令和8年改正個人情報保護法案逐条解説(改訂版)(ニュースレター)
2026/04/20
個人情報保護法ニュース「令和8年改正個人情報保護法案逐条解説(改訂版)― 2026年4月7日閣議決定法案を踏まえた詳細解説 ―」をご案内させていただきます。このニュースレターは令和8年4月7日にお送りしたニュースレターの改訂版です。
本ニュースレターに関するご相談については下記にご連絡ください。
弁護士法人三宅法律事務所
弁護士渡邉雅之、弁護士越田晃基、弁護士岩田憲二郎、弁護士出沼成真(執筆者)
TEL 03-5288-1021 FAX 03-5288-1025
Email: m-watanabe@miyake.gr.jp
k-koshida@miyake.gr.jp
k-iwata@miyake.gr.jp
n-idenuma@miyake.gr.jp
― 2026年4月7日閣議決定法案を踏まえた詳細解説 ―
| 【目次】 1.はじめに 2.改正法案の全体構造 3.連絡可能個人関連情報――定義・規律・実務影響 4.統計作成等――定義・規律・実務影響 5.特定生体個人情報――定義・規律・実務影響 6.学術研究例外の再整理 7.本人同意例外の見直し 8.漏えい等発生時の本人通知義務の見直し 9.オプトアウト制度の引締め 10.委託を受けた事業者に関する規律 11.16歳未満の者の保護 12.命令体系の再設計 13.課徴金制度 14.罰則の強化 15.附則――施行期日・経過措置・見直し規定 16.実務対応上のポイント |
1 はじめに
2026年4月7日に閣議決定された「個人情報の保護に関する法律等の一部を改正する法律案」[1]は、個人情報保護法の個別論点をつまみ食い的に修正する改正ではない。令和2年改正法附則10条に基づく、いわゆる3年ごと見直しを受け、個人情報保護法の実体規律、本人関与、委託構造、監督命令、課徴金、罰則、さらに番号法及び次世代医療基盤法まで含めて、制度全体を組み替える改正である。個人情報保護委員会は、令和5年11月から見直し検討を開始し、令和6年6月の中間整理[2]、同年12月25日の検討会報告書[3]、令和8年1月9日の制度改正方針[4]を経て、今回の法案提出に至っている。
今回の見直しの背景には、二つの大きな流れがある。第一に、デジタル技術の高度化とAI開発の進展に伴い、個人情報を含むデータの利活用需要が急速に高まっていることである。第二に、その反面として、違法取得、名簿流通、本人の認識しにくい生体情報収集、子ども情報の不適切利用、違法な第三者提供等により、個人の権利利益が侵害されるリスクが高まっていることである。政府の「データ利活用制度の在り方に関する基本方針」でも、個人の権利利益を適切に保護しつつ、AI活用にも資する円滑なデータ連携を進める方向が示されている。今回の改正法案は、その制度的受け皿として位置付けられる。
重要なのは、この改正が単純な規制緩和でも単純な規制強化でもないことである。改正法案により、一方では、統計作成等に限定した新たなデータ利活用ルートが設けられ、公開されている要配慮個人情報の一定の取得や第三者提供が、厳格な条件の下で本人同意不要とされる。他方では、特定生体個人情報、16歳未満の者の個人情報、連絡可能個人関連情報、オプトアウト提供、悪質な第三者提供や不正取得については、本人関与、透明性、用途限定、執行、制裁の各面で従来より強い規律が導入される。すなわち、使えるデータは使えるようにするが、その逸脱や悪質利用には重い責任を課すというのが、今回の改正法案の基本思想である。
本ニュースレターでは、このような改正法案の全体像を踏まえ、各条文ごとに、その法的意味と実務上の影響をできる限り詳しく整理する。とりわけ、漏えい等発生時の本人通知義務の見直し、委託を受けた事業者に関する規律、命令・課徴金・罰則、附則・経過措置については、実務で迷いやすい点を意識して厚めに解説する。
2 改正法案の全体構造
改正法案により、個人情報保護法の章立て自体に大きな変化がある。第四章第二節の義務規定は「第十七条―第四十条」から「第十七条―第四十条の二」へと拡張され、匿名加工情報関係も「第四十三条―第四十六条の二」へと伸びる。また、第六章第二節「監督及び監視」の下に、第一目「報告及び立入検査」(第146条)、第二目「措置命令等」(第147条―第148条の2)、第三目「課徴金納付命令等」(第148条の3―第148条の17)、第四目「雑則」(第149条―第152条)が新設される。さらに、第八章罰則も「第176条―第186条」へと拡張される。
この構造から明らかなように、今回の改正は、定義や本人同意例外を修正するだけではない。実体規律の見直しと、執行・制裁の実効性確保とを一体で進める改正である。従来の個人情報保護法は、義務規定は細かいが、違反時の不利益付与や行政介入の機動性には限界があると理解されてきた。これに対し、改正法案により、個人情報保護委員会は、違反行為の是正だけでなく、本人に対する通知、公表その他の保護措置を命じることができ、さらに一定の悪質な違反行為については課徴金による利得剥奪を行うことができるようになる。
この意味で、今回の改正法案は、個人情報保護法を、単なる行為規制法から、経済的不利益と行政執行を通じて市場行動を修正する法へと一段進めるものと評価できる。
3 連絡可能個人関連情報――定義・規律・実務影響
3.1 個人関連情報との関係
連絡可能個人関連情報の理解にあたっては、まず、その上位概念である「個人関連情報」との関係を整理しておく必要がある。
個人関連情報(第2条第7項)とは、生存する個人に関する情報であって、個人情報、仮名加工情報、匿名加工情報のいずれにも該当しないものをいう(令和2年改正により導入、2022年4月施行)。個人情報が、氏名、生年月日その他の記述等や個人識別符号により特定の個人を識別できる情報であるのに対し、個人関連情報は、特定の個人を識別することまではできないが、特定の個人に関係する情報である。具体例としては、性別、年齢、職業等の属性情報、ウェブサイトの閲覧履歴、位置情報、Cookieや広告ID等により把握される行動履歴などがある。ただし、これらも他の情報と結び付いて特定の個人を識別できる場合には、個人情報に該当し得る。なお、統計情報は、特定の個人との対応関係が排斥されている限り、「個人に関する情報」ではなく、個人関連情報にも該当しない。
今回の改正法案の「連絡可能個人関連情報」は、この個人関連情報の中から、特定の個人に連絡し、又は情報を伝達することに使えるものを切り出して、特別に規律しようとするものである。
3.2 連絡可能個人関連情報の定義(第2条第8項)
改正法案により、第2条第8項に「連絡可能個人関連情報」が新設される。これは、個人関連情報のうち、以下の記述等が含まれるものをいう。
| ① 住所等(第1号):住居、勤務先その他の特定の個人が所在し、又は所在していた場所の所在地。ただし、郵便、信書便、電報の送達又は特定の個人への訪問に利用することができるものに限る。 ② 電話番号(第2号):特定の個人に対する電話又はFAX送信に利用することができるものに限る。 ③ 電子メールアドレス(第3号):特定の個人に対する電子メール送信に利用することができるものに限る。 ④ 電気通信設備利用者等を識別する符号(第4号):電気通信設備を利用する者又は電気通信設備を識別することができるように付された符号であって、特定の個人に対する電気通信を利用した情報の伝達に利用することができるものに限る。 ⑤ その他委員会規則で定める記述等(第5号):特定の個人に対する連絡その他の情報の伝達に利用することができるものとして、個人情報保護委員会規則で定めるもの。 |
しかも、これらの記述等が直接含まれていなくても、他の情報と容易に照合することができ、それによりこれらの記述等を特定することができるものも含まれる。
この定義は、「個人情報」そのものではなく、「個人関連情報」の一類型として切り出されている。したがって、直ちに「個人情報」と同じ規律を全面的にかけるのではなく、個人関連情報のうち特に危険性の高いものを切り出した構造である。危険性の中心は、識別そのものではなく、接触・勧誘・送信・訪問・追跡の導線になることにある。この定義は、識別可能性から接触可能性への視点の転換を示すものといえる。
第4号の「電気通信設備を識別する符号」は、オンライン上で個人に情報を届けるための識別子を意識した規定といえる。条文上はCookieや広告IDを明示していないが、今後の下位法令やガイドラインにより相当程度広がる可能性がある。なお、「個人情報保護法等の一部を改正する法律案について」(参照資料)14頁においては、特定の個人に対して何らかの連絡を行うことができる記述等の例示として「Cookie ID」が挙げられている。
また、「容易に照合できるものを含む」との文言により、形式的には住所や電話番号そのものが書かれていなくても、すぐに照合して本人への連絡手段を割り出せる情報であれば対象に含まれる。形式的非該当ではなく、実質的に連絡先を割り出せるかが見られる。
3.3 連絡可能個人関連情報に適用される規律
(1) 現行法上の個人関連情報規律(第31条)
連絡可能個人関連情報には、まず前提として、現行法上の個人関連情報の第三者提供規律(第31条)が及ぶ場面がある。個人関連情報取扱事業者が個人関連情報を第三者に提供し、提供先がこれを個人データとして取得することが想定される場合には、本人同意の確認等が必要となる。この規律は今回の改正で初めて入るものではなく、令和2年改正法(2022年4月1日施行)により導入された現行法上の規律である。
(2) 不適正利用・不正取得の禁止(第31条の2)
改正法案により、個人関連情報取扱事業者は、違法又は不当な行為を助長し、又は誘発するおそれがある方法により連絡可能個人関連情報を利用してはならず、また、偽りその他不正の手段により連絡可能個人関連情報を取得してはならない。さらに、この趣旨の規律は、一定の仮名加工情報及び匿名加工情報にも準用される。
この規定の意味は、法の保護対象が「個人情報そのもの」から、「個人に到達し、被害を生じさせる導線情報」にまで広がったことにある。
(3) 統計作成等目的の第三者提供特例(第31条の3)
第三者が統計作成等を行う目的で取り扱う必要がある場合には、所定の条件の下で、個人関連情報取扱事業者による提供ルートが設けられる。
(4) 監督・執行の対象
これらの違反行為については、個人情報保護委員会による勧告・命令(第148条)や、違反行為を補助する第三者への要請(第148条の2)の対象となり得る。
3.4 連絡可能個人関連情報にそのままでは直ちに及ばない規律
他方、連絡可能個人関連情報は、個人情報・個人データと同じ規律が全面適用される情報類型ではない点にも注意が必要である。
利用目的規制(第17条・第18条)、要配慮個人情報の取得規制(第20条第2項)、漏えい等報告・本人通知(第26条)、第三者提供規制・オプトアウト規制(第27条~第29条)、保有個人データに関する開示・訂正・利用停止等(第33条~第40条)は、いずれも個人情報又は個人データを前提とする規律であり、連絡可能個人関連情報に当然にそのまま及ぶわけではない。連絡可能個人関連情報は、まずは個人関連情報としての位置付けを前提に、第31条の2を中核として整理するのが基本である。
3.5 実務上の影響
実務上は、営業リスト、顧客接点データベース、広告・マーケティング情報、オンライン識別子、デバイス識別子等との関係が問題となる。電話番号、メールアドレス、所在地等を含むリストは、今後、単に「個人情報ではない」「個人関連情報にすぎない」として自由に取得・利用・提供する整理がしにくくなる。送客ビジネス・名簿流通についても、連絡先情報を用いて第三者が本人に接触できるようにするビジネスは、違法又は不当な行為を助長・誘発するおそれがないかを強く問われることになる。スクレイピングや外部取得データの利用についても、公開情報から収集した連絡先情報であっても、それが特定の個人への連絡や情報伝達に使えるものであれば、利用や取得の適法性を慎重に検討する必要がある。Cookie、広告ID、端末識別子、アカウント識別子等についても、個人に情報を届けたり接触したりするための導線となる場合には、今後の委員会規則や解釈次第で射程に入る可能性がある。
データ購入契約、送客契約、マーケティング委託契約、プライバシーポリシー、営業部門の利用ルール等について、連絡先情報の取得・利用・提供の整理を見直す必要がある。実務上は、「連絡先だから軽い情報」ではなく、「本人に到達できるから危険性が高い情報」として管理する発想への転換が必要になる。
4 統計作成等――定義・規律・実務影響
4.1 統計作成等の定義(第2条第13項)
改正法案により、第2条第13項に「統計作成等」が新設される。これは、統計の作成その他の方法により、大量の情報から、その情報を構成する要素に係る情報を抽出し、分類、比較その他の解析を行って、当該大量の情報の傾向又は性質に係る情報を作成する行為をいう。ただし、そこで作成されるものは、個人に関する情報であるものを除く。さらに、その中でも、個人の権利利益を害するおそれが少ないものとして委員会規則で定めるものに限られる。
条文構造としては、①大量情報を対象とすること、②要素情報の抽出・分類・比較・解析を行うこと、③傾向又は性質に係る情報を作成すること、④個人に関する情報を作成しないこと、⑤権利利益侵害のおそれが少ないこと、の5段階で絞り込む定義と整理できる。
4.2 定義のポイント
「大量の情報」という要件があるため、個別人についての単発的判断ではなく、多数のデータを前提とした分析が想定されている。「傾向又は性質に係る情報」という文言から、出力結果は一般的・集団的・類型的な分析結果であることが予定されている。「個人に関する情報であるものを除く」とされているため、個人ごとのスコア、個人別推薦、特定個人向けの判断結果のような出力は、そのままでは入りにくい。さらに、最終的な範囲は委員会規則に委ねられており、条文だけで無制限に広く読める概念ではない。
政策的には、ここにAI開発が強く意識されている。制度改正方針や政府のデータ利活用政策では、統計作成等に整理できるAI開発等の円滑化が明示されている。他方で、条文上は、あくまで「個人に関する情報」を作成するものではないことが前提とされているため、個人に対する推論、スコアリング、レコメンド、広告配信、本人への再接続等まで当然に含むとはいえない。したがって、実務上は、どこまでが統計作成等に収まり、どこからが個人に関する分析利用に転ずるのかが最大の論点になる。
4.3 統計作成等に直ちには該当しないもの
以下の行為は、統計作成等に直ちには該当しにくいと整理される。第一に、個人ごとのスコアリングである。第二に、個人別レコメンド・個人別広告配信である。第三に、本人再識別や本人再接続を予定した分析である。第四に、統計作成等の名目を借りた営業利用である。名称が「統計」や「AI学習」であっても、実際には個人向け営業、勧誘、選別に使うのであれば、統計作成等には収まりにくい。要するに、「統計」や「AI」という名称ではなく、出力が個人に戻るかどうかが線引きになる。
4.4 統計作成等に適用される規律
(1) 公開要配慮個人情報の取得特例(第30条の2第1項)
個人情報取扱事業者は、統計作成等目的又は第30条の2第5項の提供目的で、現に公開されている要配慮個人情報を取り扱う必要がある場合で、かつ、事業者名、取得した要配慮個人情報を用いて行おうとする統計作成等の内容又は提供目的その他必要事項を公表しているときは、第20条第2項にかかわらず、本人同意なく取得することができる。
これは本法案の利活用面で最大の転換である。ただし、「公開情報だから自由に使ってよい」という発想ではない。要配慮性はなお重く見つつ、統計作成等という限定的で、個人との再接続を予定しない利用に限り、透明性を条件に許容する制度である。
(2) 継続公表義務・変更公表義務(第30条の2第2項・第3項)
特例取得者は、その情報を取り扱っている期間、必要事項を継続して公表しなければならず、内容変更時には原則としてあらかじめ変更内容を公表しなければならない。公表事項としては、データ源、対象情報、統計作成等の内容、第三者提供の有無、問い合わせ窓口等を、相当程度明確に公表する必要がある。この特例の本質は、本人同意不要という一点ではなく、継続的透明性にある。
(3) 目的外利用禁止・第三者提供禁止(第30条の2第4項以下)
特例取得された要配慮個人情報等については、原則として、公表された統計作成等の内容又は提供目的を実現するために必要な範囲を超えて取り扱ってはならず、また、一定の場合を除き、第三者に提供してはならない。ただし、法定の提供ルートに基づく場合、たとえば統計作成等目的の第三者提供特例(第30条の2第5項、第31条の3)に該当するときは、例外的に第三者提供が認められる。AI学習や統計分析を理由に取得したデータを、その後マーケティング、営業、雇用判断、与信判断等に回すことは、制度趣旨と整合しない。さらに、特例に違反して目的外利用や第三者提供をした場合は、課徴金対象行為となり得る。
(4) 第三者提供特例(第30条の2第5項、第31条の3)
個人情報取扱事業者又は個人関連情報取扱事業者は、第三者が統計作成等を行う目的で取り扱う必要がある場合で、提供元、提供先双方が統計作成等の内容等を公表し、かつその提供が法定特例に基づくことを契約等で明確にしているときは、一定の個人情報又は個人関連情報を提供することができる。この制度は、共同研究、AI開発受託、業界横断分析、グループ横断統計等に新たな法的ルートを与える。ただし、条件は重く、これは自由化ではなく、高透明・高拘束型の利活用ルートである。
(5) 課徴金との接続
統計作成等特例に基づき取得した個人情報を、特例に違反して目的外利用又は第三者提供する行為等は、課徴金対象行為に含まれる。すなわち、利活用の入口を広げる代わりに、その逸脱には経済的制裁を伴う強い担保を置く構造である。
4.5 実務上の影響
AI開発案件の整理が必要になる。AI学習やモデル開発を「統計作成等」に乗せられるかどうかは、出力結果が個人に戻らないか、権利利益侵害のおそれが少ないかで判断する必要がある。公開要配慮個人情報の利用案件には新ルートができるが、その分、公表、目的限定、再提供禁止等の統制が必要になる。データ共有・共同研究・受託分析の契約実務も重くなり、提供元・提供先双方の公表、統計作成等目的であることの明確化、目的外利用禁止、第三者提供禁止などを契約に落とし込む必要がある。特例利用はむしろ重い運用を伴い、アクセス制御、ログ管理、再利用禁止、監査、目的逸脱防止が重要になり、違反時は課徴金リスクにもつながる。
5 特定生体個人情報――定義・規律・実務影響
5.1 特定生体個人情報の定義(第16条第5項)
改正法案により、第16条第5項に「特定生体個人情報」が新設される。これは、特定生体個人識別符号が含まれる個人情報をいう。ここでいう特定生体個人識別符号とは、個人識別符号(第2条第2項第1号)のうち、①特別の技術又は多額の費用を要しない方法により取得することができる身体の一部の特徴に係る情報であり、②当該情報が取得されていることを本人が容易に認識することができないものとして政令で定めるものを、③変換したものをいう。
条文構造としては、①身体の一部の特徴に係る情報であること、②比較的容易に取得可能であること、③本人が容易に認識できない形で取得されること、④それを変換した識別符号であること、⑤その符号が含まれる個人情報であること、の5段階で捉えることができる。中心的に想定されているのは、顔特徴データ等である。
5.2 定義のポイント
ここで問題とされているのは、生体情報一般ではなく、本人が知らないうちに、比較的容易に取得され、識別・追跡・照合に使われ得る情報である。こうした情報は、一度収集・流通すると、本人が変更することが極めて困難であり、監視、排除、差別に結び付きやすい。条文は、元の身体特徴情報そのものではなく、それを変換した識別符号に着目しているが、規律対象はその符号を含む個人情報である。
この定義の法的意味は、「見えにくく集められる顔特徴データ等は、通常の個人情報よりも強い人格的・監視的リスクを持つ」という評価を、法律上明示した点にある。
5.3 特定生体個人情報に適用される規律
(1) 取扱いに際しての周知義務(第21条の2)
個人情報取扱事業者は、特定生体個人情報を取り扱うに当たり、原則として、氏名又は名称、住所、代表者氏名、特定生体個人情報を取り扱うこと、利用目的、身体の一部の特徴に係る情報の内容、開示等請求手続等を、あらかじめ本人に通知し、又は本人が容易に知り得る状態に置かなければならない。
ここで注目すべきは、単に利用目的だけでなく、どのような身体特徴情報を扱うかまで周知事項に含まれている点である。顔認証、防犯カメラ連携分析、来店者属性把握、出入管理、本人確認等の現場では、「顔認証を使っています」と抽象的に掲示するだけでは足りず、扱う情報の性質と利用目的が本人に分かる程度の周知が必要となる。
(2) オプトアウト第三者提供の禁止(第27条第2項)
オプトアウト制度によって第三者提供できる個人データから、特定生体個人情報が明示的に除外される。特定生体個人情報は、本人が変更困難であり、識別、追跡、監視に直結する。そのような情報が、本人関与の弱いオプトアウト制度により流通することは、改正法案の考え方と整合しない。本人同意又は法定例外による場合に限って第三者提供を認める方向が、明確に法文化された。名簿事業者やデータブローカーが顔特徴データを扱う余地は大きく狭まる。
(3) 利用停止等請求権の拡張(第35条第7項・第8項)
本人は、自己が識別される特定生体個人情報が取り扱われているときは、一定の場合を除き、利用停止等又は第三者提供停止を請求することができる。事業者は、その請求に理由があることが判明したときは、遅滞なく利用停止等又は提供停止を行わなければならない。適法に取得、利用していても、本人が継続利用を望まない場合に停止を求める余地が広く認められる点で、従来の利用停止請求の性格を一段広げるものである。企業としては、導入時の適法性だけでは足りず、停止請求にどのように応答するかまで含めて運用設計する必要がある。
(4) 経過措置(附則第4条)
附則第4条第1項により、施行日前に第21条の2第1項各号に掲げる事項に相当する事項が本人に通知されているときは、その通知は新法上の通知とみなされる。さらに、附則第4条第2項により、施行日前になされた特定生体個人識別符号に相当する符号の作成又は特定生体個人情報に相当する情報の取得に関する同意が、改正後第35条第7項第1号又は第2号の同意に相当するものであるときは、新法上の同意があったものとみなされる。したがって、顔認証等を既に運用している事業者は、既存の通知や同意が新法の要求水準を満たしているかを、施行前に点検する必要がある。
5.4 特定生体個人情報にそのままでは直ちに及ばない規律
特定生体個人情報は、要配慮個人情報という類型ではなく、別建ての特別規律として導入される。したがって、要配慮個人情報と全く同じ条文構造で一律に処理するのではなく、第21条の2、第27条第2項、第35条第7項・第8項の特則で見る必要がある。また、定義の新設だけで取得それ自体を一律に禁止するものではなく、問題は取得後・取扱時の周知、第三者提供、停止請求への対応にある。さらに、オプトアウト提供は禁止するが、あらゆる取扱いを常に本人同意必須とする構造にはしていない。匿名加工情報や仮名加工情報のルールに吸収するのでもなく、あくまで生体識別性と認識困難性に着目した別個の規律である。
5.5 実務上の影響
顔認証システム、防犯カメラ連携分析を運用している事業者は、掲示、プライバシーポリシー、説明資料が第21条の2の周知水準を満たすかを点検する必要がある。データブローカー・名簿流通型ビジネスでは、顔特徴データ等をオプトアウトで第三者提供することはできなくなるため、本人同意又は法定例外の整理なしに流通させるモデルは極めて難しくなる。停止請求対応フローの整備も必要となり、法務・情報システム・現場部門が連携した停止請求対応フローを整える必要がある。既存運用の棚卸しとして、附則第4条により既存通知・既存同意のみなしがあり得るが、既存の通知文言や同意取得方法が新法水準を満たしているかは再評価が必要である。
6 学術研究例外の再整理(第20条第2項第6号、第27条第1項第6号、第16条第9項)
6.1 現行法の出発点
現行法でも、学術研究機関等と共同して学術研究を行う場合などには、一定の要件の下で、要配慮個人情報の取得(第20条第2項第6号)や第三者提供(第27条第1項第6号)について例外が認められている。もっとも、現行法の条文構造だけでは、大学、病院、企業が関与する共同研究案件を、どの例外に整理するのかが必ずしも分かりやすくなかった。
6.2 改正で明確になること
改正法案では、「学術研究機関等」(第16条第9項)に、大学等だけでなく、病院その他の医療の提供を目的とする機関又は団体を含める方向が示されている。その上で、要配慮個人情報取得・第三者提供に関する学術研究例外を、学術研究機関等と共同して学術研究を行う場合を中心に、実務上分かりやすく整理する方向が示されている。
もっとも、改正の趣旨は、学術研究名義で広くデータ流通を認めることではなく、共同研究として説明できる案件を明確化することにある。研究と無関係な営業利用や事業利用への転用は、この例外で正当化されるものではない。
6.3 実務上の影響
企業、大学、病院間の共同研究契約では、研究目的、共同性、成果物の帰属、利用範囲、再提供禁止、安全管理等を、これまで以上に明確にする必要がある。形式的に「共同研究契約」としていても、実質が営業目的・商品開発目的・顧客勧誘目的であれば、学術研究例外に乗るとは言いにくい。名称ではなく、実質的に共同して学術研究を行っているかが問われる。
7 本人同意例外の見直し
7.1 全体像
今回の改正では、本人同意の例外が、①生命・身体・財産保護、公衆衛生等の場面、②本人の意思に反しないことが明らかな場面、③学術研究の場面、で見直される。見直しの対象は、利用目的外利用(第18条第3項)、要配慮個人情報の取得(第20条第2項)、第三者提供(第27条第1項)の3場面である。
7.2 生命・身体・財産保護、公衆衛生等の例外拡張(第18条第3項第2号・第3号、第20条第2項第2号・第3号、第27条第1項第2号・第3号)
改正法案により、従来の「本人の同意を得ることが困難であるとき」に加え、本人の同意を得ないことについて相当の理由があるときが追加される。
従来の「困難」要件は、本人に連絡できない、時間的余裕がない、本人に判断能力がないといった場合を中心に理解されやすかった。しかし、公衆衛生、児童保護、災害対応、救急医療等の場面では、本人に接触可能であっても、本人同意を法的条件とすること自体が不適切又は公益保護に反する場合がある。改正法案は、困難性だけでなく、本人同意に依拠しないことに相当性がある場合まで例外を広げている。
もっとも、「相当の理由」は開かれた概念であり、実務上は、公益性、緊急性、代替手段の有無、本人不利益の程度、事後説明可能性等を踏まえた記録化が重要になる。
7.3 「本人の意思に反しないことが明らかな場合」の新設(第18条第3項第7号、第20条第2項第7号、第27条第1項第8号)
改正法案により、本人との間の契約の履行のために必要やむを得ないことが明らかな場合その他、取得の状況からみて本人の意思に反しないため本人の権利利益を害しないことが明らかな場合として委員会規則で定める場合が、新たな同意例外として追加される。
基準は事業者の都合ではなく、取得場面や取引関係に照らした本人の合理的期待である。具体的には、ホテル予約サイトから宿泊施設への予約者情報の提供、金融機関による海外送金のための送金先金融機関への情報提供などが想定されている。他方、包括利用規約の片隅に書いてある程度で「明らか」とはいえない。
また、16歳未満の者については、第40条の2による読替えが入るため、本人ではなく法定代理人との契約関係等から判断する必要がある。附則第5条により、施行日前に法定代理人がした同意や、旧法に基づき本人がした同意が、新法上の法定代理人同意に相当する場合には、みなし規定が適用される。
7.4 実務上の影響
改正後は、「同意がないから止める」から、「例外に当たるかを説明できるか」で判断する実務へ進む。同意を取らない判断をする以上、なぜ例外に当たるのかを、公益性、必要性、本人期待、代替手段の有無などの観点から記録しておく必要がある。
8 漏えい等発生時の本人通知義務の見直し(第26条第2項)
改正法案により、第26条第2項は、漏えい等が発生した場合の本人通知義務について、現行法よりもリスクに応じた柔軟な運用を可能にする方向で見直される。改正法案では、本人への通知が困難な場合に加え、本人への通知が行われなくても本人の権利利益の保護に欠けるおそれが少ない場合として個人情報保護委員会規則で定める場合にも、本人の権利利益を保護するため必要なこれに代わるべき措置をとることにより、本人通知を省略することができる。
もっとも、「通知しなくてもよい場合」が広く認められるわけではない。法文上も、本人通知が省略できるのは、本人の権利利益の保護に欠けるおそれが少ない場合に限られる。実務では、少なくとも、①漏えい等の対象となった情報の性質、②その情報単体で本人に生じ得る不利益、③他の情報と照合されることによる危険性、④漏えい先又は誤送付先の属性、⑤既に回収、削除、アクセス遮断等の措置がとられているか、⑥本人に注意喚起を行わないことによって追加的不利益が生じるか、といった観点から、「本人通知がなくても本人保護に実質的な欠缺が生じない」と説明できることが必要になる。
実務対応としては、インシデント対応フローの中に、本人通知要否の評価プロセスを明確に組み込むことが必要である。通知を省略する場合には、その判断理由を後から説明できるよう、リスク評価メモ又は判断記録を残すことが重要である。なお、附則には特段のみなし規定は置かれておらず、施行日以後に発生する漏えい等事案について新たな評価基準が適用される。
9 オプトアウト制度の引締め
9.1 提供先確認義務(第27条第7項)
オプトアウト制度に基づいて個人データを第三者に提供するときは、提供元事業者は、原則として、提供先第三者の氏名又は名称、住所、代表者氏名及び提供先における当該個人データの利用目的を、あらかじめ確認しなければならない。改正法案は、誰に流すのかを見ないオプトアウト提供は認めないという方向を明確にしている。
9.2 虚偽回答禁止(第27条第8項)と過料(第186条第1号)
確認を求められた第三者は、その確認事項について偽ってはならない。この義務違反は、第186条第1号により10万円以下の過料の対象となる。なお、この過料規定は、附則第1条第3号により、公布の日から起算して6か月を経過した日に先行施行される部分に含まれる。
9.3 提供記録への反映(第29条第1項)
第三者提供記録には、通常の提供年月日、提供先氏名等に加え、第27条第7項第2号の利用目的確認事項も記録事項として加わる。確認と記録はセットである。
10 委託を受けた事業者に関する規律(第30条の3、第58条の2)
10.1 改正の基本構造
改正法案により、委託を受けた事業者に関する規律は、従来よりもかなり明確かつ立体的になる。ポイントは、委託先自身に対する範囲外利用禁止の明文化と、機械的・受動的な受託処理についての規律合理化とを、セットで導入している点にある。委託先がどこまで自ら取扱いの方法を決定しているかという実態に応じて、規律を組み分ける発想である。
10.2 委託先自身に対する範囲外利用禁止(第30条の3)
第30条の3が新設され、委託を受けた個人情報取扱事業者は、原則として、委託を受けた業務の遂行に必要な範囲を超えて取り扱ってはならない。従来はガイドライン上の整理であったものが、改正法案では委託先自身に対する法律上の直接義務となる。
この変更の背景には、クラウドサービス、SaaS、BPO、AI開発受託、データ加工受託等において、委託先が大量の個人情報を実質的に取り扱う独立した事業主体となっており、受託データを分析、品質改善、学習、別サービス開発等に独自利用する事案が問題化してきたことがある。
もっとも、第30条の3は絶対的禁止ではなく、法令に基づく場合や人命救助・災害救援等の限定的例外がある。ただし、委託先の独自分析、モデル改善、品質向上、商品開発等は、通常はこの例外に入らない。
10.3 機械的・受動的受託処理への適用調整(第58条の2)
第58条の2が新設され、委託契約において取扱方法として委員会規則で定める事項等が定められており、その取扱いが委託業務遂行に必要な範囲内で契約どおりに行われるときは、法律の一部規定を適用しないとする。典型例は、委託元の詳細な指示に従って機械的にデータ入力や印字、発送、スキャン、変換等を行うだけの受託者である。
ただし、自動的に広く適用除外を認めるものではなく、単なる秘密保持条項だけでは足りない。漏えい等が生じたときの委託元への速やかな報告、委託元が取扱状況を把握するために必要な措置なども契約事項に含まれることが予定されている。
10.4 「クラウド例外」との関係
個人情報保護委員会Q&Aで認められている「クラウド例外」は、改正法案により当然に消滅するわけではないが、改正法案は、クラウド提供者が本当に”取り扱わない”のか、どこまでが機械的・受動的処理なのかを、より厳密に問う方向に働くと理解すべきである。特に、SaaS、生成AI連携、ログ解析、保守運用、学習利用が絡む場合には、従来より慎重な分析が必要になる。
10.5 委託実務への影響と経過措置
委託元にとっては、委託先が単なる機械的受託者か独自に処理方法を決定する主体かを見極めなければならない。委託先にとっては、受託データの利用範囲を曖昧にしたまま「サービス改善」「AI学習」等に使うことは困難になる。
経過措置について、個別のみなし規定は附則に置かれていないため、第30条の3及び第58条の2は基本的に施行日以後の委託関係、継続処理に対して適用される。既存委託契約の棚卸しと更新・変更対応が重要になる。
11 16歳未満の者の保護
11.1 利用停止等請求権の拡張(第35条第9項・第10項)
16歳未満の本人については、事業の適正な実施に著しい支障がある場合など法の定める例外を除き、保有個人データの利用停止等又は第三者提供停止を請求することができる。未成年者保護を、単なる親権者同意の問題にとどめず、事後的に利用から離脱できる権利として構成している点に特色がある。
11.2 法定代理人への読替え(第40条の2)
16歳未満の者の個人情報等の取扱いについては、原則として、同意取得、通知、開示等請求、利用停止等請求その他の本人関与場面において「本人」を「本人の法定代理人」と読み替える。従来Q&Aレベルで運用されてきた未成年者対応が法律上に引き上げられる。
実務上は、利用規約、プライバシーポリシー、同意取得画面、問い合わせ窓口、開示等請求フロー、利用停止等請求フローを法定代理人対応前提で再設計する必要がある。オンラインサービスでは、年齢把握をどこまで求めるのか、正当な理由ある不知の場合をどう扱うのか、年齢確認のための過剰取得をどう防ぐのかが大きな論点となる。
11.3 最善の利益の責務規定(第58条の3)
個人情報取扱事業者等は、16歳未満の者の個人情報等を取り扱うに当たり、本人の最善の利益を優先して考慮しなければならない。ダークパターン、長時間利用設計、依存誘発、過剰課金誘導、偏った推薦アルゴリズム等に対して、今後の解釈指針となり得る。
11.4 経過措置(附則第5条・第6条)
附則第5条により、施行日前になされた法定代理人による同意が新法上の法定代理人同意に相当する場合にはみなし規定が適用される。また、施行日前に旧法に基づき本人がした同意についても、読替え後の法定代理人同意に相当する場合には同様である。附則第6条は、施行日前の法定代理人通知や本人通知についてもみなし規定を置いている。子ども向けサービスや未成年利用者を含み得るサービスでは、既取得同意や既通知の再評価が実務上不可欠となる。
11.5 番号法・次世代医療基盤法への波及
番号法や次世代医療基盤法についても、法定代理人への読替えや同趣旨の通知、同意規律が整備される。附則第9条から第12条により、施行前の法定代理人同意や本人通知を新法上の同意、通知とみなす経過措置が置かれている。
12 命令体系の再設計(第148条、第148条の2)
12.1 是正命令から本人保護命令へ(第148条)
個人情報保護委員会の勧告、命令の内容が、単なる違反行為の是正にとどまらず、本人に対する違反行為に係る事実の通知又は公表その他本人の権利利益の保護のために必要な措置にまで拡張される。違法な第三者提供や大規模な不正利用があった場合、どの本人に、どのような内容を、いつまでに通知すべきかまで、行政命令の対象となり得る。命令要件についても、重大な権利利益侵害が切迫する前の段階でも、より迅速に措置をとることを可能にする方向にある。
12.2 違反補助者への要請(第148条の2)
違反行為を補助等する第三者に対して、当該違反行為の中止のために必要な措置等をとるよう要請することができる。ホスティング事業者、クラウド事業者、プラットフォーム事業者等が想定される。もっとも「要請」であり、応じる義務の範囲や民事責任との関係はなお運用論点として残る。
12.3 経過措置(附則第7条)
改正後第148条第1項から第3項までの規定は、施行日以後に行われた新法違反行為について適用され、施行日前の旧法違反行為については従前の例による。
13 課徴金制度(第148条の3~第148条の17)
13.1 課徴金制度導入の意味
第148条の3から第148条の17までが新設され、課徴金制度が導入される。これは今回の改正の最大の転換点である。改正法案は、違反行為又は違反行為をやめることの対価として得た財産的利益等を吐き出させる制度を設ける。この制度の狙いは、違反して儲けることができる構造そのものを断つことにある。課徴金は、すべての法違反に広くかかるのではなく、剥奪すべき違法な収益が観念できる違反類型に重点化されている。
13.2 課徴金対象行為(第148条の4関係)
課徴金対象行為は、悪質性と経済的誘因が明確な行為類型に限定される。
①法第19条違反たる不適正利用のうち、違法な行為又は不当な差別的取扱いを行うことが想定される第三者に対する提供等
②法第20条第1項に違反する不正取得・利用
③法第27条第1項に違反する違法な第三者提供
④統計作成等特例に違反する目的外利用又は第三者提供等
安全管理措置義務違反一般は課徴金対象の中心には置かれていない。これは、経済的誘因をもって意図的又は重大過失的に個人情報を利用、提供する行為に対象を絞る設計である。
13.3 課徴金納付命令の成立要件(第148条の3、第148条の5関係)
課徴金は対象行為に当たれば当然に課されるわけではなく、以下の三要件が積み重なる。
第一の要件は、相当の注意を怠ったことである。当該事業者が対象行為を防止するための相当の注意を怠った者でないと認められる場合には、課徴金対象から外れる余地がある。課徴金は単なる結果責任ではなく、防止努力の欠如を要件としている。実務上は、審査体制、契約統制、アクセス制御、教育・監査、目的外利用防止措置などが重要な要素になり得る。
第二の要件は、本人の数が1,000人を超えることである。少数・局所的な違反まで直ちに対象とする制度ではない。
第三の要件は、権利利益侵害の程度が大きくない場合に当たらないことである。形式的違反や軽微な侵害ではなく、実害性又は高い危険性を伴う事案に絞る構造である。
これら三要件により、課徴金制度は、悪質で、規模があり、かつ権利利益侵害が無視できない事案に重点化されている。
13.4 課徴金額
課徴金額は、対象行為又は対象行為をやめることの対価として得た金銭等の財産上の利益に相当する額とされる。売上高連動の一定率課徴ではなく、利得剥奪型の発想が採られている。
13.5 統計作成等特例違反が課徴金対象に含まれる意味
統計作成等特例に基づき取得した個人情報を、特例に違反して目的外利用又は第三者提供する行為等が課徴金対象に含まれている。データ利活用のために新たな特例を認める一方で、その特例を逸脱した場合には課徴金を伴う悪質行為として扱う。企業がこの特例を使う場合には、通常案件以上に厳格な実装が必要となる。
13.6 実務への影響
課徴金制度の導入により、個人情報保護法違反は財務リスク・経営リスクの問題になる。個人情報の取扱いは、現場任せではなく、経営管理・内部統制のテーマとして扱う必要がある。企業は、防止体制の整備と説明可能性を確保する必要がある。データ販売、広告配信、送客、共同利用、委託、共同研究、AI学習・分析案件については、従来以上に慎重な事前審査が必要になる。
13.7 経過措置(附則第8条)
改正後の課徴金規定は、施行日以後に行われた課徴金対象行為について適用される。施行前行為へ遡及して適用されるものではないが、施行後も同じスキームを継続していれば、その継続行為部分は対象になり得る。
14 罰則の強化(第176条、第178条~第180条、第186条)
14.1 全体像
罰則は具体的に見直される。法定刑が引き上げられ、懲役から拘禁刑への整理も含まれる。新たな犯罪類型として不正取得罪が新設される。「不正な利益を図る目的」だけでなく、「損害を加える目的」も処罰対象に加えられる。
14.2 行政機関等の職員による秘密情報提供(第176条)
改正前の法定刑は2年以下の懲役又は100万円以下の罰金であったが、改正後は3年以下の拘禁刑又は200万円以下の罰金となる。
14.3 個人情報取扱事業者等による不正提供等(第178条)
「本人その他の者に損害を加える目的」が新たに追加される。報復、嫌がらせ、脅迫、ストーカー的流出、差別的流通等、金銭目的ではないが悪質な提供行為もカバーされる。法定刑は、改正前の1年以下の懲役又は50万円以下の罰金から、3年以下の拘禁刑又は500万円以下の罰金へと大幅に引き上げられる。
14.4 行政機関等の職員等による不正提供等(第179条)
第178条と同様に加害目的が追加され、法定刑も3年以下の拘禁刑又は500万円以下の罰金となる。
14.5 不正取得罪の新設(第180条)
自己若しくは第三者の不正な利益を図る目的で、又は本人、個人情報を保有する者その他の者に損害を加える目的で、人を欺き、人に暴行を加え、若しくは人を脅迫する行為により、又は個人情報を保有する者の管理を害する行為により、個人情報を取得した者を処罰する。法定刑は1年以下の拘禁刑又は100万円以下の罰金である。
実務上特に注意すべきは、「個人情報を保有する者の管理を害する行為」という文言である。アクセス制御の回避、認証手続の潜脱、業務用端末の不正利用、権限逸脱的取得、システム上の脆弱性悪用等まで射程に入る可能性がある。
14.6 虚偽回答等に対する過料(第186条第1号)
オプトアウト提供に際して確認を求められた第三者が確認事項について偽った場合に、10万円以下の過料が科される。
14.7 先行施行と経過措置(附則第1条第3号、第2条、第3条)
罰則関係の改正の相当部分は、公布の日から起算して6か月を経過した日に施行される。「本体施行まで待てばよい」とはならず、6か月施行部分についての対応を先行して行う必要がある。
15 附則――施行期日・経過措置・見直し規定
15.1 施行期日(附則第1条)
法律の施行期日は、公布の日から起算して2年を超えない範囲内で政令で定める日とされる。ただし、附則第13条及び第16条は公布の日施行、罰則関係等の一部は公布後6か月施行とされる。事業者は6か月先行施行部分と本体施行部分を分けて準備する必要がある。
15.2 政令委任(附則第13条)
附則に定めるもののほか、施行に関し必要な経過措置は政令で定める。今後の政令を確認する必要がある。
15.3 3年ごとの見直し規定(附則第14条)
政府に対し、施行後3年ごとに施行状況を検討し、必要があれば所要の措置を講ずることが求められる。AI、子ども保護、生体情報、課徴金運用等は、今後の見直しの主要テーマとなり得る。企業は継続的な見直しを前提とした情報ガバナンスを構築する必要がある。
15.4 令和2年改正法附則10条の修正(附則第16条)
令和2年改正法附則第10条中の「ごとに」が「を目途として」に改められる。3年サイクルの継続的見直し思想そのものが後退したわけではない。
15.5 統計法改正・民法等整備法関係(附則第15条、第17条)
技術的改正として、統計法の引用条項修正及び民法等整備法の文言調整が行われる。
16 実務対応上のポイント
今回の改正法案を踏まえると、事業者が優先的に確認すべき領域は、少なくとも次の六つである。
①AI開発、分析、統計処理案件で、統計作成等特例に乗せる可能性があるもの
②顔認証、映像分析、生体認証を扱うもの
③子ども向け又は16歳未満利用者を含み得るサービス
④オプトアウト提供、名簿流通、周辺データ流通、営業リスト利用
⑤受託処理、クラウド、BPO、分析委託
⑥違反による利益が事業収益に結び付く構造を持つ事業
契約面では、委託契約、共同研究契約、データ提供契約、利用規約、プライバシーポリシーを総点検すべきである。特に、統計作成等特例を使う場合には、目的限定、継続公表、第三者提供制限、再利用禁止、監査等を明示的に落とし込む必要がある。受託処理では、誰が取扱方法を決定するのかを契約上明確にしなければ、第58条の2の整理に乗せにくい。
組織体制面では、法務、情報セキュリティ、事業部門、広報、顧客対応部門、経営陣の連携体制が必要である。停止請求、本人通知命令、課徴金リスクに即応できる体制を構築し、インシデント対応フローに通知要否評価プロセスを組み込む必要がある。個人情報コンプライアンスは、法務部だけのテーマではなく経営テーマである。
法案成立を待ってからでは遅い。自社のデータ取扱いを類型別に棚卸しし、どの改正条項とどの経過措置の影響を受けるかを可視化し、契約、ポリシー、運用、体制を先行的に見直すべきである。特に、6か月先行施行部分は優先的に対応すべきである。
今回の改正は、個人情報保護法を「使えるデータは使えるようにする法」としつつ、逸脱には重い責任を課す法へ進めるものである。企業に求められるのは、一度限りの改訂ではなく、継続的なデータガバナンスである。 以上
[1] 『「個人情報の保護に関する法律等の一部を改正する法律案」の閣議決定について(令和8年4月7日)』(https://www.ppc.go.jp/news/press/2026/260407/)
[2] 『個人情報保護法 いわゆる3年ごと見直しに係る検討の中間整理(令和6年6月27日・個人情報保護委員会)』(https://www.ppc.go.jp/files/pdf/chukanseiri_honbun_r6.pdf)
[3] 『個人情報保護法のいわゆる3年ごと見直しに関する検討会報告書(令和6年12月25日)』(https://www.ppc.go.jp/files/pdf/minaoshi_kentokaihoukokusho_r6.pdf)
[4] 『個人情報保護法 いわゆる3年ごと見直しの制度改正方針(令和8年1月9日・個人情報保護委員会)』(https://www.ppc.go.jp/files/pdf/01-1_seidokaiseihousin.pdf)
