2026年(令和8年)4月7日、「個人情報の保護に関する法律等の一部を改正する法律案」が閣議決定され、国会に提出されました。個人情報保護法の3年ごと見直しに基づく大規模な改正であり、施行は公布の日から2年以内とされています。
改正案では、「連絡可能個人関連情報」、「特定生体個人情報」、「統計作成等」など、新たな概念・定義も創設されており、現行法に比べ、複雑化してしまった印象は否めません。
もっとも、改正案には、同意規制の柔軟化やこどもの個人情報の保護、課徴金制度の導入など、実務に大きな影響を与える事項も多数含まれているため、実務担当者としては、今後の国会審議を見守りつつも、法改正に備えた準備を始めることが有益です。
詳細については、今後公表される規則やガイドラインを待つ必要がありますが、ひとまず、今回のコラムでは「速報版」として、企業の実務担当者の方に向けて、今回の改正の全体像(アウトライン)について、ざっくりと解説してみたいと思います。
改正の背景
デジタル技術の急速な進展に伴い、個人情報を含むデータの利活用への需要が高まる一方で、個人情報の違法な取扱いにより個人の権利利益が侵されるリスクも増大しています。今回の改正は、「データ利活用制度の在り方に関する基本方針」(令和7年6月13日閣議決定)等を踏まえ、個人の権利利益の保護とAI活用にも資する円滑なデータ連携の促進の両立を目指すものです。
改正内容は大きく次の4つの柱に整理されます。
| 柱 | 概要 | 主な改正事項 |
|---|---|---|
| 1. 適正なデータ利活用の推進 | AI開発等にも資するデータ連携を促進 | 統計作成等目的の同意不要化、同意例外の拡大、学術研究機関等の範囲明確化 |
| 2. リスクに適切に対応した規律 | 新たなリスクに対応した保護の強化と合理化 | こどもの個人情報保護(16歳未満)、顔特徴データ等の新規律、委託先の義務見直し、漏えい通知の緩和 |
| 3. 不適正利用等の防止 | 個人への不当な働きかけを防止 | 連絡可能個人関連情報の不適正利用・不正取得の禁止、オプトアウト提供先の確認義務 |
| 4. 規律遵守の実効性確保 | エンフォースメントの大幅な強化 | 勧告・命令の要件見直し、プラットフォーム事業者等への要請、課徴金制度の導入、罰則強化 |
以下、それぞれについて解説します。
1. 適正なデータ利活用の推進
(1) 統計作成等を目的とする場合の本人同意の不要化
今回の改正では、「統計作成等」という新たな概念が法律上定義されました。これは、大量の情報から傾向や性質に係る情報(個人に関する情報を除く)を作成する行為のうち、個人の権利利益を害するおそれが少ないものを指します。統計作成等と整理できるAI開発等もこの対象に含まれます。
具体的には、次の場面で本人同意が不要となります。
| 場面 | 要件 | 根拠条文 |
|---|---|---|
| 公開されている要配慮個人情報の取得 | 統計作成等を行う目的で、現に公開されている要配慮個人情報(病歴等のセンシティブ情報)を取得する場合に、統計作成等の内容等をインターネット等で公表していること | 新第30条の2第1項 |
| 個人データ等の第三者提供 | 第三者が統計作成等の目的で個人情報等を取り扱う必要がある場合に、提供元・提供先の双方が統計作成等の内容等を公表し、書面による合意でこの規定に基づく提供であることが明確に定められていること | 新第30条の2第5項、新第31条の3第1項 |
ただし、統計作成等の目的で取得・提供された情報は、公表されている内容の統計作成等に必要な範囲を超えて取り扱うことや、原則として第三者への再提供が禁止されます。
実務への影響: AI開発・機械学習のためのデータセット作成や統計分析の場面で、同意取得の負担が大幅に軽減される可能性があります。一方、公表義務や利用範囲の制限があるため、社内体制の整備が必要です。
(2) 本人同意が不要となる場面の拡大
目的外利用、要配慮個人情報の取得、第三者提供に関して、本人同意の例外が拡大されます。
| 改正事項 | 内容 | 根拠条文 |
|---|---|---|
| 本人の意思に反しない場合の例外 | 契約の履行に必要やむを得ない場合や、取得の状況からみて本人の意思に反しないため本人の権利利益を害しないことが明らかである場合は、本人同意なく取り扱えるようになる | 新第18条第3項第7号、新第20条第2項第7号、新第27条第1項第8号 |
| 同意取得困難性要件の緩和 | 生命等の保護又は公衆衛生の向上等のために取り扱う場合について、従来の「同意を得ることが困難であるとき」に加え、「同意を得ないことについて相当の理由があるとき」にも例外を拡大 | 新第18条第3項第2号・第3号、新第20条第2項第2号・第3号、新第27条第1項第2号・第3号 |
| 学術研究機関等の範囲の明確化 | 学術研究例外の対象となる「学術研究機関等」に、病院その他の医療の提供を目的とする機関・団体が含まれることを明示 | 新第16条第9項 |
「本人の意思に反しない場合の例外」の想定事例
個人情報保護委員会事務局は、本例外の典型的な場面として以下の事例を挙げています(「個人情報保護法等の一部を改正する法律案について」(個人情報保護委員会事務局、令和8年4月)8頁)。
| 想定事例 | 内容 |
|---|---|
| ホテル予約 | 予約者がホテル予約サイトAを通じて予約した場合に、予約サイトAが予約者の氏名等をホテルBに提供するケース |
| 海外送金 | 送金者が送金元金融機関Cに海外送金を依頼した場合に、送金元金融機関Cが送金者の情報を送金先金融機関Dに提供するケース |
これらは、契約の履行のために不可欠な第三者提供であり、本人の意思に反しないため本人の権利利益を害しないことが明らかといえる場面です。現行法ではこのような場合にも本人同意が必要とされていましたが、改正後は不要となります。
「同意取得困難性要件の緩和」における「相当の理由」の想定例
「相当の理由」については、以下のような場合が想定されています(「個人情報保護法等の一部を改正する法律案について」(個人情報保護委員会事務局、令和8年4月)9頁)。
公衆衛生の向上等のために特に必要である一方で、本人のプライバシー等の侵害を防止するために必要かつ適切な措置(氏名等の削除、提供先との守秘義務契約の締結等)が講じられているため、当該本人の権利利益が不当に侵害されるおそれがない場合等
具体的な事例については、制度が円滑に運用されるよう、改正の趣旨を踏まえつつ、ガイドライン等において明確化されることが想定されています。
実務への影響: 医療機関が学術研究機関等に含まれることの明確化により、医療分野でのデータ利活用が円滑化されます。また、契約履行に伴う情報のやりとりなど、従来は同意取得が必要だった場面の一部で負担が軽減されます。
2. リスクに適切に対応した規律
(1) こどもの個人情報の保護強化(16歳未満に関する規律)
今回の改正の大きな柱の一つが、こどもの個人情報の保護です。
| 改正事項 | 内容 | 根拠条文 |
|---|---|---|
| 法定代理人への読替え | 16歳未満の者が本人である場合、同意取得や通知等について「本人」を「本人の法定代理人」と読み替えて適用する。つまり、16歳未満の利用者に対する同意取得は、原則として保護者(法定代理人)から取得する必要がある | 新第40条の2 |
| 利用停止等請求の要件緩和 | 16歳未満の本人は、保有個人データの利用停止等又は第三者への提供の停止を、通常より緩和された要件で請求できるようになる | 新第35条第9項・第10項 |
| 最善の利益の考慮義務 | 事業者は未成年者の個人情報等を取り扱う際、その年齢及び発達の程度に応じて、未成年者の最善の利益を優先して考慮すべき旨の責務規定が設けられる | 新第58条の3 |
法定代理人の関与が不要となる例外
もっとも、法定代理人の関与が一律に求められるわけではなく、以下の例外が設けられています(「個人情報保護法等の一部を改正する法律案について」(個人情報保護委員会事務局、令和8年4月)11頁)。
| 同意取得・通知等に係る例外 | 利用停止等請求に係る例外 |
|---|---|
| ①本人が16歳未満であることを事業者が知らないことについて正当な理由がある場合 | ①法定代理人の同意を得て取得された保有個人データである場合 |
| ②法定代理人が本人の営業を許可しており、事業者が当該営業に関して個人情報を取得した場合 | ②要配慮個人情報の取得に係る例外要件と同種の要件に該当する場合 |
| ③本人に法定代理人がない又はそのように事業者が信ずるに足りる相当な理由がある場合 | ③本人が16歳以上であると信じさせるために詐術を用いた場合 |
| ④法定代理人が本人の営業を許可しており、事業者が当該営業に関して保有個人データを取得した場合等 |
実務への影響: SNS、ゲーム、教育サービスなど、こどもが利用するサービスを提供する事業者は、年齢確認の仕組みや保護者同意の取得フローの構築が必要になります。プライバシーポリシーの改訂も不可欠です。ただし、上記の例外規定により、事業者が年齢を知り得ない場合などには法定代理人の関与は不要とされており、一律に全てのサービスで年齢確認が必須となるわけではない点にも留意が必要です。
(2) 顔特徴データ等(特定生体個人情報)に関する規律の新設
「特定生体個人情報」という新たなカテゴリーが創設されます。これは、特別の技術や多額の費用を要しない方法で取得でき、かつ本人が取得されていることを容易に認識できない身体の特徴(典型的には顔特徴データ)に係る個人情報です。
| 改正事項 | 内容 | 根拠条文 |
|---|---|---|
| 周知義務 | 特定生体個人情報を取り扱う場合、利用目的等の事項をあらかじめ本人に通知するか、本人が容易に知り得る状態に置くことが義務付けられる | 新第21条の2 |
| オプトアウト提供の禁止 | 特定生体個人情報は、オプトアウト制度(本人の求めで停止する方式)に基づく第三者提供が禁止される | 新第27条第2項 |
| 利用停止等請求の要件緩和 | 本人は、特定生体個人情報の利用停止等又は第三者への提供の停止を、通常より緩和された要件で請求できる | 新第35条第7項・第8項 |
周知義務の具体的な周知事項
周知が義務付けられる事項は以下のとおりです(「個人情報保護法等の一部を改正する法律案について」(個人情報保護委員会事務局、令和8年4月)12頁)。
| # | 周知が義務付けられる事項 |
|---|---|
| ① | 個人情報取扱事業者の名称・住所・代表者の氏名 |
| ② | 顔特徴データ等を取り扱うこと |
| ③ | 顔特徴データ等の利用目的 |
| ④ | 顔特徴データ等の元となった身体的特徴の内容 |
| ⑤ | 利用停止請求に応じる手続 |
なお、周知により本人又は第三者の権利利益を害するおそれがある場合、当該事業者の権利又は正当な利益を害するおそれがある場合、国又は地方公共団体の事務の遂行に協力する必要がある場合であって周知により当該事務の遂行に支障を及ぼすおそれがある場合等には、例外が認められます。
実務への影響: 顔認証技術やカメラによる行動分析を行っている事業者は、上記の各事項について通知・公表の体制整備が必要です。特に、利用停止請求に応じる手続を含めた対応フローの設計が急務です。
(3) 委託先に対する規律の見直し
データ処理等の委託を受けた事業者について、次の2点が改正されます。
委託を受けた個人情報は、委託を受けた業務の遂行に必要な範囲を超えて取り扱うことが禁止されます(新第30条の3)。
委託契約において個人情報保護委員会規則で定める事項等が定められ、契約に従って取り扱われる場合には、個人情報保護法の一部の規定を適用しないこととする柔軟な仕組みが導入されます(新第58条の2)。
義務免除が適用される場面
2点目の義務免除については、委託先自らは取扱いの方法を決定しないケース、すなわち「委託先が委託元から指示された方法で機械的に個人データ等を取り扱うのみの場合(委託先がデータ入力作業を委託され、委託元の指示に従って機械的に入力作業を行う場合等)」が想定されています(「個人情報保護法等の一部を改正する法律案について」(個人情報保護委員会事務局、令和8年4月)13頁)。
この場合、委託契約において取扱いの方法の全部について合意し、かつ委託先における取扱いの状況を委託元が把握するために必要な措置等(漏えい等が生じた際の速やかな報告等)について合意していれば、法第4章の各義務規定の適用が原則として免除されます。ただし、委託を受けた業務の遂行に必要な範囲を超えて取り扱ってはならない旨の義務及び安全管理に係る義務は引き続き適用されます。
実務への影響: 委託元・委託先双方で、委託契約の内容を見直す必要があります。特に、委員会規則で定められる事項を契約に盛り込むことで、機械的なデータ処理のみを行う委託先の義務が一部緩和される可能性があるため、自社の委託形態を整理した上で、契約書のアップデートを進めることが重要です。
(4) 漏えい等発生時の本人通知義務の緩和と漏えい等報告の合理化
本人通知義務の緩和
漏えい等が発生した場合の本人への通知義務について、これまでの「通知が困難な場合」に加え、「本人の権利利益の保護に欠けるおそれが少ない場合」にも代替措置による対応が認められるようになります(新第26条第2項)。
「おそれが少ない場合」の例としては、サービス利用者の社内識別子(ID)等、漏えいした情報の取得者において、それ単体ではおよそ意味を持たない情報のみが漏えいした場合などが想定されています(「個人情報保護法等の一部を改正する法律案について」(個人情報保護委員会事務局、令和8年4月)14頁)。
漏えい等報告の合理化
上記に加え、委員会への漏えい等報告についても以下の合理化が行われます(「個人情報保護法等の一部を改正する法律案について」(個人情報保護委員会事務局、令和8年4月)14頁)。
| 改正事項 | 内容 |
|---|---|
| 速報の免除 | 体制・手順に係る認定個人情報保護団体などの第三者の確認を受けること等を前提として、一定の範囲で速報を免除することが可能になる |
| 確報の取りまとめ報告 | 漏えいした個人データに係る本人の数が1名である誤交付・誤送付のようなケースについては、確報を一定期間ごとに取りまとめた上で行うことが許容される |
| 報告窓口の一元化 | サイバー攻撃対処能力強化法に基づく報告義務施行に併せて、共通様式(ランサムウェア等)により報告が行われる場合の窓口を一元化する方向で調整が進められる |
| 違法な第三者提供の追加 | 違法な個人データの第三者提供についても報告対象事態に追加される |
実務への影響: 軽微な漏えい事案での本人通知や速報の負担が軽減される一方、違法な第三者提供が新たに報告対象に加わるため、社内の報告基準の見直しが必要です。認定個人情報保護団体等の第三者確認を活用した速報免除の要件については、今後の委員会規則の内容を注視する必要があります。
3. 不適正利用等の防止
(1) 連絡可能個人関連情報の不適正利用・不正取得の禁止
今回新たに「連絡可能個人関連情報」という概念が定義されました。これは、個人情報には該当しないものの、特定の個人に対する連絡等の情報伝達に利用できる記述が含まれる個人関連情報(例:メールアドレス、電話番号などのコンタクト情報で、特定個人を識別できないもの)を指します。
この連絡可能個人関連情報について、違法・不当な行為を助長・誘発するおそれがある方法による利用と、偽りその他不正の手段による取得が禁止されます(新第31条の2)。
実務への影響: ダイレクトマーケティングやターゲティング広告などで、個人関連情報(Cookie情報、広告ID等と紐付いたコンタクト情報)を取り扱う事業者は、利用方法の適法性を改めて確認する必要があります。
(2) オプトアウト制度における提供先の確認義務
オプトアウト制度により個人データを第三者に提供する場合に、提供先の身元及び利用目的の確認が義務付けられます(新第27条第7項)。確認を求められた第三者は、その事項を偽ってはならず(新第27条第8項)、確認を行った場合は記録の作成が必要です(新第29条第1項)。
実務への影響: 名簿業者等を通じた個人データの流通に対する規制が強化されます。オプトアウト制度を利用して第三者提供を行っている事業者は、提供先の確認体制の整備が必要です。
4. 規律遵守の実効性確保
今回の改正では、エンフォースメント(法執行)が大幅に強化されます。
(1) 勧告・命令の要件の見直し
個人情報保護委員会は、違反行為の中止等の是正措置に加え、違反行為に係る事実の本人への通知・公表等、個人の権利利益を保護するために必要な措置をとるべき旨の勧告・命令ができるようになります(新第148条第1項〜第3項)。また、個人の重大な権利利益の侵害が切迫している場合には、勧告を経ずに直接命令を発することが可能になります。
(2) 取扱関係役務提供者等への要請
措置命令に従わない事業者がある場合、個人情報保護委員会は、その事業者に対してサービスを提供しているプラットフォーム事業者やクラウド事業者等(「取扱関係役務提供者」)に対し、違反行為に係る個人情報の取扱い停止やサービスの提供停止を要請できる規定が新設されます(新第148条の2)。
また、違反行為が特定電気通信(インターネット上の情報発信)による場合には、プロバイダ等に対して情報の流通防止措置を要請できます。要請に応じた事業者は、違反事業者に生じた損害について賠償責任を負わないこととされています。
(3) 課徴金制度の導入
個人情報保護法に初めて課徴金制度が導入されます。
課徴金の対象となるのは、個人情報を利用して違法な行為又は不当な差別的取扱いを行うことが想定される第三者に個人情報を提供する等の行為(課徴金対象行為)です。課徴金の額は、当該違反行為により得た財産的利益等に相当する額とされます。
ただし、次の場合には課徴金を命じることができません。
- ・事業者が課徴金対象行為を防止するための相当の注意を怠った者でないと認められる場合
- ・対象となる本人の数が1,000人を超えないなど、個人の権利利益を害する程度が大きくない場合
課徴金納付命令の対象行為と限定要件
課徴金の対象は、以下の4つの行為類型に限定されています(「個人情報保護法等の一部を改正する法律案について」(個人情報保護委員会事務局、令和8年4月)20頁)。
| 対象行為 | 内容 |
|---|---|
| (1) 不適正な利用の禁止(法第19条)違反 | 違法行為又は不当な差別的取扱いを行うことが想定される第三者への提供・当該第三者のための利用 |
| (2) 適正な取得(法第20条第1項)違反 | 偽りその他不正の手段による取得 |
| (3) 第三者提供の制限(法第27条第1項)違反 | 本人同意のない第三者提供 |
| (4) 統計特例違反 | 統計作成等の目的外利用、目的外の第三者提供 |
さらに、課徴金が実際に命じられるためには、以下の4つの要件を満たす必要があります。
| 限定要件 | 内容 |
|---|---|
| ①主観的要素 | 事業者が対象行為を防止するための相当の注意を怠っていたこと |
| ②権利利益の侵害 | 個人の権利利益が侵害され、又は侵害される具体的なおそれが生じたこと(基本的に勧告等の対象となる事案に限定) |
| ③大規模事案 | 対象行為に係る本人の数が1,000人を基準とする大規模な事案であること |
| ④算定方法 | 違反事業者が対象行為又は対象行為をやめることの対価として得た金銭等の財産上の利益に相当する額 |
(4) 罰則の強化
個人情報データベース等の不正提供等に係る罰則について、法定刑が引き上げられます。また、従来は「自己又は第三者の不正な利益を図る目的」での提供のみが処罰対象でしたが、加害目的(本人その他の者に損害を加える目的)での提供も新たに処罰対象に追加されます。さらに、詐欺行為、暴行、脅迫等により個人情報を不正に取得する行為についても新たな罰則が設けられます(新第178条〜第180条)。
法定刑の具体的な引上げ内容
法定刑の改正前後の比較は以下のとおりです(「個人情報保護法等の一部を改正する法律案について」(個人情報保護委員会事務局、令和8年4月)18頁)。
| 条文 | 対象行為 | 拘禁刑 | 罰金刑 |
|---|---|---|---|
| 第176条 | 行政機関等の職員等による個人情報ファイルの不正提供 | 2年以下→3年以下 | 100万円以下→150万円以下 |
| 第179条 | 個人情報データベース等の不正提供等 | 1年以下→2年以下 | 50万円以下→100万円以下 |
| 第180条 | 保有個人情報の不正提供等 | 1年以下→2年以下 | 50万円以下→100万円以下 |
| 第181条(新設) | 不正行為による個人情報の不正取得 | 1年以下 | 50万円以下 |
| 第184条 | 両罰規定(法人等) | ― | 法人等:1億円以下 |
実務への影響: 課徴金制度の導入と罰則の強化は、違反行為のコストを引き上げるものであり、企業のコンプライアンス体制の強化が不可欠です。特に、大量の個人情報を取り扱う事業者や、個人データの第三者提供を行う事業者は、内部統制やモニタリング体制の見直しが必要です。課徴金については、対象行為が4類型に限定され、さらに主観的要素・権利利益侵害・大規模性の各要件で絞り込まれているため、通常の事業活動において直ちに課徴金リスクが生じるものではありませんが、違反行為から経済的利益を得ている場合には厳格に適用される可能性がある点に留意が必要です。
おわりに
本コラムは、「個人情報の保護に関する法律等の一部を改正する法律案」及び「個人情報保護法等の一部を改正する法律案について」(個人情報保護委員会事務局、令和8年4月)を踏まえ、企業実務の観点から改正の概要を整理したものです。
具体的な対応については、今後、公表される施行規則やガイドラインの内容を踏まえた個別の検討が必要となります。
実務担当者としては、改正案の内容を前提に、自社における個人情報の取扱い状況を踏まえ、今回の改正が自社のビジネスに与える影響(例えば、16歳未満のユーザーがいるか、顔認証技術を利用しているか、統計作成やAI開発のためのデータ利活用を行っているかなど)について、検討を始めることが望まれます。
本コラムが皆様の一助となれば幸いです。
本コラムは、一般的な情報提供を目的として作成したものであり、個別の法律上のアドバイスではありません。具体的な事案については、本ウェブサイト右上の問い合わせフォームよりご連絡ください。
