最終更新日: 2026年2月
2026年1月9日、個人情報保護委員会は「個人情報保護法 いわゆる3年ごと見直しの制度改正方針」を公表した。改正法案は2026年通常国会(1月23日~6月21日)への提出が予定されている。制度改正方針は「適正なデータ利活用の推進」「リスクに適切に対応した規律」「不適正利用等の防止」「規律遵守の実効性確保」の4つの柱で構成され、同意規律の見直し・委託管理の再設計・課徴金制度の新設・子どもの個人情報保護の強化など、緩和と強化の両面を併せ持つ大型改正となる。本記事では、制度改正方針の全体像から企業の実務対応までを体系的に解説する。
関連記事
– 3省2ガイドライン対応実務|医療情報システムの安全管理を体系的に解説 — 医療分野における個人情報保護の具体的な安全管理基準(厚労省GL第6.0版・経産省総務省GL第2.0版)を解説
– 口座売買と犯罪収益移転防止法の罰則ガイド — 身分証画像・マイナンバーが闇バイト経由で流出するリスクと、犯収法28条の罰則・対処法
個人情報保護法の3年見直しとは
見直し規定の法的根拠
個人情報保護法の3年見直しとは、法律の附則に定められた定期的な見直し規定に基づく制度改正プロセスである。平成27年(2015年)改正法の附則第12条第3項において、個人情報の保護に関する国際的動向、情報通信技術の進展、個人情報を活用した新たな産業の創出及び発展の状況等を勘案し、施行後3年ごとに検討を加え、必要な措置を講ずる旨が規定された。
| 項目 | 内容 |
|---|---|
| 根拠条文 | 平成27年改正法 附則第12条第3項(令和2年改正法附則第10条で継承) |
| 見直しの観点 | 国際的動向、情報通信技術の進展、新産業の創出・発展の状況 |
| 手続 | 施行状況の検討 → 制度改正大綱/方針 → 法案提出 → 施行 |
| 文言の変遷 | 「施行後三年ごとに」→「施行後三年を目途として」(令和2年改正で変更) |
過去の改正経緯
個人情報保護法は、2003年の制定以降、社会経済情勢の変化に対応して段階的に改正されてきた。3年見直し規定の下での改正経緯は以下のとおりである。
| 年 | 改正の概要 | 主な改正事項 | 施行時期 |
|---|---|---|---|
| 2003年 | 法律制定 | 個人情報保護の基本法制定、個人情報取扱事業者の義務規定 | 2005年4月 |
| 2015年 | 平成27年改正 | 個人情報保護委員会の設置、匿名加工情報制度の新設、5,000人要件の撤廃 | 2017年5月 |
| 2020年 | 令和2年改正(第1回3年見直し) | 個人の権利の拡充、仮名加工情報の新設、漏えい報告の義務化、域外適用の強化 | 2022年4月 |
| 2026年 | 令和8年改正(第2回3年見直し) | 同意規律の見直し、委託管理の再設計、課徴金制度の新設、子どもの個人情報保護 | 2027~2028年見込み |
補足: 令和2年改正法では、附則第12条の「施行後三年ごとに」が「施行後三年を目途として」に変更された。これにより十分な検討期間が確保され、令和2年改正法の施行(2022年4月)から約3年後の2025年が次の見直しの目途とされた。個人情報保護委員会は2024年4月から具体的な検討を開始し、同年6月に中間整理、2026年1月9日に制度改正方針を公表している。
2026年改正の4つの柱と制度改正方針の概要
制度改正方針の全体構造
2026年1月9日に公表された制度改正方針は、以下の4つの柱で構成される。
| 柱 | 基本的な方向性 | 主な改正事項 |
|---|---|---|
| 第1の柱:適正なデータ利活用の推進 | 本人の権利利益への影響を基準に同意規律を再整理 | 統計作成目的の同意免除、本人意思に反しない取扱いの例外新設 |
| 第2の柱:リスクに適切に対応した規律 | リスクの高い分野に重点的に規律を設定 | 子どもの個人情報保護、顔特徴データ等の規律強化 |
| 第3の柱:不適正利用等の防止 | 個人関連情報等への不適正利用禁止の拡大 | 個人関連情報の不適正利用禁止、オプトアウト提供先の身元確認義務化 |
| 第4の柱:規律遵守の実効性確保 | 違反に対する制裁の強化と報告義務の合理化 | 課徴金制度の新設、刑事罰の引上げ、漏えい報告の合理化 |
改正の基本的な考え方:「緩和」と「強化」の同時実施
今回の改正方針の特徴は、データ利活用を促進する「緩和」面と、権利利益保護を強化する「強化」面の双方を併せ持つ点にある。
| 区分 | 改正事項 | 企業への影響 |
|---|---|---|
| 緩和 | 統計作成目的の第三者提供に係る同意免除 | AI開発・データ分析の促進 |
| 緩和 | 本人意思に反しない取扱いの例外新設 | 契約履行に必要な処理の効率化 |
| 緩和 | 委託先への義務免除の明確化 | 委託管理コストの削減 |
| 緩和 | 漏えい報告における本人通知義務の合理化 | 軽微な漏えいへの対応負担軽減 |
| 強化 | 課徴金制度の新設 | 重大違反への経済的制裁リスク |
| 強化 | 子どもの個人情報保護の義務化 | 16歳未満向けサービスの運用見直し |
| 強化 | 顔特徴データ等の規律強化 | 生体認証サービスの規制強化 |
| 強化 | 個人関連情報の不適正利用禁止 | Cookie等の取扱い見直し |
| 強化 | 刑事罰の引上げ | 悪質な違反行為への抑止力強化 |
想定スケジュール
前回の令和2年改正のスケジュールに倣うと、今回の改正は以下のスケジュールが想定される。
| 時期 | 事項 | 状況 |
|---|---|---|
| 2024年4月 | 検討開始(有識者検討会) | 完了 |
| 2024年6月 | 中間整理の公表 | 完了 |
| 2024年6月~12月 | パブリックコメント・追加検討 | 完了 |
| 2026年1月9日 | 制度改正方針の公表 | 完了 |
| 2026年1~6月 | 通常国会へ法案提出・審議 | 進行中 |
| 2026年5~6月頃 | 法案成立(見込み) | 未了 |
| 2026年度~2027年度 | 施行令・規則・ガイドラインの整備 | 未了 |
| 2027年~2028年頃 | 改正法施行(見込み) | 未了 |
同意規律の見直し|本人意思に反しない取扱いの例外新設
現行制度の課題
現行の個人情報保護法では、個人データの第三者提供(法第27条第1項)や要配慮個人情報の取得(法第20条第2項)について、原則として本人の事前同意が必要とされている。しかし、統計情報の作成やAI開発のためのデータ利活用など、本人の権利利益への影響が限定的な場合にまで一律に同意を求める現行制度は、データ利活用の障壁となっているとの指摘があった。
統計作成目的の同意免除
制度改正方針では、個人データの第三者提供および公開されている要配慮個人情報の取得について、統計情報等の作成にのみ利用されることが担保されている場合に、本人同意を不要とする新たな例外規定の創設が示された。
| 項目 | 内容 |
|---|---|
| 対象行為 | 個人データの第三者提供、公開されている要配慮個人情報の取得 |
| 適用条件1 | 提供元・提供先が統計情報等の作成にのみ利用する旨を公表していること |
| 適用条件2 | 提供元と提供先との間で統計情報等の作成にのみ利用する旨の書面による合意があること |
| 適用条件3 | 提供先において統計情報等の作成以外の目的で利用しないことが担保されていること |
| 想定される利用場面 | AI開発のための学習データ収集、公衆衛生に関する統計分析、マーケティング統計の作成 |
本人意思に反しない取扱いの例外
取得の状況からみて本人の意思に反しないことが明らかな場合についても、同意取得の例外とする方向が示された。
| 類型 | 具体例 | 現行法上の扱い |
|---|---|---|
| 契約履行に必要不可欠な処理 | 配送のための住所利用、決済のための口座情報利用 | 利用目的の範囲内であれば可、第三者提供には同意が必要 |
| 本人が合理的に予期できる処理 | 会員登録時の情報をサービス改善に利用 | 利用目的の明示が必要 |
| 本人の利益のための処理 | 緊急連絡先への通知、安否確認のための情報利用 | 人の生命等の保護に必要な場合の例外規定あり |
生命保護・公衆衛生に関する例外要件の緩和
| 現行法 | 改正方針 |
|---|---|
| 「本人の同意を得ることが困難であるとき」に限り例外 | 同意取得困難性要件を緩和(「その他の本人の同意を得ないことについて相当の理由があるとき」等の方向で検討) |
| 同意取得が物理的に困難な場合に限定 | プライバシー侵害防止措置が講じられている場合など、より広い状況での例外適用を想定 |
委託管理の見直し|処理者概念の導入と義務免除
現行制度における委託の位置づけ
現行法では、個人データの取扱いを委託する場合、委託元は委託先の監督義務を負う(法第25条)一方、委託先も「個人情報取扱事業者」として個人情報保護法上の全義務を負う構造となっている。この結果、委託先が自ら取扱方法を決定しない単純な処理業務であっても、利用目的の公表、第三者提供規制への対応、本人からの開示請求への対応など、包括的な義務への対応が求められていた。
改正方針:義務免除の仕組み
制度改正方針では、委託先が取扱方法を決定する権限を持たない場合について、GDPRにおける「処理者(processor)」概念を参考に、義務の適用を合理化する方針が示された。
| 項目 | 内容 |
|---|---|
| 前提条件1 | 取扱いの方法の全部について委託元と委託先が合意していること |
| 前提条件2 | 委託先における取扱いの状況を委託元が把握するために必要な措置について合意していること |
| 前提条件の例 | 漏えい等発生時に委託先が委託元に速やかに報告する旨の合意 など |
| 効果 | 委託先に対する個人情報保護法第4章の各義務規定の適用を原則免除 |
義務免除後に委託先に残る義務
義務が免除された場合でも、委託先には以下の最低限の義務が課される。
| 義務 | 内容 | 根拠 |
|---|---|---|
| 目的外利用禁止 | 委託を受けた業務の遂行に必要な範囲を超えて取り扱ってはならない | 新設規定 |
| 安全管理措置 | 個人データの安全管理に係る義務 | 現行法第23条に対応 |
| 漏えい報告 | 委託元への速やかな報告(委託契約に基づく) | 合意事項 |
義務免除の対象と免除されない義務の比較
| 義務の種類 | 現行法 | 改正後(義務免除適用時) |
|---|---|---|
| 利用目的の特定・公表 | 委託先にも義務あり | 免除 |
| 第三者提供規制への直接対応 | 委託先にも義務あり | 免除 |
| 本人からの開示請求への対応 | 委託先にも義務あり | 免除 |
| 利用停止・消去請求への対応 | 委託先にも義務あり | 免除 |
| 苦情処理体制の構築 | 委託先にも義務あり | 免除 |
| 安全管理措置 | 委託先にも義務あり | 義務あり(継続) |
| 目的外利用の禁止 | 明文規定なし | 義務あり(新設) |
| 委託元への漏えい報告 | 契約上の義務 | 義務あり(明確化) |
実務ポイント: 委託管理の見直しにより、データ入力、印刷・発送、システム保守などの業務委託における委託先の法的負担が大幅に軽減される。ただし、委託契約書において取扱方法の全部を合意し、委託先の取扱状況を把握する措置を講じることが前提条件となるため、既存の委託契約の見直しが必要となる。
不適正利用・個人関連情報の規律強化
個人関連情報への規律拡大
現行法では、不適正利用の禁止(法第19条)および不正取得の禁止(法第20条第1項)は「個人情報」に限定されており、「個人関連情報」「仮名加工情報」「匿名加工情報」には適用されない。改正方針では、特定の個人に対する働きかけが可能となる情報について、これらの情報類型にも不適正利用禁止・不正取得禁止を拡大する。
| 情報の種類 | 現行法の不適正利用禁止 | 改正後 |
|---|---|---|
| 個人情報 | 適用あり(法第19条) | 適用あり(継続) |
| 個人関連情報 | 適用なし | 適用あり(新設) |
| 仮名加工情報 | 適用なし | 適用あり(新設) |
| 匿名加工情報 | 適用なし | 適用あり(新設) |
「特定の個人への働きかけが可能となる情報」の範囲
| 情報の類型 | 具体例 |
|---|---|
| 所在地情報 | 住居の住所、勤務先の所在地 |
| 連絡先情報 | 電話番号、メールアドレス |
| オンライン識別子 | Cookie ID、広告ID、端末識別子 |
オプトアウト規制の強化
オプトアウト制度(法第27条第2項)に基づく第三者提供についても、規律が強化される。
| 項目 | 現行法 | 改正方針 |
|---|---|---|
| 提供先の身元確認 | 義務なし | 義務化 |
| 提供先の利用目的確認 | 義務なし | 義務化(検討) |
| 顔特徴データ等のオプトアウト提供 | 制限なし | 禁止 |
子どもの個人情報・顔特徴データ等の保護強化
子どもの個人情報保護の明文化
制度改正方針では、子どもの個人情報について、従来のQ&Aによる運用指針から法律上の明文規定に格上げする方向が示された。
| 項目 | 内容 |
|---|---|
| 対象年齢 | 16歳未満 |
| 同意取得の対象 | 法定代理人(親権者等) |
| 通知の対象 | 法定代理人 |
| 利用停止等請求 | 要件を緩和(法定代理人からの請求を容易に) |
| 事業者の責務 | 本人の最善の利益を優先する責務規定を新設 |
16歳未満の例外規定
| 例外事由 | 内容 |
|---|---|
| 年齢不知の正当理由 | 事業者が本人の年齢を16歳未満と知らないことについて正当な理由がある場合 |
| 法定代理人による営業許可 | 法定代理人が本人の営業を許可しており、当該営業に関して個人情報を取得した場合 |
| 法定代理人不在 | 本人に法定代理人がない場合、またはそのように信ずるに足りる相当な理由がある場合 |
顔特徴データ等の規律強化
顔認識技術の普及を背景に、顔特徴データ等の生体データについて特別の規律が設けられる。
| 項目 | 改正方針の内容 |
|---|---|
| 対象データ | 顔特徴データ等(顔認識に用いるための特徴量データ) |
| 規律の根拠 | 本人が関知しないうちに容易に大量取得が可能であり、一意性・不変性が高い |
| 取扱事項の周知 | 取扱いに関する一定の事項の周知を義務化 |
| 利用停止等請求 | 要件を緩和(現行よりも広い範囲で請求を認める) |
| オプトアウト提供 | オプトアウト制度に基づく第三者提供を禁止 |
補足: 顔特徴データ以外の生体データ(指紋、虹彩、声紋等)については、今回の改正方針では顔特徴データと同等の規律は設けないものの、今後の技術動向を踏まえた継続的な検討が予定されている。
課徴金制度の新設と執行体制の強化
課徴金制度の概要
制度改正方針の中で最も注目される改正事項の一つが、課徴金制度の新設である。これは、違反行為によって得られた経済的利益を剥奪することで、違反の事前抑止を図るものである。
| 項目 | 内容 |
|---|---|
| 制度の目的 | 違反行為の事前抑止(経済的インセンティブの排除) |
| 課徴金の算定基準 | 対象行為により得られた財産上の利益に相当する額 |
| 対象となる違反行為 | 違法行為等が想定される第三者への提供、第三者の求めによる違法な利用、不正取得した個人情報の利用、無同意での個人データの第三者提供 |
| 適用条件1 | 相当の注意を欠いたこと |
| 適用条件2 | 本人数が1,000人を超える大規模事案であること |
| 適用条件3 | 個人の権利利益を害する程度が大きいこと |
| 対象外 | 安全管理措置義務違反による大規模漏えい |
課徴金制度と既存の罰則の比較
| 制度 | 性質 | 対象 | 金額・刑量 |
|---|---|---|---|
| 課徴金(新設) | 行政上の制裁(金銭的不利益) | 違反行為による利益を得た事業者 | 財産上の利益相当額 |
| 命令違反の罰則(現行) | 刑事罰 | 個人情報保護委員会の命令に違反した者 | 1年以下の懲役又は100万円以下の罰金 |
| 法人重課(現行) | 法人に対する刑事罰 | 命令違反を行った法人 | 1億円以下の罰金 |
| 刑事罰(引上げ予定) | 刑事罰 | 悪質な違反行為者 | 引上げ(具体的な水準は法案で確定) |
その他の執行体制の強化
| 改正事項 | 内容 |
|---|---|
| 勧告・命令権の柔軟化 | 個人情報保護委員会の勧告・命令権の発動要件を柔軟化 |
| 本人通知・公表命令の拡充 | 違反事業者に対する本人通知・公表の命令権を拡充 |
| 違反行為補助者への措置 | 違反行為を補助した者に対する措置規定の整備 |
| 刑事罰の引上げ | 悪質な違反行為に対する罰則の強化 |
| 団体訴訟制度 | 適格消費者団体による差止請求・被害回復制度は見送り |
注目点: 安全管理措置義務違反による大規模漏えいは課徴金制度の対象外とされた。これは、セキュリティインシデントへの対応負担を過度に重くすることで、事業者の萎縮効果を招くことを避ける趣旨と考えられる。一方で、意図的な違法提供など悪質な行為には厳格な経済的制裁を科す方針が明確化されている。
漏えい報告義務の合理化
現行制度の概要
2022年4月施行の令和2年改正法により、一定の漏えい等が発生した場合の個人情報保護委員会への報告および本人への通知が義務化された(法第26条)。現行法では、以下の類型に該当する場合に報告義務が生じる。
| 報告義務の類型 | 内容 |
|---|---|
| 要配慮個人情報の漏えい | 1件でも報告義務あり |
| 不正アクセスによる漏えい | 1件でも報告義務あり |
| 財産的被害のおそれがある漏えい | 1件でも報告義務あり |
| その他の漏えい | 本人数1,000人超で報告義務あり |
改正方針:本人通知義務の合理化
制度改正方針では、本人の権利利益の保護に欠けるおそれが少ない場合には、本人への通知義務を緩和する方針が示された。
| 項目 | 現行法 | 改正方針 |
|---|---|---|
| 本人通知義務 | 報告対象の漏えい等が発生した場合、本人への通知が必要 | 権利利益保護に欠けるおそれが少ない場合は通知義務を緩和 |
| 緩和の具体例 | — | 社内識別子(ID)等、それ単体ではおよそ意味を持たない情報のみが漏えいした場合 |
| 委員会への報告 | 引き続き必要 | 引き続き必要(変更なし) |
漏えい報告の全体的な合理化
| 事項 | 方針 | 状況 |
|---|---|---|
| 本人通知義務の緩和 | 権利利益侵害のおそれが少ない場合に緩和 | 改正方針に明記 |
| 報告手続の簡素化 | 報告様式・手続の見直し | 引き続き検討 |
| 報告期限の合理化 | 速報(3~5日以内)・確報(30日以内)の運用見直し | 引き続き検討 |
企業の実務対応チェックリスト
改正法施行までのロードマップ
| フェーズ | 時期(想定) | 実施事項 |
|---|---|---|
| 情報収集 | 2026年1月~ | 制度改正方針の内容把握、法案の国会審議のフォロー |
| 影響分析 | 法案成立後 | 自社業務への影響範囲の特定、Gap分析の実施 |
| 方針策定 | 施行令・ガイドライン公表後 | 対応方針の策定、予算・体制の確保 |
| 実装・運用変更 | 施行6か月前~ | プライバシーポリシー改訂、社内規程整備、システム改修 |
| 教育・訓練 | 施行3か月前~ | 従業員研修、対応マニュアルの整備 |
| 運用開始 | 施行日 | 新制度に基づく運用開始 |
改正事項別の対応チェックリスト
| # | チェック項目 | 対応が必要な企業 | 優先度 |
|---|---|---|---|
| 1 | プライバシーポリシーの改訂(同意規律の見直し反映) | 全企業 | 高 |
| 2 | 委託契約書の見直し(義務免除の条件整備) | 個人データの取扱いを委託している企業 | 高 |
| 3 | 課徴金リスクの評価(違法な第三者提供等の有無) | 個人データの第三者提供を行う企業 | 高 |
| 4 | 子どもの個人情報に関する対応体制の構築 | 16歳未満のユーザーが利用するサービスの運営企業 | 高 |
| 5 | 個人関連情報の取扱い状況の棚卸し | Cookie・広告IDを取得・利用する企業 | 中 |
| 6 | 顔特徴データの取扱い状況の確認 | 顔認識技術を利用する企業 | 中 |
| 7 | 漏えい報告体制の見直し(通知義務緩和の反映) | 全企業 | 中 |
| 8 | オプトアウト手続の見直し(身元確認義務化への対応) | オプトアウト方式で第三者提供を行う企業 | 中 |
| 9 | データマッピングの更新(新たな規律対象の特定) | 大量の個人データを取り扱う企業 | 中 |
| 10 | 社内研修プログラムの改訂 | 全企業 | 低(法案確定後) |
プライバシーポリシー改訂のポイント
| 改訂項目 | 改訂のポイント |
|---|---|
| 利用目的の記載 | 統計作成目的での利用を明記(同意免除の適用を受けるため) |
| 第三者提供に関する記載 | 委託先への提供と義務免除の適用条件を明記 |
| 子どもの情報に関する記載 | 16歳未満のユーザーに対する取扱方針・法定代理人からの同意取得方法を明記 |
| Cookie等に関する記載 | 個人関連情報の取扱い・不適正利用禁止に関する記載を追加 |
| 生体データに関する記載 | 顔特徴データ等の取扱いに関する周知事項を追加 |
| 漏えい時の対応 | 本人通知義務の緩和条件を反映した通知方針の記載 |
今すぐやること:個人情報保護法2026年改正 対応スケジュール
Phase 1:法案成立前(〜2026年6月目処)
- 現行の個人情報取扱規程・プライバシーポリシーを最新化する(法務/情報セキュリティ部門):改正前の規程が古い場合、改正対応の前に現行法への準拠を確認
- 業務委託契約の棚卸し:個人データ取扱い委託先を一覧化し、(1)安全管理措置条項の有無、(2)定期的な監査・報告の仕組み、(3)再委託先の管理条項をチェック
- Cookie・広告ID等の個人関連情報の取得・利用・提供の全社棚卸しを実施する(マーケティング/IT部門)
- 16歳未満のユーザーがいるサービスで年齢確認・保護者同意フローの設計を開始する
Phase 2:法案成立後〜施行前(2026年後半〜2027年目処)
- 改正条文に基づきプライバシーポリシーを改訂する:統計目的利用、委託先への提供、子どもの情報保護、Cookie等の記載を追加
- 委託契約を「処理者」概念に対応した内容に改訂する
- 課徴金リスクの評価:個人データ第三者提供フローの全件洗い出しと法的根拠の確認
- インシデント対応手順書に「通知不要の判断基準」を追記する
- 社内研修を実施し、新ルールを周知する
業種別の最優先事項
- IT・Webサービス企業 → 子ども保護・Cookie規律強化が最優先
- BtoB製造業 → 委託管理の見直しが最優先
- 医療・介護事業者 → 要配慮個人情報と統計作成目的の免除が最重要
- 小売・EC事業者 → 個人関連情報(ポイント・購買履歴)の取扱い見直し
FAQ(よくある質問)
Q1. 個人情報保護法の2026年改正はいつ施行されますか?
2026年1月9日に制度改正方針が公表され、2026年通常国会(1月23日~6月21日)への法案提出が予定されている。前回の令和2年改正のスケジュールに倣えば、2026年5~6月頃に法案が成立し、施行令・規則・ガイドラインの整備を経て、2027年~2028年頃に施行される見込みである。ただし、国会審議の状況によってスケジュールは変動する可能性がある。
Q2. 課徴金制度はどのような場合に適用されますか?
課徴金制度は、(1)相当の注意を欠いた事業者による、(2)本人数1,000人超の大規模事案で、(3)個人の権利利益を害する程度が大きい違反行為が対象となる。具体的には、違法な第三者提供や第三者の求めによる違法な利用などが想定されている。安全管理措置義務違反による漏えい事案は課徴金の対象外とされている点が重要である。課徴金の額は、違反行為により得られた財産上の利益に相当する額とされている。
Q3. 委託先への義務免除を受けるための条件は何ですか?
義務免除を受けるためには、(1)取扱いの方法の全部について委託元と委託先が合意していること、(2)委託先における取扱いの状況を委託元が把握するために必要な措置(漏えい等発生時の速やかな報告など)について合意していること、の2つの条件を満たす必要がある。これらの条件を満たした場合、委託先に対しては目的外利用禁止と安全管理措置のみが適用される。
Q4. 子どもの個人情報保護はどのように変わりますか?
16歳未満の子どもの個人情報について、同意取得や通知等の対象を法定代理人(親権者等)とすることが明文化される。利用停止等請求の要件も緩和され、法定代理人からの請求がより容易になる。事業者には、本人の最善の利益を優先する責務規定が新設される。ただし、事業者が本人の年齢を16歳未満と知らないことについて正当な理由がある場合など、一定の例外も設けられる予定である。
Q5. 統計作成目的であれば本人同意なしにデータを利用できるようになりますか?
統計情報等の作成にのみ利用されることが担保されていることを条件に、本人同意なしでの個人データの第三者提供および公開されている要配慮個人情報の取得が可能となる方向が示されている。ただし、提供元・提供先の双方による公表、書面による合意、目的外利用禁止の担保という3つの条件をすべて満たす必要がある。AI開発のための学習データ収集などでの活用が想定されている。
Q6. 顔認識データの取扱いはどう変わりますか?
顔特徴データ等について、(1)取扱いに関する一定の事項の周知義務化、(2)利用停止等請求の要件緩和、(3)オプトアウト制度に基づく第三者提供の禁止、が導入される方向である。顔特徴データは「本人が関知しないうちに容易に大量取得が可能」「一意性・不変性が高い」という特性から、他の個人情報よりも高い保護水準が求められることになる。
Q7. 今回の改正で団体訴訟制度は導入されますか?
適格消費者団体による差止請求・被害回復制度(団体訴訟制度)は、今回の改正では見送りとされている。改正方針では、課徴金制度の新設、勧告・命令権の柔軟化、刑事罰の引上げなど行政的・刑事的な制裁手段の強化が優先された。団体訴訟制度については、今後の執行状況等を踏まえた継続的な検討課題とされている。
免責事項
本記事は、2026年1月9日に個人情報保護委員会が公表した「個人情報保護法 いわゆる3年ごと見直しの制度改正方針」を基に、2026年2月時点の公開情報に基づいて作成したものである。制度改正方針は法案の骨格を示すものであり、国会での審議過程において修正される可能性がある。最終的な改正内容は、成立した法律、施行令、施行規則およびガイドラインの確認が必要である。本記事の内容は一般的な情報提供を目的としたものであり、法的助言を構成するものではない。具体的な法的判断については、弁護士等の専門家にご相談いただきたい。
参考文献・法令等
法令・公式資料
- 個人情報の保護に関する法律(平成15年法律第57号)
- 個人情報保護委員会「個人情報保護法 いわゆる3年ごと見直しの制度改正方針」(2026年1月9日)
- 個人情報保護委員会「個人情報保護法 いわゆる3年ごと見直しに係る検討の中間整理」(2024年6月)
- 個人情報保護委員会「課徴金制度 現行制度と検討の方向性について」(2024年9月26日)
- 個人情報の保護に関する法律等の一部を改正する法律(令和2年法律第44号)
解説記事・専門家論考
- BUSINESS LAWYERS「令和8年改正個人情報保護法はどうなる?改正方針を弁護士が解説」
- BUSINESS LAWYERS「2026年最新 個人情報保護法の基礎と企業対応・改正動向」
- TMI総合法律事務所「個人情報保護法 いわゆる3年ごと見直しの制度改正方針(令和8年1月9日)の解説」
- 牛島総合法律事務所「個人情報保護法 制度改正方針の公表」
- 長島・大野・常松法律事務所「個人情報保護・プライバシー 2025年の振り返りと2026年の展望」
- インターネットプライバシー研究所「個人情報保護法 2026年改正の方向性が明らかに」
- JPAC BLOG「2026年1月現在 個人情報保護法の改正の方針」
- 日本経済新聞「悪質な個人情報保護法違反に課徴金、改正案を通常国会に提出」