本ニューズレターでは、各国のデータ保護関連規制の主なアップデートのうち、2025 年 5 月及び 6 月のものを中心にご紹介する。

1. 日本

  • 2025 年 5 月 16 日、「情報通信技術の進展等に対応するための刑事訴訟法等の一部を改正する法律」が成立し、同年 5 月 23 日に公布された。今般の改正により、電子令状等に関する各種規定が整備される等、刑事手続のデジタル化が進むこととなる。企業においては、顧客や取引先データ等の提供・開示について、罰則付きの電磁的記録提供命令の仕組みが創設されるため、現行法よりも強制力のある形でデータの提供を求められる可能性があることに留意が必要である(2025 年 6 月 12 日号のデータ保護ニューズレター参照)。
  • 2025 年 6 月 2 日、グローバル越境プライバシールール(CBPR:Cross-Border Privacy Rules)システムの運用が開始し、個人情報保護委員会はその旨を公表した。CBPR  システムは、これまで  APEC(アジア太平洋経済協力)における制度として実施されてきたが、今後はより広範囲での個人データの円滑な越境移転を目的として運用される。認証機関による認証付与も開始している。
  • 2025 年 6 月 18 日、デジタル庁は、「令和 6 年度データ利活用に係る欧米等の海外の法制度等に関する調査研究報告書」及びその概要版を公表した。本研究の構成や企業実務において特に重要と考えられる点については、2025 年7 月 11 日号のデータ保護&IP&金融ニューズレターを参照されたい。
  • 2025 年 6 月 20 日、デジタル庁は、「データガバナンス・ガイドライン」を策定した。同ガイドラインは主として企業経営者を対象とし、保有するデータを最大限に活用することで持続的な企業価値向上に繋げていくための、データガバナンスの重要性と実践における要点をまとめたものである。データガバナンス実装における  4  つの柱として、①越境データの現実に即した業務プロセス、②データセキュリティ、③データマチュリティ、➃AI などの先端技術の利活用に関する行動指針を挙げ、それぞれについて、基本となる考え方、経営者が認識しておくべきこと、及び望ましい方向性を示している。

2. 米国

  • 2025 年 5 月 23 日、コロラド州の包括的なプライバシー法である Colorado  Privacy  Act の改正法が成立した。当該改正により、「センシティブデータ」の定義に、正確なジオロケーションデータが含まれることとなり、また、「正確なジオロケーションデータ」の定義が、半径  1,850  フィート以内の地理的区域内で個人にリンクし得るデバイスの現在又は過去の位置を正確に特定する技術から派生するデータに変更される。さらに、当該改正により、消費者の同意を取得せずに、消費者のセンシティブデータを売却することが禁止されることが明確化された(消費者の同意を取得せずに、消費者のセンシティブデータを処理することは改正前より禁止されている。)。改正法は 2025 年 10 月 1 日に発効する予定である。なお、同州法に関しては、生体認証データ等に関する改正が、2025 年 7 月 1 日に発効している(2025 年3 月 24 日号のデータ保護ニューズレター参照)。
  • 2025 年 6 月 2 日、オレゴン州の包括的なプライバシー法であるOregon  Consumer  Privacy  Act の改正法が成立した。主な改正点は、①子どものデータの保護の強化及び②正確なジオロケーションデータに関する改正である。①の改正により、16 歳未満の消費者について実際に 16 歳未満であることを認識していた又は故意に無視していた場合の当該消費者のデータの売却が禁止されることとなる。また、②の改正により、個人又はデバイスの現在又は過去の位置(半径 1,750 フィート以内)に関する正確なジオロケーションデータの売却が禁止されることとなる。改正法は 2026 年 1 月 1 日に発効する予定である。
  • 2025 年6月 12 日、バーモント州において、オンラインサービス等を未成年者(18 歳未満)に提供する事業者に対し、未成年者を保護する多数の措置を採ることを義務付ける  Vermont  Age-Appropriate Design Code  Act が成立した。同州法は、バーモント州において未成年者がアクセスする可能性が合理的に高いと考えられるオンラインサービス等を運営する対象事業者に対し、未成年者保護のための注意義務を課すものである。具体的には、対象事業者は、まずユーザーの年齢を所定の方法で確認する義務を負い、その結果未成年者のアカウントであると判明した場合には、デフォルトでプライバシー設定を最高レベルに設定する等の義務を負うとともに、当該未成年者の個人情報をサービス提供に必要な範囲を超えて収集すること等が禁止される。同州法は、2027 年 1 月 1 日に発効する予定である。なお、同様の州法を可決した他の複数の州においては、当該州法がアメリカ合衆国憲法修正第  1  条(表現の自由)に反するとしてその効力が争われており、特にカルフォルニア州法については、2025  年  3  月に、連邦地方裁判所(カリフォルニア州北部地区)により憲法違反の可能性があるとしてその全体の施行を暫定的に差止める命令が出された。そのため、バーモント州法の今後の動向についても注目される。

3. 欧州

  • 欧州司法裁判所は、2025 年 4 月 29 日、「支払いか同意か(pay or consent)」を選択させるモデルの有効性に関する欧州データ保護会議(EDPB)の意見の取消しを META 社が求めていた事案において、 META 社の訴えを退ける旨の命令を下した。
  • 欧州司法裁判所は、2025 年 4 月 30 日、ブルガリアの司法監察機関(Inspektorat kam Visshia sadeben  savet)が、ソフィア地方裁判所に対して、裁判官や検察官等の家族の銀行口座情報へのアクセス許可を求めた事案において、秘密の対象となる情報へのアクセス許可の判断は、GDPR  の適用除外事由である「EU 法の適用範囲外にある活動の過程で行われる場合」(GDPR2 条 2 項(a))には該当しないものの、上記のアクセス許可の判断権者である裁判所は管理者(GDPR4  条  7  項)や管轄当局(GDPR51  条)には当たらないとの判決を下した。
  • 欧州委員会は、2025 年 5 月 7 日、AI Act に基づく AI リテラシーに関する FAQ を公開し、AI システムの提供者及び利用者におけるAI リテラシーの必要性を強調した。
  • 欧州データ保護評議会及び欧州データ保護監督機関は、2025 年 5 月 8 日、GDPR に基づくデータ処理記録簿の保持義務の簡素化に関する欧州委員会の提案について、両機関の意見を示した共同書簡を採択した。
  • 欧州委員会は、2025 年 5 月 12 日、AI Act に基づくガイドラインに反映させるために募集した AI モデルのルールに関するパブコメへ寄せられた意見の概要を公表した。この中では、禁止行為の定義に”subliminal”や”significant  harm”といった曖昧な用語が含まれることへの懸念が示されたことや、”adaptiveness”や”autonomy”等の概念についてより詳細な定義を求める意見が示されたことなどが報告されている。
  • 欧州委員会と日本政府は、2025 年 5 月 12 日、AI イノベーション、デジタル ID、データ共有における協力を強調する共同声明を公表した。両者は、AI 分野での協力に向けた合意文書の締結を目指すとともに、EU による十分性認定の適用範囲を日本の学術界及び公共部門にも拡大する方向性が示された。
  • 欧州データ保護会議(EDPB)は、2025 年 6 月 5 日、第三国当局へのデータ移転に関する GDPR48 条に関するガイドラインの最終版を公表した。
  • 英国議会は、2025 年 6 月 11 日、UK GDPR、the Data Protection Act 2018、及び the Privacy and Electronic Communications Regulations(PECR)を改正する The Data Use and Access Act 2025(DUAA)を可決し、同月 19 日、国王の裁可を得た。DUAA の多くの条項の大部分は、国王の裁可から 2~6 ヶ月後の発効を予定している。
  • 欧州議会の雇用社会問題委員会は、2025 年 6 月 26 日、職場におけるアルゴリズム管理に関する指令案を公表した。同指令案は、電子的手段による労働者の業務遂行及び労働条件に関する決定を監視、監督、評価を実行又は支援する自動化システムの使用をアルゴリズム管理と定義し(2 条 1 項)、雇用者に対して、アルゴリズム管理の内容を従業者へ書面で情報提供する義務(3  条)や、禁止される個人データの処理の類型(5 条)について規定している。

4. 中国

  • 2025 年 5 月 19 日、「ネットワークセキュリティ標準実践ガイドライン – 個人情報保護コンプライアンス監査要件」が公表された。同要件は、個人情報保護コンプライアンス監査の原則(適法性、独立性、客観性等)を提示し、監査の全体的な要件、監査の実施プロセス(準備・実施・報告・是正・保管)並びに監査の内容及び方法を詳しく規定している。
  • 2025 年 6 月 17 日、中国電子技術標準化研究院などの機関が共同で、「センシティブな個人情報取扱いに関する安全要件」を策定し、公表した。同要件は、センシティブな個人情報の識別及び要件を確立し、センシティブな個人情報の取扱いに関する一般的な安全要件及び特別な安全要件を規定しており、個人情報取扱事業者がセンシティブな個人情報を取り扱う活動に適用されるとともに、監督機関及び第三者評価機関がセンシティブな個人情報の取扱活動に対して監督、管理、評価を行う際にも適用される。
  • 2025 年 6 月 13 日、「自動車データ越境移転安全ガイドライン(2025 年版)(意見募集稿)」が公表され、同年 7 月 13 日まで意見募集が行われた。同ガイドラインは、自動車データ取扱事業者による自動車データ(自動車の設計、製造、販売、使用、運行保守などの過程においてかかわる個人情報及び重要データ)に関するデータ越境行為を定義し、越境移転に必要となる手順を定めている。また、中国国外に重要データ又は大量の個人情報を提供することなどを含むデータ越境移転安全評価を申告する必要がある場合を規定している。

5. ベトナム

  • 2025 年 6 月 14 日、ベトナム国会は、デジタル技術産業法を可決した。この法律は様々なデジタル技術に適用される規制を定めるものであり、2026 年 1 月 1 日に施行される。当該法律はAI システムに対する規制を含んでおり、AI システムはリスクによって分類され、AI システムによって行動を操作したり、脆弱性を悪用したり、生体認証データを不当な評価に使用したりする行為は禁止されている。
  • 2025 年 6 月 26 日、ベトナム国会は、個人データ保護法(PDPL)を可決した。同法は 2026 年 1 月 1日に施行される。PDPL  は、現行の個人情報保護に関する政令の枠組みを大枠で維持しつつも、越境移転規制違反に対して前年の売上げの最大  5%の行政上の罰金を科すことを可能にする等、様々な点で追加や変更を加えている。PDPL の概要については 2025 年7 月 15 日号のアジア&データ保護ニューズレターを参照されたい。

6. マレーシア

  • 2025 年 1 月 1 日から段階的に施行されていた個人情報保護法の 2024 年改正法が 2025 年 6 月 1 日に全面的に施行された。合わせて、データ保護責任者の任命義務化及びデータ漏洩の際の通知義務に関する下位規則や域外移転規制に係る下位規則も施行された。

7. フィリピン

  • 2025 年 6 月 11 日、国家プライバシー委員会は、身体装着型カメラ及び類似の記録装置を使用して収集された個人データの処理に関するガイドラインを定める  NPC  通達第  2025-01  号を発行した。同通達は、データ主体の個人データ及びプライバシー権の保護に関するプロトコルを定め、個人データ処理を法的根拠に基づいて行うこと、セキュリティ対策、及び安全なデータ保管・管理等の重要性を強調している。

8. インド

  • 2025 年 6 月、インドの電子情報技術省(MeitY)は、「デジタル個人データ保護法(2023 年)に基づく同意管理に関するビジネス要件文書(Business  Requirement  Document)」を公表した。インドでは、デジタル個人データ保護法がデータ管理者に対して厳格な同意取得・管理義務を課しているところ、当該文書は、データ主体による同意の取得、更新及び撤回等を含む、同意管理プロセスの実施に関する包括的なガイドラインとして機能するとされている。

9. カナダ

  • 2025 年 5 月 5 日、カナダ・オンタリオ州保健大臣は、オンタリオ州の継続的な医療制度の近代化の一環として、デジタルヘルスに関する法案(More  Convenient  Care  Act,  2025;  Bill  11)を議会に提出し、同法案は、同年 6 月 3 日に可決、同年 6 月 5 日に国王の裁可により成立した。同法は、特に、所定の医療機関によって作成され、個人の身元を確認するために使用できる一意の識別子であるデジタルヘルス識別子(Digital Health Identifiers; DHI)の使用を通じたデジタルヘルス技術の統合を支援するために、個人健康情報保護法(PHIPA)の大幅な改正を図っている。他方で、個人健康情報の記録であるデジタルヘルス識別記録を収集又は使用する指定組織においては、プライバシー保護措置として、改正が施行されてから 1 年以内に、DHI レコードに含まれる個人の健康情報を保護するための手続を実施する必要がある。また、指定組織は、情報プライバシーコミッショナーによって承認された DHI に係る情報保護措置とその手続を自身の Web サイトに掲載し公表することが求められる。
  • 2025 年 6 月 11 日、カナダ・アルバータ州において、プライバシー保護法が施行された。同法については 2025 年3 月 24 日号のデータ保護ニューズレターも参照されたい。

10. 南アフリカ

  • 2025 年 4 月 17 日、個人情報保護法(Protection of Personal Information Act, 2013)に関する規則の改正が施行され、主に以下のとおり、データ主体の権利保護が強化された。
    • データ主体が個人情報の処理に異議を唱えたり、訂正・削除・破棄を要求する権利行使の手続きが簡素化された。権利行使は、電子メール、SMS、WhatsApp、電話等により行うことができ、所定フォームの使用義務が撤廃され、類似した形式であれば許容される。なお、企業は、データ主体に対してデータ取得時に異議申立権等の権利があることを通知し、データ主体の権利行使に関する対応結果を 30 日以内に通知する義務がある(規則 2 条及び 3 条)。
    • 企業が電子的手段(メール、SMS、電話など)でダイレクトマーケティングを行う場合、データ主体から明示的な同意を取得することが義務付けられた。同意の方法は上記の権利行使と同様(電子メール、SMS、WhatsApp、電話等も可)だが、事業者は同意の記録や録音を保存し、データ主体の要求があれば開示する必要がある。オプトアウトによる同意は認められない(規則   6   条)。
  • データ主体による苦情申立手続きが正式に規定された(規則  7  条)。