「行政機関等の事務及び事業の適正かつ円滑な運営を図り、並びに個人情報の適正かつ効果的な活用が新たな産業の創出並びに活力ある経済社会及び豊かな国民生活の実現に資するものであることその他の個人情報の有用性に配慮しつつ、個人の権利利益を保護することを目的とする」

「個人情報は、個人の人格尊重の理念の下に慎重に取り扱われるべきものであることに鑑み、その適正な取扱いが図られなければならない」

個人の認知限界や事業者との情報量・交渉力等の非対称性から、事業者の取扱いの改善を本人関与に期待することは現実的に困難

消費者等の個人が全ての個人情報の取扱いを監視することは負担が重い

事業者がデータベース構築やデータ処理を第三者に依存するケースが拡大

委託先管理等を通じた安全管理義務の実効性に疑問（否定的な考えが示される）

準公共的な分野での事業者と行政機関等が連携した個人情報利用を念頭に置いた整理が必要

社会的なニーズ等を考慮しながら、個人情報保護法の目的・理念に即した全体としてバランスのとれた法の見直し・運用が必要

個人情報保護法はあくまで一般法

医療分野等の特定分野や、AIなどの特定の取扱い等については、実態や社会的な影響等を踏まえた特別法等での規律も有用との意見

• 個人の権利利益への影響という観点も考慮した同意規制の在り方
• 漏えい等発生時の対応の在り方
• 子供の個人情報等の取扱い

• データ処理等の委託を受けた事業者に対する規律
• 特定の個人に対する働きかけが可能となる個人関連情報に関する規律
• 身体的特徴に係るデータ（顔特徴データ等）に関する規律
• オプトアウト届出事業者に対する規律

• 勧告・命令等の実効性確保
• 悪質事案に対応するための刑事罰の在り方
• 経済的誘因のある違反行為に対する実効的な抑止手段（課徴金制度）
• 団体による差止請求制度、被害回復制度
• 漏えい等報告等の在り方

「個人データ処理による個人に対する評価・決定の適切性確保の利益」を核心的保護利益と捉える

これに伴う手段的保護利益（開示・訂正・利用停止請求等）と、結果的に保護される副次的保護利益（秘密保持、勧誘拒否、自己情報を知る、私的領域保護の利益）に区分して把握

OECDガイドライン第2原則の「データ品質の原則」（関連性、正確性、完全性、最新性）の法制化の必要性を指摘

現行法は、狭義の正確性と最新性しかカバーしておらず、関連性と広義の正確性と完全性をカバーする規律が必要

民間部門では、個人データを統計量に集計する利用に対して第三者提供の制限が過剰規制となっている

公的部門では「専ら統計の作成のために保有個人情報を提供するとき」には目的外提供が許容されているが、民間部門にはこれに相当する規定がない

生成AIにおけるWebサイトクローリングデータの学習利用など、要配慮個人情報の取得制限による過剰規制

平成27年改正時から解釈に疑義があり「個人データとして取得する場合」に限り適用されるものと理解すべき

個人情報データベース等を構成することを予定していない個人情報（散在情報）に対する義務は過剰

利用目的の特定・通知、適正取得、不適正利用禁止、目的外利用禁止などが散在情報にまで課されることは過剰規制

自律的ガバナンスだけでは真の課題は解決せず、個人情報保護委員会の介入が必要

特に「関連性要件」は差別の防止のための要件であり、当事者間では解決が難しく、専門的な判断が必要

個人に対する決定を伴わない利用（統計利用など分析結果の獲得と利用のみを目的とする場合）には本人関与は必要でない

漏えい事故が発生する可能性はゼロではないため、被害が極めて甚大である場合には本人オプトアウト機会の検討余地あり

法の規律対象とすべきか否かは、個人に対する決定を伴うか否かによって判別すべき

端末識別番号やCookie情報に基づいて個人別に異なる結果がもたらされるのであれば規律の対象

1. 「個人の権利利益への直接の影響の有無等」を切り口とした規律の検討 採用
2. 統計作成等の分析目的の利用に本人同意不要との整理 採用
3. 「個人データ等の取扱いの態様の多様化等に伴うリスク」への対応 検討中

1. データ品質の原則（特に関連性要件）の法制化 未確認
2. 「第三者提供時の利用目的拘束」の仕組みの導入 未確認
3. 義務の対象を「個人データ」に統一 未確認
4. AI規制と整合的な公平性（fairness）の確保 未確認