何が決まったのか
2026年4月7日、政府は「個人情報の保護に関する法律等の一部を改正する法律案」を閣議決定しました。
今国会で成立すれば、公布から2年以内に施行される見通しです。つまり、早ければ2028年春頃には新しいルールのもとで企業活動を行わなければなりません。
「まだ2年もある」と感じるかもしれませんが、前回の改正を振り返ると、施行令や具体的なガイドラインが出揃うまでに時間がかかり、対応が後手に回った企業は少なくありませんでした。今回の改正は、特に課徴金という金銭的な制裁の仕組みが初めて導入されるという点で、過去の改正とは重みが違います。
個人情報保護法は約3年ごとに見直される仕組みになっており、今回はその3回目の見直しにあたります。個人情報保護委員会が2026年1月9日に公表した「制度改正方針」をもとに法案がまとめられたもので、改正のポイントは大きく分けて「規制の強化」と「データ利活用の促進」の2つの方向性を持っています。
参考リンク:
今回の改正で何が変わるのか
改正のポイントは多岐にわたりますが、情報システム部門の担当者が特に押さえておくべき変更点を整理しました。
1. 課徴金制度の新設(最大の注目ポイント)
これまで個人情報保護法に違反した場合の罰則は、刑事罰(懲役・罰金)と行政上の命令が中心でした。しかし実際には刑事罰が適用されるケースは極めて少なく、「違反しても実質的なペナルティが軽い」という批判がありました。
今回の改正では、悪質な違反行為に対して課徴金の納付を命じる制度が初めて導入されます。
これは独占禁止法や金融商品取引法で既にある仕組みと同じ考え方で、違反によって得た利益に応じた金銭を国に納めさせるものです。
課徴金の対象となるのは、以下のような悪質なケースに限定されています。
- 違法な行為を行う第三者に個人情報を提供した場合
- 不正に個人情報を取得した場合
- 本人の同意なく個人データを第三者に提供した場合
ただし、すべての違反に課徴金がかかるわけではありません。以下の3つの条件をすべて満たす場合に限り適用されます。
- 相当の注意を怠っていた(過失があった)こと
- 対象となる本人の数が1,000人を超えること
- 個人の権利利益を害する程度が大きいこと
ここで注目すべきは、安全管理措置の不備による個人データの漏えいは、課徴金の対象外とされている点です。
つまり、サイバー攻撃を受けて情報が漏えいしてしまったケースなどは、直ちに課徴金を課されるわけではありません。あくまで「悪意を持って個人情報を不正利用するような行為」を狙い撃ちにした制度と言えるでしょう。
とはいえ、「うちは悪意のある利用はしていないから関係ない」と安心するのは早計です。委託先が不正利用を行った場合や、社内で想定外のデータの二次利用が行われていた場合など、間接的にリスクが波及する可能性は否定できません。
2. 生体情報(顔認証データなど)への新たな規制
今回の改正では、「特定生体個人情報」という新しい概念が導入されます。
具体的には、顔の特徴データのように「本人が取得されていると容易には気づけない身体的特徴の情報」がこれに該当します。
この情報については、本人が利用停止を請求できる権利が強化され、さらにオプトアウト方式(利用停止手段を提供するだけ)での第三者提供が禁止されます。
防犯カメラと連動した顔認証システムを導入している企業や、入退室管理に生体認証を使っている企業は、自社の運用が新しいルールに適合しているかどうか確認する必要が出てくるでしょう。
3. 「連絡可能個人関連情報」という新しい類型
電話番号、メールアドレス、Cookie IDなど、特定の個人に連絡を取ることができる情報について、たとえそれ単体では「個人情報」に該当しなくても、不適正な利用や不正な取得が禁止されるようになります。
これまで個人情報保護法の規制対象外だったグレーゾーンの情報にも、一定のルールが適用されることになるわけです。マーケティング部門がCookie情報を使ったターゲティング広告を行っている場合などは、法務部門と連携して影響を精査する必要があるかもしれません。
4. AI開発のための統計利用の規制緩和
規制強化の話が続きましたが、今回の改正にはデータ利活用を促進する方向の変更も含まれています。
具体的には、複数の事業者が個人データを持ち寄ってAIの学習用データとして統計処理を行うような場合、特定の個人との対応関係がない統計分析の結果のみを利用するのであれば、本人の同意を不要とする「統計特例」が設けられます。
これはAI開発を国として推進する政策の一環であり、「個人を特定しない形であれば、データをもっと活用しやすくしよう」という方向性を示したものと言えるでしょう。
情シス担当者が今から準備すべきこと
施行までにはまだ時間がありますが、今のうちから手をつけておきたいポイントがあります。
まず取り組みたいのは、自社が保有する個人情報の棚卸しです。
どの部署がどんな個人情報をどんな目的で保有しているのか、委託先にどんなデータを渡しているのか。この全体像を把握していなければ、法改正への対応計画を立てることすらできません。
次に確認すべきは、以下の3つの文書です。
- プライバシーポリシー:新しい情報の類型(連絡可能個人関連情報など)への対応が必要になる可能性
- 委託契約書:委託先の管理体制や、委託先での不正利用が発覚した場合の責任分担
- 漏えい対応フロー:課徴金制度の導入に伴い、インシデント発生時の初動対応の重要性がさらに増す
また、生体認証を利用している企業は、「特定生体個人情報」の新ルールに自社の運用が適合するかどうか、早めにチェックしておくことをお勧めします。
経営層への報告では、「課徴金制度が新設される」という一点だけでも十分にインパクトがあります。
「個人情報の取り扱いを誤ると、金銭的な制裁を受ける可能性がある時代になった」という文脈で伝えれば、予算確保や体制整備の後押しになるのではないでしょうか。
まとめ:施行は先でも、準備は今から
今回の個人情報保護法改正は、課徴金制度という「お金のペナルティ」が初めて導入される、大きな転換点と言えます。
対象が悪質なケースに限定されているとはいえ、自社のデータ管理体制を見直すきっかけとして捉えるべきでしょう。
法案は今国会で審議され、成立すれば2028年春頃の施行が見込まれています。施行令や具体的なガイドラインが出揃うのはまだ先になりますが、「うちには関係ない」と判断する前に、まずは自社の個人情報の取り扱い状況を把握すること。
それが、改正法に向けた最初の一歩になるはずです。
参考リンク:
