個人情報保護委員会による初の緊急命令と名簿業者への規制強化の行方

個人情報保護委員会による緊急命令と発出の背景

2025年5月16日、個人情報保護委員会は、名簿販売を行う有限会社ビジネスプランニング（以下、ビジネスプランニング）に対し、特殊詐欺グループに個人情報を販売していたとして、個人情報保護法に基づく初の緊急命令および勧告を行いました。警察が特殊詐欺グループのメンバーを逮捕し、同人物がビジネスプランニングの銀行口座に送金していたことが確認されたことを契機に、同委員会が2025年4月に立ち入り検査を実施し、違反が発覚しました。

個人情報保護法において、事業者が法令に違反した場合、個情委はまず勧告を行い、事業者がこれに従わないときに命令を出すことが定められています。一方、違反行為が重大であり、緊急に措置を講ずる必要があると認められる場合には、勧告を経ずに直ちに命令を出すことができると規定されています。

今回出された命令の内容は、以下の通りです。

法第19条（不適正な利用の禁止）に違反する個人情報の提供の即時中止。
法第19条への違反する個人情報提供を今後行わないよう、例えば取引先（法人）の実在確認や利用目的の特定などを会社規程に盛り込み、さらに情報の取り扱い状況について定期的な監査を実施するなどの体制整備の実施（2025年5月30日まで）。

命令が出された理由として、ビジネスプランニングが、提供先が違法行為に及ぶ可能性を認識しながら個人情報を提供し、その情報が特殊詐欺グループに提供・利用されることで、提供された本人の平穏な生活を送る権利利益が侵害されたとしています。また、代表取締役の説明から、他の名簿販売においても同様の不適切な提供が行われていたことが判明しており、これらの行為が反復継続的に行われ、権利利益の侵害が拡大され続けることで、今後も含め本人の財産的被害につながりかねない状況であったことが挙げられています。

名簿業者に対する規制と今後の対応

名簿業者による個人情報の提供に対する規制は、2015年の個人情報保護法改正において新設されたことに始まります。その後、2022年の改正では、オプトアウト方式による第三者提供の届出や、第三者提供時の確認記録義務の強化など、名簿業者を含む広範な事業者の提供行為全般に対する監視体制が整備されました。今回、緊急命令の対象となったビジネスプランニングは、この「オプトアウト届出事業者」に該当します。

個人情報保護法第29条および関連するガイドラインでは、個人データを第三者に提供する際に、提供年月日や提供先の名称・住所などを確認し、記録を作成することが義務付けられています。しかしながら、同社は第三者提供に関する記録の一部しか作成しておらず、それ以外の取引については一切記録を残していなかったことが判明しました。そのため、今回の命令とは別に、併せて勧告も出されています。

名簿業のような事業形態では、形式的には法を遵守しているように見えても、実態としてリスクの高い提供が行われている可能性もあります。個人情報の取り扱いを業として行う企業には、制度上の要件を満たすだけでなく、その提供先の適正性や情報の利用実態にまで目を向けた、より高い倫理観とガバナンスが求められています。

今後は、法制度と運用実態との間のギャップを埋めるため、個人情報保護委員会による監督機能のさらなる強化に加え、事業者自らによる自律的な管理体制の確立が一層求められることになるでしょう。