AI技術の進化やDXの急激な進展に伴い、データの利活用がますます重要になる一方で、プライバシー侵害などのリスクも複雑化しています。
そんな中、令和8年4月7日に「個人情報の保護に関する法律等の一部を改正する法律案」が閣議決定されました。この改正法案は、公布の日から起算して2年を超えない範囲内での施行が予定されており、法案が順調に成立すれば、早ければ2028年頃には全面施行される見込みです。
また新しい概念が増えるのか…と若干ウンザリしがちなこの分野ですが、今回は、実務に大きな影響を与える令和8年改正個人情報保護法の全体像についてわかりやすく、かつ詳しめに解説します。
ではさっそく。なお、引用部分の太字、下線、改行などは管理人によるものです。
改正の4つの柱(全体像)
今回の改正法案は、以下の4つの柱で構成されています。
それでは、それぞれの柱の具体的な中身を見ていきましょう。
柱1:適正なデータ利活用の推進
データとAIの好循環を生み出すため、個人の権利利益を保護しつつ、データ連携や利活用を促進する仕組みが導入されました。
統計作成等の特例(いわゆる「AI特例」の新設)
AI開発を含む統計情報等の作成にのみ利用される場合、公開されている要配慮個人情報の取得や、個人データ等の第三者提供について、インターネット等で一定の事項を公表するなどの条件を満たせば、本人の同意が不要となります。
これにより、機械学習のためのデータ収集や事業者間のデータ共有がスムーズになることが期待されています。
条文も少し確認してみます。
▽改正法案2条13項:「統計作成等」の定義
13 この法律において「統計作成等」とは、統計の作成その他の大量の情報から当該情報を構成する要素に係る情報を抽出して分類、比較その他の解析を行うことにより、当該大量の情報の傾向又は性質に係る情報(個人に関する情報であるものを除く。)を作成する行為のうち、個人の権利利益を害するおそれが少ないものとして個人情報保護委員会規則で定めるものをいう。
▽改正法案30条の2第1項:要配慮個人情報取得についての本人同意の例外
(個人情報に係る統計作成等の特例)
第三十条の二 個人情報取扱事業者は、統計作成等を行う目的(以下この項及び第五項並びに第三十一条の三第一項において「統計作成等目的」という。)又は第五項本文の規定による提供を行う目的で現に公開されている要配慮個人情報を取り扱う必要がある場合(当該要配慮個人情報を取り扱う目的の全部が統計作成等目的又は当該提供を行う目的である場合に限る。)であって、インターネットの利用その他の個人情報保護委員会規則で定める方法により当該個人情報取扱事業者の氏名又は名称、取得した要配慮個人情報を用いて行おうとする統計作成等の内容又は同項本文の規定による提供を行う目的で当該要配慮個人情報を取り扱う旨その他個人情報保護委員会規則で定める事項を公表しているときは、第二十条第二項の規定にかかわらず、当該現に公開されている要配慮個人情報を本人の同意を得ないで取得することができる。
▽同条5項(※「…」は管理人が適宜省略):個人データ等の第三者提供についての本人同意の例外
5 個人情報取扱事業者は、第三者…(略)…が個人情報(統計作成等用要配慮個人情報等を含む。以下この項から第七項まで及び第十三項並びに第七十二条の三第二項及び第三項において同じ。)を統計作成等目的で取り扱う必要がある場合(当該個人情報を取り扱う目的の全部が統計作成等目的である場合に限る。)であって、次の各号のいずれにも該当するときは、第十八条及び第二十七条第一項の規定にかかわらず、当該個人情報を本人の同意を得ないで当該第三者に提供することができる。ただし、…(略)…。
一 当該個人情報取扱事業者及び当該第三者が、インターネットの利用その他の個人情報保護委員会規則で定める方法により、当該個人情報取扱事業者及び当該第三者の氏名又は名称、行おうとする統計作成等の内容その他個人情報保護委員会規則で定める事項を公表していること。
二 当該第三者との間の書面(電磁的記録を含む。)による合意により、当該提供がこの項本文の規定によるものである旨が明確に定められていること。
現行法の要配慮個人情報については、以下の関連記事でくわしく解説しています。
-
-
個人情報保護法|「要配慮個人情報」に関する義務~取得の制限・オプトアウトによる提供の不許など
続きを見る
義務に関する例外事由の拡大
これまで一律に「同意が必要」とされていたルールが、実務の実態に合わせて緩和されます(目的外利用、要配慮個人情報取得及び第三者提供に関する規制について)。
- 本人の意思に反しない場合の同意不要化:
ホテルの予約サイトからホテルへの情報提供や、海外送金時の金融機関間の情報提供など、契約履行に必要不可欠であったり、取得の状況からみて本人の権利利益を害しないことが明らかな場合は、例外的に同意が不要になります - 同意取得困難性要件の緩和:
生命・身体の保護や公衆衛生の向上等のためであれば、同意を得るのが物理的に困難な場合だけでなく、「同意を得ないことについて相当の理由があるとき」にも同意不要でデータを取り扱えるようになります - 学術研究例外の対象拡大:
大学等に限られていた「学術研究機関等」の範囲に、市中の病院や診療所など「医療の提供を目的とする機関・団体」が含まれることが明記されました
柱2:リスクに適切に対応した規律
テクノロジーの進化により高まる新たなリスクから個人の権利を守るため、保護ルールが追加・見直しされました。
子ども(16歳未満)の個人情報に関する規律
16歳未満の子どもの個人情報を取り扱う場合、原則として本人の法定代理人(親権者など)からの同意取得や、法定代理人への通知が義務付けられました。
また、本人からの利用停止等請求の要件が緩和されるとともに、事業者や法定代理人は未成年者の「最善の利益」を優先して考慮する責務を負うことになります。
顔特徴データ等(特定生体個人情報)の規律
防犯カメラなどから抽出される顔特徴データのように、本人が気づかないうちに大量に収集され、半永久的に個人を識別できる情報を「特定生体個人情報」と定義しました。
▽改正法案16条5項
5 この章において「特定生体個人情報」とは、特定生体個人識別符号(第二条第二項第一号に該当する個人識別符号のうち、特別の技術又は多額の費用を要しない方法により取得することができる身体の一部の特徴に係る情報であって当該情報が取得されていることを本人が容易に認識することができないものとして政令で定めるものを変換したものをいう。第二十一条の二第一項第四号及び第三十五条第七項において同じ。)が含まれる個人情報をいう。
これを取り扱う場合は、利用目的等の事前の周知が義務化され、本人からの利用停止等請求の要件が緩和されるほか、オプトアウト制度に基づく第三者提供が禁止されます。
データ処理の委託先に対する規律
データ処理の委託先(クラウド事業者など)が、委託された業務の範囲を超えて独自に個人データ等を取り扱うことが禁止されると明文化されました。
▽改正法案30条の3
(受託者である個人情報取扱事業者の義務)
第三十条の三 他の個人情報取扱事業者又は行政機関等から個人情報の取扱いの全部又は一部の委託(二以上の段階にわたる委託を含む。)を受けた個人情報取扱事業者は、法令に基づく場合等を除くほか、その取扱いを委託された個人情報(当該個人情報取扱事業者において個人関連情報となるものを除く。)を、当該委託を受けた業務の遂行に必要な範囲を超えて取り扱ってはならない。
一方で、契約等で適正な取扱いのルールが定められており、それに従って取り扱う範囲内においては、委託先への一部の義務が免除される仕組みも整備されます。
▽改正法案58条の2(※「…」部分は管理人が適宜省略。読み替え規定になっています)
(取扱いの方法が契約により定められている受託個人情報取扱事業者等についての適用の特例)
第五十八条の二 他の個人情報取扱事業者等又は行政機関等から、個人情報等の取扱いの全部又は一部の委託を受けた個人情報取扱事業者等(以下この条において「受託個人情報取扱事業者等」という。)が行う当該個人情報等(第一号及び第二号において「受託個人情報等」という。)の取扱いについては、当該他の個人情報取扱事業者等又は行政機関等(同号において「委託者」という。)と当該受託個人情報取扱事業者等との当該委託に係る契約において、個人情報保護委員会規則で定めるところにより、次に掲げる事項が定められている場合であって、当該取扱いが当該委託を受けた業務の遂行に必要な範囲内において第一号に掲げる事項に係る当該契約の定めに従って行われるときは、…(略)…とする。
一~三 (略)
漏えい等報告・本人通知の緩和
システムの社内識別子(ID)のみが漏えいした場合など、それ単体では意味を持たず、本人に通知しなくても権利利益の保護に欠けるおそれが少ないケースでは、本人への通知義務が緩和(代替措置で対応可能に)されます。
柱3:不適正利用等防止
悪質な名簿業者や詐欺グループによるデータの悪用(いわゆる闇名簿問題など)を防ぐためのルールが強化されます。
「連絡可能個人関連情報」の不適正利用・不正取得の禁止
それ単体では個人情報に該当しなくても、電話番号、メールアドレス、Cookie IDなど、特定の個人に対する働きかけ(連絡等)が可能となる情報を、新たに「連絡可能個人関連情報」と定義しました。
これを、違法・不当な行為を助長・誘発する方法で利用したり、偽り等の不正な手段で取得したりすることが禁止されます。
条文も確認してみます。
▽改正法案2条8項(※「…」は管理人が適宜省略)
8 この法律において「連絡可能個人関連情報」とは、次に掲げる記述等が含まれる個人関連情報(他の情報と容易に照合することができ、それにより次に掲げる記述等を特定することができることとなるものを含む。)をいう。
一 住居、勤務先その他の特定の個人が所在し、又は所在していた場所の所在地(…一般信書便事業者若しくは…特定信書便事業者による…信書便…による送付、電報の送達又は特定の個人への訪問に利用することができるものに限る。)
二 電話番号(特定の個人に対する電話又はファクシミリ装置を用いた送信に利用することができるものに限る。)
三 電子メールアドレス(特定電子メールの送信の適正化等に関する法律(平成十四年法律第二十六号)第二条第三号に規定する電子メールアドレスをいい、特定の個人に対する同条第一号に規定する電子メールの送信に利用することができるものに限る。)
四 電気通信設備(電気通信事業法(昭和五十九年法律第八十六号)第二条第二号に規定する電気通信設備をいう。以下この号において同じ。)を利用する者又は電気通信設備を識別することができるように付された符号(特定の個人に対する電気通信(同条第一号に規定する電気通信をいう。)を利用した情報の伝達に利用することができるものに限る。)
五 その他特定の個人に対する連絡その他の情報の伝達に利用することができる記述等として個人情報保護委員会規則で定めるもの
▽改正法案31条の2
(連絡可能個人関連情報の不適正な取扱いの禁止)
第三十一条の二 個人関連情報取扱事業者は、違法又は不当な行為を助長し、又は誘発するおそれがある方法により連絡可能個人関連情報を利用してはならない。
2 個人関連情報取扱事業者は、偽りその他不正の手段により連絡可能個人関連情報を取得してはならない。
現行法の個人関連情報については、以下の関連記事でくわしく解説しています。
-
-
個人情報保護法|「個人関連情報」の定義を解説~個人情報との違い・提供元基準説など
続きを見る
オプトアウト制度の厳格化(確認義務の追加)
本人の求めがあれば提供を停止することを条件に、同意なくデータを第三者に提供する「オプトアウト制度」について、悪質な業者へのデータ流入を防ぐため、提供先の身元(名称・住所・代表者氏名等)や利用目的の確認が提供元に義務化されました。
▽改正法案27条7項
7 個人情報取扱事業者は、第二項本文の規定により個人データを第三者(第十六条第二項各号に掲げる者を除く。以下この条、第二十九条第一項並びに第三十条第一項及び第二項(第三十一条第三項において準用する場合を含む。)において同じ。)に提供するときは、個人情報保護委員会規則で定めるところにより、あらかじめ、次に掲げる事項の確認を行わなければならない。ただし、当該個人データの全部が、当該個人情報取扱事業者が当該個人データを取得した時点において本人、国の機関、地方公共団体、学術研究機関等、第五十七条第一項各号に掲げる者その他個人情報保護委員会規則で定める者により公開されていたものである場合又はこれに準ずる場合として個人情報保護委員会規則で定める場合は、この限りでない。
一 当該第三者の氏名又は名称及び住所並びに法人にあっては、その代表者の氏名
二 当該第三者における当該個人データの利用目的
柱4:規律遵守の実効性確保のための規律
ルール違反に対するペナルティや、行政(個人情報保護委員会)の権限が大幅に強化されます。
命令要件の緩和と是正措置の追加
勧告に従わなかった場合の個人情報保護委員会による命令について、「個人の重大な権利利益が害されるおそれ」がある段階(侵害が切迫していなくても)で機動的に発出できるよう要件が緩和されます(以下の2項参照)。
また、違反行為の中止だけでなく、違反事実の本人への通知・公表といった積極的な措置も勧告・命令の内容に含めることができるようになります(以下の1項ドット線部分を参照)。
▽改正法案148条1項~3項(※【 】は管理人が適宜省略)
(勧告及び措置命令)
第百四十八条 委員会は、個人情報取扱事業者等が第四章第二節から第四節まで(第十七条、第二十七条第八項、第三十条第二項(第三十一条第三項において準用する場合を含む。)及び第三十七条を除く。)の規定に違反した場合において、個人の権利利益を保護するため必要があると認めるときは、当該個人情報取扱事業者等に対し、当該違反行為の中止その他違反を是正するために必要な措置又は当該違反行為に係る事実の本人に対する通知若しくは公表その他の個人の権利利益を保護するために必要な措置(次項及び第三項において「是正措置等」という。)をとるべき旨を勧告することができる。
2 委員会は、前項の規定による勧告を受けた個人情報取扱事業者等が正当な理由がなくてその勧告に係る是正措置等をとらなかった場合において個人の重大な権利利益が害されるおそれがあると認めるときは、当該個人情報取扱事業者等に対し、その勧告に係る是正措置等をとるべきことを命ずることができる。
3 委員会は、前二項の規定にかかわらず、個人情報取扱事業者等が…(略)…の規定に違反した場合において、個人の重大な権利利益を害する事実があり、又は個人の重大な権利利益の侵害が切迫しているため緊急に措置をとる必要があると認めるときは、当該個人情報取扱事業者等に対し、是正措置等をとるべきことを命ずることができる。
第三者(サーバー提供者等)への協力要請
違反事業者が命令に従わない場合、委員会は、その事業者が利用しているクラウドサービスやサーバーのホスティング事業者、SNS事業者等に対して、サービスの提供停止や情報の流通防止などを要請できる根拠規定が新設されます。
▽改正法案148条の2第1項・第2項
(取扱関係役務提供者等に対する要請)
第百四十八条の二 委員会は、措置命令を受けた個人情報取扱事業者等が当該措置命令に従わない場合において、当該個人情報取扱事業者等が当該措置命令に係る違反行為に係る個人情報等の取扱いのために用いる役務を提供する取扱関係役務提供者(個人情報取扱事業者等から個人情報等の取扱いの全部又は一部の委託を受けた者その他の個人情報取扱事業者等との契約に基づき個人情報取扱事業者等がその個人情報等の取扱いのために用いる役務を提供する者をいう。以下この項及び次項において同じ。)があるときは、当該取扱関係役務提供者に対して、当該違反行為に係る個人情報等の取扱いの停止、当該役務の提供の停止その他の当該違反行為を中止させるために必要な措置をとるべき旨を要請することができる。
2 取扱関係役務提供者は、前項の規定による要請を受けて当該要請に係る措置を講じた場合において、当該措置命令を受けた個人情報取扱事業者等に生じた損害については、賠償の責めに任じない。
罰則の強化
個人情報データベース等の不正提供罪について、従来の「不正な利益を図る目的」に加え、「損害を加える目的(加害目的)」も処罰対象となり、法定刑が引き上げられます(例:1年以下の拘禁刑→2年以下の拘禁刑等)。
また、詐欺や暴行、不正アクセス等で個人情報を不正に取得する行為に対する直罰規定も新設されます。
課徴金制度の導入【重要!】
かねてより議論されていた課徴金制度がついに導入されます。違法な第三者提供や、統計作成等特例に違反する目的外利用、不正手段で取得した情報の利用など、特定の悪質な課徴金対象行為を行い、それによって財産的利益を得た場合、その利益相当額の課徴金の納付が命じられるようになります。
条文も少し確認してみます。
▽改正法案148条の3第1項
(個人情報の違法な取扱い等に対する課徴金納付命令)
第百四十八条の三 個人情報取扱事業者が、次に掲げる行為(以下この項において「違反行為」という。)をした場合(当該個人情報取扱事業者が、当該違反行為が行われた期間を通じて、当該違反行為を防止するための相当の注意を怠った者でないと認められる場合を除く。)において、代金、報酬、利用料、手数料その他名目のいかんを問わず、当該違反行為又は当該違反行為をやめることの対価として金銭その他の財産上の利益(以下この条において「金銭等」という。)を得たときは、委員会は、当該個人情報取扱事業者に対し、当該金銭等に相当する額として政令で定める方法により算定した額(次条において「第一項対価額」という。)に相当する額の課徴金を国庫に納付することを命じなければならない。ただし、当該違反行為に係る個人情報又は個人データ(第十六条第三項に規定する個人データをいう。第三号において同じ。)の本人の数が千人を超えないときその他個人の権利利益を害する程度が大きくない場合として政令で定めるときは、その納付を命ずることができない。
一 個人情報の提供であって、当該個人情報を利用して違法な行為又は不当な差別的取扱いを行うことが想定される状況にある第三者に対して行うもの
二 第三者の求めにより行う個人情報の利用であって、当該第三者が当該個人情報の利用を通じて違法な行為又は不当な差別的取扱いを行うことが想定される状況にある場合に行われるもの
三 第二十七条第一項(第四十条の二第一項の規定により読み替えて適用する場合を含む。)の規定に違反する個人データの提供
四 第三十条の二第四項若しくは第九項又は第三十一条の三第五項の規定に違反する個人情報の取扱い
五 第三十条の二第十項若しくは第十一項又は第三十一条の三第六項若しくは第七項の規定に違反する個人情報の提供
結び
令和8年改正法案は、AI開発や研究のためにデータをより使いやすくする(アクセル)一方で、子どもや生体データ、悪質な違反行為に対しては厳しくルールを課し罰する(ブレーキ)という、メリハリの効いた大規模な改正になっています。
施行は公布から2年以内(おそらく2028年頃)と少し先ですが、対応すべき実務は多岐にわたります。たとえば、16歳未満の子どもの同意取得フローの構築や年齢確認の検討、顔特徴データを扱うシステムのプライバシーポリシーや周知方法の改訂、Cookie ID等の連絡可能個人関連情報の棚卸し、さらには課徴金制度を見据えた社内のガバナンス体制の再構築など、今から少しずつ現状の洗い出しと対応方針の検討を始めることをおすすめします。
今後、個人情報保護委員会からより詳細な規則やガイドライン、Q&Aが順次発表されていく見通しですので、引き続き最新の動向をチェックしていきましょう。
[注記]
本記事は管理人の私見であり、管理人の所属するいかなる団体の意見でもありません。また、正確な内容になるよう努めておりますが、誤った情報や最新でない情報になることがあります。具体的な問題については、適宜お近くの弁護士等にご相談等をご検討ください。本記事の内容によって生じたいかなる損害等についても一切の責任を負いかねますので、ご了承ください。