EU・日英相互認証の対象範囲拡大協議、MCC導入検討が進む。 |
| データガバナンス | 個人データ責任者・責任部署、PIA、データマッピング等の自主的取組が重視される。 |
2 個人情報保護法改正に向けた動き
令和7年度は、令和2年改正法附則第10条のいわゆる「3年ごと見直し」に基づく制度改正の検討が大きく進展しました。個人情報保護委員会は、令和7年3月5日に「個人情報保護法の制度的課題に対する考え方について」を決定・公表し、有識者、経済団体、消費者団体等からの意見を令和7年4月16日までに順次公表しました。
その後、令和8年1月9日に「個人情報保護法 いわゆる3年ごと見直しの制度改正方針」を決定・公表しました。制度改正方針の柱は、次の4点です。
| 柱 | 内容 | 企業実務への示唆 |
| ① 適正なデータ利活用の推進 | AI開発、統計作成、研究開発等における個人情報の利活用の円滑化を検討。 | 新規サービス・AI活用・データ連携の設計段階で、利用目的、同意、加工方法、外部提供の整理が重要。 |
| ② リスクに適切に対応した規律 | 取扱いのリスクに応じた規律を整備する方向。 | 要配慮個人情報、大規模データ、こども、生体情報等は高リスク情報として管理を強化すべき。 |
| ③ 不適正利用等の防止 | 個人の権利利益を害するような不適正な利用・提供への対応を強化。 | 提供先確認、違法利用リスク、詐欺利用リスク、目的外利用防止を点検。 |
| ④ 規律遵守の実効性確保 | 課徴金、命令、罰則等を含む実効性確保の規律を検討。 | 違反時に「相当の注意」を尽くしたことを説明できる内部統制・記録が重要。 |
年次報告では、個人情報の保護に関する法律等の一部を改正する法律案について、第221回国会の提出予定法律案として登録され、令和8年3月18日の委員会で国会提出に向けた手続を進めることが了承されたとされています。また、同法律案は令和8年4月7日に閣議決定・国会提出された旨も記載されています。
3 民間事業者に対する監視・監督の実績
令和7年度における個人情報取扱事業者等に対する監督実績は、次のとおりです。
| 対応事項 | 令和7年度 | 令和6年度 | コメント |
| 漏えい等事案に関する報告の処理 | 17,139件 | 19,056件 | 前年度より減少したが、依然として高水準。 |
| 報告徴収 | 19件 | 148件 | 前年度より大幅減。 |
| 立入検査 | 148件 | 47件 | 委任先省庁実施分を中心に大幅増。 |
| 指導及び助言 | 455件 | 395件 | 増加。個別事案への実務的指導が継続。 |
| 勧告 | 2件 | 1件 | 名簿業者事案等が中心。 |
| 命令 | 1件 | 0件 | 名簿業者事案。 緊急命令が出された点が重要。 |
漏えい等報告の処理件数自体は減少していますが、指導・助言は増加しており、また緊急命令も1件出されています。特に、単なる漏えい等報告対応だけでなく、不適正利用、違法・不適切な第三者提供、特殊詐欺につながる名簿提供に対して、委員会が強い措置を講じていることが重要です。
法律上、個人情報保護委員会による行政上の対応に関する実名公表に法的根拠があるのは、発出した命令に違反した場合のみです(個人情報保護法148条4項)が、勧告事案に至る場合には実名公表となることが多く、指導事案にとどまっても実名公表となることがあります。指導事案の実名公表に関し、令和7年度年次報告10頁には次の記載があり、個人情報保護委員会による実名公表の運用を推し測るにあたり参考になるものと考えられます。
| 個人情報取扱事業者等に指導した事案のうち、例えば、広く国民が利用しているサービスに関わるもので、個人の権利利益の侵害の蓋然性が高いものなど国民の不安払拭、更なる被害防止の観点等から公表の必要性及び相当性が認められるものや、意図的に法令違反を繰り返しているなど法令違反の重大性が高いものに関しては、個別名称を含めた事案の詳細の公表を行った。 |
4 漏えい等報告の分析――要配慮個人情報・紙媒体・ヒューマンエラー
(1)報告義務該当事由
民間事業者等の漏えい等報告17,139件について、報告義務該当事由は次のとおりです。
| 報告義務該当事由 | 件数 | 割合 | 実務上の留意点 |
| 要配慮個人情報を含む漏えい等 | 10,603件 | 61.9% | 病歴、健康情報、成績、犯罪歴、障害、信条等を扱う事業者は特に注意。 |
| 財産的被害が生じるおそれ | 3,525件 | 20.6% | クレジットカード情報、口座情報、本人確認情報等が典型。 |
| 不正の目的をもって行われたおそれ | 3,822件 | 22.3% | 不正アクセス、内部不正、詐欺利用等が問題。 |
| 本人の数が1,000人を超えるもの | 883件 | 5.2% | 大規模データベース、会員サイト、CRM、クラウド管理が重要。 |
要配慮個人情報を含む漏えい等が6割を超えている点は、病院、薬局、学校、福祉、金融、保険、士業、人事労務、健康管理サービス等にとって特に重要です。
(2)漏えい等した人数
| 漏えい等した人数 | 件数 | 割合 |
| 1,000人以下 | 16,043件 | 93.6% |
| 1,001人~10,000人 | 561件 | 3.3% |
| 10,001人~50,000人 | 181件 | 1.0% |
| 50,001人以上 | 121件 | 0.7% |
| 不明 | 233件 | 1.4% |
| 合計 | 17,139件 | 100% |
大半は1,000人以下の事案ですが、50,001人以上の大規模事案も121件あります。サイバー攻撃、設定ミス、クラウドストレージの公開設定誤り等により、一気に大規模漏えいとなるリスクは引き続き存在します。
(3)漏えい等した情報の種類・形態
| 情報の種類 | 件数 | 割合 | 留意点 |
| 顧客情報 | 11,197件 | 83.9% | 顧客DB、会員情報、申込書、問い合わせ履歴、決済情報等の管理が中心課題。 |
| 従業員情報 | 985件 | 7.4% | 給与、家族、健康、評価、懲戒、マイナンバー等の人事労務データにも注意。 |
| その他の情報 | 1,777件 | 13.3% | 取引先担当者、株主、応募者、イベント参加者等を含み得る。 |
| 情報の形態 | 件数 | 割合 | 留意点 |
| 電子媒体のみ | 1,995件 | 15.0% | クラウド、メール、システム、USB、サーバー等。 |
| 紙媒体のみ | 10,263件 | 76.9% | 最も多い。誤交付、誤送付、紛失、誤廃棄対策が不可欠。 |
| 電子・紙媒体 | 70件 | 0.5% | 複合的な管理が必要。 |
| その他 | 1,017件 | 7.6% | 口頭・画面表示・その他媒体等。 |
(4)漏えい等の原因
| 漏えい等元 | 主な原因 | 件数 | 実務上の対策 |
| 報告者 | 誤交付 | 6,072件 | 交付前チェック、本人確認、封入確認、ダブルチェック。 |
| 報告者 | 誤送付 | 2,889件 | 宛先確認、メール送信前確認、添付ファイル確認、BCCルール。 |
| 報告者 | 不正アクセス | 533件 | 脆弱性管理、多要素認証、アクセス制御、ログ監視。 |
| 委託先 | 誤送付 | 506件 | 委託先の作業手順、再委託管理、事故報告義務、教育。 |
| 委託先 | 不正アクセス | 328件 | 委託先のセキュリティ水準確認、監査、契約条項。 |
| 不明 | 不正アクセス | 395件 | 原因不明のままにせず、フォレンジック調査等で影響範囲を確認。 |
令和7年度の数値からは、紙媒体・誤交付・誤送付といったアナログな事故がなお中心である一方、不正アクセスによる漏えい等も無視できない規模で発生していることが分かります。企業は、ヒューマンエラー対策とサイバー対策の双方を進める必要があります。
5 漏えい等報告後に確認される事項
年次報告では、漏えい等報告を受けた後、個人情報保護委員会が本人通知、原因分析、再発防止策等を確認していることが示されています。
| 確認事項 | 企業側の実務対応 |
| 本人通知が適切になされているか | 本人通知の要否、時期、方法、記載内容を整理し、通知文案を準備する。 |
| 発生原因を適切に特定・分析しているか | 単なる「確認不足」で終わらせず、業務フロー、権限、システム、委託先管理まで分析する。 |
| 再発防止策が原因に対応しているか | 原因と再発防止策を対応表にし、形式的な教育・周知だけにしない。 |
| 報告対象事項の記載が十分か | 速報・確報の記載項目、影響人数、情報項目、発生原因、対応状況を標準化する。 |
| 追加照会・報告徴収への対応 | 委員会からの追加照会に備え、時系列、判断過程、証拠資料を整理して保存する。 |
漏えい等報告は、提出して終わりではありません。特に、原因分析と再発防止策が形式的である場合には、指導・助言、報告徴収等につながり得ます。
6 サイバー攻撃・不正アクセス対応の重点化
令和7年度年次報告では、不正アクセスを原因とする漏えい等事案を中心に、安全管理措置の不備について指導を行っていることが明記されています。
| 指摘された原因 | 実務上の意味 | 必要な対応 |
| VPN機器の脆弱性が公開され、対応方法もリリースされていたのに放置 | 既知脆弱性の放置は安全管理措置の不備として問題視され得る。 | 脆弱性情報の収集、パッチ適用期限、資産管理台帳。 |
| ECサイト構築アプリケーション等の脆弱性を放置 | EC・予約サイト・会員サイトは攻撃対象になりやすい。 | CMS・ECパッケージの更新、WAF、定期診断。 |
| ID・パスワードが容易に推測されやすいものだった | 基本的な認証管理の不備。 | 多要素認証、パスワードポリシー、初期パスワード変更。 |
| 設定ミスによりDBへのアクセス制御が不適切だった | クラウド・DB・ストレージ公開設定のミスが大規模漏えいにつながる。 | 設定レビュー、権限棚卸し、外部公開チェック。 |
| 報告連絡体制が不十分で委員会報告が著しく遅滞 | 技術対応だけでなく、法務・広報・経営への連絡体制が必要。 | インシデント対応規程、初動訓練、報告判断フロー。 |
個人情報保護委員会は、関係省庁・関係機関と連携し、「個人情報保護法サイバーセキュリティ連絡会」を四半期ごとに開催しました。また、令和8年1月28日には「不正アクセス発生時のフォレンジック調査の有効活用に向けた着眼点」を公表しています。
| フェーズ | 対応事項 |
| 平時 | 資産管理、脆弱性管理、アクセス権限管理、ログ取得、委託先管理、インシデント対応体制。 |
| 検知時 | 被害拡大防止、証拠保全、関係部署への連絡、外部専門家の起用判断。 |
| 調査時 | フォレンジック調査の要否判断、侵入経路、影響範囲、漏えい情報項目の特定。 |
| 報告時 | 委員会報告、本人通知、委託元・取引先・監督官庁への報告。 |
| 再発防止 | 技術的対策、組織的対策、教育、委託先監督、継続監視。 |
7 勧告・命令事案――名簿業者への厳格対応
令和7年度の特徴的な執行事案として、名簿業者に対する不適正利用禁止違反に関する緊急命令・勧告があります。
| 事業者 | 問題点 | 措置 | 実務上の教訓 |
| 有限会社ビジネスプランニング | 提供先が違法な行為に及ぶ者である可能性を認識しながら個人情報を提供し、特殊詐欺グループからの連絡可能性に本人をさらした。第三者提供記録の作成義務違反も問題。 | 令和7年5月16日、緊急命令及び勧告。履行状況確認のための報告等も求められた。 | 不適正利用禁止違反について緊急命令が出された点が重要。提供先の違法利用リスクを看過できない。 |
| 株式会社中央ビジネスサービス | 特殊詐欺グループに個人情報が渡る可能性があることを認識しながら個人情報を提供。 | 令和7年9月10日、勧告。履行状況確認のための報告等も求められた。 | 名簿・マーケティングデータ・リード情報の提供では、提供先確認と利用目的確認が不可欠。 |
この2件からは、本人同意やオプトアウト届出といった形式面だけでなく、提供先が違法行為・詐欺行為に利用する可能性を確認する実質的な管理が求められることが読み取れます。
| 点検項目 | 実務対応 |
| 提供先確認 | 反社チェック、事業内容確認、利用目的確認、苦情・事故情報の確認。 |
| 契約条項 | 利用目的外利用禁止、再提供禁止、違法利用禁止、事故報告義務、監査権限。 |
| 第三者提供記録 | 提供年月日、本人の項目、提供先、取得経緯等を記録・保存。 |
| モニタリング | 苦情、事故、不審な利用、違法利用の兆候を把握。 |
| 停止措置 | 不正利用の疑いがあれば、提供停止・契約解除・当局相談を検討。 |
8 保険代理店・学校・中小規模事業者等への注意喚起
(1)保険代理店・損害保険会社事案
複数の損害保険会社の商品を取り扱う保険代理店において、保険契約者の個人データを、本人の同意なく他の損害保険会社に提供等していた事案、また、損害保険会社から保険代理店に出向している従業者が、出向先代理店が管理する他社の保険契約者情報を出向元に送付していた事案が取り上げられています。
| 論点 | 問題となる場面 | 実務上の確認事項 |
| 第三者提供 | 本人同意なく他社に契約者情報を提供。 | 委託か第三者提供か、本人同意の要否、記録作成の要否を確認。 |
| 委託 | 委託に伴い取り扱う個人データを委託目的外に利用。 | 委託契約、利用目的、再委託、委託先監督を確認。 |
| 出向者管理 | 出向者が出向元に個人データを送付。 | 出向元・出向先間のアクセス権限、持出禁止、教育を明確化。 |
| 安全管理措置 | アクセス権限・持出管理が不十分。 | 必要最小限のアクセス権限、ログ確認、データ持出管理。 |
これは保険業界に限らず、代理店、販売店、フランチャイズ、業務委託、出向、兼務、グループ会社間連携など、複数主体が関与する業務全般に当てはまる重要事例です。
(2)性犯罪マップ・学校・中小規模事業者
| 分野・事案 | 委員会の対応・問題意識 | 民間事業者への示唆 |
| 性犯罪マップ | 報道記事等から性犯罪加害者として報道された者の個人情報を収集し、要配慮個人情報を不特定多数に公開したウェブサイトについて、不適正利用禁止及び第三者提供制限違反を指摘。 | 公開情報・報道情報であっても、収集・整理・公開の方法によって違法となり得る。 |
| 学校 | 学校現場で発生しやすい個人情報の漏えい等事案の原因と再発防止策を示す注意喚起を実施。 | 学校法人、学習塾、EdTech、写真・アルバム業者、PTA等は、生徒情報・健康情報・成績・家庭情報を慎重に管理。 |
| 中小規模事業者 | 安全管理措置の実態調査で取組が十分でない状況を確認し、税理士会・社労士会を通じて周知依頼。 | 規程整備だけでなく、実際の保管・廃棄・メール送信・委託先管理等の基本動作を点検。 |
9 利活用支援、オプトアウト手続、認定団体
(1)PPCビジネスサポートデスク
個人情報保護委員会は、PPCビジネスサポートデスクにおいて、事業者からの個人データの取扱い等の相談に応じています。令和7年度の相談件数は32件でした。
| 項目 | 内容 |
| 相談件数 | 32件 |
| 主な相談内容 | 新規ビジネスにおける個人データの取扱い、第三者提供、委託、共同利用、仮名加工情報、匿名加工情報等。 |
| 主な業種 | 情報通信業、金融業・保険業等を含む幅広い業種。 |
| 実務上の意義 | 新規サービス、AI活用、データ連携、共同利用等について、設計段階で個人情報保護法上の論点を整理する機会となる。 |
(2)オプトアウト手続
| 項目 | 数値 |
| 令和7年度の届出件数 | 64件 |
| 令和8年3月31日時点のオプトアウト事業者数 | 266者 |
| 前年度末からの増加 | 25者 |
オプトアウトによる第三者提供を行う場合、届出の形式面だけでなく、提供先確認、提供データの適法性、不適正利用防止、第三者提供記録の作成・保存を確認する必要があります。
(3)認定個人情報保護団体
| 項目 | 数値・内容 |
| 令和8年3月31日時点の認定団体数 | 39団体 |
| 令和8年4月1日時点の認定団体数 | 40団体 |
| 認定団体への講師派遣 | 7回 |
| 対象事業者向け実務研修会 | 10回 |
企業は、自社が所属する業界団体・認定個人情報保護団体の個人情報保護指針や研修内容を確認し、業界特有のリスクに応じた対応を行うことが望まれます。10 相談ダイヤルの動向
個人情報保護法相談ダイヤルでは、民間部門だけで19,887件の相談を受け付けています。
(1)民間部門の受付件数
| 分類 | 件数 | 割合 | 前年度 |
| 苦情 | 8,073件 | 40.6% | 7,358件 |
| 質問 | 10,641件 | 53.5% | 12,173件 |
| その他 | 1,173件 | 5.9% | 1,337件 |
| 合計 | 19,887件 | 100% | 20,868件 |
| 相談主体 | 件数 | 前年度 |
| 事業者 | 9,121件 | 10,276件 |
| 個人 | 9,758件 | 9,364件 |
| その他 | 1,008件 | 1,228件 |
| 合計 | 19,887件 | 20,868件 |
(2)問合せ内容の上位項目
| 順位 | 問合せ内容 | 件数 | 前年度 | 実務上の意味 |
| 1 | 第三者提供 | 5,706件 | 6,325件 | クラウド、委託、共同利用、グループ会社間共有、外部サービス利用等が主要論点。 |
| 2 | 利用目的 | 4,447件 | 4,354件 | プライバシーポリシーと実際の取扱いの整合性が重要。 |
| 3 | 漏えい等の報告等 | 4,172件 | 3,664件 | 報告対象該当性、速報・確報、本人通知の判断が多い。 |
| 4 | 定義 | 2,076件 | 2,288件 | 個人情報、個人データ、保有個人データ、個人関連情報等の区別。 |
| 5 | 安全管理措置 | 1,995件 | 1,425件 | 組織的・人的・物理的・技術的安全管理措置の具体化。 |
(3)苦情・質問の上位項目
| 苦情の順位 | 内容 | 件数 | 質問の順位 | 内容 | 件数 |
| 1 | 利用目的 | 2,702件 | 1 | 漏えい等の報告等 | 3,220件 |
| 2 | 第三者提供 | 2,529件 | 2 | 第三者提供 | 3,175件 |
| 3 | 開示等 | 1,322件 | 3 | 定義 | 1,777件 |
| 4 | 安全管理措置 | 1,019件 | 4 | 利用目的 | 1,745件 |
| 5 | 漏えい等の報告等 | 952件 | 5 | 安全管理措置 | 976件 |
民間部門では、第三者提供、利用目的、漏えい等報告、安全管理措置が主要な実務論点となっています。本人からの苦情は、将来的にあっせんや監督対応につながる可能性があるため、苦情対応窓口の実効性が重要です。
11 マイナンバー・特定個人情報関係
マイナンバー法関係では、特定個人情報の漏えい等事案その他のマイナンバー法違反又はそのおそれのある事案について、392件の報告処理が行われました。
主体 | 報告処理件数 | うち報告対象事態 | |
| 国の行政機関等 | 19件 | 3件 | |
| 地方公共団体等 | 143件 | 4件 | |
| 事業者 | 230件 | 67件 | |
| 合計 | 392件 | 74件 | |
事業者については、個人番号を含む従業員情報が保存されたデータベースへのサイバー攻撃による不正アクセス事案等が挙げられています。
| 実務上の注意点 | 内容 |
| 従業員情報DB | マイナンバーを含むため、通常の従業員情報より厳格な管理が必要。 |
| 保存期間・廃棄 | 必要がなくなった個人番号は速やかに廃棄・削除し、廃棄記録を残す。 |
| 本人確認 | 本人確認でマイナンバーカードを用いる場合でも、番号面の不要なコピー取得に注意。 |
| 委託先管理 | 給与計算、年末調整、社労士、税理士、クラウド給与システムの管理。 |
| アクセス権限 | 取扱担当者を限定し、ログを確認する。 |
12 国際移転・越境データ流通
国際協力分野では、DFFT、日EU・日英相互認証、グローバルCBPR、グローバルなモデル契約条項(MCC)が重要です。
| 項目 | 令和7年度の動き | 企業実務への影響 |
| 国際会議・外国機関との対話 | 国際会議への出席104件、外国機関との対話79件。 | 海外規制当局との連携強化により、越境事案の執行協力が進む可能性。 |
| 日EU・日英相互認証 | 学術研究分野及び公的部門への対象範囲拡大に関する協議を実施。 | グローバルに研究・公共系データを扱う企業は動向を注視。 |
| グローバルCBPR | 令和7年6月2日に運用開始。世界で79社、参加国・地域14。日本ではJIPDECが認証機関。 | 海外子会社、海外委託先、海外クラウド、グローバルCRM等の越境移転管理の選択肢。 |
| MCC | 欧州委員会、シンガポール、フィリピン、インドネシア等と意見交換。 | 将来的な国際移転契約実務の標準化に向けた動き。 |
海外クラウド、海外委託、海外グループ会社への移転、越境EC、海外マーケティングツールを利用する企業では、移転根拠、本人への情報提供、契約条項、移転先管理を改めて確認する必要があります。
13 データガバナンス・PIA・データマッピング
年次報告では、企業等におけるデータガバナンス体制の構築も重視されています。個人情報保護委員会は、PIA、データマッピング・ツールキット、個人データの取扱いに関する責任者・責任部署の設置に関する事例集等を周知しています。
| 取組 | 内容 | 実務上の効果 |
| PIA | 個人情報の取扱いが個人の権利利益に与える影響を事前評価する取組。 | 新規サービス・AI活用・大規模データ連携時のリスクを事前に把握できる。 |
| データマッピング | どの部署が、どの個人データを、どの目的で、どこに保存し、誰に提供しているかを可視化。 | 利用目的、第三者提供、委託、保存期間、越境移転を整理できる。 |
| 責任者・責任部署 | 個人データ取扱いの推進・統制役を明確化。 | 事故時の判断、部門横断対応、経営報告が円滑になる。 |
| 委託先管理 | 委託先・再委託先の個人データ取扱いを管理。 | 委託先事故、再委託、海外委託のリスクを低減。 |
| 社内教育・監査 | 役職員に対する継続的な教育、運用状況の点検。 | 規程と実務の乖離を防止。 |
今後の個人情報保護法改正では、データ利活用の促進とあわせて、事後的な規律や実効性確保も重視される方向です。したがって、規程やプライバシーポリシーを作成するだけでなく、実際に運用されるデータガバナンス体制を整備することが重要です。
14 民間事業者の実務対応チェックリスト
今回の年次報告を踏まえ、民間事業者が優先的に点検すべき事項は次のとおりです。
| 番号 | 点検項目 | 具体的対応 |
| ① | 漏えい等報告体制 | 速報・確報、本人通知、委員会報告、取引先報告のフローを整備する。 |
| ② | 原因分析・再発防止 | 原因と再発防止策を対応させ、形式的な再発防止策にしない。 |
| ③ | 紙媒体管理 | 誤交付、誤送付、紛失、誤廃棄への対策を見直す。 |
| ④ | サイバー対策 | VPN、ECサイト、クラウド、ID・パスワード、アクセス制御を点検する。 |
| ⑤ | フォレンジック対応 | 不正アクセス発生時に調査会社・弁護士・広報と連携できる体制を整える。 |
| ⑥ | 第三者提供 | 本人同意、オプトアウト、共同利用、委託、提供記録を確認する。 |
| ⑦ | 委託先管理 | 委託契約、再委託、事故報告、監査、アクセス権限を管理する。 |
| ⑧ | 出向者・兼務者管理 | 出向元・出向先間で個人データが不適切に流れないよう管理する。 |
| ⑨ | 不適正利用防止 | 提供先が違法行為に利用する可能性を確認する。 |
| ⑩ | 従業員情報管理 | 人事・労務・健康情報・評価情報・マイナンバーの管理を強化する。 |
| ⑪ | クラウド利用 | 第三者提供か委託か、外国にある第三者への提供かを整理する。 |
| ⑫ | 越境移転 | 海外委託、海外クラウド、グループ会社間移転の根拠を確認する。 |
| ⑬ | データマッピング | どの個人データがどこにあるかを可視化する。 |
| ⑭ | PIA | 新規サービス、AI、データ連携時に事前評価を実施する。 |
| ⑮ | 苦情対応 | 本人からの苦情・開示等請求に対する対応手順を整備する。 |
| ⑯ | 教育研修 | 現場担当者、管理職、委託先に対する継続的研修を実施する。 |
15 まとめ
① 令和7年度年次報告では、個人情報保護法改正に向けた動きが大きく進展しました。今後は、データ利活用を一定程度促進する一方で、不適正利用や重大な違反に対する実効的な規律が強化される可能性があります。
② 漏えい等報告では、紙媒体による漏えいが多数を占めており、デジタル対策だけでなく、紙の誤交付・誤送付・紛失・廃棄管理が重要です。
③ 不正アクセスによる漏えい等については、公開済み脆弱性の放置、推測容易なパスワード、アクセス制御設定ミスが問題視されています。基本的な安全管理措置の不備は、指導対象となります。
⑤指導に留まる事案であっても、例えば、広く国民が利用しているサービスに関わるもので、個人の権利利益の侵害の蓋然性が高いものなど国民の不安払拭、更なる被害防止の観点等から公表の必要性及び相当性が認められるものや、意図的に法令違反を繰り返しているなど法令違反の重大性が高いものに関しては、実名公表の対象となる可能性があります。
⑤ 名簿業者への緊急命令・勧告からは、第三者提供先が違法行為に利用する可能性を認識しながら個人情報を提供することが、不適正利用禁止違反として厳しく問われることが分かります。
⑥ 保険代理店・出向者事案は、委託、第三者提供、出向者管理、グループ会社間・代理店間のデータ共有におけるリスクを示しています。複数主体が関与する業務では、個人データの管理主体と利用目的を明確にする必要があります。
⑦ 相談ダイヤルでは、第三者提供、利用目的、漏えい等報告、安全管理措置に関する相談が多く、これらが民間事業者の主要な実務課題となっています。
⑧ マイナンバーについては、従業員情報データベースへのサイバー攻撃等が問題となっており、人事労務部門における特定個人情報の管理も引き続き重要です。
⑨ 越境移転については、グローバルCBPR、日EU・日英相互認証、モデル契約条項の動向を踏まえ、海外クラウド、海外委託、海外グループ会社への移転を整理する必要があります。
⑩ 今後は、個人情報保護規程やプライバシーポリシーの整備にとどまらず、データマッピング、PIA、責任者・責任部署、委託先管理、インシデント対応、社内教育を含む実効的なデータガバナンス体制の構築が求められます。
なお、本ニュースレターは、個人情報保護委員会の令和7年度年次報告及び同概要資料の内容を、民間事業者の実務に関係する観点から整理したものであり、一般的な情報提供を目的としています。個別の事案への対応については、別途ご相談ください。
以上
[1] 個人情報保護委員会 令和7年度年次報告の公表について(令和8年7月7日)(https://www.ppc.go.jp/news/press/2026/260707/?ref=tninf)