個人情報保護法改正案に専門家が懸念――本人同意なき第三者提供とPマーク取得企業が知るべきリスク

国会で審議中の個人情報保護法改正案をめぐり、専門家や消費者団体から強い懸念の声があがっている模様ですね。

参院デジタルAI特別委員会が開いた参考人質疑では、改正案の核心となる「本人同意なき第三者提供の特例」について、情報流出・悪用リスクへの対策が不十分であるという指摘が相次ぎました。

Pマーク（プライバシーマーク）を取得・運用している企業にとっても、今回の改正は決して他人事ではありませんので、少し解説します。

現行の個人情報保護法では、事業者が個人データを第三者に提供する際には、原則として本人の同意取得が義務づけられています。
今回の改正案では、統計情報の作成などを目的とする場合に限り、本人の同意を不要とする特例が設けられました。
国産AI（人工知能）の開発促進やビッグデータ活用を念頭に置いたものであり、経済界の要望が強く反映された内容です。

問題とされているのは、この特例の対象に「要配慮個人情報」も含まれている点です。要配慮個人情報とは、病歴・犯罪歴・思想信条など、特に慎重な取り扱いが求められる機微な情報です。
全国消費者団体連絡会の郷野智砂子事務局長は参考人質疑において、「本人が知らないところで、センシティブ情報が扱われる危険を高める」と強く警告しました。
また、病院や事業者が保有する情報が氏名・住所と紐づいた形で外部に提供されるケースも想定されており、データの流出や悪用のリスクが現実的な問題として浮上しています。
別の専門家からは「最悪の案」という厳しい評価も出ており、対策の不十分さへの指摘は参考人質疑でも相次ぎました。

Pマーク（JIS Q 15001）は、個人情報の適切な取り扱いを示す認証制度です。
法改正が行われた場合、その内容に沿ってプライバシーポリシーや社内規程を見直す必要が生じます。具体的には、社内で保有する要配慮個人情報の洗い出しと管理状況の確認、プライバシーポリシーへの改正内容の反映、第三者提供に関する社内ルール・契約書の見直し、そして従業員への教育・周知の実施が求められます。
法律が変わっても、「本人の信頼を裏切らない」という個人情報保護の本質は変わりません。改正の動向を注視しながら、適切な対応準備を進めることが重要です。

今回の改正案は、利便性と個人の権利保護のバランスをめぐる重要な問題を提起しています。
制度設計の詳細次第では個人のプライバシーに大きな影響が及ぶ可能性があり、引き続き審議の行方を注視する必要があります。

当社では、Pマーク取得・更新をご支援する中で、常に最新の法令動向を踏まえたアドバイスを提供しています。
改正法への対応についてご不明な点がございましたら、お気軽にご相談ください。