2025.03.16

個人情報を加工して「個人情報」にも「匿名加工情報」にも該当しないケースとは？

個人情報の取り扱いは、企業にとって重要な課題の一つです。 特に、人材派遣会社や求人情報を扱う企業では、候補者の経歴やスキル情報を適切に管理し、必要に応じてクライアント企業へ提供する必要があります。 しかし、個人情報保護法の規制により、個人情報の取り扱いには厳格なルールが適用されます。 では、個人情報を加工した場合、どのようなケースで「個人情報」にも「匿名加工情報」にも該当しない状態になるのでしょうか？今回は、その条件と具体例について解説します。   1. 「個人情報」「匿名加工情報」とは？　 まず、「個人情報」と「匿名加工情報」の定義を整理しておきましょう。 個人情報（個人情報保護法 第2条第1項） 「特定の個人を識別できる情報」または「他の情報と照合することで識別できる情報」のこと。例えば、氏名、住所、生年月日、顔写真、社員番号などが該当します。 匿名加工情報（個人情報保護法 第2条第6項） 個人情報を加工し、「特定の個人を識別できないようにし、かつ元の情報に戻せないようにした情報」のこと。匿名加工情報として利用する場合、適切な管理が求められます。 つまり、単に名前を削除するだけでは「匿名加工情報」にはならず、ほかの情報（職歴、学歴、資格など）との組み合わせで特定可能であれば、引き続き「個人情報」として扱われます。   2. 「個人情報」にも「匿名加工情報」にも該当しないケースとは？ では、どのように加工すれば、個人情報にも匿名加工情報にも該当しないのでしょうか？主に以下の3つの条件を満たす必要があります。 ① 個人が特定できないこと 個人情報であるかどうかの最大のポイントは、「特定の個人を識別できるかどうか」です。氏名や住所はもちろん、学歴や職歴、資格情報などを詳細に記載していると、他の情報と組み合わせることで個人が特定できる可能性があります。そのため、情報を抽象化し、個人識別性を排除する必要があります。 例： NG：「東京都〇〇区出身、〇〇大学卒、△△株式会社で営業経験5年」 OK：「都内の大学卒、営業経験あり」 ② 元の個人情報に復元できないこと 仮に匿名化した情報であっても、元のデータと照合して個人を特定できる場合、それは「仮名加工情報」や「個人情報」に該当する可能性があります。そのため、復元が不可能な形でデータを加工することが重要です。 例： NG：「Aさんの情報を基にした仮名の履歴書」 → 社内のデータと突き合わせれば特定可能 OK：「複数の経歴を統計的にまとめたデータ」 ③ 一般的な統計データや業界情報として利用できること 統計データや業界全体の情報のように、個人に紐づかない形でデータを整理すれば、それは「個人情報」にも「匿名加工情報」にも該当しません。 例： 「派遣登録者の平均年齢は35歳」 「ITエンジニア経験者のうち、80%がJavaスキルを持つ」 「営業職の平均勤続年数は5年」 このように、データを個別の情報から集計・統計化することで、個人識別性を排除することが可能です。   3. 具体的な活用例 ケース1：人材派遣会社がスキルデータを企業に提供する場合 人材派遣会社が企業に候補者の情報を提供する際、個人情報を伏せた形で「仮名の履歴書」を作成すると、社内データと照合すれば個人が特定できるため「個人情報」に該当する可能性があります。しかし、「〇〇分野の経験者が○○名在籍」といった統計的なデータに変換すれば、個人情報には該当しません。 例： NG：「Aさん（仮名）：営業経験5年、英語ビジネスレベル」 OK：「営業経験5年以上の登録者：10名」 ケース2：マーケティングデータとして活用する場合 ある企業が顧客の購買データを分析し、マーケティングに活用する場合、個人の購買履歴をそのまま利用すると個人情報になります。 しかし、「20代男性の購入傾向」や「都内在住者の購買割合」などの統計データに変換すれば、個人情報には該当しません。 例： NG：「東京都〇〇区在住のAさんは、毎月〇〇を購入している」 OK：「東京都在住の30代男性のうち、〇〇を購入する割合は40%」     4. まとめ 個人情報を適切に加工することで、「個人情報」にも「匿名加工情報」にも該当しないデータとして活用することが可能です。 そのためには、以下のポイントを意識することが重要です。   ✅ 個人を特定できないように情報を抽象化する ✅ 他のデータと照合しても特定できないようにする ✅ 統計データや業界情報としてまとめる   企業がデータを活用する際は、個人情報保護法を遵守しながら、適切に情報を加工することが求められます。特に、人材派遣やマーケティングなどの分野では、データの取り扱いに細心の注意を払いながら、適切な方法で情報を活用していきましょう。  

2025.03.03

AIモデル「Deep Seek」と個人情報

中国の企業DeepSeekが発表したAIモデルの「Deep Seek」は、低コストかつChatGPTに匹敵する高機能AIモデルとして今注目を浴びています。 しかしその使用について各国が警戒する動きを示しています。その大きな理由の一つが、個人情報の取扱い方です。 イタリアは、DeepSeek社が収集した個人情報をどのように取り扱うかについて情報を充分に開示していない点に懸念を示し、当該モデルの利用について差し止め命令を出しました。 韓国は、個人情報をどのように管理しているかをDeepSeek社に質問する計画を発表し、新規ダウンロードを停止させました。 フランスや、ベルギー、アイルランドでも、それぞれ調査に乗り出しています。   1. 日本における「Deep Seek」の取扱い方　 では、日本は「Deep Seek」モデルについて、どのような見解を示しているのでしょうか？ 以下、個人情報保護委員会H Pの一部を抜粋してみました。 （参考）https://www.ppc.go.jp/news/careful_information/250203_alert_deepseek/   生成AIサービスについては、その利用が世界的に普及している中、新たにDeep Seek社による生成AIサービスが開発され、サービス提供が開始されています。 同社の生成AIサービスについては、日本国内でサービス提供体制が構築されている他のサービスとは異なり、留意すべき点がありますが、同社が公表するプライバシーポリシーは中国語と英語表記のもののみとなっています。 このため、同社が公表するプライバシーポリシーの記載内容に関して、以下のとおり、情報提供を行います。 ①当該サービスの利用に伴いDeep Seek社が取得した個人情報を含むデータは、中華人民共和国に所在するサーバに保存されること ②当該データについては、中華人民共和国の法令が適用されること   （参考） 上記②に関して、当該データに対しては、例えば以下のような法令が適用されることとなります。 中華人民共和国個人情報保護法 サイバーセキュリティ法 データセキュリティ法 中華人民共和国国家情報法　　　等   以上のように、日本では「Deep Seek」について、留意する点があるという姿勢を示すものの、まずはそのプライバシーポリシーの情報提供を行うことにとどまっています。 平将明デジタル相も「データ保護の観点で懸念が払拭されるまでは公務員が使うのは控えるか、使うのであれば留意すべきだ」と見解を述べています。 ところで、上記情報提供には、「Deep Seek」が日本の個人情報保護法とは異なった運用がなされることを示しています。 中国の個人情報保護法等は、安全保障上の目的によっては企業のデータを収集できるとされています。そのため、Deep Seek社が収集した個人情報が中国政府に取集される可能性も大いにありえます。   2. AIアプリと個人情報　 以上のように「Deep Seek」と個人情報の関係についてみてきましたが、「Deep Seek」だけが懸念すべき対象であるというわけではありません。 今や、ChatGPTや「Deep Seek」に似たAIアプリが多数出回っている世の中です。 中には、本物そっくりの類似アプリ等もあり、注意が必要です。 類似アプリを使用してしまったら、最悪の場合、個人情報を不正に収集される可能性もあります。 AIアプリを使用する際はそのアプリが本物であるかどうか、また、プライバシーポリシーはどうなっているのかをしっかりとチェックし、見極めることが必要になってくるでしょう。

2025.02.07

外国と取引があってもプライバシーマークでGDPR対応が不要なケースとは？

こんにちは！今回は、「外国と取引がある場合でも、プライバシーマーク（Pマーク）上でGDPR対応が不要なケース」について解説します。 近年、個人情報保護の国際的な規制が強化され、**EU（欧州連合）の一般データ保護規則（GDPR）**もその代表的なものとして知られています。 日本国内では、プライバシーマークを取得している企業が増えていますが、「海外と取引がある場合、GDPR対応が必須なのか？」と疑問に思う方も多いのではないでしょうか。 実は、外国と取引があるからといって、必ずしもGDPRに対応する必要があるわけではありません。 では、具体的にどのようなケースでGDPR対応が不要なのかを見ていきましょう。     1. GDPRが適用される企業の条件   まず、GDPRの適用範囲を確認しておきましょう。GDPRは、以下のいずれかに該当する企業に適用されます。 ✅ ① EU域内に拠点を持つ企業 日本企業であっても、EUに子会社・支店・営業所を持っている場合は、GDPRの対象になります。 ✅ ② EUに住む個人のデータを取り扱う企業 企業の所在地に関係なく、EU域内の個人データを処理する場合もGDPRの適用を受けます。具体的には、以下のような場合が該当します。 ・EU在住の顧客向けにWebサービスやECサイトを運営している ・EU居住者の個人情報を収集し、マーケティングに活用している ・EU企業の従業員情報を扱う業務を受託している 上記に該当する企業は、GDPR対応が必要になりますが、逆に言えば、この条件に当てはまらなければGDPR対応は不要となります。     2. GDPR対応が不要なケースとは？   ケース①：外国企業との取引はあるが、個人データを扱わない 例えば、日本企業がアメリカやシンガポールの企業と取引をしている場合、企業間の取引（BtoB）であれば、GDPRの適用はありません。 企業情報（法人名、担当者名、連絡先）だけを交換している 個人データを取得・処理する業務がない このようなケースでは、GDPR対応をする必要はなく、Pマークの基準に従った個人情報管理を行っていれば問題ありません。   ケース②：EUと取引があるが、個人データを直接取り扱わない 次に、日本企業がEU企業と取引しているが、EU居住者の個人データを直接扱わない場合も、GDPR対応は不要です。 例えば、以下のようなケースです。 ✅ EU企業に製品や部品を納品するメーカー ✅ EU企業に対し、法人向けコンサルティングを提供している ✅ EU企業とBtoB契約を結んでいるが、従業員情報や顧客情報を取得しない このようなBtoB取引では、企業情報のみをやり取りするため、GDPRの対象外となります。   ケース③：EU在住者向けのサービスを提供していない GDPRは、「EU在住者をターゲットとするサービスを提供しているかどうか」も重要なポイントになります。 例えば、日本の企業が自社のWebサイトを運営していても、以下のような場合はGDPRの適用対象になりません。 ❌ EU向けの特別なマーケティングを行っていない ❌ Webサイトの言語が日本語のみで、EU在住者を想定していない ❌ EU居住者向けの商品販売やサービス提供を行っていない 👉 EUのユーザーを対象としない限り、GDPRの対応は不要です。   ケース④：データ処理を日本国内で完結している GDPRでは、「EU域内の個人データがEU外へ移転される場合」に厳しい規制を課しています。しかし、日本企業が扱うデータがすべて国内で完結している場合は、GDPR対応が不要です。 例えば、 ✅ 日本国内の顧客のデータのみを扱っている ✅ EU企業と取引しているが、データの保管・処理はすべて日本国内で行っている このようなケースでは、GDPRの規制を受けることなく、Pマークのガイドラインに沿った管理を行えば十分です。     3. プライバシーマークの基準を満たしていれば十分なケース   Pマークは、日本の**JIS Q 15001（個人情報保護マネジメントシステム）**の基準に基づいており、日本国内で適切な個人情報管理を行うための仕組みです。 GDPRとは異なるものの、Pマークの基準に従っていれば、日本国内の個人情報保護法（APPI）に準拠した管理ができるため、海外取引があっても問題にならないケースが多いのです。 特に、以下のような場合は、Pマークの運用を適切に行うことで十分対応可能です。 ✅ 外国と取引はあるが、個人情報を扱わない ✅ EUとの取引があるが、企業情報のみをやり取りしている ✅ 日本国内でデータ管理を完結させている これらのケースでは、GDPRの追加対応を行わなくても、Pマークの要件を満たしていれば問題なしと考えられます。     4. まとめ：GDPR対応が不要なケースを把握しよう！   「外国と取引があるからGDPR対応が必須」というわけではありません。GDPRの適用条件を理解し、自社が本当に対応が必要なのかを見極めることが重要です。   🔹 GDPR対応が不要なケース✅ BtoB取引で、個人情報を取り扱わない ✅ EU企業と取引はあるが、EU居住者のデータを処理しない ✅ EU向けのサービス提供やマーケティングを行っていない ✅ データ処理をすべて日本国内で完結させている   Pマークを取得している企業は、すでに個人情報管理の基盤が整っているため、上記のようなケースでは、特別なGDPR対応を行う必要はありません。 👉 「自社にGDPR対応が本当に必要なのか？」をしっかりと判断し、適切な個人情報保護体制を整えていきましょう！

2025.02.07

プライバシーマークとGDPR対応：企業が求められるポイントとは？

こんにちは！今回は、プライバシーマーク（Pマーク）取得企業が対応すべき「GDPR（一般データ保護規則）」の要件について解説します。 近年、個人情報の取り扱いに関する法規制が世界的に厳しくなっています。日本国内での個人情報保護の認証制度であるプライバシーマークと、EU（欧州連合）が定める**GDPR（General Data Protection Regulation）**には、どのような関係があるのでしょうか？また、Pマークを取得している企業は、GDPRにどのように対応すればよいのでしょうか？   1. プライバシーマークとGDPRの関係とは？　   プライバシーマークは、日本国内のJIS Q 15001（個人情報保護マネジメントシステム）の基準に基づき、企業の個人情報管理の適切性を認証する制度です。一方、GDPRはEU域内の個人データ保護を目的とした法規制であり、日本の個人情報保護法（APPI）よりも厳格な基準を設けています。 プライバシーマーク取得企業でも、GDPRの適用対象となる場合があるため、追加の対応が必要となるケースがあります。     2. GDPRが適用される企業とは？　   GDPRは、以下のような企業に適用されます。 ✅ ① EU域内に拠点を持つ企業 日本企業であっても、EUに現地法人や支店を持っている場合、GDPRの適用を受けます。   ✅ ② EU域内の個人データを扱う企業 たとえば、以下のようなケースでは、GDPRの適用対象となる可能性があります。 ・EUに住むユーザー向けのWebサービスを提供している（ECサイト、会員制サービスなど） ・EU居住者の個人データを収集し、マーケティングに活用している ・EU企業との取引で、EU居住者の個人データを扱っている GDPRでは、企業の所在地に関係なく、EU域内の個人データを取り扱う場合は適用対象になるため、海外ビジネスを展開している日本企業も無関係ではありません。     3. プライバシーマーク取得企業が求められるGDPR対応   Pマークを取得している企業は、すでに個人情報保護マネジメントシステム（PMS）を整備しているため、GDPRの基本要件を満たす土台はできています。しかし、GDPRの追加要件を満たすためには、以下の対応が必要です。 ✅ ① 「適法な処理（Lawfulness of Processing）」の要件確認 GDPRでは、個人データを処理するには、明確な法的根拠が必要です。特に重要なのは、以下の6つの適法根拠です。 ・データ主体の同意（Consent） ・契約履行のために必要（Contract） ・法的義務の履行（Legal Obligation） ・データ主体の重大な利益保護（Vital Interests） ・公的機関の業務（Public Task） ・正当な利益（Legitimate Interests） Pマークでは「本人の同意」を重視しますが、GDPRでは「契約履行」や「正当な利益」も適法根拠として認められます。そのため、データ収集の目的と法的根拠を明確に整理することが求められます。   ✅ ② データ主体の権利対応（データアクセス権・削除権など） GDPRでは、個人データを保有する企業に対し、データ主体（個人）が次の権利を行使できることを求めています。 ・アクセス権（自身のデータがどう利用されているか確認する権利） ・訂正権（誤ったデータを修正する権利） ・削除権（忘れられる権利）（データの削除を要求する権利） ・データポータビリティ権（他のサービスにデータを移転する権利） Pマークの運用だけではGDPRのこれらの要件を完全に満たせない場合があるため、データ主体からの請求に対応できる体制を整える必要があります。   ✅ ③ データ処理契約（DPA）の締結 GDPRでは、個人データを第三者に提供する際、**データ処理契約（Data Processing Agreement: DPA）**を締結し、データの取り扱いを明確に定める必要があります。 Pマークでは「委託先管理」が求められますが、GDPRではより詳細な契約書の取り決めが求められるため、EU企業との取引がある場合は契約内容を見直す必要があります。   ✅ ④ 個人データの海外移転への対応 GDPRでは、EU域内から第三国（EU外）への個人データ移転について厳格な規制があります。日本は「十分性認定（Adequacy Decision）」を受けているため、基本的にはEUから日本へのデータ移転は認められていますが、適切なデータ保護措置を講じていることを証明することが求められます。 Pマーク取得企業は、日本国内基準でのデータ保護は整備されていますが、GDPRの要件も考慮したデータ移転ポリシーの策定が必要です。     4. まとめ：Pマーク取得企業もGDPR対応を意識しよう！   プライバシーマークを取得している企業は、すでに個人情報の管理体制を整えているため、GDPR対応の基盤はできています。しかし、GDPRは日本の個人情報保護法よりも厳格なルールを求めるため、追加対応が必要です。 特に、海外ビジネスを展開している企業や、EU域内の個人データを取り扱う企業は、以下のポイントを意識しましょう。   ✅ 適法なデータ処理の根拠を明確にする ✅ データ主体の権利行使に対応できる体制を整える ✅ データ処理契約（DPA）を適切に締結する ✅ 海外移転ルールを理解し、適正なデータ管理を行う   GDPR対応を進めることで、グローバル基準の個人情報保護体制を確立し、企業の信頼性を向上させることができます！ 今後も、データ保護の国際基準を意識した個人情報管理を進めていきましょう！

2025.02.04

プライバシーマークにおける「従業員」と「従業者」の違いとは？

プライバシーマーク（Pマーク）の運用において、「従業員」と「従業者」という用語が使われることがあります。 一見すると似たような意味を持つ言葉ですが、Pマークの規格（JIS Q 15001）においては明確な違いがあります。 本記事では、その違いを詳しく解説し、企業が適切に個人情報保護マネジメントシステム（PMS）を運用するためのポイントについても考えていきます。   「従業員」と「従業者」の定義 プライバシーマークの文脈では、以下のような定義が一般的です。 1. 従業員 「従業員」は、企業に雇用されている人を指します。一般的には、正社員や契約社員、派遣社員など、企業と何らかの雇用契約を結んでいる人々を含みます。 例えば、ある企業の正社員Aさんや契約社員Bさんは「従業員」として扱われます。また、企業が直接雇用しているアルバイトも従業員に該当します。 2. 従業者 一方で、「従業者」は、企業の業務に従事する全ての人を指します。これは、従業員だけでなく、業務委託先のスタッフや、外部の協力会社の作業員なども含まれます。 例えば、以下のような人々は「従業者」として扱われます。 ♦　業務委託先のエンジニア ♦　清掃業務を請け負う外部業者のスタッフ ♦　会社のシステム開発を担当する外部のエンジニア つまり、「従業者」は、直接雇用されているかどうかに関係なく、企業の業務に関わるすべての人を指す広い概念なのです。   プライバシーマークにおける影響 Pマークを取得・運用する際には、「従業員」と「従業者」の違いを理解し、それぞれに適切な個人情報保護の教育や管理を行うことが求められます。 1. 従業員に対する教育・管理 企業が直接雇用している従業員に対しては、定期的な個人情報保護研修を実施し、個人情報の適切な取り扱いに関するルールを徹底する必要があります。また、就業規則や雇用契約書にも個人情報保護の取り組みを反映させることが一般的です。 2. 従業者に対する教育・管理 外部の業務委託先や協力会社のスタッフなど、「従業者」に該当する人々に対しても、個人情報を適切に取り扱うためのルールを周知することが必要です。企業が直接教育を行うことが難しい場合は、契約書に個人情報保護に関する条項を盛り込む、業務マニュアルを提供する、秘密保持契約（NDA）を締結するなどの対策が考えられます。   まとめ プライバシーマークにおいて、「従業員」は企業と直接雇用契約を結んでいる人を指し、「従業者」は企業の業務に従事するすべての人を指します。Pマークの運用においては、従業員だけでなく、外部の従業者に対しても適切な個人情報保護の対策を講じることが求められます。企業がPマークを適切に維持するためには、この違いを理解し、適切な管理体制を整えることが重要です。 この違いを意識しながら、貴社の個人情報保護マネジメントシステム（PMS）をより強固なものにしていきましょう！

2025.02.03

学習用端末における個人情報取扱いの現状と今後の課題

2024年7月、読売新聞の記事において、学習用端末における個人情報取扱いについての問題が提起されました。 それは、一部の自治体が、子供の個人情報を株式会社リクルートに直接取得し管理させていたという内容でした。 また、保護者に説明がないまま海外の事業者に委託したり、リクルートの一般向けアプリの機能改善に利用されたりもしていました。 ※読売新聞記事「小中学校の学習端末利用で児童生徒の情報をアプリ業者が直接取得・管理…文科省が全国調査へ」（2024.7.14）参照   この件について、個人情報の不適切な取扱いであるとした文部科学省は、全国自治体の調査に乗り出しました。 今回は学習用端末における個人情報の取扱いについて、リクルートの個人情報取扱いにおける問題点、また、現状（全国調査を通してどのような結果が出たか）と今後の課題について見ていきたいと思います。   1. リクルートの個人情報取扱いにおける問題点　 改めてリクルートの個人情報取扱いにおける問題点を今一度見ていきましょう。 多くの自治体は、学習用端末いわゆる学習用タブレットに民間事業者の学習用アプリを導入しています。そしてそのアプリを通じて、子供の氏名、生年月日、学習履歴などが収集されます。 リクルートが提供するアプリもこれらのひとつでしたが、個人情報の取扱いにおいて不適切な点が多くありました。 その問題点とは、大きく分けて以下の4つです。   (1)個人情報を直接取得・管理する事業者がリクルートであった点 文部科学省は本来、民間アプリを利用する場合であっても、個人情報を取得・管理する主体はあくまで教育委員会や学校を想定していました。教育委員会や学校が本人（子供たち）から個人情報を直接取得し、その情報を民間事業者に委託するという流れを想定していたのです。 しかし、実際はリクルートが直接本人（子供たち）から個人情報を取得していました（リクルートのアプリ内プライバシーポリシーに子供たちや保護者が同意するという形をとりました）。 これは、子供たちの個人情報が制約なく利用できてしまう危険性をはらみます。というのも、一般的に民間事業者がプライバシーポリシーを掲げる場合、その利用目的の多くは商業利用のために広く設定されるからです。これは後の(2)の問題点へとつながります。   (2)リクルートが事業者自身の利益のために利用した点（商業利用） リクルートは、今回のケースで取得した個人情報を、一般向けに販売している同アプリの機能改善に使用していることを認めました。これは自治体業務の範囲を大いに超えているといえるでしょう。   (3)保護者の同意なしに海外に個人情報が委託されていた点 小中学生全員に一人一台支給される学習用端末は義務教育の場で使用されるため、保護者が個人情報の取扱いにおける同意を拒むことは通常難しいとされます。今回のケースは、保護者の同意なしに海外に個人情報が委託されていたのでより深刻です。 また、海外における個人情報の取扱いは日本の法令が適用されない場合もあるので、就学情報は国内で取り扱うのが望ましいという声もあります。やむをえず海外の事業者に委託せざるを得ない場合には、その必要性をしっかりと説明しなければいけません。   (4)そもそも学習用端末における個人情報の取扱い方についての議論が不十分であった点 国と自治体との間で、学習用端末における個人情報の取り扱いに対する意識の齟齬があったと考えられます。学習帳端末を学校教育に取り入れる段階で、国が指揮を上手くとれていなかった可能性もあります。 個人情報の不適切な取り扱いがないよう、文部科学省は、「教育データの利活用に係る留意事項のポイント」を公開しました。 ※文部科学省「教育データの利活用に係る留意事項のポイント」参照 https://www.mext.go.jp/content/20240328-mxt_syoto01-000028144_2.pdf   目指すのは、「教育データの利活用」と「安全・安心」の両立です。 教育委員会や学校に対して、教育データを利活用するために留意してほしいポイントがここには書かれています。   2. 学習用端末における個人情報取扱いの現状　 文部科学省は学習用端末における個人情報の取扱いについて、全国の教育委員会を対象とした調査を行いました。 その結果、興味深いことがわかりました。ここでは調査の概要と、調査結果（一部）を見ていきたいと思います。   (1) 調査の概要 各教育委員会が個人情報の取り扱いについて改めて自己点検をすること、また、学習用端末における個人情報の取扱いの実態を把握することを目的に調査が開始されました。 調査期間は、2024年7月16日〜8月8日です。   (2) 調査結果（一部） 個人情報を取得する際、本人（子供たち）や保護者の同意を得ているかという質問に対して、全体の約55％が取得していないと回答しました。 また、全体の11%がそもそも利用目的の特定すらしておりませんでした。さらには、全体の26%が本人（子供たち）や保護者に利用目的を明示していませんでした。   3. 学習用端末における今後の課題　 今回のケースを受けて、リクルートは、2026年4月をめどに学習用アプリを通じた個人情報の直接取得を取りやめると明らかにしました。 本来、学習用端末は義務教育の一環として使用するため、個人情報取扱いの同意に対する拒否権がありません。そのため一般向けサービスの利用目的よりも可能な限り具体的に特定することや、特定された利用目的の達成に必要最小限の範囲内で保有することが必要です。 利用目的に関してどのような規律を適用するべきかは、今後も大いに検討する必要があるといえるでしょう。