2026年4月7日、政府は「個人情報の保護に関する法律等の一部を改正する法律案」を閣議決定し、同日、国会に提出しました。今回の改正は、いわゆる「3年ごと見直し」に基づくもので、デジタル技術の急速な進展によりデータ利活用のニーズが高まる一方、個人情報の違法な取扱いによって個人の権利利益が侵害されるリスクも高まっていることが背景にあります。

改正案には、データの利活用を後押しする規定と、利用者保護を強化する規定の双方が盛り込まれています。特に以下の3つの観点が企業にとっては特に重要なポイントです。

●個人情報利活用に向けた改正-情報利活用戦略への影響-
統計作成等目的での同意取得の免除など個人情報の利活用を後押しする改正を正確に理解しておくことは企業の情報利活用戦略に大きな影響を与えます。
●不適正な利用等の防止-企業オペレーションへの影響-
16歳未満の子どもの個人情報に関する同意取得等の相手方を法定代理人とする等の改正は同意取得フロー等企業のオペレーションに影響を与えます。
●課徴金制度の導入-個人情報保護法違反時のインパクトの増大-
これまで刑事罰としての罰金しかなかった個人情報保護法に、行政上の金銭的制裁である「課徴金制度」が導入される点は、企業にとって個人情報保護法に違反した場合のインパクトが大きく変わります。
本コラムでは、改正案の全体像と、企業として押さえておくべきポイントを整理します。

 

１．改正の全体像

改正案は大きく4つの柱で構成され、合計12の改正項目が盛り込まれています。全体像は以下のとおりです。

成立した場合、改正法は原則として公布の日から起算して2年を超えない範囲内で政令で定める日から施行される見込みです。施行までには一定の準備期間がありますが、影響範囲が広いため、早めに全体像を把握しておくことをお勧めします。

 

２．データ利活用を進める改正

⑴ 統計作成等のための同意取得義務の免除

現行法では、統計情報の作成だけに利用する場合であっても、個人データの第三者提供や要配慮個人情報の取得には原則として本人の同意が必要でした。改正案では、提供先が統計の作成等にのみ利用することが担保されるなど一定の条件を満たす場合に、本人の同意を得ずに個人データ等を第三者へ提供し、また公開されている要配慮個人情報を取得できるようになります。複数の事業者がデータを持ち寄って横断的に分析する場面や、統計作成等と整理できるAI開発などでの活用が想定されています。
もっとも、対象情報の目的外利用やさらなる第三者提供は原則として禁止され、対象情報を取り扱っている間は所定の事項を継続して公表する必要があるなど、利用には条件が付されています。

⑵ 同意取得に係る例外要件の緩和

本人同意の例外が次の3点で拡充されます。第一に、契約の履行のために必要やむを得ない場合など、取得の状況からみて本人の意思に反せず権利利益を害しないことが明らかな場合（委員会規則で定めるもの）が、新たに同意不要となります。具体例として、ホテル予約サイト経由で予約先のホテルに宿泊者の氏名等を提供する場合や、海外送金のために送金先の金融機関へ送金者情報を提供する場合が挙げられています。
第二に、生命・身体・財産の保護や公衆衛生の向上等に関する例外について、従来の「本人の同意を得ることが困難であるとき」に加え、「同意を得ないことについて相当の理由があるとき」も対象に加わります。第三に、学術研究の例外が及ぶ「学術研究機関等」に、病院など医療の提供を目的とする機関・団体が含まれることが明示されます。

 

３．新たなリスクに対応する規律

⑴ 子どもの個人情報に関する規律

16歳未満の個人情報を取り扱う場合、原則として同意取得や通知の相手方を「本人の法定代理人」に読み替えることが明文化されます（16歳未満であると知らないことに正当な理由がある場合などの例外があります）。また、16歳未満の本人による利用停止等の請求が原則として認められるなど本人の請求権が強化され、事業者および法定代理人には、未成年者の最善の利益を優先して考慮する努力義務が課されます。子ども向けサービスを提供する企業は、年齢確認や同意取得のフローの見直しが必要になる可能性があります。

⑵ 顔特徴データ等の規律の新設

顔識別カメラ等で扱う顔特徴データ等について、新たに「特定生体個人識別符号」「特定生体個人情報」という概念が設けられます（顔特徴データ等は今後、政令で指定される見込みです）。これらを取り扱う際は、取り扱う旨や利用目的等を事前に本人へ周知することが義務付けられ、本人の利用停止等請求が原則として認められるほか、オプトアウト方式による第三者提供の対象から除外されます。来店客等の顔認証を導入している企業は、告知や運用の見直しが求められる可能性があります。

⑶ 委託先（受託事業者）の規律の整備

クラウド利用などで個人データの取扱いを外部に委ねるケースの拡大を踏まえ、委託先は委託業務の遂行に必要な範囲を超えて個人情報を取り扱ってはならないことが明記されます。一方で、取扱方法や委託元への報告などを契約で定めるなど一定の条件を満たす場合には、委託先に課される義務の一部が適用除外となります（ただし、目的外利用の禁止や、安全管理・漏えい等への対応に関する義務は引き続き適用されます）。委託契約の記載事項を点検しておく必要があります。

⑷ 漏えい等発生時の本人通知義務の緩和

現行法では、漏えい等報告の対象となる場合、原則として本人への通知が必要です。改正案では、本人の権利利益の保護に欠けるおそれが少ない場合（委員会規則で定めるもの）が通知義務の例外として加わります。例えば、単体ではおよそ意味を持たない社内識別子（ID）等だけが漏えいした場合などが想定されています。

 

４．不適正な利用を防ぐ規律

⑴ 連絡可能な情報への規制強化

電話番号、メールアドレス、Cookie ID、所在地など、特定の個人に連絡することができる記述等を含む情報を「連絡可能個人関連情報」と定義し、これらについて不適正な利用と不正な取得が禁止されます。同様の規律は、仮名加工情報・匿名加工情報にも準用されます。個人情報に当たらないデータの取扱いにも規律が及ぶ点に注意が必要です。

⑵ オプトアウト提供時の提供先確認の義務化

いわゆる「闇名簿」問題を踏まえ、オプトアウト方式で個人データを第三者に提供する際に、提供先の氏名・住所・利用目的を確認する義務、提供先による偽りの禁止、確認内容の記録義務が新設されます。

 

５．実効性を確保する規律 ― 課徴金の導入

⑴ 勧告・命令の柔軟化

命令の発出要件から侵害の「切迫性」が緩和され、より速やかに命令・緊急命令を発出できるようになります。また、違反行為の中止だけでなく、違反事実の本人への通知や公表といった積極的な措置も、勧告・命令の対象に加わります。

⑵ 違反を補助等する第三者への措置

事業者が措置命令に従わない場合に、クラウド事業者等（取扱関係役務提供者）や検索サービス等（特定電気通信役務提供者）に対し、違反を中止させるために必要な措置を要請できる根拠規定が設けられます（要請に応じて措置を講じた場合の免責も規定されています）。

⑶ 罰則の強化・拡大

個人情報データベース等の不正提供等の罪に、「損害を加える目的」での行為が処罰対象として追加され、法定刑が「1年以下の拘禁刑または50万円以下の罰金」から「2年以下の拘禁刑または100万円以下の罰金」に引き上げられます。さらに、詐欺・不正アクセス等の手段によって個人情報を不正に取得する行為に対する罰則が新設されます。

⑷ 課徴金制度の導入

今回の改正の目玉です。違法な行為等を行うことが想定される第三者への個人情報の提供・利用、第三者提供制限への違反、統計の特例に関する目的外利用・第三者提供禁止への違反、不正に取得した個人情報の利用といった重大な違反行為により金銭等の利益を得た場合に、その利益に相当する額の課徴金の納付が命じられます。主なポイントは次のとおりです。
・ 対象外となる場合：違反を防止するための相当の注意を怠っていないと認められる場合や、本人の数が1,000人を超えないなど権利利益を害する程度が大きくない場合。
・ 加算：過去10年以内に課徴金納付命令を受けた者が当該課徴金納付命令の日以後において課徴金対象行為をしていた場合には、算定額の1.5倍が課されます。
・ 減免（リニエンシー）：自主的に違反事実を報告した場合は50%減額されます（ただし、調査を予知してからの報告は対象外です）。
これまで個人情報保護法違反の金銭的制裁は刑事罰としての罰金のみでしたが、行政が機動的に課す課徴金が加わることで、違反行為の経済的なうまみを失わせ、抑止を図る狙いがあります。

 

６．企業が今から準備すべきこと

施行までには一定の準備期間がありますが、影響は広範に及びます。たたき台として、まずは次の点検をお勧めします。
・ 個人情報の取得・利用・第三者提供のフロー全体を改めて棚卸しし、課徴金や罰則の対象になり得る取扱いがないかを確認する。
・ 委託契約の記載事項（取扱方法、委託元への報告等）を点検し、改正後の要件に対応できるよう見直す。
・ 子ども向けサービスや顔認証など、新たな規律が及ぶサービスの有無を確認し、同意取得・告知のフローを整備する。
・ オプトアウト届出を行っている場合は、提供先の確認・記録の運用を準備する。
・ 漏えい等対応マニュアルを、改正後の本人通知の取扱いに合わせて見直す。

 

７．まとめ

今回の改正は、データの利活用と利用者保護の両面で、企業実務に広く影響します。とりわけ課徴金制度の導入によって、個人情報の取扱いの適正さは、これまで以上に経営リスクに直結することになります。
当事務所では、個人情報保護法を含むデータ保護・コンプライアンス全般について、社内規程・委託契約の点検から社内体制の整備まで幅広くサポートしております。改正への対応にお悩みの際は、ぜひお気軽に当事務所までご相談ください。

 

【参照】
・個人情報保護委員会「個人情報の保護に関する法律等の一部を改正する法律案」の閣議決定について（令和8年4月7日）

 

※本コラムは2026年4月7日に閣議決定された法律案に基づく解説です。今後の国会審議や、政令・個人情報保護委員会規則の制定により、内容が変わる可能性があります。