TOPICS

トピックス・法律情報

令和8年改正個人情報保護法の公布のご報告― 令和8年法律第56号・全改正項目の解説と衆参附帯決議(各14項目) ―(個人情報保護法ニュース No.22)

2026/07/17

平素より大変お世話になっております。

令和8年7月10日、参議院本会議において可決され成立した「個人情報の保護に関する法律等の一部を改正する法律」(以下「改正法」といいます。)は、令和8年7月17日に公布されました(令和8年法律第56号)[1]。これにより、これまで未確定であった公布日および法律番号が確定し、段階施行の各期日が具体的に定まりました。

改正法は、いわゆる3年ごと見直し(令和2年改正法附則第10条)の集大成として、個人情報保護法のほか番号法・次世代医療基盤法にも及ぶ大型改正です。その基本思想は、「統計作成等」の特例をはじめとする利活用ルートを整備して入口を開く一方、命令体系の再設計・課徴金制度の導入・罰則強化により出口を強くする点にあります。定義・義務・執行・制裁の各層が同時に組み替えられており、単なる規制緩和でも規制強化でもない構造改正です。

成立の経過および衆参の附帯決議(各14項目)については、ニュースレター(No.21)[2]において、両院審議の主な論点と政府答弁については、ニュースレター(No.19)においてご報告いたしました。本号(No.22)では、公布を機に、改正法の全改正項目を条文に即して通しで解説したうえで、公布日の確定により定まった施行スケジュールを整理し、実務対応の指針となる衆参の附帯決議(各14項目)の全文と両院決議の比較・分析を掲載します。

公布により、実務は「成立した法律」への理解から「施行に向けて備えるべき法律」への対応へと局面を移しました。とりわけ、罰則関係等の一部が公布後6か月(令和9年1月17日)で先行施行される点、および委託を受けた事業者の規律には個別のみなし規定が置かれていない点は、早期の着手を要します。本号が実務対応の一助となれば幸いです。

令和8年7月17日

弁護士法人三宅法律事務所

*本ニュースレターに関するご質問・ご相談がありましたら、下記にご連絡ください。 弁護士法人三宅法律事務所 弁護士 渡邉雅之(執筆者) TEL 03-5288-1021 FAX 03-5288-1025 Email: m-watanabe@miyake.gr.jp

PDFファイル版は以下をご覧ください。

令和8年改正個人情報保護法の公布のご報告― 令和8年法律第56号・全改正項目の解説と衆参附帯決議(各14項目) ―(個人情報保護法ニュース No.22)

令和8年改正個人情報保護法の公布のご報告

令和8年法律第56号・全改正項目の解説と衆参附帯決議(各14項目) ―

【目次】 1 改正法の公布――公布日・法律番号の確定 2 成立・公布までの経過 3 改正の全体像――「入口を開け、出口を強くする」 4 連絡可能個人関連情報(第2条第8項、第31条の2) 5 統計作成等の特例(第2条第13項、第30条の2、第31条の3) 6 本人同意の例外の見直し(第18条第3項、第20条第2項、第27条第1項) 7 特定生体個人情報(第16条第5項、第21条の2、第27条第2項、第35条第7項・第8項) 8 16歳未満の者の保護(第35条第9項・第10項、第40条の2、第58条の3) 9 委託を受けた事業者の規律(第30条の3、第58条の2) 10 漏えい等発生時の本人通知の見直しとオプトアウト制度の引締め(第26条第2項、第27条第7項・第8項、第29条第1項) 11 命令体系の再設計と課徴金制度の導入(第148条~第148条の17) 12 罰則の強化と不正取得罪の新設(第176条、第178条~第180条、第186条) 13 施行スケジュールと経過措置・3年ごとの見直し 14 国会審議の主な論点と政府答弁 15 衆議院の附帯決議(全14項目) 16 参議院の附帯決議(全14項目) 17 衆参附帯決議の比較と分析 18 実務への示唆――公布を受けて着手すべき事項

1 改正法の公布――公布日・法律番号の確定

令和8年7月17日、「個人情報の保護に関する法律等の一部を改正する法律」が公布された(令和8年法律第56号)。改正法は、令和8年4月7日に閣議決定・国会提出され、衆議院において同年5月26日に、参議院において同年7月10日に可決されて成立したものである。

公布により、これまで「公布の日から起算して」と規定されていた各施行期日の起算点が確定した。すなわち、罰則関係等の一部は令和9年1月17日に先行施行され、本体部分は令和10年7月16日までの間において政令で定める日から施行されることとなる(後記13参照)。実務上は、この「6か月組」と「本体組」を分けて準備を進めることが要となる。

また、成立に際して衆参両院の特別委員会において付された附帯決議(各14項目)は、今後整備される個人情報保護委員会規則(以下「委員会規則」という。)およびガイドラインの内容を強く方向づけるものであり、条文の確定を待つだけでは足りない実務対応の指針となる。本号では、後記15以下において、その全文を掲載する。

2 成立・公布までの経過

改正法の審議経過および公布までの経過は、次のとおりである。衆議院では、令和8年5月12日の政府質疑で統計作成等特例の射程(公開されていない氏名入り病歴等の要配慮個人情報を本人同意なく取得・提供できるか)が正面から問われ、政府がこれを認める答弁を行った。同月14日の参考人質疑を経て、同月21日に討論・採決が行われ、附帯決議(14項目・5会派共同提案)が付されたうえで可決され、同月26日、衆議院本会議で可決された。

参議院では、統計作成等特例・課徴金・次世代医療基盤法との関係・プロファイリング等が集中的に審議され、令和8年7月8日に採決が行われた。要配慮個人情報を統計特例の対象から除く修正案(立憲民主・公明・沖縄の風提出)は少数で否決され、政府原案が多数で可決されたうえで、7会派共同提案による附帯決議(14項目)が議決された。同月10日、参議院本会議において多数(押しボタン式)で可決され、改正法は成立した。

審議段階期日結果
閣議決定・国会提出令和8年4月7日第221回特別国会に提出(閣法第54号)
衆議院 特別委員会 可決令和8年5月21日多数で可決/附帯決議(14項目・5会派共同提案)
衆議院 本会議 可決令和8年5月26日多数で可決
参議院 特別委員会 可決令和8年7月8日修正案否決・原案可決/附帯決議(14項目・7会派共同提案)
参議院 本会議 可決・成立令和8年7月10日多数(押しボタン式)
公布令和8年7月17日令和8年法律第56号として公布

3 改正の全体像――「入口を開け、出口を強くする」

改正法の基本思想は、「使えるデータは使えるようにする」という利活用ルートの整備(入口)と、「逸脱や悪質利用には重い責任を課す」という規律・制裁の強化(出口)を同時に進める点にある。入口では、統計作成等の特例、公開された要配慮個人情報の取得特例、本人同意の例外の整理が置かれ、出口では、特定生体個人情報の特則、連絡可能個人関連情報の規律、委託先の直接義務、命令の再設計、課徴金、罰則強化が置かれた。

重要なのは、これが単純な規制緩和ではないという点である。統計作成等特例は、本人同意に代えて「公表」を軸に据える一方、目的限定・継続公表・目的外利用の禁止・再提供の制限・書面合意等の重い出口規律を課すものであり、規律の緩和ではなく、高透明・高拘束型の利活用ルートの追加として理解すべきである。特例からの逸脱は、課徴金という最も重い行政措置に直結する。

(1) 条番号の再編――構造改正としての性格

改正法は、条番号の再編を伴う。定義規定の拡張(第2条第8項・第13項、第16条第5項)、義務規定の拡張(第21条の2、第30条の2、第30条の3、第31条の2、第31条の3、第35条第7項~第10項、第40条の2、第58条の2、第58条の3等)、匿名加工情報関係の拡張(第43条~第46条の2)、監督・監視規定の再編(第148条以下を報告・措置命令・課徴金・雑則の4目構成へ)、罰則章の拡張・再配置(第176条、第178条~第180条、第186条)に及ぶ。条番号の再編自体が、定義・義務・執行・制裁を組み直す構造改正であることを示している。

(2) 主な改正項目と実務への影響

改正項目新設・改正条文主な実務への影響
連絡可能個人関連情報第2条第8項、第31条の2営業リスト・見込み客リストの取得・利用・提供の整理を見直し(後記4)
統計作成等の特例第2条第13項、第30条の2、第31条の3生成AI・データ分析の利活用ルート。要配慮個人情報は事前削除・PETs処理へ。特例違反は課徴金の対象(後記5)
本人同意の例外の見直し第18条第3項、第20条第2項、第27条第1項契約履行型の情報連携を整理しやすくなる。不同意で進める判断は記録化が必要(後記6)
特定生体個人情報第16条第5項、第21条の2、第27条第2項、第35条第7項・第8項顔認証・防犯カメラの掲示見直し、停止請求対応フローの整備(後記7)
16歳未満の者の保護第35条第9項・第10項、第40条の2、第58条の3子ども向けサービスの法定代理人対応・離脱権対応(後記8)
委託を受けた事業者の規律第30条の3、第58条の2クラウド・SaaS・BPO契約の取扱範囲・二次利用条項の点検(後記9)
漏えい等の本人通知第26条第2項リスク評価に基づく通知要否判断と判断記録の保存(後記10)
オプトアウトの引締め第27条第7項・第8項、第29条第1項名簿流通・データブローカー業務に直接影響。確認・記録の運用(後記10)
命令・課徴金第148条~第148条の17違反の経営リスク化。防止体制の整備と説明可能性の確保(後記11)
罰則強化・不正取得罪第176条、第178条~第180条、第186条退職者・内部者の情報持出し対策の整備(後記12)

4 連絡可能個人関連情報(第2条第8項、第31条の2)

(1) 定義――「識別」から「接触・到達」への転換

「連絡可能個人関連情報」とは、特定の個人に対する連絡その他の情報の伝達に利用できる記述等を含む個人関連情報をいう(第2条第8項)。対象となる記述等は、①住所等(第1号。郵便・信書便・電報の送達または訪問に利用できるものに限る)、②電話番号(第2号)、③電子メールアドレス(第3号)、④電気通信設備の利用者等を識別する符号(第4号。オンライン識別子等)、⑤その他委員会規則で定める記述等(第5号)である。

重要なのは、これらの記述等が直接含まれる場合だけでなく、他の情報と容易に照合することができ、それによりこれらの記述等を特定することができるものも対象に含まれる点である(同項後段)。会員ID・端末ID・ハッシュ化した連絡先等であっても、変換表や突合可能な台帳を保有していれば、「連絡先を含まないデータ」という整理は成り立ちにくい。

従来、保護法益の中心は「誰であるか」という識別可能性にあった。本改正は、これを「その人にどう到達できるか」という接触可能性へと拡張するものである。実際の被害は、個人が識別されること自体よりも、詐欺・違法勧誘・送客・つきまとい等の接触行為から生じることが多いという実態を踏まえた立法である。

(2) 適用される規律

規律内容
現行第31条(前提)提供先で個人データとして取得されることが想定される場合の本人同意の確認等。連絡可能個人関連情報にも前提としてかかり得る
不適正利用の禁止 (第31条の2)違法または不当な行為を助長し、または誘発するおそれがある方法による利用を禁止
不正取得の禁止 (第31条の2)偽りその他不正の手段による取得を禁止
統計作成等の提供特例 (第31条の3)第三者が統計作成等を行う目的で必要な場合の提供ルート(後記5)
監督・執行勧告・命令(第148条)、違反行為を補助する第三者への要請(第148条の2)の対象となり得る

他方、利用目的規制(第17条・第18条)、要配慮個人情報の取得規制(第20条第2項)、漏えい等報告・本人通知(第26条)、第三者提供・オプトアウト(第27条~第29条)、開示・訂正・利用停止等(第33条~第40条)は、そのままでは直ちに及ばない。まずは個人関連情報としての位置付けを前提に、第31条の2を中核に整理するのが基本となる。

(3) 実務上の影響

  • 営業リスト・見込み客リスト――電話番号・メールアドレス・所在地等を含むリストを「個人情報ではないから自由」として取得・利用・提供する整理がしにくくなる。データ購入契約、送客契約、マーケティング委託契約、営業部門のリスト利用ルールの見直しが必要となる。
  • 送客ビジネス・名簿流通――連絡先により第三者が本人に接触できるようにするビジネスは、違法・不当な行為を助長・誘発するおそれがないかを強く問われる。
  • スクレイピング・外部取得データ――公開情報からの収集であっても、特定個人への連絡・伝達に使えるものは、取得態様(アクセス制御の潜脱、利用規約違反の自動取得、なりすまし登録等)の適法性を慎重に検討する必要がある。
  • 生成AIの業務利用――営業リストの補強、自動営業文面の生成、送客DBの分析、勧誘スクリプトの生成は、第31条の2の不適正利用に触れ得る。「断りにくい相手」「心理的に脆弱な相手」を抽出して接触する設計は、利用態様として問題となりやすい。

なお、第31条の2違反それ自体は課徴金の直接の対象ではないが、当該情報が実質的に個人情報・個人データに当たる場合には、第19条・第20条第1項・第27条第1項の違反として課徴金の対象となり得る。営業部門から照会を受ける総務・法務部門としても押さえておくべき論点である。

5 統計作成等の特例(第2条第13項、第30条の2、第31条の3)

(1) 定義――5段階の絞り込み

「統計作成等」とは、統計の作成その他の方法により、大量の情報から、その構成要素に係る情報を抽出し、分類・比較その他の解析を行って、当該大量の情報の傾向または性質に係る情報を作成する行為をいう(第2条第13項)。条文は、①大量情報を対象とすること、②要素情報の抽出・分類・比較・解析を行うこと、③傾向または性質に係る情報を作成すること、④作成されるものが個人に関する情報でないこと、⑤権利利益侵害のおそれが少ないものとして委員会規則で定めるものに限られること、という5段階で絞り込まれている。

要件OKNG
大量情報を対象10万人分の購買傾向分析1人の信用力判断
抽出・分類・比較・解析年代別・地域別に分類個人プロフィールの作成
傾向・性質を作成疾病傾向・消費傾向個人の病歴推定
個人に関する情報を作らない統計表・汎用AIモデル個人スコア・個人評価
権利利益侵害のおそれが少ない匿名的・統計的分析差別・選別・勧誘目的

判断軸は名称ではなく、「出力が個人に戻るか」「侵害のおそれが少ないか」である。「統計」「AI学習」という名称であっても、出力が個人に戻る処理は特例の枠外となる。

(2) AI開発の該当性――「AIなら何でもOK」ではない

政府は、統計作成等にAI開発が含まれることを認めている。もっとも、AI開発の全工程が一律に含まれるわけではなく、工程・出力ごとに該当性を判断する必要がある。

AI類型評価
大量データから汎用的な傾向を学習するモデル開発(事前学習)特例の対象になり得る
個人ごとの健康リスクを推定し本人に表示するAI慎重な検討が必要
採用候補者を個別にスコアリングするAI原則として特例の対象外
個人の政治傾向・病歴・信用力を推定するAI特例の対象外または高リスク

一般に、大量データから言語の一般的なパターンを学ぶ事前学習は統計作成等に整理し得る一方、特定個人の選好・行動履歴に基づくファインチューニングや、プロンプト・RAGに個人データを投入して個人別の出力を得る利用は、「個人に関する情報」の取得・利用に転じ得る。線引きは名称ではなく、出力が特定個人に戻るかどうかにある。

(3) 取得の特例(入口)――第30条の2第1項~第4項

第30条の2第1項は、現に公開されている要配慮個人情報を、本人同意なく取得することを認める。成立の三要素は、①目的限定(取扱目的の全部が統計作成等目的または提供目的であること)、②現に公開(現に公開されている要配慮個人情報に限ること)、③事前公表(事業者名・統計作成等の内容等を公表すること)である。

「現に公開されている」の射程は、本人が公開プロフィールで公表した病歴・信条等や、新聞記事・公開インタビューに掲載された要配慮個人情報に及ぶ。他方、非公開のデータベースから取得した情報や、取得時点で非公開の情報は対象外である。同一内容であっても、非公開ルートから取得したものは特例に乗らない。判断基準は取得時点で公開されているか否かである。

取得後は、継続公表義務が課される(第2項・第3項)。取扱期間中は公表を継続する必要があり、実質的な変更は原則として事前公表、氏名等の形式的変更は事後速やかな公表で足りる。公表内容としては、データ源、対象情報、統計作成等の内容、第三者提供の有無、問合せ窓口等を個別具体的に明示することが想定される。生成AI開発では学習データ・目的・用途が過程で変化するため、公表が現在の取扱実態を正確に反映している状態を維持することが求められる。

さらに、取得後の利用は公表した範囲に強く縛られる(第4項)。公表した統計作成等の内容に沿った利用と公表した特例提供は可能であるが、営業利用・個人向け勧誘、個人スコアリング・人事評価・採用判断、研究目的から営業目的への社内横展開(公表外)は認められない。「取得できる=自由に使える」ではない。

(4) 第三者提供の特例(流通)――第30条の2第5項~第9項

第30条の2第5項は、第三者が統計作成等を行う目的で必要な場合に、本人同意なく個人データを提供することを認める。要件は次のとおりである。

要件内容
提供先個人情報取扱事業者または行政機関の長等(外国の提供先は「基準適合体制」が必要)
目的提供先の取扱目的の全部が統計作成等目的であること
公表(第5項第1号)提供元・提供先双方の名称、統計作成等の内容等を公表すること
書面合意(第5項第2号)「第30条の2第5項に基づく提供」である旨を書面または電磁的記録で明記すること
提供後(第6項~第9項)提供先は継続公表義務を負い(第6項)、変更は原則として双方の事前公表(第7項・第8項)、利用は公表された統計作成等に必要な範囲内に限定される(第9項)
再提供同特例で受領した情報を再び同特例で提供すること(連鎖)は不可(第5項ただし書)

ここで重要なのは、特例が提供元だけの制度ではないことである。提供先は「特例個人情報受領者」として直接の義務を負い、受領した情報は「提供統計作成等用個人情報等」(第30条の2第6項)として規律される。提供元と提供先が「公表内容を揃える」ことが制度的に要請されるため、契約に公表文言の事前協議条項を置くことが実務上の要点となる。

(5) 出口管理――再提供の禁止・越境・準用(第10項~第14項)

本人同意なく取得・提供された情報を「統計作成等の枠の外に出さない」ため、4つのブレーキが置かれている。第一に、連鎖(再提供)の禁止である。第30条の2または第31条の3で受領した情報は、再び同意なし提供に用いることができない。第二に、再提供の制限であり、受領した個人データ・個人関連情報の第三者提供は原則として禁止される(第10項・第11項)。第三に、越境提供のルールである。基準適合体制を整備した外国の第三者へは、相当措置の継続確保と情報の公表が必要となり、第28条第3項は適用されない(第13項)。第四に、安全管理措置等(第23条~第25条)および個人関連情報提供時の規律(第29条)が準用される(第14項)。

また、第31条の3は、個人データに至らない「個人関連情報」の段階にも統計作成等目的の提供枠組みを及ぼすものであり、受領者が個人データとして取得した情報は「提供統計作成等用個人データ等」として、継続公表・目的外利用の禁止・再提供の制限・安全管理措置等の準用の対象となる。「個人データにしなければ自由に流通できる」という抜け穴を封じる趣旨である。

(6) 委託構成との比較――負担の付替え

外部事業者にデータ分析を行わせる場合、委託構成(第27条第5項第1号)と特例提供(第30条の2第5項)のいずれによるかは、実務上の重要な選択となる。

観点委託構成(第27条第5項第1号)特例提供(第30条の2第5項)
提供先の位置第三者に該当しない第三者(本人同意の例外)
委託先監督義務(第25条)ありなし
公表・合意義務不要(契約ベース)必要(双方向・法令で直接)
範囲制限・再提供禁止契約ベース法令で直接

すなわち、第25条の監督義務が外れる代わりに、双方向の公表・合意義務が新設される「負担の付替え」の構造である。負担の総量はケースに依存するため、「施行後は当然に特例へ切り替える」という単純な発想は合理的でない。提供元の数と独立性、公表文・合意書テンプレートの整備コスト、処理内容(個別委託向きか統合処理向きか)、成果物の利用形態、越境移転の有無という各軸を踏まえた比較考量が必要である。まず「委託で足りるか」を検討し、委託で足りるのであれば提供先は第三者に当たらず、第5項の特例は原則として不要である。

(7) 改正法でも許されにくい処理

改正は規律の「緩和」ではなく「ルートの追加」であり、個人単位の処理の禁止等は維持される。次の各処理は、特例ルートに乗ってもなお許容されにくい。

  • 同一本人の複数サービスを横断する名寄せ
  • 個人別の頻度・スコア・評価の作成
  • 自社独自データベースとの本人単位の突合
  • 少数セルにより個人・店舗・企業が推知される粒度の出力
  • AI学習・自社サービス改善目的での再利用、公表義務を欠く特例運用

特例取得・受領データを統計化せずそのまま販売し、または目的外利用して利益を得る行為は、課徴金(第148条の3以下)の直接の対象である。統計作成等特例は、利活用の入口を開く一方、その逸脱を課徴金という最も重い行政措置で抑止する設計であり、両者は表裏一体である。

6 本人同意の例外の見直し(第18条第3項、第20条第2項、第27条第1項)

見直しの対象は、目的外利用(第18条第3項)、要配慮個人情報の取得(第20条第2項)、第三者提供(第27条第1項)の3場面であり、内容は次の3類型に整理できる。

(1) 生命・身体・財産の保護等の例外の拡張――「相当の理由」の追加

従来、人の生命・身体・財産の保護、公衆衛生の向上、児童の健全育成のために必要な場合であっても、「本人の同意を得ることが困難であるとき」が要件とされていた。改正法は、これに加えて「本人の同意を得ないことについて相当の理由があるとき」を追加する(第18条第3項第2号・第3号、第20条第2項第2号・第3号、第27条第1項第2号・第3号)。本人に接触可能であっても、同意取得を前提とすること自体が不適切または公益保護に反する場面で、柔軟な対応がしやすくなる。考慮要素としては、公益性・緊急性・代替手段の有無・本人の不利益の程度・事後説明の可能性等が挙げられる。公衆衛生・児童保護・不正行為対策のための情報共有などが想定される。

(2) 「本人の意思に反しないことが明らかな場合」の新設

取得の状況からみて本人の意思に反しないため本人の権利利益を害しないことが明らかである場合が、新たな同意取得の例外として設けられる(第18条第3項第7号、第20条第2項第7号、第27条第1項第8号)。本人が通常予期する契約履行型の情報連携を念頭に置いた例外であり、ホテル予約サイトから宿泊施設への予約者情報の提供、金融機関による海外送金のための送金先への情報提供などが典型例とされている。予約・決済・送金・BPO処理など、本人が通常予期する情報連携を整理する手がかりとなる。

ただし、判断基準は事業者の都合ではなく本人の合理的期待にあり、包括的な利用規約の片隅に書いた程度では「明らか」とはいえない。今後は「なぜ例外に当たるか」を公益性・必要性・本人期待・代替手段の有無の観点から説明し、判断を記録に残す実務が求められる。附帯決議(衆参第7項)も、恣意的判断・濫用の防止と、委員会規則における範囲・判断基準の明記を求めている。

(3) 学術研究例外の再整理

学術研究例外(第20条第2項第6号、第27条第1項第6号、第16条第9項)も整理され、「学術研究機関等」に大学等に加えて病院その他の医療の提供を目的とする機関または団体が含まれることが明示される方向である。また、要配慮個人情報の取得・第三者提供に係る学術研究例外は、共同して学術研究を行う場合を中心に整理し直される。研究名義の営業利用まで認めるものではなく、実質が営業・商品開発・顧客勧誘目的であれば例外に乗らない。共同研究を行う企業を除き、一般企業への影響は限定的である。

総じて、本改正は本人同意原則を放棄するものではなく、実務上必要な情報連携について、①相当の理由、②本人の意思に反しないことが明らかな場合、③学術研究例外という形で、同意例外を明文化・整理し直すものである。例外に当たるかを条文ごとに検討し、判断過程を記録することが実務対応の要点となる。

7 特定生体個人情報(第16条第5項、第21条の2、第27条第2項、第35条第7項・第8項)

(1) 定義

「特定生体個人情報」とは、特定生体個人識別符号を含む個人情報をいう(第16条第5項)。特定生体個人識別符号は、①身体の一部の特徴に係る情報であって、②特別の技術または多額の費用を要しない方法で取得することができ、③取得されていることを本人が容易に認識できないもの(政令で定めるもの)を、④変換した識別符号である。中心的に想定されているのは顔特徴データである。

顔特徴データとは、目・鼻・口等の特徴情報を、本人識別の目的で装置・ソフトウェアにより本人識別できるようにしたものをいう。単なる顔写真や、本人識別を目的としない画像は、特別規律ではなく通常の個人情報規律に服する。本人識別を目的としない人流・混雑把握やスマートシティ実証は、特別規律の対象ではないと説明されている。

なお、特定生体個人情報は要配慮個人情報の特則ではなく、別建ての特別規律として導入される点に注意を要する。取得自体が禁止されるわけではなく、「取扱いの透明化と本人関与」により規律する構造である。

(2) 三本柱の特則

規律内容
① 周知義務 (第21条の2)取扱いにあたり、氏名または名称、住所、代表者の氏名、特定生体個人情報を取り扱う事実、利用目的、身体特徴情報の内容、開示等請求手続等を、あらかじめ通知し、または本人が容易に知り得る状態に置く
② オプトアウト第三者提供の禁止 (第27条第2項)オプトアウトにより提供できる個人データから明示的に除外。提供は本人同意または法定例外に限定される
③ 利用停止等請求権の拡張 (第35条第7項・第8項)違法な取扱いがなくとも、本人は一定の場合を除き利用停止等・第三者提供の停止を請求できる。理由があると判明したときは遅滞なく対応する
経過措置(附則第4条)施行前の通知・同意が新法の求める水準に相当する場合には、みなし規定がある

(3) 実装上の論点

周知の実効性については、「顔認証使用中」といった抽象的な掲示のみでは第21条の2の水準を満たさない。氏名・住所・代表者・利用目的・身体特徴情報の内容・開示等請求手続まで示す必要がある。掲示の方法は委員会規則で定められる方針であり、附帯決議は、機器周辺への掲示(衆議院第9項)に加え、検知対象者が十分認識できる場所等への掲示(参議院第9項)の徹底を求めている。入口掲示だけでなく、動線・視認性を踏まえた周知設計が必要となる。

利用停止等請求の実装については、本人が停止請求をするには本人の顔データと事業者保有データの照合が必要となるという「照合パラドックス」が国会審議で指摘された。政府は、消去のための一時的な取扱いとして許容され、他目的での利用は禁止されると説明している。

実務上は、店舗・ビル・空港・イベント会場・オフィスの出入管理や防犯カメラ連携で顔認証を利用している企業において、既存の掲示・社内規程・プライバシーポリシーが新法水準を満たすかを施行前に点検し、本人からの停止請求に応答する運用フローを整えることが必要となる。既存通知・同意のみなし規定(附則第4条)はあるが、従前の文言・取得方法が新法の求める水準に達しているかは再評価が必要である。データブローカー・名簿流通型のビジネスは、顔特徴データ等をオプトアウトで第三者提供できなくなるため、本人同意・法定例外の整理なしに流通させるモデルは極めて難しくなる。

8 16歳未満の者の保護(第35条第9項・第10項、第40条の2、第58条の3)

(1) 全体像と「16歳未満」とした理由

16歳未満の者の保護は、利用停止等請求権の拡張(第35条第9項・第10項)、法定代理人への読替え(第40条の2)、最善の利益の考慮義務(第58条の3)、既存同意・既存通知のみなし(附則第5条・第6条)から成る包括的な保護設計である。番号法・次世代医療基盤法にも同趣旨の規律と経過措置が置かれる。

「16歳未満」とした理由としては、民事訴訟法上の証人宣誓年齢(16歳)との整合、GDPRの基準(16歳を上限に加盟国が13歳から16歳の範囲で設定)等の国際的動向、現行ガイドライン(12歳から15歳程度は法定代理人の同意を得る必要があるとする運用)との整合とより明確な線引きの要請が、政府答弁において挙げられている。

(2) 三つの規律

第一に、利用停止等請求権の拡張である。事業の適正な実施に著しい支障を及ぼすおそれがある場合などの法定の例外を除き、保有個人データの利用停止等または第三者提供の停止を請求できる(第35条第9項・第10項)。SNS、教育サービス、ゲーム、位置情報サービス、行動履歴分析等で特に重要となり、親権者同意の有無だけでなく、事後的に離脱できる権利として構成されている点が特徴である。

第二に、法定代理人への読替えである。16歳未満の者の個人情報等の取扱いについては、同意取得・通知・開示等請求・利用停止等請求その他の本人関与場面で、原則として「本人」を「法定代理人」と読み替える(第40条の2)。従来Q&Aや実務慣行で対応していた未成年者対応が、法律上の明文規律となる。

第三に、最善の利益を優先して考慮する責務である(第58条の3)。ダークパターン、依存誘発設計、過剰な課金誘導、偏った推薦アルゴリズム等への解釈指針となり得る規定であり、形式的な同意の有無を超えた評価基準が導入される。

(3) 実務上の論点

実務上は、利用規約、プライバシーポリシー、同意取得画面、問合せ窓口、開示等・利用停止等請求のフローを、法定代理人対応を前提に再設計する必要がある。年齢確認をどこまで求めるか、その際に過剰な個人情報を取得しないかも論点となる。16歳未満か否かを把握しない設計は第40条の2の履行を困難にする一方、年齢確認のために身分証等の過剰な情報を取得することは必要最小限の原則と緊張する。政府は、一律の基準は難しく、サービスの性質・取り扱う個人情報の状態・具体的事情に応じて適切な方法は異なるとし、考慮要素と具体例をガイドラインで示すとしている。

審議では、親の所得と学業成績等を結び付けるプロファイリングによる差別的利用や、DV・虐待事案において加害親が法定代理人として同意し得る問題も論じられた。政府は、親権喪失・親権停止の審判があれば同意資格はないが、法定代理人である限り法律上は子に代わって同意する権限を認める整理であると答弁している。附帯決議(衆参第8項)は、こどもにとっての最善の利益の最優先を明記し、参議院決議はこども基本法の「心身の発達の過程にあるもの」との定義を踏まえ、年齢その他の諸事情の勘案を求めている。年齢一律ではなく、発達段階・リスクに応じた設計が求められる。

一般のBtoB企業への影響は限定的であるが、福利厚生等で従業員の子に関する情報を扱う場面では念頭に置く必要がある。

9 委託を受けた事業者の規律(第30条の3、第58条の2)

(1) 委託先の範囲外利用の禁止――直接義務化(第30条の3)

従来、委託先は委託元と一体として扱われ、委託業務の範囲外の利用は許されないと考えられてきたが、その構造は主として委託元の監督義務(第25条)を通じて間接的に実現されており、委託先自身に対する「範囲を超えて取り扱ってはならない」という独立の直接義務は、法文上正面から置かれていなかった。

改正法は第30条の3を新設し、委託を受けた事業者は、委託された個人情報を委託業務の遂行に必要な範囲を超えて取り扱ってはならないという直接義務を負うこととした。委託先は単なる事務補助者ではなく、自ら違法な取扱いを行い得る主体として捉え直される。例外は、法令に基づく場合や人命救助・災害救援等の限定的な場面にとどまる。

類型具体例評価
① 自社サービス改善受託データを自社プロダクトの品質向上に利用委託業務の遂行に必要な範囲外
② AI・モデル学習受託データを汎用モデル・他案件向けモデルの学習に利用同上(第30条の3違反)
③ 横断分析複数の委託元のデータを混合して分析委託範囲外+個票混合の問題
④ 別サービス開発受託データを新規サービスの企画・検証に利用委託範囲外
⑤ 営業支援受託データから見込み客を抽出し自社営業に利用委託範囲外+目的外利用
⑥ 事業基盤への取込み受託データをDB・分析モデル・業界知見として蓄積実質的に第三者提供・目的外利用と評価され得る

「サービス改善のため」「品質向上のため」は万能の説明ではない。契約に独自利用の禁止を具体的・網羅的に列挙することが求められる。

(2) 機械的・受動的な受託処理への適用調整(第58条の2)

他方、自ら取扱方法を決定せず、契約で取扱方法等が定められ、必要な範囲内で契約どおりに運用される機械的・受動的な受託処理には、本法の一部規律を適用しない調整がなされる(第58条の2)。要件は、①委託契約で取扱方法として委員会規則で定める事項等が定められていること、②取扱いが委託業務の遂行に必要な範囲内であること、③実際の運用が契約どおりであることである。詳細な指示に従ったデータ入力・印字・発送・スキャン・形式変換等が想定例である。単なる秘密保持条項や一般的な善管注意義務条項では足りず、事故報告・取扱状況の把握・権限管理・再委託条件等を含む契約の作り込みが適用除外の前提となる。

API・SaaS型の生成AIで、入力・会話ログをモデル改善や品質評価に用いる実務は、受託者の独自判断が介在するため、「取扱方法を自ら決定しない」機械的・受動的処理には該当しにくい。

(3) いわゆる「クラウド例外」との関係

いわゆる「クラウド例外」は、外部事業者が契約上・運用上、保存された個人データを取り扱わないこととなっている場合には、第三者提供にも委託にも当たらないとする整理であり、個人情報保護委員会のQ&A(Q7-53)で認められてきた。改正後もクラウド例外自体が消えるわけではないが、現に個人データを取り扱うクラウド事業者には規律が及ぶため、「クラウドだから当然に例外」という整理は通用しない。令和6年3月には、現実に個人データを取り扱うクラウド事業者に規律が及ぶ旨の注意喚起もなされている。

実務上は、委託契約について、取扱方法の決定者、二次利用条項、再委託、事故報告、監査権限を改めて点検する必要がある。とりわけ、委託規律には個別のみなし規定が置かれていないため、契約期間の長い委託契約・クラウド契約から早期に見直しに着手することが現実的である。

なお、AI学習が海外クラウド上で行われる場合について、政府は、現行法の越境移転規律は本特例によって緩和されないこと、移転先国で外国政府によるアクセスのリスクがある場合には、本人への情報提供と同意、またはリスクを管理できる契約・委託管理等が必要であり、安全管理措置を監督することを答弁している。

10 漏えい等発生時の本人通知の見直しとオプトアウト制度の引締め(第26条第2項、第27条第7項・第8項、第29条第1項)

(1) 本人通知義務の見直し(第26条第2項)

現行法では、報告対象事態が生じた場合、通知が困難な場合を除き、原則として本人通知が必要であった。改正後は、「本人の権利利益を保護するために必要なものとして欠けるおそれが少ない場合」に、代替措置をもって通知を省略できるようになる。形式的な一律通知から、実質的なリスク評価に基づく判断への転換である。

判断要素としては、漏えいした情報の性質、情報単体で生じ得る不利益、他の情報との照合可能性、漏えい先・誤送付先の属性、回収・削除・アクセス遮断の状況、本人に追加的な防御行動を求める必要性等が挙げられる。例えば、信頼できる取引先への誤送付で削除確認済みの事案は低リスク、氏名・連絡先・IDの組合せや漏えい先不明の事案は高リスクと整理される。

通知を省略する場合は「保護に欠けるところがない」と説明できることが前提となるため、リスク評価メモや判断記録の保存が不可欠である。情報システム部門による事実把握、法務による権利利益侵害の評価、広報・顧客対応部門による通知・代替措置の設計を連携させる体制を、施行前から整えておくことが望まれる。なお、既存通知のみなし規定はなく、施行日以後の事案に新基準が適用される。附帯決議(衆参第10項)は、恣意的判断・濫用・拡大解釈により本人の権利利益が侵害されることのないよう、委員会規則によって具体的な対象範囲や判断基準を明記することを求めている。

(2) オプトアウト制度の引締め(第27条第7項・第8項、第29条第1項)

改正項目内容
① 提供先確認義務 (第27条第7項)オプトアウト提供時、提供元は提供先第三者の氏名・住所・代表者の氏名および提供先における利用目的を事前に確認する義務を負う
② 虚偽回答の禁止 (第27条第8項)確認を求められた提供先は虚偽の回答をしてはならない。違反には10万円以下の過料(第186条第1号)。公布後6か月で先行施行
③ 記録義務の強化 (第29条第1項)第三者提供記録に、提供年月日・提供先の氏名等に加え、利用目的等の確認事項も追加される。確認と記録はセットで運用する
④ 特定生体個人情報の除外 (第27条第2項)特定生体個人情報は、オプトアウトにより提供できる個人データから除外される(前記7)

「相手を見ない流通」は認められないという趣旨であり、提供元のみならず提供先にも真実義務が課される点が特徴である。名簿流通やデータブローカー業務に直接影響する改正であり、確認と記録の運用が必要となる。名簿流通型の事業を行わない企業への影響は限定的であるが、外部から購入したリストを利用する場合などには確認義務が関係し得る。附帯決議(衆参第11項)は、オプトアウト届出事業者に対する監視・監督の徹底と、いわゆる闇名簿への流用等の重大な違反が判明した場合の緊急命令・課徴金納付命令の速やかな発出を求めている。

11 命令体系の再設計と課徴金制度の導入(第148条~第148条の17)

(1) 命令体系の再設計

第一に、本人保護命令への拡張である(第148条)。委員会の命令内容が、違反の是正にとどまらず、本人への通知・公表その他本人の権利利益の保護のために必要な措置にまで拡張される。漏えいや違法な提供を受けた本人に対し、事業者から直接通知・公表させることが可能になるイメージであり、違法な第三者提供・大規模な不正利用では、どの本人に・いつ・何を通知するかまでが命令の対象となり得る(適用関係は附則第7条)。

第二に、違反行為を補助する第三者への要請である(第148条の2)。ホスティング事業者、クラウド事業者、プラットフォーム、データ流通インフラ等に対し、違反行為の中止に必要な措置を要請できる仕組みが設けられる。違反主体への命令だけではインフラを通じた違反の継続を止めにくいという現状への対応であり、要請という形式であっても実務上の重みは大きい。

(2) 課徴金制度の趣旨と対象行為

現行法では、勧告・命令後に行為を中止しても違反により得た経済的利益を保持できる場面があり、抑止として限界があると指摘されてきた。そこで改正法は、重大な違反行為により個人の権利利益が侵害された場合等について、違反行為によって得られた財産的利益等に相当する額の課徴金の納付を命ずる制度を導入する(第148条の3~第148条の17)。課徴金は刑罰ではなく、金銭的不利益を課す行政上の措置であり、「違反しても儲かる」構造を断つことを狙うものである。

対象行為典型例
① 不適正利用の禁止違反(第19条)のうち、違法行為等を行うことが想定される第三者への提供等差別・濫用に直結する第三者への提供、求めに応じた利用
② 偽りその他不正の手段による取得・利用(第20条第1項違反)不正の手段による取得
③ 本人同意なき違法な第三者提供(第27条第1項違反)本人同意なく個人データを第三者提供する行為
④ 統計作成等特例違反特例取得情報を統計化せずそのまま販売し、または目的外利用して利益を得る行為

(3) 成立要件と「相当の注意」

課徴金は対象行為に当たれば自動的に課されるものではなく、複数の要件を満たした場合に課される。

要件内容
① 対象行為への該当不適正利用(第19条)、不正取得・利用(第20条第1項)、違法な第三者提供(第27条第1項)、統計作成等特例違反等
② 相当の注意の欠如行為を防止するための相当の注意を怠ったこと(怠った者でないと認められれば対象外)
③ 大規模性対象行為に係る本人の数が1,000人を超えること
④ 侵害の重大性権利利益を害する程度が大きくない場合に当たらないこと(軽微な侵害は対象外)

特に重要なのが「相当の注意」の要件である。対象行為が生じても、その行為を防止するための相当の注意を尽くしていたことを説明できれば、課徴金の対象から外れる余地がある。審査体制、契約統制、アクセス制御、教育、監査、目的外利用の防止措置が判断要素となり得る。政府は、「相当の注意」は事業規模・情報の性質・量・取扱方法等に応じて個別に判断されるが、考え方をガイドライン等で示すと答弁している。

参議院審議では、提供元が提供先から「統計作成等特例の範囲内のAI開発に用いる」との説明を受けて契約したが、提供先が実際には個人プロファイルの作成等に用いていた場合の提供元の責任が問われた。政府は、個別判断としつつ、提供元が「相当の注意」を尽くしていれば課徴金の対象外となる可能性が高い一方、提供先の説明を単に鵜呑みにしただけでは注意を払ったとはいえず、課徴金の対象となり得ると答弁している。実務上は、提供先の宣言(利用目的・必要データ・体制・秘匿処理能力)を書面で受領して審査した記録を残し、契約に利用範囲の限定・監査権限・違反時の是正/解除・報告義務を置き、提供後も公表内容と実際の取扱いの整合を定期的に確認することが求められる。

(4) 課徴金額の考え方と減免

課徴金額は、対象行為または対象行為をやめることの対価として得た金銭その他の財産上の利益の額を基礎とする利得剥奪型であり、売上高連動型ではない。対象行為と因果関係のある利益額をどう認定・推計するかは、実務上の難しい論点となり得る。さらに、過去に課徴金納付命令を受けた者については課徴金額が加重され、違反を自主的に委員会へ報告した者については課徴金額が減額される(リニエンシー)仕組みも設けられている。

(5) 対象範囲の限定と経営リスク化

課徴金の対象範囲は当初の検討段階から絞り込まれており、国会審議でも議論の的となった。安全管理措置義務違反(第23条)は対象外とされ、適格消費者団体による差止請求・被害回復(団体訴訟)制度の導入も見送られたため、抑止力と被害救済の観点から強い批判が示された。政府は、初めての導入であることから「スモールスタート」とせざるを得ないとし、附則第14条の3年ごと見直しを通じて水準・対象要件を検証すると答弁した。

もっとも、課徴金制度の導入により、個人情報保護法違反は法務・コンプライアンス上の問題にとどまらず、財務リスク・経営リスクへと性格を変える。個人情報の取扱いを現場任せにせず、経営管理・内部統制のテーマとして扱い、重大案件・高リスク案件は取締役会・経営会議レベルで関与する体制が求められる。データ販売、広告配信、送客、共同利用、委託、共同研究、AI学習・分析案件は、従来以上に慎重な事前審査が必要となる。

12 罰則の強化と不正取得罪の新設(第176条、第178条~第180条、第186条)

罰則も大幅に強化される。全体像としては、法定刑の引上げ、懲役から拘禁刑への整理、新類型としての不正取得罪の新設、「損害を加える目的」の追加であり、公的部門・民間部門の双方で同水準の強化が図られている。

対象改正前改正後
不正提供・盗用 (第178条・第179条)1年以下の懲役/50万円以下の罰金2年以下の拘禁刑/100万円以下の罰金
主観的要件の拡張 (第178条・第179条)「不正な利益を図る目的」「本人その他の者に損害を加える目的」も追加
不正取得罪 (第180条・新設)―(独立の処罰規定なし)2年以下の拘禁刑/100万円以下の罰金
委員会の命令違反等 (第176条)懲役刑を含む規定法定刑の引上げ・拘禁刑への整理(公的/民間で同水準)
オプトアウト確認の虚偽回答 (第186条第1号・新設)―(過料なし)10万円以下の過料(公布後6か月で先行施行)

不正取得罪(第180条)は、不正な利益を図る目的または本人その他の者に損害を加える目的で、欺罔・暴行・脅迫または保有者の管理を害する行為により個人情報等を取得した者を処罰するものである。「だまして取る」段階から処罰されることとなり、従来は提供・盗用の段階でしか捕捉できなかった行為類型がカバーされる。

実務上は、内部者による情報の持出し、退職者による顧客情報・名簿の流出、委託先の横流し、報復・嫌がらせ目的の流出が、金銭目的でなくとも処罰の対象となり得ること、また損害を加える相手方は企業・本人のいずれにもなり得ることが重要である。秘密保持誓約書、退職時の情報返還・削除確認、アクセス権限の付与・剥奪のフローを改めて整備しておくことが望まれる。

13 施行スケジュールと経過措置・3年ごとの見直し

(1) 施行期日――公布日の確定により定まった期日

公布日が令和8年7月17日に確定したことにより、段階施行の各期日は次のとおりとなる。

区分施行期日対象・留意点
公布日施行令和8年7月17日附則第13条・第16条に定める部分(政令等の制定準備に係る規定等)
先行施行 (附則第1条第3号)令和9年1月17日 (公布の日から起算して 6月を経過した日)罰則関係等の一部。オプトアウトに係る提供先の虚偽回答の禁止(第27条第8項)および過料(第186条第1号)を含む
本体施行 (附則第1条本文)令和10年7月16日までの 政令で定める日 (公布の日から起算して 2年を超えない範囲内)統計作成等特例、特定生体個人情報、委託先規律、課徴金等の本体部分
特別施行 (附則第17条)別途政令で定める日他法律との調整に係る部分

(2) 経過措置(みなし規定)

附則対象内容
第4条特定生体個人情報施行前の通知・同意が新法相当なら、みなし規定あり
第5条・第6条16歳未満の者施行前の本人同意・本人通知を、法定代理人の同意・通知とみなす場合あり
第7条命令本人保護命令(第148条)の適用関係
第8条課徴金課徴金の適用関係(施行前の行為には及ばない)
第9条~第12条番号法・次世代医療基盤法同趣旨の規律と経過措置
(規定なし)委託規律 (第30条の3・第58条の2)個別のみなし規定がなく、既存の委託契約の棚卸しが必要

みなし規定があっても、従前の文言・取得方法が新法の求める水準を満たすかは再評価が必要である。とりわけ委託規律には猶予がなく、契約期間の長い委託契約・クラウド契約について早期の見直しが必要となる。

(3) 3年ごとの見直し(附則第14条)

施行後3年ごとに、国際的動向、情報通信技術の進展、新たな産業の創出・発展の状況等を勘案した検討が行われる。主要論点としては、課徴金の水準・対象要件(とりわけ安全管理措置義務違反を対象に含めるか)、高精度プロファイリング規制の在り方、団体による差止請求・被害回復制度の導入、PETsの活用に係るインセンティブ設計が挙げられる。政府は、統計作成等特例に基づく公表の件数、委員会による指導・勧告・命令等の件数などをパラメータとして、施行後の制度の機能状況を見ていく必要があると答弁している。改正法の施行は、次の改正サイクルの起点でもある。

14 国会審議の主な論点と政府答弁

(1) 統計作成等特例の射程

審議の最大の焦点は、統計作成等を目的とする場合に、本人同意なく――氏名・住所を含む病歴等の要配慮個人情報までも――取得・第三者提供を可能とする特例の是非であった。政府は、統計作成等の目的での利用に限り、要配慮個人情報であっても本人同意なく取得・第三者提供の対象となり得ること、地方自治体が統計作成等の目的で公開されていない病歴情報(氏名入り)を本人同意なく取得することも可能であること、国・企業・個人事業主も同様に対象となり得ること、行政機関への提供も対象となることを認めた。また、「統計作成等」にAI開発が含まれること、提供を受けられる個人情報の範囲にあらかじめ制限は設けず提供時の加工も義務づけないことも答弁されている。

もっとも政府は、特例が適用されるのは特定の個人との対応関係が排斥された統計情報等の作成にのみ利用される場合に限られ、個人ごとのスコアリングや個人向け広告・営業への転用は定義上「統計作成等」に含まれないと説明した。なお、取得の特例(第30条の2第1項)は「現に公開されている要配慮個人情報」に限られる一方、統計作成等目的の第三者提供特例(第30条の2第5項、第31条の3)にはこの限定がない。両者を混同しないことが実務上重要である。

(2) 要配慮個人情報の削除・仮名化・PETs化

政府は、構造化データであれば削除は容易であるが非構造化データも多く、提供元(医療機関等)に一律の事前削除を課すことは負担が大きいとして、事前の仮名化・削除を一律の要件とはしないとした。他方、提供先が「AI開発等の目的で取り扱う必要がある場合」に限って提供できることを要件とし、統計作成等の内容に照らして氏名等が明らかに不要で容易に削除できるにもかかわらず漫然と提供する場合は違法であり、提供元にも削除が求められると答弁した。

加えて政府は、委員会規則・ガイドラインのレベルでは、提供・学習の前に削除・仮名化・匿名化その他のプライバシー強化技術(PETs)による処理を行う方向で運用を具体化する意向を繰り返し示した。PETsとは、個人情報をそのまま保持・開示することなくデータの分析・学習・統計処理を可能とする技術の総称であり、差分プライバシー、秘密計算、連合学習、合成データ、AIによるマスキング・フィルタリング、アンラーニング等を含む。これらを①提供前(削除・匿名加工・仮名化)、②学習時(差分プライバシー・秘密計算・連合学習)、③出力時(フィルタリング)、④事後対応(アンラーニング・再識別検証)の各段階で重畳的に組み合わせることが、安全管理措置および「復元されることを防止するために必要かつ適切な措置」の中核となる。この方向性は、個人情報保護委員会が令和5年6月2日に公表したOpenAIに対する注意喚起[3]とも軌を一にする。

(3) 医療情報――次世代医療基盤法との関係と医師の守秘義務

次世代医療基盤法では認定事業者に限って医療データの取扱いが認められるのに対し、本特例では非認定の一般事業者でも要配慮個人情報を取得しAI開発に利用できることとなり、特別法より一般法の方が緩やかになる「逆転現象」ではないかとの批判が示された。政府は、個人情報保護法は分野横断の一般法であり、本特例は統計作成等に限った同意不要の特例である点で目的が異なるとし、特例に認定制を持ち込めば入口規制となり利活用促進という制度趣旨が損なわれると説明した。

医師の守秘義務との関係について、厚生労働省は、統計特例に基づく第三者提供であっても直ちに守秘義務違反の違法性が阻却されるわけではなく、行為の相当性等を総合考慮して判断されると答弁した。本法が定める各要件(公表、目的外利用・第三者提供の禁止、安全管理措置、書面合意等)に従った提供であることは相当性を肯定する一要素となるが、医療機関からの提供はなお個別に相当性の判断を要する。

(4) AI学習・再識別リスク

参考人質疑では、「基盤モデルの学習は匿名化のプロセスではない」との指摘がなされ、学習用データが個人情報であれば基盤モデルからの復元やメンバーシップ推論攻撃のリスクが残ることが論じられた。政府は、統計作成等特例では大量の個人情報を「個人に関する情報に当たらない状態」まで加工することが求められ、仮名加工情報・匿名加工情報よりさらに一般化されるため再識別リスクは極めて低いとし、委員会規則で復元防止措置を求め、不正に復元する行為は不正取得に、復元した情報の目的外利用は特例違反に当たると答弁した。また、AIモデルに学習された個人情報が完全に消去されたかを一律に証明できる一般的技術はないことを前提に、事前審査・第三者監査の制度は設けず、事後調査・ガイドライン・適切な合意形成で対応する方向が示された。

他方、必要な加工措置・合理的な技術的措置を講じていれば、希少属性の組合せ・非構造化データ・メンバーシップ推論攻撃等により結果として個人との対応関係を排斥し切れなかった場合でも、直ちに特例違反・課徴金の対象とはならないとも答弁されている。

(5) プロファイリング・差別的利用と団体訴訟

AI開発で得られた分析結果を、採用・与信・取引排除・保険・価格差別に用いる場面をどう規律するのか、GDPR等のようなプロファイリング規制が必要ではないかとの問題意識が示された。政府は、既存の不適正利用の禁止(第19条)や、違法な差別的取扱いに関する各分野の法制で対応するとの整理にとどめた。附帯決議(衆参第5項)は、諸外国における法制度等を基にプロファイリングに係る規制の在り方について引き続き検討することを求めており、次期見直しの主要論点として残る。団体による差止請求・被害回復制度も今回は見送られ、導入に向けた検討の継続が決議に明記された(衆参第13項)。

15 衆議院の附帯決議(全14項目)

令和8年5月21日、衆議院地域活性化・こども政策・デジタル社会形成に関する特別委員会において付された附帯決議は、次の14項目である[4]

一 本法に基づいて個人情報保護委員会規則等を定めるに当たっては、個人情報保護委員会の独立性を踏まえつつ、個人の権利利益を最大限に尊重するとともに、個人情報等の有用性に配慮した適正な利活用との両立を図る観点から、あらかじめ国民や団体等の関係者から意見を聴取し、その意見を的確に反映するなど、政策決定過程の透明性と予見可能性を十分に確保すること。

二 欧州連合の一般データ保護規則をはじめとする諸外国の制度との整合性に留意し、我が国における人工知能(AI)開発等を含む研究開発及び事業活動が過度に萎縮することのないよう配慮すること。

三 AI開発等を含む統計作成等の取扱いについては、他の情報と照合して特定の個人を識別することができないようにするための措置を確実に講ずること。また、統計作成等の概念が限定的に解釈され、実質的な適用範囲が狭められることのないよう留意すること。さらに、統計作成等に係る事項の公表については、本人が容易に知り得る状態に置かれるよう、個人情報取扱事業者や行政機関の長等において公表するのみならず、個人情報保護委員会においても状況の把握に努め、必要な情報を公表すること。

四 個人情報取扱事業者による統計作成等を目的とする要配慮個人情報の取扱いに際しては、漏えいや不適正な利用等による個人の権利利益の侵害が生じないよう、十分な安全管理措置及び委託先の監督を徹底させること。

五 広告の閲覧履歴や商品の購入履歴等から信条等の機微な情報を推知する等の精度の高いプロファイリングの手法が普及しているという指摘を踏まえ、プロファイリングに係る規制の在り方について、諸外国における法制度等を基に引き続き検討を行うこと。

六 プライバシー強化技術(PETs)の活用に当たっては、我が国の産業競争力の向上にも資する観点から、適切なインセンティブの在り方について検討すること。

七 取得の状況からみて本人の意思に反しないため本人の権利利益を害しないことが明らかな取扱いである場合として個人情報保護委員会規則で定める場合に本人の同意取得を不要とすることについては、個人情報取扱事業者等の恣意的な判断や濫用によって個人の権利利益が侵害されることのないよう、当該特例に基づく個人情報の利用又は提供を必要最小限とするとともに、個人情報保護委員会規則によってその具体的な範囲や判断基準を明記すること。

八 こどもの個人情報の取扱いに際しては、児童の権利に関する条約及び諸外国における取組事例を踏まえて、こども基本法の精神にのっとり、こどもにとっての最善の利益を最優先に考慮すること。また、こどもの個人情報に係る同意取得に当たっては、消費者及び事業者双方に過度な負担を生じさせないよう、柔軟な手法を許容すること。さらに、教育や保育の現場において、こどもの個人情報の適正な取扱いが確実に行われるよう、法令やガイドラインについての周知を徹底すること。

九 特定生体個人情報の取扱いについては、本人の関与が困難な状態で不適正な取扱いが行われるリスクが高いことに鑑み、義務化される周知行動の実効性を確保する方策を検討し明らかにするとともに、同情報が取り扱われている旨及び本人からの利用停止請求等の手段について監視カメラやセンサー等の機器の周辺に分かりやすく掲示する等の方法による周知を個人情報取扱事業者に徹底させること。

十 漏えい等の報告に係る本人への通知の代替措置が許容される場合については、個人情報取扱事業者等の恣意的な判断、濫用及び拡大解釈によって本人の権利利益が侵害されることのないよう、個人情報保護委員会規則によって具体的な対象範囲や判断基準を明記すること。

十一 オプトアウト届出事業者における個人データの不適切な第三者提供が行われることのないよう、同事業者に対する監視・監督等を徹底すること。また、いわゆる闇名簿に流用されている等の重大な違反行為が判明した場合には緊急命令を躊躇なく発出するとともに、課徴金納付命令を速やかに発出するなど、個人情報の不適正な取扱いから生じた収益の剥奪等に万全を期すること。

十二 課徴金制度の運用に当たっては、個人情報取扱事業者等が過度に萎縮することのないよう、課徴金納付命令の基準等について明確なガイドラインを策定するなど、その運用の透明性の確保に努めること。また、課徴金対象行為を繰り返す悪質な事業者に対しては、当該行為を着実に抑止するため、課徴金額の算定基礎の適切かつ確実な把握に努めるなど、実効性ある課徴金制度の構築に努めること。

十三 個人情報の違法な取扱いに起因する個人の権利利益の侵害に対する拡大防止及び事後的な救済を図るため、団体による差止請求制度及び被害回復制度について、導入に向けた検討を引き続き行うこと。また、検討に際しては、消費者及び事業者の双方の意見に十分に配慮すること。

十四 本法によって個人情報保護委員会の監視・監督等に係る業務の増加が見込まれることに鑑み、同委員会の人員及び予算の更なる充実に向けて取り組むこと。

16 参議院の附帯決議(全14項目)

令和8年7月8日、参議院デジタル社会の形成及び人工知能の活用等に関する特別委員会において、政府原案可決後に付された附帯決議は、次の14項目である[5]

一 本法に基づいて個人情報保護委員会規則等を定めるに当たっては、個人情報保護委員会の独立性を踏まえつつ、個人の権利利益を最大限に尊重するとともに、個人情報等の有用性に配慮した適正な利活用との両立を図る観点から、あらかじめ国民や団体等の関係者から幅広く聴取した意見を的確に反映するなど、政策決定過程の透明性と予見可能性を十分に確保すること。

二 我が国におけるAI開発等を含む研究開発及び事業活動が過度に萎縮することのないよう、また、個人の権利利益が適正に保護されるよう、欧州連合の一般データ保護規則をはじめとする諸外国の制度との整合性を踏まえ、本邦の統計作成等の概念が適正に解釈されるよう留意すること。

三 AI開発等を含む統計作成等の取扱いについては、他の情報と照合するなどして、特定の個人を識別することができないようにするための措置を確実に講ずること。その際、AIモデル等が行う特定個人の識別又は要配慮個人情報の推知のリスクを十分に勘案すること。また、外国企業を含む個人情報取扱事業者や行政機関の長等による統計作成等に係る事項の公表については、本人が容易に知り得る状態に置かれるよう、個人情報保護委員会においてモニタリングを行い、必要な情報を公表するとともに、報告徴収等を適宜実施するなどして、適切な監督に万全を期すこと。

四 個人情報取扱事業者による統計作成等を目的とする要配慮個人情報の取扱いに際しては、漏えいや不適正な利用等による個人の権利利益の侵害が生じないよう、個人情報保護委員会による重点的な監督の対象とすること。特に病歴等を含む要配慮個人情報の第三者提供に関しては、医療分野の事情を踏まえたガイドラインを改正するなどして、医師等の守秘義務や人を対象とする生命科学・医学系研究に関する倫理指針等との関係等を明確に示すこと。また、他の法令において別段の定めがある場合にはこれを尊重し、その整合性の確保と事業者への周知徹底に努めること。

五 広告の閲覧履歴や商品の購入履歴等から、信条等の機微な情報を推知する等の精度の高いプロファイリングの手法が普及しているという指摘を踏まえ、プロファイリングに係る規制の在り方について、諸外国における法制度等を基に引き続き検討を行うこと。

六 プライバシー強化技術(PETs)の活用に当たっては、我が国の産業競争力の向上にも資する観点から、その技術動向の調査研究及び事業者による積極的な活用の促進に努めるとともに、適切なインセンティブの在り方について検討すること。

七 本人との間の契約の履行のために必要やむを得ないことが明らかな場合、その他取得の状況から見て本人の意思に反しないため本人の権利利益を害しないことが明らかである場合として、個人情報保護委員会規則で定める場合に本人の同意取得を例外的に不要とすることについては、当該例外に基づく個人情報の利用又は提供が必要最小限となるよう、個人情報保護委員会規則によって、その具体的な範囲や判断基準を明記し、個人情報取扱事業者等の恣意的な判断や濫用を防止すること。

八 こどもの個人情報の取扱いに際しては、児童の権利に関する条約及び諸外国における取組事例を踏まえて、こどもを心身の発達の過程にあるものと定義するこども基本法の精神にのっとり、年齢その他の諸事情を勘案しつつ、こどもにとって最善の利益を最優先に考慮すること。また、こどもの個人情報に係る同意取得に当たっては、消費者及び事業者双方に過度な負担を生じさせないよう柔軟な手法を許容すること。さらに、教育や保育の現場において、こどもの個人情報の適正な取扱いが確実に行われるよう、法令やガイドラインについての周知を徹底すること。

九 特定生体個人情報の取扱いについては、本人の関与が困難な状態で不適正な取扱いが行われるリスクが高いことに鑑み、義務化される周知行動の実効性を確保する方策を検討し、明らかにするとともに、同情報が取り扱われている旨及び本人からの利用停止請求等の手段について、監視カメラやセンサー等の機器の周辺及び当該機器の検知対象者が十分認識できる場所等に分かりやすく掲示する等の方法による周知を個人情報取扱事業者に徹底させること。

十 漏えい等の報告に係る本人への通知の代替措置が許容される場合については、個人情報取扱事業者等の恣意的な判断、濫用及び拡大解釈によって本人の権利利益が侵害されることのないよう、個人情報保護委員会規則によって具体的な対象範囲や判断基準を明記すること。

十一 オプトアウト届出事業者における個人データの不適切な第三者提供が行われることのないよう、同事業者に対する監視監督等を徹底すること。また、いわゆる闇名簿に流用されている等の重大な違反行為が判明した場合には、緊急命令を躊躇なく発出するとともに、課徴金納付命令を速やかに発出するなど、個人情報の不適正な取扱いから生じた収益の剥奪等に万全を期すること。

十二 課徴金制度の運用に当たっては、課徴金納付命令の基準等について明確なガイドラインを策定するなど、その運用の透明性の確保に努めること。また、課徴金対象行為を繰り返す悪質な事業者に対しては、当該行為を着実に抑止するため、課徴金額の算定基礎の適切かつ確実な把握に努め、将来の課徴金額の見直しに向けて検討を行うほか、課徴金対象行為を限定する要件については、今後の個人情報保護委員会による権限行使等の状況を踏まえ、見直し等の継続的な検討を行うなど、実効性のある課徴金制度の構築に努めること。

十三 個人情報の取扱いに起因する個人の権利利益の侵害に対する拡大防止及び事後的な救済を図るため、団体による差止請求制度及び被害回復制度について導入に向けた検討を引き続き行うこと。また、検討に際しては、消費者及び事業者の双方の意見に十分に配慮すること。

十四 本法によって個人情報保護委員会の監視・監督等に係る業務の増加が見込まれることに鑑み、同委員会の人員及び予算の更なる充実に向けて取り組むこと。

17 衆参附帯決議の比較と分析

衆参の附帯決議はいずれも14項目であり、項目の配列・骨格は共通する。もっとも、参議院附帯決議は衆議院附帯決議を単に踏襲したものではなく、参議院審議で強く問題となった事項を踏まえて、いくつかの項目を具体化・強化している。二院目・審議終盤ほど論点が積み上がる典型であり、実務上は参議院決議が「宿題リスト」の完成形として、委員会規則・ガイドラインの内容を予告する機能を担う。主な差分は次のとおりである。

項目衆議院参議院における追加・強化点実務上の含意
意見反映 (第1項)関係者から意見を聴取し、透明性・予見可能性を確保「幅広く聴取した意見を的確に反映」と表現を強化規則・ガイドライン策定時のパブリックコメント対応が重要になる
統計作成等の解釈 (第2項・第3項)再識別防止措置の確実な実施、概念の狭隘化の防止AIモデル等による特定個人の識別・要配慮個人情報の推知リスクの勘案を明記モデル反転・属性推定・出力リスクを明示的に評価すべき
公表・監督 (第3項)本人が容易に知り得る状態、個情委による状況把握・情報公表外国企業を含む事業者につき、個情委のモニタリング・報告徴収を明記事業者のHP掲載では足りず、個情委側の一覧化・監督が前提となる
要配慮個人情報 (第4項)十分な安全管理措置および委託先監督の徹底個情委の重点監督、医療分野ガイドライン改正、医師等の守秘義務・生命科学/医学系研究倫理指針との関係の明確化、他法令の尊重を明記医療・ヘルスケア・研究機関は今後のガイドライン改正が最重要
PETs (第6項)インセンティブの在り方の検討技術動向の調査研究・事業者による積極的な活用促進を追加「できれば使う」から実務上の推奨・評価要素へ
同意不要の例外 (第7項)「本人の意思に反しないことが明らか」な場合の範囲・判断基準の明記「本人との契約の履行のため必要やむを得ない場合」を明示し、利用・提供を必要最小限とすることを明記契約履行型の情報連携について、必要最小限性の説明と記録が求められる
こども (第8項)最善の利益の最優先、柔軟な同意取得、現場周知こども基本法の「心身の発達の過程にあるもの」定義を踏まえ、「年齢その他の諸事情」の勘案を追加年齢一律でなく発達段階・リスクに応じた設計へ
特定生体個人情報 (第9項)機器周辺への分かりやすい掲示検知対象者が十分認識できる場所等への掲示を追加入口掲示だけでなく動線・視認性を踏まえた周知設計
課徴金 (第12項)運用の透明性、悪質事業者への実効的抑止将来の課徴金額の見直し・対象要件の継続的検討を明記今回は完成形でなく、運用実績により強化され得る
団体訴訟・体制 (第13項・第14項)導入に向けた検討継続、個情委の人員・予算充実同旨(表現の細部を除きほぼ共通)被害救済制度は積み残し論点として残る

※表中では、個人情報保護委員会を「個情委」と記す。

分析上、特に重要なのは次の3点である。

  • AIモデルによる推知リスクの明文化(参議院第3項)。「基盤モデルの学習は匿名化ではない」という参考人の指摘を受け、統計作成等特例における非識別化を、出力・推論段階のモデル反転・属性推定リスクまで視野に入れて評価すべきことが、立法府の要請として明確化された。事業者は、入力データの削除・仮名化にとどまらず、モデル出力からの再識別・推知可能性の検証を安全管理措置の一部として位置付ける必要がある。
  • 要配慮個人情報の「重点監督」化と医療分野の別扱い(参議院第4項)。要配慮個人情報を統計特例で扱う場面は個人情報保護委員会の重点監督の対象とされ、特に病歴等については医療分野ガイドラインの改正・守秘義務・研究倫理指針との関係整理が明記された。これは、修正案が否決された一方で、法文で落とした歯止めを決議および規則・ガイドラインに委ねる立法技術であり、医療・ヘルスケア・研究機関にとって今後のガイドライン改正が最重要の実務論点となることを意味する。
  • 見送られた制度の将来検討の明記。プロファイリング規制(両院第5項)、課徴金の対象・水準(参議院第12項)、団体差止・被害回復制度(両院第13項)は、いずれも今回の改正で見送られまたは限定されたが、附則第14条の3年ごと見直しに向けた継続検討課題として決議に明記された。これらは次期改正の主要論点として残る。

委員会規則・ガイドラインの注目点

附帯決議は、法律上抽象的に定められた部分を委員会規則・ガイドラインで具体化することを強く求めており、実務対応の成否は下位法令の設計に大きく左右される。とりわけ、次の各点が注目される。

  • 統計作成等の具体的範囲、AI開発等が統計作成等に該当するための要件(第2条第13項の委員会規則)
  • 個人との対応関係が排斥された状態の判断基準、復元防止のために必要かつ適切な措置
  • 要配慮個人情報を扱う場合の安全管理措置、提供前の削除・仮名化・PETs処理の水準
  • 病歴等を含む医療情報の第三者提供ルール、医療分野ガイドラインの改正、次世代医療基盤法・守秘義務・研究倫理指針との関係
  • 本人が容易に知り得る公表の内容・方法、個人情報保護委員会によるモニタリング・報告徴収の運用
  • 「本人の意思に反しないことが明らかな場合」の具体的範囲・判断基準(第18条第3項第7号等)
  • 特定生体個人情報の周知事項・掲示場所の方針(第21条の2)
  • 漏えい等発生時の本人通知の代替措置が許容される場合の対象範囲・判断基準(第26条第2項)
  • 課徴金納付命令の基準、「相当の注意」の判断要素、課徴金額の算定基礎の考え方

政府は、スタートアップを含む多様なステークホルダーから意見を聴き、身近な事例を踏まえた分かりやすいガイドラインとする旨、また安全管理措置の内容や技術的手法をガイドラインに例示し、チェックリストも活用する旨を答弁している。ガイドラインの公表を待つのではなく、附帯決議と政府答弁が示す方向でチェックリストを内製し、規則・ガイドライン公表後に差分修正する対応が現実的である。パブリックコメントの機会を活用することも重要である。

18 実務への示唆――公布を受けて着手すべき事項

公布により施行期日の起算点が確定した以上、実務対応は「いつから何が効くか」を前提とした具体的な工程管理の段階に入る。次の各事項について、早期に着手することが望まれる。

対応事項実務対応
影響範囲の可視化どの改正条項・どの経過措置の影響を受けるかを類型別に可視化する(顔認証・防犯カメラ、営業リスト、委託・クラウド・BPO、漏えい対応、生成AI利用、子ども向けサービス等)
先行施行部分の優先対応令和9年1月17日施行の罰則関係等(オプトアウトに係る提供先の虚偽回答の禁止・過料を含む)を優先して点検する
統計特例の利用棚卸しAI開発・データ分析・モデル学習・統計作成・研究開発で本人同意不要特例を利用し得る業務を洗い出す。出力が「個人に戻るか」で線引きする
委託か特例かの比較考量まず委託で足りるかを検討し、特例による場合は公表文・書面合意・継続公表・再提供禁止・越境措置の体制を整える
要配慮個人情報の特定病歴・健康情報・障害・犯罪歴・犯罪被害・信条・社会的身分等を含む処理を特定し、生データのまま取り扱わない設計とする
データ最小化・PETs氏名・住所・会員ID・端末ID・位置情報等の要否を確認し、不要な項目は削除・匿名化・仮名化する。差分プライバシー・秘密計算・連合学習・合成データ等の導入可能性を検討する
AIモデルのリスク評価モデルから特定個人の識別・要配慮個人情報の推知・再識別が生じないかを検証し、記録する
公表文書の設計統計作成等に係る事項を本人が容易に知り得る状態で公表する方法・内容・更新体制を設計する
営業リストの点検電話番号・メールアドレス・所在地等を含むリストについて、取得経路・利用態様・提供先を点検し、連絡可能個人関連情報としての規律を織り込む
委託・クラウド契約の棚卸しみなし規定がないため、契約期間の長い委託・クラウド契約から着手する。取扱方法の決定者、二次利用条項、再委託、事故報告、監査権限を点検する
顔認証・生体情報特定生体個人情報の該当性、周知事項・掲示場所(機器周辺および検知対象者が認識できる場所)、利用停止請求対応フローを整備する
こどもの個人情報年齢確認・法定代理人対応・本人説明・利用停止請求・ターゲティング広告の制限を、発達段階に応じて見直す
漏えい時の通知判断リスク評価に基づく通知要否の判断プロセスをインシデント対応フローに組み込み、判断記録を保存する
オプトアウト対応提供先の確認(氏名・住所・代表者・利用目的)と記録の運用を整備する。外部から購入したリストを利用する場合も確認義務が関係し得る
罰則対応秘密保持誓約書、退職時の情報返還・削除確認、アクセス権限の付与・剥奪のフローを整備する
課徴金リスクの管理「相当の注意」を尽くしたことを示せる審査フロー・契約審査・アクセス制御・ログ管理・教育・監査・承認記録を整備し、経営レベルの関与体制を構築する

優先すべきは、第一に、自社の個人データの取扱いを類型別に棚卸しすること、第二に、委託・共同利用契約、社内規程、秘密保持誓約書、顔認証等の掲示、プライバシーポリシー、漏えい時の通知基準といった契約・社内文書・外部公表文書を一体で見直すこと、第三に、総務・人事・法務・情報セキュリティ・経営陣が連携し、停止請求・本人通知命令・課徴金リスクに即応できる体制を構築することである。

単発の対応で終わらせず、データの取得から廃棄に至るライフサイクル全体を棚卸ししたうえで、規程・契約・公表文書・社内研修・モニタリングを一体のデータガバナンス体制として整備しておくことが、課徴金時代における最大のリスク低減策となる。今回の改正は、個人情報保護法を「使えるデータは使えるようにする法」としつつ、逸脱には重い責任を課す法へと進めるものであり、どの改正条項とどの経過措置の影響を受けるかを早期に可視化し、特に6か月先行施行部分を優先して、契約・規程・運用・体制の見直しに着手することが肝要である。

なお、本ニュースレターは一般的な情報提供を目的とするものであり、個別の事案への対応については別途ご相談ください。施行期日を定める政令や委員会規則・ガイドライン等の最新情報を適宜ご確認ください。

以上


[1] 個人情報の保護に関する法律等の一部を改正する法律(令和8年法律第56号)。官報(令和8年7月17日)(https://www.kanpo.go.jp/20260717/20260717g00160/20260717g001600000f.html)。改正法案の条文・新旧対照表および概要は、個人情報保護委員会『「個人情報の保護に関する法律等の一部を改正する法律案」の閣議決定について(令和8年4月7日)』(https://www.ppc.go.jp/news/press/2026/260407/)による。

[2] 個人情報保護法ニュースNo.21「令和8年改正個人情報保護法の成立のご報告――衆議院・参議院の附帯決議(各14項目)の全文と比較分析」(令和8年7月13日)。両院審議の主な論点と政府答弁については、個人情報保護法ニュースNo.19「令和8年改正個人情報保護法案 国会審議状況のご報告」(令和8年7月)を参照。

[3] 個人情報保護委員会「OpenAIに対する注意喚起の概要」(令和5年6月2日)(https://www.ppc.go.jp/files/pdf/230602_alert_AI_utilize.pdf)。法第147条に基づき、OpenAI, L.L.C.及びOpenAI OpCo, LLCに対し、機械学習のための情報収集に関して、学習用データセットに加工する前に要配慮個人情報を削除し又は特定の個人を識別できないようにする措置等を求めたもの。

[4] 衆議院ホームページ「第221回国会閣法第54号 附帯決議」(令和8年5月21日 地域活性化・こども政策・デジタル社会形成に関する特別委員会)。

[5] 参議院デジタル社会の形成及び人工知能の活用等に関する特別委員会会議録(令和8年7月8日)。

ACCESS 所在地
M&Pインベストメント・コンプライアンス株式会社
弁護士法人 三宅法律事務所  MIYAKE & PARTNERS

大阪事務所 OSAKA OFFICE

〒541-0042
大阪市中央区今橋3丁目3番13号
ニッセイ淀屋橋イースト16階
FAX
06-6202-5089

東京事務所 TOKYO OFFICE

〒100-0006
東京都千代田区有楽町1丁目7番1号
有楽町電気ビルヂング北館9階
FAX
03-5288-1025