ESGリスクトピックス 2024年度 No.10

個人情報委、個人情報保護法に関する課徴金制度検討の方向性を公表

個人情報保護委員会は12月18日、「個人情報保護法のいわゆる3年ごと見直しに関する検討会の報告書（案）」および課徴金制度検討状況の取りまとめ資料である「現行制度と検討の方向性について（課徴金制度③）」を公表した。

有識者による検討会では、違反行為者に金銭的不利益を課すことにより違反行為の抑止効果を強化する狙いから、課徴金制度の導入について検討が進められてきた。検討会がまとめた報告書（案）では、課徴金制度の導入によって適正な個人データの利活用が阻害される懸念が指摘されていることを踏まえ、課徴金納付命令の対象を以下の要件がすべて揃った場合に限定し、過剰な規制の回避を図ることを提案している。

• 【要件①】対象行為を限定すること（第三者提供規制等^※1違反により対価を得た場合および安全管理措置義務^※2違反により漏えい等が発生した場合に限定）
• 【要件②】主観的要素により限定すること（個人情報取扱事業者が違反行為を防止するための相当の注意を怠っていた場合）
• 【要件③】個人の権利利益が侵害された場合等に限定すること
• 【要件④】大規模な違反行為等に限定すること（違反行為に係る本人の数が1,000人以上）

＜図　課徴金納付命令の対象となる違反行為の範囲（イメージ）＞

（出典：個人情報保護委員会　個人情報保護法のいわゆる3年ごと見直しに関する検討会
（第7回）資料1「現行制度と検討の方向性について（課徴金制度③）」より）

このように、現在検討されている制度の内容を踏まえると、課徴金制度の導入によって個人情報保護法上事業者が求められる対応が変わるものではない。しかし、万が一課徴金納付命令を受けた場合には、課徴金が課されることによる経済的損失の他、レピュテーションの低下など、事業に多大な影響が生じることが想定される。事業者は、今後の動向を注視しつつ、課徴金制度が導入されることを見据えて、個人情報管理体制の現状を確認し、必要に応じて強化に取り組むことが望ましいといえる。

1）個人情報保護法第18条、第19条、第20条、第27条第1項に定める規制等を指す

2）個人情報保護法第23条、第24条、第25条に定める義務を指す