令和8年改正個人情報保護法はどうなる?改正案を弁護士が解説
IT・情報セキュリティ 更新
令和8年4月7日付けで「個人情報の保護に関する法律等の一部を改正する法律案」が閣議決定され、本法律案に含まれる個人情報保護法の改正案が公表されました。
本法律案は、デジタル技術の急速な進展に伴い、個人情報を含むデータの利活用に対する需要が高まっている一方で、個人情報の違法な取扱いにより個人の権利利益が侵害されるリスクも高まっていることを踏まえ、個人情報の有用性に配慮しつつ、そのいっそうの保護を図るため、所要の措置を講ずるものであり、第221回特別国会に提出されています。
本稿では、この改正案の概要について、執筆時点(2026年5月19日)における情報を基に解説します。
(本稿における略記)
| 略記 | 正式名称・参照情報 |
|---|---|
| 個人情報保護法または法 | 個人情報の保護に関する法律(平成15年法律第57号) |
| 本法律案 | 個人情報の保護に関する法律等の一部を改正する法律案 |
| 令和8年改正個人情報保護法または改正法 | 本法律案に含まれる個人情報保護法の改正案 |
| 考え方 | 個人情報保護委員会「個人情報保護法の制度的課題に対する考え方について」(令和7年3月5日) |
| 改正方針 | 個人情報保護委員会「個人情報保護法 いわゆる3年ごと見直しの制度改正方針」(令和8年1月9日) |
| 令和2年改正 | 個人情報の保護に関する法律等の一部を改正する法律(令和2年6月12日法律第44号) |
個人情報保護法の改正の概要
改正法の立法経緯
個人情報保護委員会は、令和2年改正法附則10条 1 の規定を踏まえ、個人情報保護法のいわゆる「3年ごと見直し」について、2023(令和5)年11月から検討を進めており、2025(令和7)年3月5日に「個人情報保護法の制度的課題に対する考え方について」(以下「考え方」といいます)を公表しました。
その後、10か月の間、3年ごと見直しの議論について進捗がありませんでしたが、2026(令和8)年1月9日、個人情報保護委員会は「個人情報保護法 いわゆる3年ごと見直しの制度改正方針」(以下「改正方針」といいます)を公表し、令和8年改正個人情報保護法の方針を明確にしました。
この度、2026(令和8)年4月7日付けで「個人情報の保護に関する法律等の一部を改正する法律案」(以下「本法律案」といいます)が閣議決定され、その内容が公開されました 2。
| 法律案名 | 関連資料 | 審議状況など |
|---|---|---|
| 個人情報の保護に関する法律等の一部を改正する法律案 ※本稿では「本法律案」と略記 |
閣議決定日:2026年4月7日 国会提出日:2026年4月7日 |
令和8年改正個人情報保護法のスケジュールの見通し
第221回特別国会は、2026年2月18日から7月17日まで開催されることが予定されているところ、同特別国会において本改正案が成立した場合、本改正案に含まれる個人情報保護法の改正案は「令和8年改正個人情報保護法」になります。
令和8年改正個人情報保護法は、原則としてその公布の日から起算して2年を超えない範囲内において政令で定める日から施行されることになります(改正法附則1条本文)。
令和8年改正個人情報保護法の12の改正項目
個人情報保護委員会が公表する「個人情報の保護に関する法律等の一部を改正する法律案(概要)」では、改正内容を4つ(適正なデータ利活用の推進、リスクに適切に対応した規律、不適正利用等防止、規律遵守の実効性確保のための規律)に分けて説明しています。
これらの4つの改正内容は、以下の12の改正項目を含んでいます。
| 改正内容 | 改正項目 | (新設・厳格化) |
|---|---|---|
1. 適正なデータ利活用の推進 |
① 統計作成等目的による同意取得義務の免除 ② 同意取得に係る例外規定の要件の緩和 |
|
2. リスクに適切に対応した規律 |
③ 子どもの個人情報に係る規制の明確化および厳格化 ④ 顔特徴データ等に係る規律の新設 ⑤ 委託を受けた事業者の規律の整備 ⑥ 漏えい等発生時の本人通知義務の緩和 |
✓ ✓ ✓ |
3. 不適正利用等防止 |
⑦ 特定の個人に対する働きかけが可能となる情報への規制の強化 ⑧ オプトアウトによる提供先の身元および利用目的の確認の義務化 |
✓ ✓ |
4. 規律遵守の実効性確保のための規律 |
⑨ 勧告および命令の行使の柔軟化 ⑩ 違反行為を補助等する第三者への措置の法定 ⑪ 罰則の強化および拡大 ⑫ 課徴金制度の導入 |
✓ ✓ ✓ ✓ |
本稿では、上記①~⑫の各項目について執筆時点で判明している情報を整理することにより、令和8年改正個人情報保護法の概要を解説します。なお、令和8年改正個人情報保護法には、民間部門と公的部門の両方の規律の改正が含まれていますが、以下においては、民間部門の規律の改正について解説します。
適正なデータ利活用の推進
統計作成等目的による同意取得義務の免除(項目①)
(1)現行法のおさらい
現行法では、統計情報等の作成にのみ利用される場合であっても、個人データの第三者提供および要配慮個人情報の取得には原則として同意取得が必要とされています(法27条、28条、20条2項)。
この点について、考え方では、統計情報等の作成のために複数の事業者が持つデータを共有し横断的に解析するニーズが高まっていること、特定の個人との対応関係が排斥された統計情報等の作成や利用はこれによって個人の権利利益を侵害するおそれが少ないものであることから、このような統計情報等の作成にのみ利用されることが担保されていること等を条件に、本人同意なき個人データ等の第三者提供および公開されている要配慮個人情報の取得を可能とすることが提案されていました(考え方1・2頁)。
このような議論を踏まえ、改正方針では、個人データ等の第三者提供および公開されている要配慮個人情報の取得について、統計情報等の作成(統計作成等であると整理できるAI開発等を含みます)にのみ利用されることが担保されていること等を条件に、本人同意を不要とする方針が示されていました(改正方針1・2頁)。
(2)改正法の内容
令和8年改正個人情報保護法では、統計情報等の作成にのみ利用される場合の同意取得義務の免除について以下のルールを定めています。
| 改正対象 | 改正の具体的な内容 | 改正法の条文 |
|---|---|---|
| 「統計作成等」「統計作成等目的」の定義 |
|
2条13項 |
|
30条の2第1項 | |
| 統計作成等の特例による同意取得義務の免除条件 | 30条の2第1項 | |
| 30条の2第5項、 31条の3第1項 |
||
| 継続的公表義務 |
|
30条の2第2項・6項、 31条の3第2項 |
| 目的外利用および第三者提供の禁止 9 |
|
30条の2第4項・9項、 31条の3第5項 |
|
30条の2第10項・11項、 31条の3第6項・7項 |
同意取得に係る例外規定の要件の緩和(項目②)
(1)現行法のおさらい
現行法では、目的外利用、要配慮個人情報取得及び第三者提供を行う場合には、原則として本人の同意を得ることが求められます(法18条、20条2項、27条、28条)。
(2)改正法の内容
この同意取得義務に係る例外要件の緩和として、令和8年改正個人情報保護法では、以下の3点の改正が定められています。
- 取得の状況からみて本人の意思に反しないため本人の権利利益を害しないことが明らかな取扱いの例外の新設
現行法では、取得の状況からみて本人の意思に反しないため本人の権利利益を害しないことが明らかな場合であっても、本人同意の取得義務は免除されません。これに対して、改正方針では、取得の状況からみて本人の意思に反しないため本人の権利利益を害しないことが明らかな取扱いである場合は本人同意を不要とする方針が示されていました(改正方針2頁)。
令和8年改正個人情報保護法では、本人との間の契約の履行のために必要やむを得ないことが明らかである場合その他当該個人情報等の取得の状況からみて本人の意思に反しないため本人の権利利益を害しないことが明らかである場合として個人情報保護委員会規則で定める場合は、本人同意の取得義務が免除されることになりました(改正法18条3項7号、20条2項7号、27条1項8号)。
考え方では、この例外に該当する以下の具体例が紹介されていました(考え方2頁)。
- 本人が、事業者Aの運営するホテル予約サイトで事業者Bの運営するホテルの宿泊予約を行ったため、事業者Aが事業者Bに当該本人の氏名等を提供する場合
- 金融機関が海外送金を行うために送金者の情報を送金先の金融機関に提供する場合 等
- 同意取得の困難性要件の緩和
現行法では、同意取得義務の例外として、「人の生命、身体又は財産の保護のために必要がある場合であって、本人の同意を得ることが困難であるとき」および「公衆衛生の向上又は児童の健全な育成の推進のために特に必要がある場合であって、本人の同意を得ることが困難であるとき」(法18条2項2号・3号、20条2項2号・3号、27条1項2号・3号)が定められており、いずれも同意取得の困難性要件があります。
この点、改正方針では、このような同意取得困難性要件を緩和する方針が示されていました(改正方針2頁)。
令和8年改正個人情報保護法では、「本人の同意を得ることが困難であるとき」のみならず、「その他の本人の同意を得ないことについて相当の理由があるとき」にも同意取得義務の例外に依拠できるようになりました(改正法18条2項2号・3号、20条2項2号・3号、27条1項2号・3号)。
ここでいう「その他の本人の同意を得ないことについて相当の理由があるとき」に該当する具体例として、考え方の時点では、以下の具体例が紹介されていました(考え方3頁)。
- 本人のプライバシー等の侵害を防止するために必要かつ適切な措置(氏名等の削除、提供先との守秘義務契約の締結等)が講じられているため、当該本人の権利利益が不当に侵害されるおそれがない場合 等
- 学術研究機関等に医療の提供を目的とする主体が含まれる旨の明示
現行法では、「学術研究機関等」とは、大学その他の学術研究を目的とする機関もしくは団体またはそれらに属する者をいうため(法16条8項)、医療の提供を目的とする機関または団体は必ずしも含まれないと考えられます。
この点について、考え方では、医学・生命科学の研究においては、研究対象となる診断・治療の方法に関する臨床症例の分析が必要不可欠であり、病院等の医療の提供を目的とする機関または団体による研究活動が広く行われている実態があることが指摘されていました(考え方3頁)。
このような指摘を踏まえ、改正方針では、学術研究に係る例外規定の対象である「学術研究機関等」に、医療の提供を目的とする機関または団体が含まれることを明示する方針が示されていました(改正方針2頁)。
令和8年改正個人情報保護法では、「学術研究機関等」の定義に括弧書を追加して、「(医療法…第1条の5第1項に規定する病院…その他の医療の提供を目的とする機関又は団体を含む。)」という文言を記載することで、医療の提供を目的とする機関または団体が「学術研究機関等」の定義に含まれることを明示しました(改正法16条9項)。
リスクに適切に対応した規律
子どもの個人情報に係る規制の明確化および厳格化(項目③)
(1)現行法のおさらい
現行法では、子どもの同意取得や通知の対象となる年齢について法令レベルでは定められておらず、個人情報保護委員会のQ&Aにおいて、12歳から15歳までの年齢以下の子どもについて法定代理人等から同意を得る必要がある旨が述べられているのみです 11。また、保有個人データの利用停止等請求は、子供固有の規定は定められていません。さらに、子供本人の最善の利益を優先して考慮すべき旨の責務規定は定められていません。
これらの点について、考え方では、子どもは心身が発達段階にあるためその判断能力が不十分であり、個人情報の不適切な取扱いに伴う悪影響を受けやすいこと等から、子どもの発達や権利利益を適切に守る観点から、一定の規律を設ける必要がある旨が指摘されていました(考え方2頁)。
このような指摘を踏まえ、改正方針では、①16歳未満の本人に関する同意取得・通知等をその法定代理人を対象とすることの明文化、②16歳未満の本人の保有個人データの利用停止等請求の要件緩和、および③未成年者の個人情報等の取扱い等について本人の最善の利益を優先して考慮すべき旨の責務規定の追加という方針が示されていました(改正方針2頁)。
(2)改正法の内容
令和8年改正個人情報保護法では、子どもの個人情報の取扱いについて以下のルールを定めています。
| 改正対象 | 改正の具体的な内容 | 改正法の条文 |
|---|---|---|
| 16歳未満の本人に関する同意取得・通知等をその法定代理人を対象とすることの明文化 |
|
40条の2第1項本文・2項本文 |
|
40条の2第1項但し書・2項但し書 | |
| 16歳未満の本人の保有個人データの利用停止等請求の要件緩和 |
|
35条9項・10項 |
|
35条9項1号・10号・11号 | |
| 未成年者の個人情報等の取扱い等について本人の最善の利益を優先して考慮すべき旨の責務規定の追加 |
|
58条の3第1項 |
|
58条の3第2項 |
顔特徴データ等に係る規律の新設(項目④)
(1)現行法のおさらい
現行法では、顔特徴データ等は個人識別符号に該当する可能性はありますが(法2条2項、同法施行令1条1号ロ)、顔特徴データ等に係る固有の要求事項は定められていません。
この点について、考え方では、顔識別機能付きカメラシステム等のバイオメトリック技術の利用が拡大する中で、生体データのうち、本人が関知しないうちに容易に(それゆえに大量に)入手することができ、かつ、一意性および不変性が高く特定の個人を識別する効果が半永久的に継続するという性質を有する顔特徴データ等は、その他の生体データに比べてその取扱いが本人のプライバシー等の侵害に類型的につながりやすいという特徴を有することとなっている旨が指摘されていました(考え方6頁)。
このような指摘を踏まえ、改正方針では、①顔特徴データ等の取扱いに関する一定の事項の周知の義務化、②顔特徴データ等の利用停止等請求の要件緩和、および③顔特徴データ等のオプトアウトによる第三者提供の禁止という改正の方針が示されていました(改正方針2頁)。
(2)改正法の内容
令和8年改正個人情報保護法では、顔特徴データ等に係る規律について以下のルールを定めています。
| 改正対象 | 改正の具体的な内容 | 改正法の条文 |
|---|---|---|
| 「特定生体個人識別符号」「特定生体個人情報」の定義 |
|
16条5項 |
|
16条5項 | |
| 顔特徴データ等の取扱いに関する一定の事項の周知の義務化 |
|
21条の2第1項 |
|
21条の2第2項 | |
| 顔特徴データ等の利用停止等請求の要件緩和 |
|
35条7項・8項 |
|
35条7項各号 | |
| 顔特徴データ等のオプトアウトによる第三者提供の禁止 |
|
27条2項但し書 |
委託を受けた事業者の規律の整備(項目⑤)
(1)現行法のおさらい
現行法では、個人データの取扱いの委託を行う場合、委託をする事業者は委託を受けた事業者に対する必要かつ適切な監督を行わなければならないと定められていますが(法25条)、それ以外に委託を受けた事業者に固有の規定は定められておらず、個人情報取扱事業者一般の規律が適用されることになっています。
この点について、考え方では、個人情報取扱事業者等におけるDXの進展に伴い、個人データ等の取扱いについて、実質的に第三者に依存するケースが拡大している状況を踏まえ、委託を受けた事業者に対する規律の在り方を検討する旨が提案されていました(考え方5頁)。
このような議論を受けて、改正方針では、①委託先が個人データ等を委託業務の遂行に必要な範囲を超えて取り扱ってはならない旨の明記、および、②委託先に適用される義務が免除される条件の新設を行う方針が示されていました(改正方針2頁)。
(2)改正法の内容
令和8年改正個人情報保護法では、委託を受けた事業者の規律について、以下の義務および適用除外を新たに整備しています。
| 改正対象 | 改正の具体的な内容 | 改正法の条文 |
|---|---|---|
| 委託先が個人データ等を委託業務の遂行に必要な範囲を超えて取り扱ってはならない旨の明記 |
|
30条の3 |
|
30条の3 | |
| 委託先に適用される義務が免除される条件の新設 |
|
58条の2 |
|
58条の2 |
漏えい等発生時の本人通知義務の緩和(項目⑥)
(1)現行法のおさらい
現行法では、個人情報取扱事業者は、漏えい等報告の義務を負うときは、本人への通知が困難な場合であって、代替措置を講じたときを除き、一律に本人への通知義務を負うこととなります(法26条2項)。
この点、改正方針では、本人通知義務を合理化する観点から、漏えい等発生時について、本人の権利利益の保護に欠けるおそれが少ない場合は、本人への通知義務を緩和する方針が示されていました(改正方針2頁)。
(2)改正法の内容
令和8年改正個人情報保護法では、本人通知義務の例外として、「本人への通知が行われなくても本人の権利利益の保護に欠けるおそれが少ない場合として個人情報保護委員会規則で定める場合」が追加されました(改正法26条の2但し書)。
考え方では、上記の例外に該当する場合の以下の具体例が紹介されていました(考え方3頁)。
- サービス利用者の社内識別子(ID)等、漏えいした情報の取得者において、それ単体ではおよそ意味を持たない情報のみが漏えいした場合 等
出所:個人情報保護委員会事務局「個人情報保護法等の一部を改正する法律案について」(令和8年4月)13頁 12
不適正利用等防止
特定の個人に対する働きかけが可能となる情報への規制の強化(項目⑦)
(1)現行法のおさらい
現行法では、個人情報について不適正利用の禁止および不正取得の禁止が定められていますが(法19条、20条1項)、個人関連情報、仮名加工情報および匿名加工情報については定められていません。
この点について、考え方の時点では、特定の個人に対して何らかの連絡を行うことができる記述等である電話番号、メールアドレス、Cookie ID等を含む情報については、当該情報が個人情報に該当しない場合であっても、当該個人への連絡を通じて当該個人のプライバシー、財産権等の権利利益の侵害が発生し得る上、当該記述等を媒介として秘匿性の高い記述等を含む情報を名寄せすることにより、プライバシー等が侵害されたり、上記連絡を通じた個人の権利利益の侵害がより深刻なものとなったりするおそれがある旨が指摘されていました(考え方5頁)。
このような指摘を踏まえ、改正方針では、特定の個人に対する働きかけが可能となる個人関連情報等について、不適正利用および不正取得を禁止する方針が示されていました(改正方針2頁)。
(2)改正法の内容
令和8年改正個人情報保護法では、特定の個人に対する働きかけが可能となる情報への規制として、以下のルールが定められています。
| 改正対象 | 改正の具体的な内容 | 改正法の条文 |
|---|---|---|
| 「連絡可能個人関連情報」の定義 | 2条8項 | |
| 特定の個人に対する働きかけが可能となる情報の不適正な取扱いの禁止 |
|
31条の2第1項 |
|
31条の2第2項 | |
|
42条4項、 46条の2 |
オプトアウトによる提供先の身元および利用目的の確認の義務化(項目⑧)
(1)現行法のおさらい
現行法では、オプトアウト制度に基づく個人データの第三者提供を行う場合、提供先の身元および利用目的の確認は義務付けられていません(法27条2項)。
この点について、考え方の時点では、近時いわゆる「闇名簿」問題が深刻化する中で、オプトアウト届出事業者である名簿屋が、提供先が悪質な(法に違反するような行為に及ぶ者にも名簿を転売する)名簿屋であると認識しつつ名簿を提供した事案が発生しており、オプトアウト制度に基づいて提供された個人データが「闇名簿」作成の際の情報源の1つとなっている現状がある旨が指摘されていました(考え方7頁)。
このような指摘を踏まえ、改正方針では、オプトアウト制度に基づく第三者提供時の提供先の身元および利用目的の確認を義務化する方針が示されていました(改正方針2頁)。
(2)改正法の内容
令和8年改正個人情報保護法では、オプトアウトによる提供先の身元および利用目的の確認の義務化について、以下のルールを定めています。
| 改正対象 | 改正の具体的な内容 | 改正法の条文 |
|---|---|---|
| オプトアウトによる提供先の確認義務 |
|
27条7項本文 |
|
27条7項但し書 | |
| オプトアウトによる提供先の確認に関する偽りの禁止 |
|
27条8項 |
| オプトアウトによる提供先の確認に関する記録義務 |
|
29条1項 |
規律遵守の実効性確保のための規律
勧告および命令の行使の柔軟化(項目⑨)
(1)現行法のおさらい
現行法では、勧告の前置を要する「命令」は、「個人の重大な権利利益の侵害が切迫していると認めるとき」に発出することができ、侵害の切迫性がなければならず(法148条2項)、また、勧告の前置を要しない「緊急命令」は、「個人の重大な権利利益を害する事実があるため緊急に措置をとる必要があると認めるとき」に発出することができ、現に重大な権利利益侵害がなければならないとされています(法148条3項)。
また、勧告によって要求することができるのは「違反行為の中止その他違反を是正するために必要な措置をとるべき旨」であり(同条1項)、問題のある取扱いがあったことを認知させるための積極的な措置(例:本人通知または公表)を求めることができるようになっていません。
このような状況を踏まえ、改正方針では、勧告および命令の行使の柔軟化の観点から、①速やかな違反行為の是正が可能となる命令要件の見直し、および②違反行為に係る事実の通知または公表等の権利利益の保護のために必要な措置が可能となる勧告・命令内容の柔軟化を改正する方針が示されていました(改正方針2頁)。
(2)改正法の内容
令和8年改正個人情報保護法では、勧告および命令の行使の柔軟化の観点から、以下のルールが定められています。
| 改正対象 | 改正の具体的な内容 | 改正法の条文 |
|---|---|---|
| 速やかな違反行為の是正が可能となる命令要件の緩和 |
|
148条2項 |
|
148条3項 | |
| 違反行為に係る事実の通知または公表等の権利利益の保護のために必要な措置が可能となる勧告・命令内容の柔軟化 |
|
148条1~3項 |
違反行為を補助等する第三者への措置の法定(項目⑩)
(1)現行法のおさらい
現行法では、命令は個人情報保護法の義務規定に違反した個人情報取扱事業者等に対してのみ発出することができるものであり(法148条2項・3項)、当該違反行為に関わる第三者に対して、当該個人情報取扱事業者等へのサービス提供の停止等を命じることはできず、任意の要請に係る根拠規定もありません。
このような状況を踏まえて、改正方針では、違反行為を補助等する第三者に対して当該違反行為の中止のために必要な措置等をとるよう要請する際の根拠規定を設ける方針が示されていました(改正方針2頁)。
(2)改正法の内容
令和8年改正個人情報保護法では、違反行為を補助等する第三者への措置について、以下のルールが定められています。
| 改正対象 | 改正の具体的な内容 | 改正法の条文 |
|---|---|---|
| 取扱関係役務提供者に対する要請 |
|
148条の2第1項 |
|
148条の2第1項 | |
| 特定電気通信役務提供者に対する要請 |
|
148条の2第3項 |
|
148条の2第3項 | |
| 要請を受けて措置を講じた場合の免責 |
|
148条の2第4項 |
罰則の強化および拡大(項目⑪)
(1)現行法のおさらい
現行法では、個人情報データベース等の不正提供等に係る罰則は、「不正な利益を図る目的」で実行行為を行った場合のみが対象となっており、「損害を加える目的」で実行行為を行った場合は対象となっていません(法179条)。
この点について、考え方の時点では、本人の権利利益を害する程度には、不正な利益を図る目的での行為と加害目的での行為とで差異が認められない旨が指摘されていました(考え方10頁)。
このような指摘を踏まえ、改正方針では、個人情報データベース等の不正提供等に係る罰則について加害目的の行為も処罰対象とすることとともに法定刑を引き上げる旨の方針が示されていました(改正方針3頁)。
また、現行法では、個人情報データベース等の不正提供等に係る罰則は、提供または盗用であり、取得それ自体を対象としていません(法179条)。
この点について、考え方の時点では、不正に取得された個人情報は不適正な利用がなされる蓋然性が高いため、詐欺行為・不正アクセス等の個人情報を保有する者の管理を害する行為により個人情報を取得する行為について、直罰の対象とする必要がある旨が指摘されていました(考え方10頁)。
このような指摘を踏まえ、改正方針では、詐欺行為等により個人情報を不正に取得する行為に対する罰則を設ける旨の方針が示されていました(改正方針3頁)。
(2)改正法の内容
令和8年改正個人情報保護法では、罰則の強化および拡大の観点から、以下のルールの改正が定められています。
| 改正対象 | 改正の具体的な内容 | 改正法の条文 |
|---|---|---|
| 個人情報データベース等の不正提供等に係る罰則の処罰対象の拡大および法定刑の引上げ |
|
178条 |
|
178条 | |
| 詐欺行為等により個人情報を不正に取得する行為に対する罰則の新設 |
|
180条1項 |
課徴金制度の導入(項目⑫)
(1)現行法のおさらい
現行法では、個人情報保護法違反に対する金銭的制裁は、刑事罰としての罰金しか定められておらず、行政上の制裁としての課徴金は課すことができません。
この点について、考え方の時点では、課徴金は、行政上の措置として機動的に賦課されるものであり、違反行為の経済的誘因を小さくすることにより、違反行為を抑止することを目的として導入されるものであるところ、事後チェック型を志向する現代の市場経済社会において重要な法執行上の役割を果たしている旨が指摘されていました(考え方10頁。
なお、課徴金制度については、慎重な議論を行う観点から、2024年7月から「個人情報保護法のいわゆる3年ごと見直しに関する検討会」にて議論し、同年12月末に報告書 18 が取りまとめられています)。
このような指摘を踏まえ、改正方針では、経済的誘因のある、大量の個人情報の取扱いによる悪質な違反行為を実効的に抑止するため、重大な違反行為により個人の権利利益が侵害された場合等について、当該違反行為によって得られた財産的利益等に相当する額の課徴金の納付を命ずることとする方針が示されていました(改正方針3・6頁)。
(2)改正法の内容
令和8年改正個人情報保護法では、以下の課徴金制度が導入されています。
| 改正対象 | 改正の具体的な内容 | 改正法の条文 |
|---|---|---|
| 課徴金納付命令 |
|
148条の3第1項 |
|
148条の3第2項 | |
|
148条の3第1項本文・2項本文 148条の3第1項但し書・2項但し書 |
|
| 課徴金の算定金額の推計 |
|
148条の4 |
| 過去の課徴金納付命令歴による加算 |
|
148条の5 |
| 課徴金減免(リニエンシー)制度 |
|
148条の6本文 |
|
148条の6但し書 |
課徴金納付命令の対象範囲
-
附則10条は、「政府は、この法律の施行後3年ごとに、個人情報の保護に関する国際的動向、情報通信技術の進展、それに伴う個人情報を活用した新たな産業の創出及び発展の状況等を勘案し、新個人情報保護法の施行の状況について検討を加え、必要があると認めるときは、その結果に基づいて所要の措置を講ずるものとする」と定めています。 ↩︎
-
個人情報保護委員会「「個人情報の保護に関する法律等の一部を改正する法律案」の閣議決定について」(令和8年4月7日)参照 ↩︎
-
要配慮個人情報を取り扱う目的の全部が統計作成等目的または当該提供を行う目的である場合に限られます(改正法30条の2第1項)。 ↩︎
-
公表事項を変更するときは、あらかじめ、その旨および当該変更の内容を公表しなければなりません(改正法30条の2第3項本文)。ただし、一定の公表事項(例:取得者の氏名または名称)を変更するときは、変更をした後に速やかに公表することで足りるとされています(改正法30条の2第3項但し書)。 ↩︎
-
統計作成等の特例に基づいて第三者提供を受けた個人情報または個人関連情報は、改めて統計作成等の特例に基づいて第三者に提供することができないという点に留意する必要があります(改正法30条の2第5項柱書但し書、31条の3第1項柱書但し書)。 ↩︎
-
統計作成等の特例によっては、外国にある第三者に対する個人データまたは個人関連情報の提供に係る規制(法28条、31条1項2号)の適用が除外されないため、外国にある第三者との関係ではいわゆる基準適合体制を整備しなければならないという点に留意する必要があります(改正法30条の2第5項、31条の3第1項)。基準適合体制を整備した外国にある第三者に対して統計作成等の特例の対象となる情報を提供する場合、当該第三者による相当措置の継続的な実施を確保するために必要な措置を講ずるとともに、当該必要な措置に関する情報を公表しなければなりません(改正法30条の2第13項、31条の3第9項)。 ↩︎
-
個人情報または個人関連情報を取り扱う目的の全部が統計作成等目的である場合に限られます(改正法30条の2第5項、31条の3第1項)。 ↩︎
-
公表事項を変更するときは、あらかじめ、当該事業者および当該第三者の双方がその旨および当該変更の内容を公表しなければなりません(改正法30条の2第7項本文、31条の3第第3項本文)。ただし、一定の公表事項(例:受領者の氏名または名称)を変更するときは、当該第三者が変更をした後に速やかに公表することで足りるとされています(改正法30条の2第7項但し書、同条第8項、31条の3第第3項但し書、同条4項)。 ↩︎
-
統計作成等の特例の対象となる情報は、個人データに該当する場合は、原則どおりに、個人データに該当しない場合であっても、準用規定によって、安全管理措置義務(法23条)、従業者の監督義務(法24条)および委託先の監督義務(法25条)の対象となることに留意する必要があります(改正法30条の2第14項、31条の3第10項。なお、安全管理措置義務が準用される場合、「漏えい、滅失又は毀損」は、「漏えい」に読み替えられます)。 ↩︎
-
ここでいう「統計作成等の例外の対象となる情報または当該情報を複製もしくは加工した個人に関する情報」としては、統計作成等用要配慮個人情報等、提供統計作成等用個人情報等および提供統計作成等用個人データを想定しています。各用語の定義は、以下のとおりです。
・「統計作成等用要配慮個人情報等」:改正法30条の2第1項の規定により取得された要配慮個人情報またはその全部もしくは一部を複製し、もしくは加工した生存する個人に関する情報(改正法30条の2第4項)
・「提供統計作成等用個人情報等」:改正法30条の2第5項本文の規定により提供を受けた個人情報またはその全部もしくは一部を複製し、もしくは加工した生存する個人に関する情報(改正法30条の2第6項)
・「提供統計作成等用個人データ等」:改正法31条の3第1項本文の規定により提供を受けた個人関連情報またはその全部もしくは一部を複製し、もしくは加工した生存する個人に関する情報(改正法31条の3第2項)。 ↩︎ -
個人情報保護委員会「『個人情報の保護に関する法律についてのガイドライン』に関するQ&A」(令和7年7月1日)A1-62 ↩︎
-
なお、資料内には「違法な個人データの第三者提供についても報告対象事態にする。」という言及があるため、今後は、個人情報保護委員会規則の改正によって、違法な個人データの第三者提供が報告対象事態として追加される可能性があります。 ↩︎
-
特定の個人に対する郵便もしくは信書便による送付、電報の送達または特定の個人への訪問に利用することができるものに限るとされています(改正法2条8項1号)。 ↩︎
-
特定の個人に対する電話またはファクシミリ装置を用いた送信に利用することができるものに限るとされています(改正法2条8項2号)。 ↩︎
-
特定電子メール法上の電子メールアドレスをいい、特定の個人に対する同法が規定する電子メールの送信に利用することができるものに限るとされています(改正法2条8項3号)。 ↩︎
-
特定の個人に対する電気通信を利用した情報の伝達に利用することができるものに限るとされています(改正法2条8項4号)。 ↩︎
-
特定電気通信役務提供者の損害賠償責任の制限及び発信者情報の開示に関する法律の一部を改正する法律(令和6年法律第25号) ↩︎
-
個人情報保護法のいわゆる3年ごと見直しに関する検討会「個人情報保護法のいわゆる3年ごと見直しに関する検討会 報告書」(令和6年12月25日) ↩︎
-
「金銭等」は、金銭その他の財産上の利益をいいます。以下同様です。 ↩︎
-
「報告徴収等」は、個人情報保護法146条1項の規定による報告もしくは資料の提出の要求または立入検査をいいます。以下同様です。 ↩︎
TMI総合法律事務所
- IT・情報セキュリティ
- 知的財産権・エンタメ
- 危機管理・内部統制
- 国際取引・海外進出
- 訴訟・争訟
この特集を見ている人はこちらも見ています
-
個人情報保護法とは?企業の義務・対策をわかりやすく解説
IT・情報セキュリティ
-
EUデータ法の解説 - 適用場面ごとのルールと日本企業が講ずべき実務対応を整理
IT・情報セキュリティ
-
サイバー法令は「リスクマネジメントのツール」 海外サイバー規制動向とセキュリティ実務への影響を弁護士に聞く
IT・情報セキュリティ
-
AIに個人情報を入れてはいけない? 個人情報保護法改正を見据えて弁護士が解説
IT・情報セキュリティ
-
日本版AI法の概要と企業への影響
IT・情報セキュリティ
-
能動的サイバー防御関連法の概要と民間企業への影響 一般企業、基幹インフラ事業者、電気通信事業者、ITベンダー
IT・情報セキュリティ