編集 NTT東日本編集部

監修 中野 裕哲（税理士・社労士・行政書士・FP）

個人情報保護法は、デジタル技術の進展や国際動向を受けて、定期的に見直しと改正が行われています。2025年6月時点では「いわゆる3年ごと見直し」に基づき、生体データやこどもの個人情報に関する新たな対応が検討されています。今後も企業にとって考慮すべきポイントがますます増えていくでしょう。

本記事では、2024年に公表された中間整理をもとに、改正の背景と想定される変更点、企業が取るべき情報セキュリティ対策についてわかりやすく解説します。

1.個人情報保護法とは

個人情報保護法（個人情報の保護に関する法律）は、2003年に制定され、2005年に施行された法律です。本法律は、個人情報の有用性に配慮しながら、個人の権利・利益が不当に侵害されないよう保護することを目的としています。そのため、個人情報を取り扱う企業や行政機関、団体などには、遵守すべき義務やルールが定められています。

そもそも「個人情報」とは、生存する個人に関する情報のことです。氏名・生年月日・住所・電話番号・顔写真など、特定の個人を識別できる情報が該当します。さらに、指紋や顔、虹彩、声紋といった身体的特徴をデジタルデータ化した情報や、マイナンバー・パスポート番号など、個人に割り当てられる固有の番号も個人情報に含まれます。

このような身体データや公的な番号は「個人識別符号」と呼ばれ、個人識別符号が含まれる情報はすべて「個人情報」です。

企業や団体が個人情報を適切に取り扱わなかった場合には、罰則を科せられたり社会的信用を失ったりするなど、重大なリスクにつながるでしょう。個人情報保護法の理解と遵守は企業にとって重要な取り組みの一つといえます。

「いわゆる3年ごと見直し」について

個人情報保護法は、2003年に制定されて以降、2015年、2020年、そして2021年と、デジタル技術の進展や国際的な動向を反映しながら、段階的に改正が行われてきました。

そのなかでも2020年の改正では、必要がある場合にはおおむね3年ごとに法律の見直しを行うことが規定されました。通称「いわゆる3年ごと見直し」と呼ばれ、今後も継続的に活用されることが見込まれています。

実際に、個人情報保護委員会は改正法の施行状況を確認した上で、2023年に「いわゆる3年ごと見直し」に向けた検討を始めました。そして、2024年2月には見直しの対象となる検討項目を公表し、議論を進めています。

2.【2025年以降】個人情報保護法はどのように変わる？2024年に実施された中間整理をもとに解説

2024年6月、政府の個人情報保護委員会は「個人情報保護法 いわゆる3年ごと見直しに係る検討の中間整理」を公表しました。

中間整理とは、個人情報保護法の見直し規定に基づき、関係団体や有識者へのヒアリング結果などを踏まえて、公表時点での考え方をまとめたものです。今後は、中間整理に掲げたものに加えて、公表後に新たに浮上した論点や検討項目について把握・分析し、議論を続けていくとされています。

ここでは、「個人情報保護法 いわゆる3年ごと見直しに係る検討の中間整理」を参考に、今後の主な変更点について検討します。

なお、中間整理の報告後、当初は2025年6月の通常国会に個人情報保護法の改正案が提出されると見込まれていましたが、提出は見送られました。今後は、AIの進展などを踏まえ、個人データに関する法制度整備と合わせて検討が進められる見通しです。

参考：個人情報保護法 いわゆる3年ごと見直しに係る検討の中間整理｜個人情報保護委員会

個人情報の不適正な利用・不正な取得

現行の個人情報保護法では、個人情報の「不適正な利用の禁止」や「適正な取得」について定められています。

個人情報の取り扱いは、本人が自ら個人情報の提供を判断し、選択できることが前提です。しかし、利用する商品・サービスによっては、個人情報の取り扱いを事業者に委ねざるを得ない状況となっており、本人が選択できない場合があります。

たとえば、大規模なプラットフォーム事業者や、金融機関などの与信事業者は生活に欠かせないサービスを提供しており、利用者が他のサービスに乗り換えることが現実的に難しい場合があります。このような事業者と利用者との関係性では、利用者が「サービスを使うためには個人情報を出すしかない」という状況に置かれやすく、本人の意思でデータ提供を選択できなかった可能性があるでしょう。

中間整理では、こうした不正取得・不適正利用に該当する行為について、具体化・類型化を図る方針が示されました。

生体データ

顔認証や指紋・虹彩など、身体の特徴を符号化して識別可能にした情報は「個人識別符号」に該当します。そして現在の個人情報保護法では、「個人識別符号」は個人情報として保護される対象とされています。ただし、生体データそのものに対する特別な保護規定は存在していません。

一方、EUやアメリカ、中国などの海外では、生体データが「センシティブデータ」として扱われ、利用するには原則として本人の同意が必要とされます。近年、顔認証カメラやAIによる人流解析など、生体データを活用した技術が普及しており、こうしたデータの取り扱いはますます注目されていくでしょう。

中間整理では、生体データは個人の権利や利益に大きな影響を与える可能性があるとし、実効性のある規律を新たに設ける必要性があると述べられています。今後、国内でも生体データに関する規制が強化される見込みです。

こどもの個人情報

現行の個人情報保護法には、こどもの個人情報に特化した規定はほとんど存在しません。

しかし現代社会において、学校や学習塾におけるデジタル化の進展や、家庭でのスマートデバイスの普及により、こどもの個人情報が日常的に収集・利用される状況は増えています。また、未成年による「本人の同意」の取り扱いや、親が知らないうちにこどものデータが外部企業に利用されるリスクについて、不安の声が高まっています。

中間整理では、こどもの個人情報には要保護性があることを考慮し、保護者（法定代理人）の関与や安全管理措置義務の強化などが検討事項として挙げられました。今後の法改正では、こどもに特化した保護ルールの新設が期待されます。

課徴金

日本の個人情報保護法では、違反行為に対して勧告・命令・刑罰が規定されているものの、行政庁による課徴金制度は存在していません。

一方、EUやアメリカなどの海外では、違反行為に対して高額な制裁金の支払命令に至った事例があります。このような厳格な課徴金制度は、事業者の違反抑止力として機能するでしょう。

中間整理では、個人の権利利益保護と事業者負担のバランス、さらに国際動向を踏まえた上で、課徴金制度の導入を検討する必要があると述べています。実現すれば、違反行為に対する抑止力が一段と高まることが期待されています。

3.【企業】個人情報保護法違反を防ぐための情報セキュリティ対策

個人情報保護法は時代の変化に応じて見直しが続けられており、近年では生体データの取り扱いやこどもに関する個人情報の保護強化など、企業が担うべき責任はさらに重くなる可能性があります。規制強化に伴い、従来は問題視されていなかった行為が、今後は個人情報保護法違反とみなされるリスクも否定できません。

そのため、企業は早い段階から万全な情報セキュリティ対策を講じ、法改正に備えた体制整備を行っておくことが求められます。ここでは、個人情報保護法違反を防ぐための情報セキュリティ対策について紹介します。

個人情報を取り扱うルールの明文化

企業が個人情報を適切に取り扱うためには、その利用目的や管理方法についてルールを明文化し、社内で共有しておくことが大切です。文書化されたルールを従業員に周知することで、意図せぬ情報漏えいのリスクを低減できるでしょう。

また、情報主体である本人からの情報開示請求にも迅速に対応できるよう、社内フローや対応マニュアルを事前に整えておくことが望ましいといえます。

業務用端末の持ち出しガイドラインの策定

近年ではリモートワークの浸透により、業務用ノートパソコンやスマートフォンを社外に持ち出すケースが多くなっています。そのため、業務用端末の持ち出しに関するガイドラインをあらかじめ決めておくことが重要です。

たとえば、持ち出し時には上長の承認を必要とする、紛失・盗難が発生した際の報告体制を整備しておくなど、具体的なルールを設けることでトラブルの予防につながるでしょう。

従業員向け情報セキュリティ教育の実施

個人情報保護を徹底するには、企業としての取り組みだけでなく、従業員一人ひとりのセキュリティ意識の向上が欠かせません。特にメールの誤送信や安易なパスワード設定といったヒューマンエラーは、重大な情報漏えい事故につながる可能性があります。

こうしたリスクを低減するには、定期的に情報セキュリティ研修を実施し、最新のサイバー攻撃の傾向や、適切なパスワード管理、外部からの不正アクセスへの対応方法などを学ぶ機会を設けることが有効です。

修正プログラムの適用

業務用パソコンなどで使用するOSやソフトウェアには、最新の修正プログラム（アップデート）を適用しましょう。最新のアップデートには、脆弱性を修正するプログラムが含まれており、適用することでサイバー攻撃のリスク軽減につながると考えられます。

また、社内ネットワークに接続するルーターやスイッチといったネットワーク機器についても、ファームウェア（ソフトウェア）の更新を定期的に実施しておくことが大切です。

UTMやウイルス対策ソフト、EDRの導入

個人情報を狙ったサイバー攻撃は年々巧妙化しており、企業としては複数の対策を組み合わせて備える「多層防御」の視点を持つ必要があるでしょう。その対策として挙げられるのが、UTMやウイルス対策ソフト、そしてEDRの導入です。

UTMは「Unified Threat Management」の略称で、日本語で「統合脅威管理」と呼ばれるものです。ファイアウォール、アンチウイルス、Webフィルタリングなどの複数のセキュリティ機能を一体化し、ネットワークの出入口で不正アクセスや不審な通信を検出・遮断します。UTMを導入することで、社内外の通信を監視し、不審なWebサイトへの接続や不正侵入を防ぐことが可能です。

各端末の保護には、ウイルス対策ソフトやEDR（Endpoint Detection and Response）が有効です。ウイルス対策ソフトは、マルウェアなどのウイルスの侵入を検知し、防御します。EDRは、端末上の挙動を常時モニタリングし、攻撃の兆候を検知すると管理者に通知するなど、被害を最小限に留める役割を果たします。

このように、UTMでネットワークを守り、ウイルス対策ソフトとEDRで端末を監視・防御することで、組織全体における情報セキュリティの強度を高められるでしょう。さらに、万が一異常を検知した場合には、迅速に対応し、復旧できるように体制を整えておくことが大切です。

事前対策と事後対策の一連の流れを以下の図にまとめました。

上記の通り、個人情報の漏えいリスクを最小限に抑えるには、運用・検知・対応・復旧までを一貫して行える体制を整えておくことが重要です。

ただし、自社のみで一貫して運用するには、高度な専門知識や人的リソースが求められます。対応が難しい場合には、信頼できるパートナー企業へ相談し、状況に応じた適切なサポートを受けることも選択肢の一つといえるでしょう。

個人情報漏えいを未然に予防！万が一の事態に備えた体制構築でお困りの方は「おまかせサイバーみまもりセキュリティパッケージ」をご検討ください。
詳細はこちら

4.企業の情報セキュリティ対策強化には「おまかせサイバーみまもりセキュリティパッケージ」がおすすめ

企業が個人情報の漏えいを防ぐためには、事前の備えである「事前対策」はもちろん、万一のトラブル発生時に対応できるよう「事後対策」を考慮する必要があります。情報セキュリティ対策ができていないと、個人情報保護法に違反してしまうリスクだけでなく、企業としての信用やブランド価値を下げる結果になりかねません。

しかし、「自社に必要な対策がわからない」「ウイルス対策ソフトの警告は出ているが、適切に対応できる人材がいない」といった課題を抱える企業も多いでしょう。特に、専任の情報システム担当者がいない、または他業務と兼任している中小企業では、適切な運用体制の整備が難しいケースがあります。

そこでおすすめしたいのが、NTT東日本の「おまかせサイバーみまもりセキュリティパッケージ」です。これは、ネットワークの出入口防御、端末の保護、日々の運用支援までをワンストップで提供するサービスです。

現在、サイバー攻撃は手口が巧妙化しており、侵入を完全に防ぐことが難しくなっています。そのため、脅威が社内ネットワークへ侵入することを前提とした「多層防御」により、段階的にリスクを軽減することが重要です。

「おまかせサイバーみまもりセキュリティパッケージ」では、UTM・ウイルス対策ソフト・EDRなどの導入から運用、サイバー攻撃の検知と対応、復旧まですべての工程をサポート。24時間365日の監視体制のもと、攻撃の兆候があれば連絡を行います。

さらに、必要に応じてオフィスへの訪問対応も可能で、パソコンのリカバリや初期設定といった復旧作業まで対応^※1。万が一サイバー攻撃による被害が発生した場合には、保険による補償が付帯しています^※2。

同サービスを活用することで、サイバー攻撃といった社外要因による情報漏えいを防ぎ、結果として個人情報保護法違反のリスク低減にもつながるでしょう。

「おまかせサイバーみまもりセキュリティパッケージ」の詳細については、以下のサイトをご覧ください。また、「自社に合った対策が知りたい」「導入や運用に不安がある」といったご質問があれば、お気軽にお問い合わせフォームよりご連絡ください。

個人情報漏えいを未然に予防！万が一の事態に備えた体制構築でお困りの方は「おまかせサイバーみまもりセキュリティパッケージ」をご検討ください。
詳細はこちら

「おまかせサイバーみまもりセキュリティパッケージ」のお問い合わせフォームはこちら

1. プランにより無料で対応できる端末台数は異なります。超過する場合は別途費用がかかります。
2. おまかせサイバーみまもりに付帯するサイバー保険の役務提供は、東京海上日動火災保険株式会社となります。補償の条件などについては、東京海上日動火災保険株式会社が別に定める契約約款（以下、おまかせサイバーみまもり付帯サイバー保険の解説）に定める通りとします。サイバー保険に係る補償の内容・問い合わせ・保険金の支払請求などに関しては、東京海上日動火災保険株式会社の専用窓口にて対応いたします。

5.個人情報保護法に関するよくある質問

最後に、個人情報保護法に関するよくある質問を紹介します。

個人が情報を守るために気を付けるべきポイントとは？

個人が自身の情報流出を防ぐためには、以下のポイントに気を付けることが大切です。

• • 不特定多数がアクセスするWebサイトやSNSに、自分の住所、氏名、電話番号、写真など、特定につながる情報を公開しない
  • アンケート調査や懸賞募集のWebサイトなどを運営している事業者のなかには、収集した個人情報を転売する事業者もいるため、事前にしっかり確認する
  • SSLと呼ばれる暗号技術などが施されていないWebサイトで、クレジットカード番号を含めた個人情報を入力しない
  • 公共の場で無料Wi-Fiを利用する際、個人情報が盗まれる可能性があるため、個人情報やパスワードなどは入力しない

近年では、実在する企業やサービスを装って個人情報をだまし取る「フィッシング詐欺」が増加しています。総務省が公表している事例では、実際にクレジットカード会社を名乗る電子メールが届き、記載された偽のURLにアクセスして名前やカード番号、暗証番号を入力した結果、不正利用の被害に遭ってしまったと報告されています。

このような詐欺は、送信元や内容が本物そっくりに作られており、非常に巧妙です。また、「このままだと不正に利用されてしまう」といった不安を煽る文面で、受信者に行動を急がせる特徴があります。自分で個人情報を流出させないためにも、日頃から最新の詐欺手口を知っておくようにしましょう。

企業が個人情報を取り扱うときの基本ルールとは？

企業が個人情報などを取り扱う際には、適切な管理が求められます。基本的なルールとして、政府が公表している以下の4つのポイントを押さえておきましょう。

• 1. 利用目的の明確化と本人への通知

  個人情報を取得・利用する際には、どのような目的で利用するかを明確にし、その内容を本人に通知または公表する必要があります。取得した情報は、あらかじめ定めた目的の範囲内で利用しなければなりません。また、「要配慮個人情報」を取り扱う場合は、事前に本人の同意を得ることが必須です。

  2. 安全管理の徹底

  個人データは、漏えいや不正アクセスが起きないよう、安全に保管・管理しなければなりません。たとえば、紙の書類は施錠管理し、デジタルデータはパスワードやセキュリティソフトで保護するなどの対策が求められます。従業員や委託先への適切な監督も必要です。

  3. 第三者提供のルール遵守

  個人データを第三者に提供する場合は、原則として本人の同意を得なければなりません。例外的に、法令に基づく場合や生命・身体の保護などやむを得ない事情がある場合には、同意なしでも提供できます。

  4. 開示・訂正等の対応義務

  本人から保有個人データの開示や訂正、利用停止などを求められた場合には、速やかに対応しなければなりません。加えて、苦情が寄せられた場合にも、適切かつ迅速な対応が求められます。こうした対応体制や手続きについては、Webサイトで公表するなど、事前に本人が知り得る状態にしておく必要があります。

6.まとめ

個人情報保護法は、デジタル技術や国際動向の変化を受けて、定期的に改正されています。2025年に向けた見直しでは、生体データやこどもの個人情報の保護強化、課徴金制度の導入検討などが挙げられています。企業が個人情報保護法の改正に備えるためには、ルール整備や従業員への教育だけでなく、多層的な情報セキュリティ対策が必要です。

「おまかせサイバーみまもりセキュリティパッケージ」であれば、UTM・ウイルス対策ソフト・EDRなどの導入から運用、サイバー攻撃の検知と対応、復旧まですべての工程をサポートします。監視体制は24時間365日と安心で、万が一サイバー攻撃による被害が発生した場合には、保険による補償が付帯。情報セキュリティ対策の専任担当者がいない企業でも、安全な運用体制を整えられるでしょう。

詳しいサービス内容については、以下の公式サイトからご確認いただけます。「まずは相談したい」という場合には、お気軽にお問い合わせフォームをご利用ください。

個人情報漏えいを未然に予防！万が一の事態に備えた体制構築でお困りの方は「おまかせサイバーみまもりセキュリティパッケージ」をご検討ください。
詳細はこちら

「おまかせサイバーみまもりセキュリティパッケージ」のお問い合わせフォームはこちら

• 「Wi-Fi」は、Wi-Fi Allianceの商標または登録商標です。

関連サービス

資料ダウンロード

関連するコラム

• コラムをもっと読む