【速報】令和8年改正個人情報保護法案逐条解説(ニュースレター)
2026/04/07
令和8年(2026年)4月7日に閣議決定の上、国会に提出された『個人情報の保護に関する法律等の一部を改正する法律案』について、逐条解説のニュースレターをお送りします。下記のリンク先のPDFファイル・下記の記述をご覧ください。
本ニュースレターに関するご相談については下記にご連絡ください。
弁護士法人三宅法律事務所
弁護士渡邉雅之、弁護士越田晃基、弁護士岩田憲二郎、弁護士出沼成真(執筆者)
TEL 03-5288-1021 FAX 03-5288-1025
Email: m-watanabe@miyake.gr.jp
k-koshida@miyake.gr.jp
k-iwata@miyake.gr.jp
n-idenuma@miyake.gr.jp
令和8年改正個人情報保護法案逐条解説
― 2026年4月7日閣議決定法案を踏まえた詳細解説 ―
1 はじめに
2026年4月7日に閣議決定された「個人情報の保護に関する法律等の一部を改正する法律案」[1]は、個人情報保護法の個別論点をつまみ食い的に修正する改正ではない。令和2年改正法附則10条に基づく、いわゆる3年ごと見直しを受け、個人情報保護法の実体規律、本人関与、委託構造、監督命令、課徴金、罰則、さらに番号法及び次世代医療基盤法まで含めて、制度全体を組み替える改正である。個人情報保護委員会は、令和5年11月から見直し検討を開始し、令和6年6月の中間整理[2]、同年12月25日の検討会報告書[3]、令和8年1月9日の制度改正方針[4]を経て、今回の法案提出に至っている。
今回の見直しの背景には、二つの大きな流れがある。第一に、デジタル技術の高度化とAI開発の進展に伴い、個人情報を含むデータの利活用需要が急速に高まっていることである。第二に、その反面として、違法取得、名簿流通、本人の認識しにくい生体情報収集、子ども情報の不適切利用、違法な第三者提供等により、個人の権利利益が侵害されるリスクが高まっていることである。政府の「データ利活用制度の在り方に関する基本方針」でも、個人の権利利益を適切に保護しつつ、AI活用にも資する円滑なデータ連携を進める方向が示されている。今回の改正法案は、その制度的受け皿として位置付けられる。
重要なのは、この改正が単純な規制緩和でも単純な規制強化でもないことである。改正法案により、一方では、統計作成等に限定した新たなデータ利活用ルートが設けられ、公開されている要配慮個人情報の一定の取得や第三者提供が、厳格な条件の下で本人同意不要とされる。他方では、特定生体個人情報、16歳未満の者の個人情報、連絡可能個人関連情報、オプトアウト提供、悪質な第三者提供や不正取得については、本人関与、透明性、用途限定、執行、制裁の各面で従来より強い規律が導入される。すなわち、使えるデータは使えるようにするが、その逸脱や悪質利用には重い責任を課すというのが、今回の改正法案の基本思想である。
本ニュースレターでは、このような改正法案の全体像を踏まえ、各条文ごとに、その法的意味と実務上の影響をできる限り詳しく整理する。とりわけ、漏えい等発生時の本人通知義務の見直し、委託を受けた事業者に関する規律、命令・課徴金・罰則、附則・経過措置については、実務で迷いやすい点を意識して厚めに解説する。
2 改正法案の全体構造
改正法案により、個人情報保護法の章立て自体に大きな変化がある。第四章第二節の義務規定は「第十七条―第四十条」から「第十七条―第四十条の二」へと拡張され、匿名加工情報関係も「第四十三条―第四十六条の二」へと伸びる。また、第六章第二節「監督及び監視」の下に、第一目「報告及び立入検査」(第146条)、第二目「措置命令等」(第147条―第148条の2)、第三目「課徴金納付命令等」(第148条の3―第148条の17)、第四目「雑則」(第149条―第152条)が新設される。さらに、第八章罰則も「第176条―第186条」へと拡張される。
この構造から明らかなように、今回の改正は、定義や本人同意例外を修正するだけではない。実体規律の見直しと、執行・制裁の実効性確保とを一体で進める改正である。従来の個人情報保護法は、義務規定は細かいが、違反時の不利益付与や行政介入の機動性には限界があると理解されてきた。これに対し、改正法案により、個人情報保護委員会は、違反行為の是正だけでなく、本人に対する通知、公表その他の保護措置を命じることができ、さらに一定の悪質な違反行為については課徴金による利得剥奪を行うことができるようになる。
この意味で、今回の改正法案は、個人情報保護法を、単なる行為規制法から、経済的不利益と行政執行を通じて市場行動を修正する法へと一段進めるものと評価できる。
3 定義規定の見直し
3.1 連絡可能個人関連情報(第2条第8項)
改正法案により、第2条第8項に「連絡可能個人関連情報」が新設される。これは、個人関連情報のうち、住居・勤務先等の所在地、電話番号、電子メールアドレス、電気通信設備を識別することができるように付された符号等、特定の個人に対する連絡その他の情報の伝達に利用することができる記述等が含まれるものをいう。しかも、他の情報と容易に照合することができ、それによりこれらの記述等を特定することができるものも含まれる。
ここで重要なのは、これが「個人情報」そのものではなく、「個人関連情報」の一類型として切り出されていることである。従来、個人情報に該当しないが、営業勧誘、詐欺的接触、ストーカー的行為、違法な送客等に利用し得る情報については、法の規律が及びにくい場面があった。改正法案は、そのギャップを埋めるため、「個人が識別されるか」だけではなく、「個人に到達し、働きかけることができるか」に着目して、新たな保護対象を設定したといえる。
実務上は、営業リスト、顧客接点データベース、広告・マーケティング情報、オンライン識別子、デバイス識別子等との関係が問題となる。条文上はCookieや広告IDを明示していないが、「電気通信設備を識別することができるように付された符号」や委員会規則委任部分との関係では、今後の下位法令やガイドラインにより相当程度広がる可能性がある。なお、実際に、「個人情報保護法等の一部を改正する法律案について」(注1のページの参照資料)14頁においては、特定の個人に対して何らかの連絡を行うことができる記述等の例示として「Cookie ID」が挙げられている。そのため、企業は、「個人情報ではないから自由に使える」という整理をそのまま維持することは困難になる。
3.2 統計作成等(第2条第13項)
改正法案により、第2条第13項に「統計作成等」が新設される。これは、大量の情報から要素情報を抽出し、分類、比較その他の解析を行うことにより、当該大量の情報の傾向又は性質に係る情報を作成する行為のうち、個人に関する情報を作成するものではなく、かつ個人の権利利益を害するおそれが少ないものとして委員会規則で定めるものをいう。
この定義は、今回の改正法案の中心概念である。なぜなら、第30条の2及び第31条の3で導入される公開要配慮個人情報の取得特例や第三者提供特例は、いずれも、この「統計作成等」に該当することを前提に成立するからである。言い換えれば、今回の法案は、データ利活用一般を包括的に自由化するものではなく、統計作成等という限定された利用類型についてのみ、本人同意不要の新ルートを法定するものである。
政策的には、ここにAI開発が強く意識されている。制度改正方針や政府のデータ利活用政策では、統計作成等に整理できるAI開発等の円滑化が明示されている。他方で、条文上は、あくまで「個人に関する情報」を作成するものではないことが前提とされているため、個人に対する推論、スコアリング、レコメンド、広告配信、本人への再接続等まで当然に含むとはいえない。したがって、実務上は、どこまでが統計作成等に収まり、どこからが個人に関する分析利用に転ずるのかが最大の論点になる。
4 特定生体個人情報と学術研究機関等
4.1 特定生体個人情報(第16条第5項)
改正法案により、第16条第5項に「特定生体個人情報」が新設される。これは、特定生体個人識別符号、すなわち、特別の技術又は多額の費用を要しない方法により取得することができ、かつ本人が容易に認識することができない身体の一部の特徴に係る情報を変換したものが含まれる個人情報をいう。中心的に想定されているのは、顔特徴データ等である。
ここで問題とされているのは、生体情報一般ではなく、本人が知らないうちに、比較的容易に取得され、識別・追跡・照合に使われ得る情報である。こうした情報は、一度収集・流通すると、本人が変更することが極めて困難であり、監視、排除、差別に結び付きやすい。そのため、改正法案では、第21条の2による周知義務、第27条第2項によるオプトアウト第三者提供禁止、第35条第7項・第8項による利用停止等請求権の拡張という、三層の保護が置かれている。
また、この論点については経過措置も重要である。附則第4条第1項により、施行日前に第21条の2第1項各号に掲げる事項に相当する事項が本人に通知されているときは、その通知は新法上の通知とみなされる。さらに、附則第4条第2項により、施行日前になされた特定生体個人識別符号に相当する符号の作成又は特定生体個人情報に相当する情報の取得に関する同意が、改正後第35条第7項第1号又は第2号の同意に相当するものであるときは、新法上の同意があったものとみなされる。したがって、顔認証等を既に運用している事業者は、既存の通知や同意が新法の要求水準を満たしているかを、施行前に点検する必要がある。
4.2 学術研究機関等(第16条第9項)
改正法案により、第16条第9項の「学術研究機関等」には、大学その他の学術研究機関に加え、病院その他の医療の提供を目的とする機関又は団体が明示的に含まれることになる。
この改正は、医療情報の利活用実務にとって大きな意味を持つ。医療データは、公衆衛生、臨床研究、医療の質の向上、創薬等の分野で高度な利活用ニーズがある一方、そのセンシティブ性の高さから、現場では慎重な運用が続いてきた。改正法案は、病院等を学術研究例外の対象として法律上明示することにより、病院等が関与する研究利用の法的安定性を高める方向を採っている。他方で、共同研究性や権利利益侵害防止の要件はなお厳格に残されており、医療機関に無限定な自由を与えるものではない。
5 本人同意例外の見直し
5.1 生命・身体・財産保護、公衆衛生等の例外拡張(第18条第3項第2号・第3号、第20条第2項第2号・第3号、第27条第1項第2号・第3号)
改正法案により、利用目的外利用、要配慮個人情報取得、第三者提供に関する例外として、従来の「本人の同意を得ることが困難であるとき」に加え、本人の同意を得ないことについて相当の理由があるときが追加される。
この文言追加は、実務的には相当に大きい。従来の「困難」要件は、本人に連絡できない、時間的余裕がない、本人に判断能力がないといった場合を中心に理解されやすかった。しかし、公衆衛生、児童保護、災害対応、救急医療等の場面では、本人に接触可能であっても、本人同意を法的条件とすること自体が不適切又は公益保護に反する場合がある。改正法案は、こうした場面を念頭に、困難性だけでなく、本人同意に依拠しないことに相当性がある場合まで例外を広げている。
もっとも、「相当の理由」は開かれた概念であり、実務上は、公益性、緊急性、代替手段の有無、本人不利益の程度、事後説明可能性等を踏まえた記録化が重要になる。制度改正方針でも、公衆衛生等の場面における硬直的な同意取得困難性要件の見直しが議論されていた。
5.2 「本人の意思に反しないことが明らかな場合」の新設(第18条第3項第7号、第20条第2項第7号、第27条第1項第8号)
改正法案により、利用目的外利用、要配慮個人情報取得、第三者提供について、本人との間の契約の履行のために必要やむを得ないことが明らかな場合その他、取得の状況からみて本人の意思に反しないため本人の権利利益を害しないことが明らかな場合として委員会規則で定める場合が、新たな同意例外として追加される。
ここでの基準は、事業者の都合ではなく、取得場面や取引関係に照らした本人の合理的期待である。したがって、配送、決済、コールセンター、BPO等のように、本人が通常予期する契約履行付随処理は入り得る一方、包括利用規約の片隅に書いてある程度で「明らか」とはいえない。
また、16歳未満の者については、第40条の2による読替えが入るため、本人ではなく法定代理人との契約関係等から、本人の権利利益を害しないといえるか否かが問題となる。
下記12で後述するとおり、16歳未満の者について、同意は本人の法定代理人から取得することが必要になるが、この点について、附則第5条は、施行日前に法定代理人がした同意が、新法上の法定代理人同意に相当する場合には、新法上の同意とみなすとしている。さらに、施行日前に旧法に基づき本人がした同意がある場合でも、それが読替え後の法定代理人同意に相当する場合には、新法上も法定代理人同意があったものとみなされる。したがって、既存サービスについては、未成年者利用に関する既取得同意をどう評価し直すかが重要な実務課題となる。
5.3 学術研究例外の再整理(第20条第2項第6号、第27条第1項第6号)
改正法案により、要配慮個人情報取得及び第三者提供における学術研究例外は、学術研究機関等と共同して学術研究を行う場合を中心に整理し直される。
この改正は、大学、病院と企業が連携して研究を行う現在の実務には整合的である。他方で、研究名義を借りた実質的営業利用や、学術研究を口実とした過度な情報流通を抑える意味もある。企業、大学、病院間の共同研究契約では、研究目的、共同性、成果物の帰属、利用範囲、再提供禁止、安全管理等を、これまで以上に明確にする必要がある。
6 特定生体個人情報に関する特則
6.1 取扱いに際しての周知義務(第21条の2)
改正法案により、個人情報取扱事業者は、特定生体個人情報を取り扱うに当たり、原則として、氏名又は名称、住所、代表者氏名、特定生体個人情報を取り扱うこと、利用目的、身体の一部の特徴に係る情報の内容、開示等請求手続等を、あらかじめ本人に通知し、又は本人が容易に知り得る状態に置かなければならない。
ここで注目すべきは、単に利用目的だけでなく、どのような身体特徴情報を扱うかまで周知事項に含まれている点である。顔認証、防犯カメラ連携分析、来店者属性把握、出入管理、本人確認等の現場では、「顔認証を使っています」と抽象的に掲示するだけでは足りず、扱う情報の性質と利用目的が本人に分かる程度の周知が必要となる。
また、附則第4条第1項により、施行日前にこの周知内容に相当する事項が本人に通知されていれば、新法の通知があったものとみなされる。したがって、既存運用を持つ事業者は、施行前の説明資料、掲示、利用規約、プライバシーポリシー等が新法水準を満たしているかを点検すべきである。
6.2 オプトアウト第三者提供の禁止(第27条第2項)
改正法案により、オプトアウト制度によって第三者提供できる個人データから、特定生体個人情報が明示的に除外される。
特定生体個人情報は、本人が変更困難であり、識別、追跡、監視に直結する。そのような情報が、本人関与の弱いオプトアウト制度により流通することは、改正法案の考え方と整合しない。そのため、特定生体個人情報については、本人同意又は法定例外による場合に限って第三者提供を認める方向が、明確に法文化されたことになる。
6.3 利用停止等請求権の拡張(第35条第7項・第8項)
改正法案により、本人は、自己が識別される特定生体個人情報が取り扱われているときは、一定の場合を除き、利用停止等又は第三者提供停止を請求することができる。そして、事業者は、その請求に理由があることが判明したときは、遅滞なく利用停止等又は提供停止を行わなければならない。
ここでは、生体情報の人格的利益への強い結び付きが意識されている。適法に取得、利用していても、本人が継続利用を望まない場合に停止を求める余地が広く認められる点で、従来の利用停止請求の性格を一段広げるものである。企業としては、導入時の適法性だけでは足りず、停止請求にどのように応答するかまで含めて運用設計する必要がある。
7 漏えい等発生時の本人通知義務の見直し(第26条第2項)
改正法案により、第26条第2項は、漏えい等が発生した場合の本人通知義務について、現行法よりもリスクに応じた柔軟な運用を可能にする方向で見直される。現行法では、第26条第1項に基づく報告対象事態が生じた場合、本人への通知が困難である場合を除き、原則として本人通知が必要とされていた。これに対し、改正法案では、本人への通知が困難な場合に加え、本人への通知が行われなくても本人の権利利益の保護に欠けるおそれが少ない場合として個人情報保護委員会規則で定める場合にも、本人の権利利益を保護するため必要なこれに代わるべき措置をとることにより、本人通知を省略することができる。
この改正は、単純に事業者負担を軽減するというより、本人通知の要否を、より実質的なリスク評価に基づいて判断させる制度に改めるものと理解すべきである。現行法の下では、報告対象事態に当たる限り、本人への通知が困難でない限り通知が必要という、比較的形式的な整理が採られていた。その結果、漏えいした情報の内容や現実の危険性に照らしてみれば本人通知の実益が乏しい場面でも、一律に通知を要することとなり、実務上は、かえって本人に過度の不安を与える、通知の大量発出により本当に重要な通知の意味が薄れる、あるいは事業者側の対応リソースが形式的通知対応に偏るといった問題も指摘されていた。改正法案は、こうした硬直性を是正しようとするものである。
もっとも、ここで重要なのは、「通知しなくてもよい場合」が広く認められるわけではないことである。法文上も、本人通知が省略できるのは、本人の権利利益の保護に欠けるおそれが少ない場合に限られる。したがって、実務では、単に「情報単体では大した意味がない」「件数が少ない」といった抽象的説明では足りず、少なくとも、
① 漏えい等の対象となった情報の性質、
② その情報単体で本人に生じ得る不利益、
③ 他の情報と照合されることによる危険性、
④ 漏えい先又は誤送付先の属性、
⑤ 既に回収、削除、アクセス遮断等の措置がとられているか、
⑥ 本人に注意喚起を行わないことによって追加的不利益が生じるか、
といった観点から、「本人通知がなくても本人保護に実質的な欠缺が生じない」と説明できることが必要になる。
例えば、社内システムでしか意味を持たない内部識別子のみが漏えいした場合や、誤送付先が信頼できる取引先で直ちに削除・未閲覧が確認でき、かつ本人に具体的な防御行動を求める必要がない場合などは、今後の委員会規則やQ&Aにおいて、低リスク類型として位置付けられる余地がある。他方で、氏名、連絡先、ID、属性情報などが組み合わさっている場合や、漏えい先が不明又は悪意ある第三者である場合、本人にパスワード変更、警戒、相談等の行動を促す必要がある場合には、なお本人通知の必要性は高いと考えられる。したがって、企業は、漏えい等が発生したか否かだけでなく、通知不要にし得るか否かを判断する評価枠組みをあらかじめ内部ルールとして持つ必要がある。
実務対応としては、インシデント対応フローの中に、本人通知要否の評価プロセスを明確に組み込むことが必要である。情報システム部門が事実関係を把握し、法務部門が個人の権利利益侵害可能性を評価し、必要に応じて広報、顧客対応部門と連携して、通知、代替措置、公表の要否を判断する体制が求められる。また、通知を省略する場合には、その判断理由を後から説明できるよう、リスク評価メモ又は判断記録を残すことが重要である。個人情報保護委員会への報告場面や、後日の監督、照会の場面では、「なぜ通知しなかったのか」が必ず問われるからである。
なお、この論点について、附則には特段の既存通知、既存同意のみなし規定は置かれていない。したがって、この改正は、施行日以後に発生する漏えい等事案について、新たな評価基準に基づいて判断されることになる。企業としては、施行前から、漏えい類型の棚卸し、通知判断基準の整備、テンプレートの見直し、代替措置のメニュー化などを進めておくべきである。
8 オプトアウト制度の引締め
8.1 提供先確認義務(第27条第7項)
改正法案により、オプトアウト制度に基づいて個人データを第三者に提供するときは、提供元事業者は、原則として、提供先第三者の氏名又は名称、住所、代表者氏名及び提供先における当該個人データの利用目的を、あらかじめ確認しなければならない。
この改正の意味は大きい。従来のオプトアウト制度は、本人への通知、容易知得措置、委員会届出が中心であり、提供先がどのような主体で、何の目的で使うかを、提供元が確認する義務は必ずしも明確ではなかった。改正法案はこれを改め、誰に流すのかを見ないオプトアウト提供は認めないという方向を明確にしている。
実務上、これは名簿流通、マーケティングリスト提供、データブローカー型ビジネスに大きな影響を与える。提供先確認票、利用目的確認書、反社・違法利用懸念先の排除、継続的確認などが必要になる。
8.2 虚偽回答禁止(第27条第8項)と過料(第186条第1号)
改正法案により、第27条第8項により、確認を求められた第三者は、その確認事項について偽ってはならない。そして、この義務違反は、第186条第1号により10万円以下の過料の対象となる。
ここは、オプトアウト制度の実効性確保の観点から重要である。提供元だけを規律しても、提供先が虚偽回答をすれば制度は空洞化する。そのため、改正法案は、提供先にも義務を課し、虚偽回答に対して過料を科す。
なお、この過料規定は、罰則体系の再配置と関係し、附則第1条第3号により、罰則関係の改正とともに、公布の日から起算して6か月を経過した日に先行施行される部分に含まれる。さらに、附則第3条は、この先行施行期間中の第186条第1号の参照条文について技術的読替えを置いている。したがって、オプトアウト提供実務に関与する事業者は、本体施行を待たず、6か月先行施行される罰則、過料部分にも注意しなければならない。
8.3 提供記録への反映(第29条第1項)
改正法案により、第29条第1項の第三者提供記録には、通常の提供年月日、提供先氏名等に加え、第27条第7項第2号の利用目的確認事項も記録事項として加わる。したがって、オプトアウト提供では、相手先を確認しただけでなく、その確認内容を記録として残さなければならない。
9 統計作成等に関する特例
9.1 公開要配慮個人情報の取得特例(第30条の2第1項)
改正法案により、個人情報取扱事業者は、統計作成等目的又は第30条の2第5項の提供目的で、現に公開されている要配慮個人情報を取り扱う必要がある場合で、かつ、事業者名、取得した要配慮個人情報を用いて行おうとする統計作成等の内容又は提供目的その他必要事項を公表しているときは、第20条第2項にかかわらず、本人同意なく取得することができる。
これは本法案の利活用面で最大の転換である。従来、要配慮個人情報は、公開されていても取得には慎重な制限がかかっていた。改正法案は、公開されていることに加え、目的が統計作成等に限定され、かつ透明性措置がとられている場合に限って、例外的取得を認める。
ただし、これは「公開情報だから自由に使ってよい」という発想ではない。要配慮性はなお重く見つつ、統計作成等という限定的で、個人との再接続を予定しない利用に限り、透明性を条件に許容する制度である。
9.2 継続公表義務・変更公表義務(第30条の2第2項・第3項)
改正法案により、特例取得者は、その情報を取り扱っている期間、必要事項を継続して公表しなければならず、内容変更時には原則としてあらかじめ変更内容を公表しなければならない。
したがって、この特例の本質は、本人同意不要という一点ではなく、継続的透明性にある。企業がこの特例を使う場合には、データ源、対象情報、統計作成等の内容、第三者提供の有無、問い合わせ窓口等を、相当程度明確に公表する必要がある。
9.3 目的外利用禁止・第三者提供禁止(第30条の2第4項以下)
改正法案により、特例取得された要配慮個人情報等については、原則として、公表された統計作成等の内容又は提供目的を実現するために必要な範囲を超えて取り扱ってはならず、また、一定の場合を除き、第三者に提供してはならない。
入口だけを緩め、出口規制が弱ければ、公開要配慮個人情報を集めて別目的利用する市場が生まれかねない。改正法案はこれを避けるため、特例で取得した情報を、当初公表された用途に厳格に結び付けている。したがって、AI学習や統計分析を理由に取得したデータを、その後マーケティング、営業、雇用判断、与信判断等に回すことは、制度趣旨と整合しない。
9.4 第三者提供特例(第30条の2第5項、第31条の3)
改正法案により、個人情報取扱事業者又は個人関連情報取扱事業者は、第三者が統計作成等を行う目的で取り扱う必要がある場合で、提供元、提供先双方が統計作成等の内容等を公表し、かつその提供が法定特例に基づくことを契約等で明確にしているときは、一定の個人情報又は個人関連情報を提供することができる。
この制度は、共同研究、AI開発受託、業界横断分析、グループ横断統計等に新たな法的ルートを与える。ただし、条件は重い。目的は統計作成等に限られ、公表義務と契約明確化が必要であり、その後の目的外利用、再提供も禁止される。したがって、これは自由化ではなく、高透明・高拘束型の利活用ルートである。
そして、この論点は課徴金制度と密接に結び付く。後述のとおり、改正法案により、統計作成等特例に基づき取得した個人情報を、特例に違反して目的外利用又は第三者提供する行為等は、課徴金対象行為に含まれる。すなわち、利活用の入口を広げる代わりに、その逸脱には経済的制裁を伴う強い担保を置く構造である。
10 委託を受けた事業者に関する規律(第30条の3、第58条の2)
改正法案により、委託を受けた事業者に関する規律は、従来よりもかなり明確かつ立体的になる。ポイントは、委託先自身に対する範囲外利用禁止の明文化と、機械的・受動的な受託処理についての規律合理化とを、セットで導入している点にある。これは、委託先規律を一律に強化するのではなく、委託先がどこまで自ら取扱いの方法を決定しているかという実態に応じて、規律を組み分ける発想である。
10.1 委託先自身に対する範囲外利用禁止(第30条の3)
改正法案により、第30条の3が新設され、他の個人情報取扱事業者又は行政機関等から個人情報の取扱いの全部又は一部の委託を受けた個人情報取扱事業者は、原則として、その取扱いを委託された個人情報を、委託を受けた業務の遂行に必要な範囲を超えて取り扱ってはならないとされる。
この規定は、一見すると当然のことを条文化したにすぎないようにも見えるが、実務上の意味は大きい。従来も、ガイドライン上は、委託先は委託元との関係で一体として扱われ、委託業務の範囲外で個人データを取り扱うことは許されないとされていた。しかし、それは主として委託元の監督義務(現行法第25条)の反射的整理として理解されてきた面がある。これに対し、改正法案は、委託先自身に対し、法律上の直接義務として範囲外利用禁止を課す。
この変更は、近年の受託構造の変化を踏まえたものと理解できる。すなわち、クラウドサービス、SaaS、BPO、AI開発受託、データ加工受託、コールセンター、物流代行、決済代行等において、委託先は単なる事務補助者ではなく、実質的に大量の個人情報を取り扱う独立した事業主体となっている。そして、現実には、委託先が、受託業務のために預かったデータを、分析、品質改善、学習、別サービス開発、営業支援等に独自利用する事案が問題化してきた。改正法案は、このような実態に対し、委託元の監督強化だけでなく、委託先自身の違法性を明確化する方向を採っている。
10.2 委託先の独自判断利用が例外的に許される場面
もっとも、第30条の3は絶対的禁止ではない。法案の構造上、少なくとも、法令に基づく場合や、人命の救助、災害の救援その他非常の事態への対応のため緊急の必要がある場合など、一定の例外が想定されている。したがって、委託先が、例えば緊急の事故対応や人命保護のために独自判断で個人情報を用いる必要がある場合まで、直ちに違法になるわけではない。
ただし、こうした例外はあくまで限定的に理解すべきである。委託先の独自分析、モデル改善、品質向上、商品開発等は、通常はこの例外に入らない。したがって、受託データを二次利用したいのであれば、契約上それが委託業務の内容に含まれているのか、それとも第三者提供、共同利用、別個の同意取得が必要なのかを、あらかじめ明確にしなければならない。
10.3 機械的・受動的受託処理への適用調整(第58条の2)
改正法案により、第58条の2が新設される。これは、他の個人情報取扱事業者等又は行政機関等から、個人情報等の取扱いの全部又は一部の委託を受けた個人情報取扱事業者等が行う当該個人情報等の取扱いについて、委託契約において、取扱いの方法として委員会規則で定める事項等が定められている場合であって、その取扱いが委託業務遂行に必要な範囲内において契約の定めに従って行われるときは、この法律の一部規定を適用しないとするものである。
この規定の狙いは、委託先規律を強化する一方で、実質的に自ら取扱い方法を決定しない受託者については、過度に重い義務を課さないようにすることにある。典型例としては、委託元の詳細な指示に従って、機械的にデータ入力や印字、発送、スキャン、変換等を行うだけの受託者が想定される。こうした受託者についてまで、利用目的通知、第三者提供制限、本人対応など、個人情報取扱事業者本来の義務を全面的に課すのは合理的でない。そこで、改正法案は、取扱方法の決定権限の有無を基準にして、委託先規律を合理化している。
もっとも、第58条の2は、自動的に広く適用除外を認めるものではない。適用除外を受けるためには、少なくとも、
① 委託契約において、取扱方法として委員会規則で定める事項が定められていること、
② その取扱いが委託業務遂行に必要な範囲内であること、
③ 契約の定めに従って実際に行われていること、
が必要である。
さらに、制度改正方針段階の整理からすれば、ここでいう契約事項には、単なる秘密保持や一般的な安全管理条項だけでなく、漏えい等が生じたときの委託元への速やかな報告、委託元が取扱状況を把握するために必要な措置なども含まれることが予定されている。したがって、実務上は、委託契約の雛形をかなり見直す必要がある。
10.4 「クラウド例外」との関係
この論点では、個人情報保護委員会Q&Aで認められている、いわゆる「クラウド例外」との関係に必ず触れておく必要がある。個人情報保護委員会Q&Aでは、クラウドサービス契約のように外部事業者を活用していても、クラウドサービス提供事業者が個人データを取り扱わないこととなっている場合には、法第27条の「提供」には該当しないとされている。そして、その「取り扱わないこととなっている場合」とは、契約条項によって当該外部事業者がサーバに保存された個人データを取り扱わない旨が定められており、適切にアクセス制御を行っている場合等が考えられるとされる。
さらに、Q&Aでは、クラウドサービスの利用が法第27条の「提供」に該当しない場合、法第25条に基づく委託先の監督義務は課されないが、利用事業者は、自ら果たすべき安全管理措置の一環として、適切な安全管理措置を講じる必要があるとされている。つまり、「提供」に該当しないからといって、何の義務もないわけではなく、むしろ安全管理措置の観点から管理責任が残るという整理である。
この「クラウド例外」は、実務上きわめて広く使われてきた整理であるが、2024年3月には、個人情報保護委員会が、クラウドサービス提供事業者が個人情報保護法上の個人情報取扱事業者に該当する場合の留意点について注意喚起を行っている。そこでは、クラウドサービス提供事業者が現実に個人データを取り扱っている場合には、個人情報取扱事業者としての規律が及び得ることが示されている。
したがって、改正法案により第30条の3、第58条の2が導入された後も、「クラウド例外」が当然に消滅するわけではないが、実務上は次のように整理すべきである。
① そもそもクラウド事業者が個人データを取り扱わないのであれば、従来どおり「提供」にも「委託」にも当たりにくい整理が維持され得る。
② しかし、クラウド事業者が現実にはアクセスし得る、解析し得る、又は契約上二次利用し得るのであれば、もはや単純な「クラウド例外」で処理するのは危うい。
③ その場合には、第30条の3の範囲外利用禁止や、第58条の2による機械的受託処理の適用調整のいずれに乗るのか、又はそもそも委託ではなく第三者提供や共同利用として整理すべきなのかを、契約条項、アクセス権限、技術的制御、運用実態に基づいて見極める必要がある。
要するに、改正法案は、「クラウドだから自動的に例外」という発想を補強するものではなく、むしろ、クラウド提供者が本当に“取り扱わない”のか、どこまでが機械的・受動的処理なのかを、より厳密に問う方向に働くと理解すべきである。特に、SaaS、生成AI連携、ログ解析、保守運用、学習利用が絡む場合には、従来より慎重な分析が必要になる。
10.5 委託実務への影響
この改正は、委託元、委託先の双方に相当大きな影響を与える。
まず、委託元にとっては、従来以上に、委託先が単なる機械的受託者なのか、それとも独自に処理方法を決定する主体なのかを見極めなければならない。前者であれば第58条の2の整理に乗せることができるが、そのためには契約の作り込みが必要である。他方、後者であれば、委託先は通常の個人情報取扱事業者として、本人対応や各種義務を負い得る。
次に、委託先にとっては、受託データの利用範囲を曖昧にしたまま「サービス改善」「品質向上」「AI学習」「統計分析」等に使うことは、今後ますます困難になる。とりわけ、SaaS、クラウド、AI受託分析等では、受託データをモデル改善や運用品質向上に使いたいというニーズが大きいが、そのような取扱いが本当に「委託業務遂行に必要な範囲」に入るのか、それとも別個の法的根拠が必要なのかを慎重に整理しなければならない。
さらに、委託先に課される範囲外利用禁止(第30条の3)は、個人情報保護委員会による監督命令や、場合によっては悪質事案における制裁とも結び付き得る。したがって、委託先企業も、委託元からの契約審査に受け身で応じるだけでは足りず、自社の受託データガバナンスを主体的に整備する必要がある。
10.6 経過措置との関係
この論点については、生体情報や未成年者規律のような個別のみなし規定は附則に置かれていない。したがって、第30条の3及び第58条の2に基づく新ルールは、基本的に施行日以後の委託関係、継続処理に対して適用されることになる。
しかし、実務上は、施行日前に締結された既存の委託契約も、施行日以後なお継続して履行される限り、新法との整合性が問題となる。したがって、企業は、施行前に、既存委託契約を棚卸しし、
- 受託者がどこまで取扱方法を決定しているか
- 二次利用条項はあるか
- 再委託条項は十分か
- 事故報告義務は足りるか
- 監査権限、確認権限はあるか
を見直す必要がある。単に新規契約から直せばよいという話ではなく、既存契約の更新・変更対応が重要になる。
11 連絡可能個人関連情報等の不適正利用・不正取得禁止(第31条の2)
改正法案により、個人関連情報取扱事業者は、違法又は不当な行為を助長し、又は誘発するおそれがある方法により連絡可能個人関連情報を利用してはならず、また、偽りその他不正の手段により連絡可能個人関連情報を取得してはならない(第31条の2)。さらに、この趣旨の規律は、一定の仮名加工情報及び匿名加工情報にも準用される。
この規定の意味は、法の保護対象が「個人情報そのもの」から、「個人に到達し、被害を生じさせる導線情報」にまで広がったことにある。電話番号やメールアドレスは、それ自体が要配慮情報ではないが、詐欺、脅迫、違法勧誘等に使われれば重大な権利利益侵害をもたらす。改正法案は、そこに正面から対応した。
営業リスト、スクレイピング、送客DB、匿名加工情報を使った再接触の企図などは、今後この規定との関係で見直しが必要になる。
12 16歳未満の者の保護
12.1 利用停止等請求権の拡張(第35条第9項・第10項)
改正法案により、16歳未満の本人については、一定の場合を除き、自己が識別される保有個人データの利用停止等又は第三者提供停止を請求することができる(第35条第9項・第10項)。
この改正は、未成年者保護を、単なる親権者同意の問題にとどめず、事後的に利用から離脱できる権利として構成している点に特色がある。SNS、教育サービス、ゲーム、位置情報サービス、行動履歴分析等では、子どもが継続利用に巻き込まれやすいことから、実務的な意味は大きい。
12.2 法定代理人への読替え(第40条の2)
改正法案により、16歳未満の者の個人情報等の取扱いについては、原則として、同意取得、通知、各種請求手続等において「本人」を「本人の法定代理人」と読み替える(第40条の2)。
この改正は、従来Q&Aレベルで運用されてきた未成年者対応を法律上に引き上げるものである。もっとも、オンラインサービスでは、相手が16歳未満かを事業者が把握できないことも多い。そのため、年齢把握をどこまで求めるのか、正当な理由ある不知の場合をどう扱うのか、年齢確認のための過剰取得をどう防ぐのかが大きな論点となる。
12.3 最善の利益の責務規定(第58条の3)
改正法案により、個人情報取扱事業者等は、16歳未満の者の個人情報等を取り扱うに当たり、本人の最善の利益を優先して考慮しなければならない(第58条の3)。
この規定は、子どもの権利保障の観点を、個人情報保護法に明示的に持ち込むものである。ダークパターン、長時間利用設計、依存誘発、過剰課金誘導、偏った推薦アルゴリズム等に対して、今後の解釈指針となり得る。
また、この論点には経過措置が厚く置かれている。附則第5条は、施行日前になされた法定代理人による同意が、新法上の法定代理人同意に相当する場合には、新法上の同意とみなす。また、施行日前に旧法に基づき本人がした同意がある場合でも、読替え後の法定代理人同意に相当する場合には、法定代理人同意があったものとみなされる。さらに、附則第6条は、施行日前に法定代理人に通知された事項、又は旧法に基づき本人に通知された事項について、新法上の法定代理人通知があったものとみなす。したがって、子ども向けサービスや未成年利用者を含み得るサービスでは、既取得同意や既通知の再評価が実務上不可欠となる。
12.4 番号法・次世代医療基盤法への波及
未成年者保護の考え方は、個人情報保護法本体にとどまらない。番号法や次世代医療基盤法についても、法定代理人への読替えや同趣旨の通知、同意規律が整備される。しかも、附則第9条から第12条により、これらについても施行前の法定代理人同意や本人通知を、新法上の同意、通知とみなす経過措置が置かれている。
13 命令体系の再設計(第148条、第148条の2)
13.1 是正命令から本人保護命令へ(第148条)
改正法案により、個人情報保護委員会の勧告、命令の内容は、単なる違反行為の是正にとどまらず、本人に対する違反行為に係る事実の通知又は公表その他本人の権利利益の保護のために必要な措置にまで及ぶ方向に拡張される。
この点は、今回の改正の中でも非常に重要である。従来は、命令といっても、基本的には違反状態の解消が中心であり、本人への周知や公表は、必ずしも命令の中心に位置付けられていなかった。これに対し、改正法案により、個人情報保護委員会は、被害拡大防止のために必要な対外的措置まで命じ得ることになる。違法な第三者提供や大規模な不正利用があった場合、今後は、単に提供停止、利用停止を求めるだけでなく、どの本人に、どのような内容を、いつまでに通知すべきかまで、行政命令の対象となり得る。
また、命令要件についても、従来より機動的な対応が可能となる方向が採られている。制度改正方針及び検討会報告書では、現行法の命令要件が厳し過ぎ、重大な侵害が顕在化する前に十分に対応しにくいことが問題視されていた。今回の改正法案は、その反省を踏まえ、重大な権利利益侵害が切迫する前の段階でも、より迅速に措置をとることを可能にする方向にある。
13.2 違反補助者への要請(第148条の2)
改正法案により、個人情報保護委員会は、違反行為を補助等する第三者に対して、当該違反行為の中止のために必要な措置等をとるよう要請することができる(第148条の2)。
ここで想定されるのは、ホスティング事業者、クラウド事業者、プラットフォーム事業者、データ流通インフラ提供者等である。違反主体そのものに命令しても、インフラが生きている限り違反の継続が容易な場面があるため、周辺主体への働きかけが法定された。もっとも、これは「命令」ではなく「要請」であり、どこまで応じる義務があるのか、応じた場合の民事責任との関係をどう考えるかは、なお運用論点として残る。
13.3 経過措置(附則第7条)
命令関係については、附則第7条が置かれている。これにより、改正後第148条第1項から第3項までの規定は、施行日以後に行われた新法違反行為について適用され、施行日前に行われた旧法違反行為については、なお従前の例による。
したがって、命令の強化は直ちに過去行為へ遡及するものではない。他方で、施行後も同一又は同種の取扱いを継続していれば、その施行後部分については当然に新法の適用対象となる。企業としては、施行時点で継続しているデータ取扱いを棚卸しし、どの行為が施行後に及ぶのかを見極める必要がある。
14 課徴金制度(第148条の3〜第148条の17)
14.1 課徴金制度導入の意味
改正法案により、第148条の3から第148条の17までが新設され、課徴金制度が導入される。これは今回の改正の最大の転換点である。現行法でも命令や罰則は存在したが、違反行為によって経済的利益を得る事業者に対しては、勧告や命令だけでは抑止力に限界があるとされてきた。そこで、改正法案は、違反行為又は違反行為をやめることの対価として得た財産的利益等を吐き出させる制度を設ける。
この制度の狙いは、単に制裁を重くすることではない。違反して儲けることができる構造そのものを断つことにある。個人情報の流通、分析、提供が収益構造に直結する事業では、この点の意味は大きい。
14.2 課徴金対象行為(第148条の4関係)
改正法案により、課徴金対象行為は無限定ではなく、悪質性と経済的誘因が明確な行為類型に限定される。制度設計上、少なくとも次の類型が想定されている。
①法第19条違反たる不適正利用のうち、違法な行為又は不当な差別的取扱いを行うことが想定される第三者に対する提供、又はそのような第三者の求めに応じた利用である。
②法第20条第1項に違反して、偽りその他不正の手段により個人情報を取得し、当該個人情報を利用する行為である。
③法第27条第1項に違反して、あらかじめ本人の同意を得ないで個人データを第三者に提供する行為である。
④統計作成等特例に基づき取得した個人情報を、当該特例に違反して目的外利用又は第三者提供する行為等である。
ここで重要なのは、安全管理措置義務違反一般は、課徴金対象の中心には置かれていないことである。これは、サイバー攻撃被害まで広く課徴金対象とするのではなく、経済的誘因をもって意図的又は重大過失的に個人情報を利用、提供する行為に対象を絞る設計であることを意味する。
14.3 課徴金納付命令の成立要件(第148条の3関係)
課徴金は、上記対象行為に当たれば当然に課されるわけではない。改正法案に基づく制度設計では、少なくとも次の要件が積み重なる。
- 当該個人情報取扱事業者が、当該対象行為を防止するための相当の注意を怠った者でないと認められる場合でないことが必要である。すなわち、相当の注意を尽くしていたと認められる場合には、課徴金対象から外れる余地がある。ここは主観的要素、帰責性要素として機能する。
- 当該対象行為に係る個人情報又は個人データの本人の数が1,000人を超えることが必要である。したがって、少数被害、局所的違反まで直ちに課徴金対象にするのではなく、一定の規模性が要求される。
- 個人の権利利益を害する程度が大きくない場合に当たらないことが必要である。つまり、形式的違反や軽微な侵害までを広く課徴金対象にするのではなく、実害性又は高い危険性を伴う事案に絞る構造になっている。
これら三要件により、課徴金制度は、悪質で、規模があり、かつ権利利益侵害が無視できない事案に重点化されている。
14.4 課徴金額
改正法案により、課徴金額は、対象行為又は対象行為をやめることの対価として個人情報取扱事業者が得た金銭等の財産上の利益に相当する額とされる。
ここでは、売上高連動の一定率課徴ではなく、利得剥奪型の発想が採られている。ただし、第148条の4以下では、課徴金の算定基礎の推計、加算及び減額、納付義務、弁明機会の付与、執行等の整備が想定されているため、実務上は、利益額の認定や推計方法が大きな争点になる。複数事業が混在する場合、どこまでが違反行為と因果的に結び付く利益なのか、派生収益をどう扱うのかも重要である。
14.5 統計作成等特例違反が課徴金対象に含まれる意味
今回の課徴金制度で特に注目すべきなのは、統計作成等特例に基づき取得した個人情報を、特例に違反して目的外利用又は第三者提供する行為等が課徴金対象に含まれている点である。
これは、今回の改正法案全体の構造をよく表している。すなわち、データ利活用のために新たな特例を認める一方で、その特例を逸脱した場合には、単なる義務違反ではなく、課徴金を伴う悪質行為として扱うのである。企業がこの特例を使う場合には、通常案件以上に、目的限定、アクセス制御、ログ、監査、再利用禁止、第三者提供禁止を厳格に実装しなければならない。
14.6 経過措置(附則第8条)
課徴金制度については、附則第8条が置かれている。これにより、改正後第148条の3から第148条の16までの規定は、施行日以後に行われた課徴金対象行為について適用される。
したがって、課徴金制度は、施行前行為へ遡及して適用されるものではない。他方で、施行後も同じスキームを継続していれば、その継続行為部分は当然に対象になり得る。企業は、施行前に既存の第三者提供スキーム、データ分析案件、統計作成等特例利用案件を棚卸しし、施行後にそのまま続けてよいのかを精査する必要がある。
15 罰則の強化(第176条、第178条〜第180条、第186条)
改正法案により、罰則は、単に「厳しくなる」と抽象的に言うだけでは不十分なほど、具体的に見直されている。特に重要なのは、法定刑がどう変わるのか、そしてどの犯罪類型が新設されるのかである。以下、条文ごとに整理する。
15.1 行政機関等の職員による秘密情報提供(第176条)
改正法案により、第176条は、行政機関等の職員等が、その業務に関して取り扱った個人の秘密に属する事項が記録された個人情報ファイルを正当な理由なく提供した場合の罰則を定める。
改正前の法定刑は、2年以下の懲役又は100万円以下の罰金であった。
改正後は、3年以下の拘禁刑又は200万円以下の罰金となる。
ここでは、刑種自体が、懲役から拘禁刑に改められている点に注意が必要である。また、自由刑の上限が2年から3年に、罰金額の上限が100万円から200万円に引き上げられており、公的部門における秘密情報流出に対する抑止が強められている。
15.2 個人情報取扱事業者等による不正提供等(第178条)
改正法案により、第178条は、個人情報取扱事業者若しくはその従業者等が、自己若しくは第三者の不正な利益を図る目的で、又は本人その他の者に損害を加える目的で、個人情報データベース等を構成する個人情報を提供し、又は盗用した場合の罰則を定める。
ここで重要なのは、「本人その他の者に損害を加える目的」が新たに追加された点である。従来は、「自己又は第三者の不正な利益を図る目的」のみが処罰対象であったため、報復、嫌がらせ、脅迫、ストーカー的流出、差別的流通等、金銭目的ではないが悪質な提供行為を十分にカバーし切れない余地があった。改正法案はそこを明確に補っている。
さらに、法定刑も引き上げられる。
改正前の法定刑は、1年以下の懲役又は50万円以下の罰金であった。
改正後は、3年以下の拘禁刑又は500万円以下の罰金となる。
自由刑は1年から3年に、罰金は50万円から500万円へと、いずれも大幅に強化されている。したがって、内部者による持出し、退職者による名簿流出、業務委託先からの横流し等については、企業として従前以上に強いアクセス管理とログ監視を実装する必要がある。
15.3 行政機関等の職員等による不正提供等(第179条)
改正法案により、第179条は、行政機関等の職員等が、自己若しくは第三者の不正な利益を図る目的で、又は本人その他の者に損害を加える目的で、保有個人情報を提供し、又は盗用した場合の罰則を定める。ここでも、第178条と同様に、加害目的が新たに明示されている。
法定刑については、
改正前は、1年以下の懲役又は50万円以下の罰金であった。
改正後は、3年以下の拘禁刑又は500万円以下の罰金となる。
公的部門についても、民間部門と同水準の重い刑罰を設けることで、保有個人情報の持出しや横流しに対する抑止を強めている。
15.4 不正取得罪の新設(第180条)
改正法案により、第180条が新設される。これは今回の罰則改正の中でも特に重要である。
第180条は、自己若しくは第三者の不正な利益を図る目的で、又は本人、個人情報を保有する者その他の者に損害を加える目的で、人を欺き、人に暴行を加え、若しくは人を脅迫する行為により、又は個人情報を保有する者の管理を害する行為により、個人情報を取得した者を処罰するものである。
これは新設罰則であり、従来の個人情報保護法には、不正取得そのものを直接処罰する一般的な規定はなかった。
そして、その法定刑は、1年以下の拘禁刑又は100万円以下の罰金である。
ここでいう「人を欺き」「暴行」「脅迫」は比較的分かりやすいが、実務上特に注意すべきは、「個人情報を保有する者の管理を害する行為」という文言である。これは、単なる口頭の虚偽説明だけでなく、アクセス制御の回避、認証手続の潜脱、業務用端末の不正利用、権限逸脱的取得、システム上の脆弱性悪用等、管理措置を破るような取得行為まで射程に入る可能性がある。
営業、調査、採用、与信、競合分析等の場面では、違法リスト取得、フィッシング、なりすまし照会、偽装インタビュー、第三者への不正依頼などが直ちに問題化し得る。企業は、外部委託先を含め、情報取得手法の適法性をこれまで以上に厳しく審査する必要がある。
15.5 命令違反等との関係(第181条以下)
改正法案では、第181条以下の命令違反等に関する罰則構造も、条番号再配置の影響を受ける。特に、第181条は、改正後の措置命令違反と結び付く。もっとも、この部分については、附則第3条により、第三号施行日から本体施行日前日までの間、条文の読替えが必要とされている。すなわち、その間は、第181条中の「措置命令」は「第148条第2項又は第3項の規定による命令」と読み替えられる。
このように、罰則体系の再編は、単に法定刑が重くなるだけでなく、命令体系の改編と結び付いて動く点に注意が必要である。
15.6 虚偽回答等に対する過料(第186条第1号)
改正法案により、第186条第1号には、第27条第8項違反、すなわち、オプトアウト提供に際して確認を求められた第三者が、その確認事項について偽った場合が追加される。
これは新たに過料対象とされる類型であり、法定額は、10万円以下の過料である。
この規定は、オプトアウト提供規制の実効性を支えるものである。提供元にだけ確認義務を課しても、提供先が虚偽回答をすれば制度は骨抜きになる。そこで、改正法案は、提供先にも真実義務を課し、その違反に対して過料を科す構造をとっている。
15.7 先行施行と経過措置(附則第1条第3号、第2条、第3条)
罰則関連については、先行施行と経過措置が設けられている。附則第1条第3号により、目次の罰則条番号変更、第176条の改正、第178条削除、第179条、第180条の再配置及び新設、第186条の改正等、罰則関係の改正の相当部分は、公布の日から起算して6か月を経過した日に施行される。
また、附則第2条は、第163条第2項、第3項の公示送達規定について、第三号施行日以後の公示送達にのみ新法を適用し、それ以前は従前の例によるとする。附則第3条は、第三号施行日から本体施行日前日までの間における第181条及び第186条の適用について、参照条文の読替えを置いている。
したがって、罰則については、「本体施行まで待てばよい」とはならず、6か月施行部分についての対応を先行して行う必要がある。
16 附則総論――施行期日、経過措置、見直し規定
16.1 施行期日(附則第1条)
改正法案により、法律の施行期日は、公布の日から起算して2年を超えない範囲内で政令で定める日とされる(附則第1条本文)。ただし、例外的に、附則第13条及び第16条は公布の日施行、附則第17条は民法等整備法の公布日又は本法公布日のいずれか遅い日施行、さらに罰則関係等の一部は公布後6か月施行とされる。
この構造から、事業者は「全部が2年後」と考えるのではなく、6か月先行施行部分と本体施行部分を分けて準備する必要がある。
16.2 政令委任(附則第13条)
附則第13条により、附則第二条から第十二条までに定めるもののほか、この法律の施行に関し必要な経過措置(罰則に関する経過措置を含む。)は、政令で定めるとされる。したがって、附則記載事項だけでは終わらず、今後の政令を確認する必要がある。
16.3 3年ごとの見直し規定(附則第14条)
附則第14条は、政府に対し、この法律の施行後3年ごとに、個人情報保護に関する国際的動向、情報通信技術の進展、新たな産業の創出及び発展状況等を勘案して、新個人情報保護法の施行状況を検討し、必要があれば所要の措置を講ずることを求めている。
ここは今回の法案全体を理解する上でも重要である。今回の改正で全てが確定するわけではなく、AI、子ども保護、生体情報、課徴金運用等は、今後の3年ごとの見直しの主要テーマとして再び俎上に載る可能性が高い。企業としては、新法対応を一度やれば終わりと考えるのではなく、継続的な見直しを前提とした情報ガバナンスを構築する必要がある。
16.4 令和2年改正法附則10条の修正(附則第16条)
附則第16条により、令和2年改正法附則第10条中の「ごとに」が「を目途として」に改められる。
この修正は、一見すると小さいが、法技術的には意味がある。旧附則10条は、3年ごとの見直しをより機械的に読める表現であったのに対し、「3年を目途として」とすることで、厳密な周期義務というより、一定期間ごとの制度評価と必要対応を柔軟に行う趣旨がやや前面に出る。他方で、今回の附則第14条ではなお「施行後3年ごとに」と規定されており、3年サイクルの継続的見直し思想そのものが後退したわけではない。むしろ、見直しの根拠規定を整理し直しつつ、制度レビューの継続性を維持する趣旨と理解すべきである。
16.5 統計法改正・民法等整備法関係(附則第15条、第17条)
附則第15条では、統計法第52条第4号中の引用条項が、第2条第9項から第10項へ修正される。これは定義規定の条ずれに対応する技術的改正である。
また、附則第17条では、民法等整備法の一部改正として、個人情報保護法第37条第3項及び第76条第2項に関する文言調整が行われる。これは成年後見制度関係法整備との整合をとるための改正である。
17 実務対応上のポイント
今回の改正法案を踏まえると、事業者が優先的に確認すべき領域は、少なくとも次の六つである。
- AI開発、分析、統計処理案件で、統計作成等特例に乗せる可能性があるもの。
- 顔認証、映像分析、生体認証を扱うもの。
- 子ども向け又は16歳未満利用者を含み得るサービス。
- オプトアウト提供、名簿流通、周辺データ流通、営業リスト利用。
- 受託処理、クラウド、BPO、分析委託。
- 違反による利益が事業収益に結び付く構造を持つ事業である。
契約面では、委託契約、共同研究契約、データ提供契約、利用規約、プライバシーポリシーを総点検すべきである。特に、統計作成等特例を使う場合には、目的限定、継続公表、第三者提供制限、再利用禁止、監査、国外移転時の相当措置等を明示的に落とし込む必要がある。受託処理では、誰が取扱方法を決定するのかを契約上明確にしなければ、第58条の2の整理に乗せにくい。
また、ポリシー面では、子ども向け説明、生体情報利用時の掲示、漏えい通知判断基準、オプトアウト提供先確認フローを整備する必要がある。さらに、停止請求対応や本人通知命令への即応も想定し、法務、情報セキュリティ、広報、事業部の連携体制を作るべきである。課徴金制度導入後は、個人情報コンプライアンスが単なる法務問題ではなく、経営上の財務リスク管理に直結する。
18 おわりに
今回の改正法案の全体像は、比較的明瞭である。
- 入口では、統計作成等という限定的な利活用ルートを法定する。
- その代わり、出口では、特定生体個人情報、未成年者情報、連絡可能個人関連情報、オプトアウト流通、悪質な第三者提供や不正取得に対して、停止請求、確認義務、命令、課徴金、罰則を強化する。
つまり、今回の改正は、使えるデータは使えるようにするが、その逸脱には従来よりはるかに重い責任を課す法改正である。しかも、附則第14条の3年ごとの見直し規定が示すとおり、これで終わりではなく、今後も制度見直しは継続する。したがって、現時点で重要なのは、法案成立を待って受け身で対応することではなく、自社のデータ取扱いを類型別に棚卸しし、どの改正条項とどの経過措置の影響を受けるのかを先に可視化することである。
以 上
[1] 『「個人情報の保護に関する法律等の一部を改正する法律案」の閣議決定について(令和8年4月7日)』(https://www.ppc.go.jp/news/press/2026/260407/)
[2] 『個人情報保護法 いわゆる3年ごと見直しに係る検討の中間整理(令和6年6月27日・個人情報保護委員会)』(https://www.ppc.go.jp/files/pdf/chukanseiri_honbun_r6.pdf)
[3] 『個人情報保護法のいわゆる3年ごと見直しに関する検討会報告書(令和6年12月25日)』(https://www.ppc.go.jp/files/pdf/minaoshi_kentokaihoukokusho_r6.pdf)
[4] 『個人情報保護法 いわゆる3年ごと見直しの制度改正方針(令和8年1月9日・個人情報保護委員会)』(https://www.ppc.go.jp/files/pdf/01-1_seidokaiseihousin.pdf)
