植野法律事務所
お問合せ
  • 法律
  • お役立ち記事
  • 法改正

    • 【2025年】個人情報保護法改正の動向|6大論点と企業が今すべき準備を解説

    お役立ち記事一覧に戻る

    ※本記事は2025年10月24日時点の公開情報に基づき執筆しています。最新の情報は個人情報保護委員会等の公式サイトでご確認ください。

    企業の法務・コンプライアンス担当者や情報システム部門のご担当者様で、「2025年に個人情報保護法が改正されるらしいが、何がどう変わるのか」「特に生成AIやCookieに関する動向が気になる」とお考えではありませんか。今回の法改正に向けた議論は、社会やテクノロジーの急速な変化に対応するためのものであり、多くの企業にとって無関係ではありません。

    本記事では、2025年に向けて検討されている個人情報保護法改正の動向について、信頼できる一次情報源である個人情報保護委員会の公開情報を基に、その背景から主要な6つの論点、そして企業が今から備えるべきことまでを分かりやすく解説します。

    この記事を最後までお読みいただくことで、不確定な情報に惑わされることなく、法改正に向けた議論の全体像を正確に把握し、自社で取るべき次の一手を検討するための確かな土台を築くことができます。

    Contents

    なぜ改正が検討されるのか?(令和2年改正法附則第10条)

    個人情報保護法には、社会情勢の変化や技術の進展に対応するため、3年ごとに法律の内容を見直すことが定められています(個人情報保護法 令和2年改正法附則第10条)。これは「3年ごと見直し」規定と呼ばれています。

    2020年(令和2年)と2021年(令和3年)に行われた前回の改正から3年が経過するタイミングにあたるため、現在、個人情報保護委員会を中心に次期改正に向けた検討が進められているのです。

    現在のステータス:議論段階であり「確定」ではない点に注意

    💬 読者の疑問: 「ニュースで『改正』と聞くと、もう内容が決まったように感じてしまうけど、実際はどこまで進んでいるの?」

    最も重要な点は、2025年10月24日現在、改正内容はまだ「検討段階」であり、何も確定していないということです。個人情報保護委員会の専門家による検討会で、どのような論点があるか、どういった方向性で議論すべきかが話し合われている最中です。

    • 検討段階とは?: 専門家会議で論点を議論している状態。法的な効力はなく、今後の議論で内容は大きく変わる可能性があります。
    • 確定情報とは?: 国会で法案が可決・成立し、法律として公布された情報。

    この違いを理解しないまま、「〇〇が義務化される」といった断定的な情報に振り回されないよう注意が必要です。この記事でも、あくまで「検討されている論点」として解説します。

    今後のスケジュール予測:法案提出から施行までの流れ

    法改正は、一般的に以下のようなプロセスで進みます。2024年時点では2025年通常国会(例年1月~6月頃)での法案提出が想定されていましたが、2025年10月24日現在、提出時期は未公表のままです。

    ステップ実施状況実施時期
    ① 検討会での議論完了~2024年
    ② 中間整理の公表✔ 完了2024年6月
    ③ 報告書の公表✔ 完了2024年12月
    ④ パブリックコメント・追加検討◀ 現在地(継続中)2025年~
    ⑤ 改正法案の作成・国会提出未定時期未公表
    ⑥ 国会審議・成立・公布未定
    ⑦ 施行未定(通常、公布から1~2年後)
    ※上記は2025年10月24日時点の状況です。2025年3月には「個人情報保護法の制度的課題に対する考え方」が公表されるなど議論は継続しており、今後の進捗により変更される可能性があります。

    実際に新しいルールが適用される(施行される)際には、通常、成立・公布から1~2年の準備期間が置かれることが多いです。より詳しい個人情報保護法の全体像については、以下の記事もご参照ください。

    [関連記事] [個人情報保護法とは?事業者が知るべき基本をわかりやすく解説]

    【6大論点】2025年個人情報保護法改正で検討されている主要な変更点

    それでは、具体的にどのような点が議論されているのでしょうか。個人情報保護委員会の「3年ごと見直しに係る検討会」で示されている情報に基づき、特に企業実務への影響が大きいと考えられる6つの主要な論点を解説します。

    1. 生成AIの利活用と個人情報保護

    生成AIの急速な普及に伴い、その利活用における個人情報の取扱いが最大の論点の一つとなっています。

    • 現状の課題:
      • プロンプトへの入力: 顧客情報などの個人情報を含むデータをプロンプトに入力する行為は、一般的に、AIサービスの提供事業者への「第三者提供」(個人情報保護法第27条)に該当すると解され、原則として本人の事前同意が必要と考えられます。ただし、委託契約に基づく場合など例外もあります。
      • 学習データとしての利用: 現行法では、生成AI学習段階での個人情報の取扱いに関する明確な規定がなく、今回の改正で新たなルール化が検討されています。
    • 議論の方向性:
      • 生成AIの学習段階・利用段階それぞれにおける事業者の義務を明確化する。
      • 技術の特性を踏まえた、新たなルールやガイドラインの策定が検討されています。(出典:個人情報保護委員会「個人情報保護法いわゆる3年ごと見直しに係る検討の中間整理」2024年6月27日公表、同「個人情報保護法の制度的課題に対する考え方」2025年3月5日公表)

    2. Cookie等「外部送信規律」の見直しの可能性

    Webサイトの閲覧履歴などを収集するCookie等の技術について、利用者のプライバシー保護を強化する方向で議論されています。これは、Cookie等が該当する「個人関連情報」という、より広い概念の取扱いに関する見直しです。

    • Confusion Guard:用語の区別
      • 個人情報: 氏名など、単体で特定の個人を識別できる情報。
      • 個人関連情報: Cookie IDやIPアドレスなど、単体では個人を識別できないが、個人に関する情報。
      • ポイント: 個人関連情報は、提供先で他の情報と紐づいて「個人情報」になる場合に、現行法でも規制の対象となります(本人の同意確認義務など)。
    • 議論の方向性:
      • 利用者にどのような情報が外部に送信されているか、通知・公表する内容を拡充する。
      • 利用者が情報送信を容易に拒否(オプトアウト)できる仕組みの確保を、より強く求める。
      • いわゆる同意管理プラットフォーム(CMP)の導入促進など、同意取得の方法をより適正化する方向で検討が進められています。(出典:個人情報保護委員会「個人情報保護法いわゆる3年ごと見直しに係る検討の中間整理」2024年6月27日公表、同「個人情報保護法の制度的課題に対する考え方」2025年3月5日公表)

    Cookie規制の最新動向や具体的な対応策については、こちらの記事で詳しく解説しています。

    [関連記事] [Cookie規制の最新動向と企業が取るべき対応策を徹底解説]

    3. 大規模プラットフォーム事業者への新たな規律導入

    一部の巨大なプラットフォーム事業者が大量の個人情報を集中的に取り扱っている実態を踏まえ、これらの事業者に対して、より重い責務を課すことが検討されています。

    • 議論の方向性:
      • 一定規模以上の事業者に対し、個人情報の取扱いに関するリスク評価や透明性の確保、当局への定期的な報告などを義務付ける。
      • EUのGDPR(一般データ保護規則)などを参考に、日本版のプラットフォーマー規制を導入する可能性が議論されています。

    この規律は、すべての事業者が対象となるわけではなく、現在のところ対象事業者の要件が明確に定義されておらず、今後の議論で決定される見込みです。

    4. 国際的なデータ流通(越境移転)ルールの見直し

    クラウドサービスの利用が一般化し、国境を越えたデータのやり取りが日常的になったことから、実態に合わせたルールの見直しが検討されています。

    • 現状の課題:
      • 海外のクラウドサーバーにデータを保管する場合も「越境移転」に該当しますが、そのリスク評価や管理が事業者の負担になっています。
      • 各国の法制度が異なるため、十分な保護レベルが確保されているかの判断が難しいケースがあります。
    • 議論の方向性:
      • 事業者が移転先の国の法制度などをより容易に把握できるような仕組みを整備する。
      • データの移転先として十分な保護水準にあると認められる国(十分性認定国)の範囲を見直すことが検討されています。

    5. データ利活用とプライバシー保護のバランス再評価

    個人情報を安全に利活用するための仕組みである「仮名加工情報」や「匿名加工情報」について、より使いやすく、また保護とのバランスが取れた制度にするための見直しが議論されています。

    • 議論の方向性:
      • 仮名加工情報の定義や利用目的の範囲を見直し、組織内でのデータ分析などをより促進させる。
      • 一方で、プロファイリング(情報の分析による個人の評価・予測)など、個人の権利利益に重大な影響を及ぼす可能性のある利活用については、規律を強化する方向で検討されています。

    6. その他の検討事項(課徴金、団体訴訟など)

    上記のほかにも、以下のような制度的な課題について幅広く検討が行われています。

    • 課徴金制度: 法令違反に対する課徴金の算定方法の見直し
    • 団体訴訟制度: 消費者団体などが本人に代わって差止請求などを行える制度の見直し
    • 安全管理措置: 技術水準の向上を踏まえた、事業者が講ずべき安全管理措置の具体化

    【論点別】企業実務への影響と今からできる準備

    これらの議論は、まだ検討段階とはいえ、将来のビジネスに大きな影響を与える可能性があります。現時点で企業が何をすべきか、論点別に見ていきましょう。

    【全事業者対象】「生成AI利用」と「Webサイト運営」で注意すべきこと

    特に影響範囲が広いのが「生成AI」と「外部送信規律」です。

    【実務チェックリスト】
    生成AIの利用状況の把握
     ・どの部署が、どの生成AIサービスを、どのような目的で利用しているか把握していますか?
     ・入力情報に個人情報や機密情報が含まれる可能性はありませんか?

    Webサイト等の外部送信ツールの棚卸し
     ・自社のWebサイトやアプリで利用しているアクセス解析ツール、広告配信ツールなどをリストアップできていますか?
     ・それらのツールが、どのような情報をどこに送信しているか説明できますか?

    ※本チェックリストは一般的な実務参考例です。貴社の個別状況に応じた具体的な対応については、必ず弁護士等の専門家にご相談ください。

    今すぐできる準備として、まずは社内の現状を把握することが第一歩です。検討段階のため、現時点での規程改訂は不要ですが、法案確定後に速やかに対応できるよう、生成AIの利用に関する社内ガイドラインの策定準備や、Webサイトのプライバシーポリシー、Cookieポリシーの見直し準備体制を整えることが推奨されます。

    【海外サービス利用企業】クラウド・SaaS利用で注意すべき「越境移転ルール」

    Amazon Web Services (AWS)やGoogle Cloud、Microsoft Azureといった海外事業者が提供するクラウドサービスや、海外製のSaaSを利用している場合、「越境移転ルール」の見直しによる影響を受ける可能性があります。

    • 一般的な確認項目:
      • 利用しているサービスのデータが、どの国のサーバーに保管されているか。
      • サービス利用契約において、データ移転に関する条項がどのようになっているか。

    今後の法改正に備え、自社が利用するサービスの契約内容やデータ保管場所を改めて確認しておくことが重要です。具体的な法務判断は専門家にご相談ください。

    中小企業への影響は?現時点で最低限おさえるべきポイント

    「大企業向けの話で、うちは関係ない」と考えるのは早計です。特に「外部送信規律」の見直しは、自社サイトにGoogle Analyticsなどのアクセス解析ツールを入れているだけで対象となる可能性があり、ほぼすべての事業者が無関係ではありません。

    中小企業においては、過度に不安になる必要はありませんが、以下の2点は最低限おさえておきましょう。

    1. 自社のWebサイトの状況を把握する: どんな外部ツールを使っているか、専門の制作会社に確認するなどして把握しておく。
    2. 法改正の動向をウォッチする習慣をつける: 信頼できる情報源を定期的に確認し、自社に関係する動きがないか注意を払う。

    2025年改正動向の情報収集で失敗しないための3つのポイント

    法改正の情報は玉石混交です。不正確な情報に惑わされず、正しく状況を把握するためのポイントを3つご紹介します。

    ポイント1:「検討段階」と「確定情報」を見極める

    繰り返しになりますが、これが最も重要です。「~という方向で検討中」「~という論点がある」という情報と、「法改正で~と決定した」という情報を明確に区別しましょう。

    ポイント2:信頼できる一次情報源(個人情報保護委員会)を確認する

    最も信頼できる情報は、議論を進めている当事者である「個人情報保護委員会」のウェブサイトで公開されています。

    専門的な資料も多いですが、検討会の議事録や「中間整理」「報告書」といった文書が、議論の根拠となる一次情報です。定期的に公式サイトをチェックする習慣をつけることをお勧めします。

    ポイント3:過去の改正(令和2年・3年改正)との文脈で理解する

    今回の改正議論は、過去の改正で導入された制度(仮名加工情報、漏えい報告義務化など)の運用実態や、その後の技術変化を踏まえて行われています。過去の改正内容を振り返ることで、なぜ今その点が議論されているのか、という文脈が理解しやすくなります。

    2025年個人情報保護法改正に関するよくある質問(FAQ)

    Q. 改正法はいつから施行されますか?

    A. 改正内容はまだ検討段階であり、2025年10月24日時点で法案の提出時期は公表されていません。仮に今後法案が成立した場合でも、周知や準備期間として公布から1年~2年後に施行されることが多いです。最新情報は個人情報保護委員会の公式サイトをご確認ください。

    Q. 中小企業も何らかの対応が必須になりますか?

    A. 【検討段階の論点として】今回の見直し案では「外部送信規律」の強化が議論されており、これが実現した場合、Webサイトを持つ多くの事業者が影響を受ける可能性があります。現時点では、自社のWebサイトでどのような外部ツールを利用しているか、現状を把握しておくことが重要です。

    Q. 今すぐプライバシーポリシーを改訂する必要はありますか?

    A. 現時点(検討段階)で改訂する必要はありません。ただし、今後の議論の動向を注視し、法案が固まった段階で速やかに対応できるよう、自社の個人情報の取扱い状況を整理しておくことが望ましいでしょう。

    まとめ:法改正の動向を注視し、情報収集体制を構築しよう

    本記事では、2025年に向けた個人情報保護法改正の動向について、その背景から6つの主要論点、そして企業が今からできる準備までを解説しました。

    • 改正の背景: 法律に定められた「3年ごと見直し」の一環であり、現在はまだ検討段階である。
    • 6つの主要論点: ①生成AI、②Cookie等の外部送信規律、③大規模PF規制、④越境移転、⑤データ利活用と保護のバランス、⑥その他の制度的課題が議論されている。
    • 企業がすべきこと: まずは自社の現状(AI利用状況、Webサイトの外部ツール利用状況など)を把握し、個人情報保護委員会の発表など一次情報に基づいて動向を注視する体制を整えることが重要。

    法改正は、対応が後手に回ると事業上のリスクになり得ます。しかし、早くから正しく情報を収集し、備えておくことで、むしろ自社の情報ガバナンスを強化する良い機会とすることも可能です。

    まずは本記事で解説したポイントを参考に、社内での情報共有や現状把握から始めてみてはいかがでしょうか。

    免責事項

    本記事は、2025年10月24日時点の公開情報に基づき、個人情報保護法の改正動向に関する一般的な情報提供を目的として作成されたものです。法改正の最終的な内容を保証するものではありません。

    本記事の内容は、個別の事案に対する法的な助言または見解を構成するものではありません。具体的な法的対応を検討される際には、必ず弁護士等の専門家にご相談ください。最新かつ正確な情報については、個人情報保護委員会等の公式サイトをご確認ください。

    参考資料



    植野洋平弁護士(第二東京弁護士会)
     検察庁やベンチャー企業を経て2018年より上場企業で勤務し、法務部長・IR部長やコーポレート本部の責任者を経て、2023年より執行役員として広報・IR・コーポレートブランディング含めたグループコーポレートを管掌。並行して、今までの経験を活かし法務を中心に企業の課題を解決したいと考え、2022年に植野法律事務所を開所。

    お問合せ
    お役立ち記事一覧に戻る
    TOPページへ戻る

    法律用語を検索する

    お役立ち記事

    お困りのことがあれば
    お気軽にご相談ください

    お問い合わせ