最終更新日: 2026年5月21日
2026年4月7日、政府は「個人情報の保護に関する法律等の一部を改正する法律案」を閣議決定し、第221回特別国会(2026年2月18日召集)に提出した。本改正の二本柱は、AI開発・統計作成のための同意規律の緩和(”入口緩和”) と、個人データ千人超の重大違反に対する課徴金制度の新設(”出口強化”) である。改正対象は個人情報保護法本体に加え、番号法、次世代医療基盤法等を含む横断的なものとなった。本記事では、PPC(個人情報保護委員会)公表の閣議決定資料および法案要綱に基づき、緩和と強化の線引き、誤解されやすい「課徴金の対象外」、施行スケジュール、企業の実務対応までを体系的に解説する。
関連記事
– 3省2ガイドライン対応実務|医療情報システムの安全管理を体系的に解説 — 医療分野における個人情報保護の具体的な安全管理基準(厚労省GL第6.0版・経産省総務省GL第2.0版)を解説
– 口座売買と犯罪収益移転防止法の罰則ガイド — 身分証画像・マイナンバーが闇バイト経由で流出するリスクと、犯収法28条の罰則・対処法
【2026-04-07更新】改正法案の閣議決定 — まず押さえるべきポイント
何が起きたのか:方針から法案へ
| 時点 | 公表事項 | 性質 |
|---|---|---|
| 2026年1月9日 | 個人情報保護委員会「制度改正方針」公表 | 改正の方向性 |
| 2026年4月7日 | 「個人情報の保護に関する法律等の一部を改正する法律案」閣議決定 | 法案本体の確定(出典: PPC press release) |
| 2026年4月7日以降 | 第221回特別国会(2026年2月18日召集)へ提出 | 国会審議入り |
これまで「2026年通常国会への提出が予定」とされてきた改正法案は、4月7日の閣議決定により条文ベースの法律案として正式に固まり、第221回特別国会へ提出された。閣議決定資料には、概要・法律案要綱・法律案本体・新旧対照条文・参照条文・記者配布資料の6点が同時公表されている。
“入口緩和 × 出口強化” の二本柱
| 軸 | 方向 | 中心施策 |
|---|---|---|
| 入口(取得・第三者提供) | 緩和 | AI開発・統計作成のための同意不要化、複数事業者の統計特例、公衆衛生例外の要件緩和 |
| 出口(違反時の制裁) | 強化 | 課徴金制度の新設、刑事罰の引上げ、不正取得罪等の新設 |
| 横断(特定情報類型) | 強化 | 特定生体個人情報の本人関与強化、子ども(16歳未満)の保護明文化 |
デジタル相コメント: 松本尚デジタル相は閣議後の記者会見で「(AI開発が)滞るようなことがあっては、わが国の開発、利活用に非常に大きな障害が生じる」と発言し、AI国産化を後押しする規制緩和の意義を強調した(出典: NHK・共同通信、2026-04-07)。
閣議決定 ≠ 法案成立 — 誤解を避けるために
「閣議決定された=法律が変わった」ではない。閣議決定は政府が国会に提出する法律案を確定させた段階であり、実際の効力発生までには以下のステップが残っている。
- 国会審議(衆参両院での可決)→ 成立
- 公布(官報掲載)
- 政令で定める施行日の到来(公布後段階的)
国会審議の過程で条文に修正が入る可能性も残されており、本記事の記述は2026年4月7日時点の閣議決定版の法律案に基づく。最終的な制度内容は成立後の法律・施行令・施行規則・ガイドラインで確認が必要である。
“入口緩和” — AI開発・統計目的の同意不要化
緩和の全体像:どこまで本人同意が不要になるのか
改正法案では、データ利活用を促進するため、個人データの第三者提供や要配慮個人情報の取得について、本人同意を不要とする例外規定が複数新設・拡張される。重要なのは、「AI開発なら何でも同意不要」ではなく、緩和される条件が明確に限定されている点である。
| 緩和類型 | 同意不要となる条件 | 想定される利用場面 |
|---|---|---|
| ① 統計作成等の特例 | 統計情報等の作成にのみ利用される旨が担保され、目的拘束・公表・提供先での目的外利用禁止が確保されていること | 複数事業者からデータ収集してAI学習・公衆衛生統計を作成する場合 |
| ② 公開要配慮個人情報のAI開発・統計目的取得 | 公開された要配慮個人情報を統計作成等の目的に限定して取り扱うこと | Webスクレイピングで取得した公開情報を学習データとして利用する場合 |
| ③ 本人の意思に反しないことが明らかな場合 | 取得の状況からみて本人の意思に反しないことが明らかであること | 契約履行に必要な処理、本人が合理的に予期できる処理 |
| ④ 公衆衛生・生命保護の例外要件緩和 | 「同意を得ることが困難であるとき」に加え「同意を得ないことについて相当の理由があるとき」を追加 | 医療現場での疫学調査、感染症対策での情報共有 |
統計特例:複数事業者間の第三者提供が同意不要に
法案30条の2(条文番号は閣議決定版法律案による。以下同じ)では、「統計の作成その他の大量の情報から…個人に関する情報であるものを除く情報を作成する行為」について、要配慮個人情報の取得および第三者提供に本人同意を不要とする特例が新設される。これは複数の事業者がデータを持ち寄ってAI学習用データセットを構築する場面で特に重要となる。
| 統計特例の適用条件 | 内容 |
|---|---|
| 目的拘束 | 統計情報等の作成にのみ利用すること |
| 公表義務 | 提供元・提供先の双方が統計目的での利用を公表すること |
| 書面合意 | 提供元と提供先との間で統計目的限定の書面による合意があること |
| 目的外利用禁止 | 提供先において統計作成以外の目的で利用しないことが担保されていること |
| 違反時の制裁 | 統計特例違反は課徴金制度の対象4類型の一つ(後述) |
Webスクレイピングと要配慮個人情報
現行法では、要配慮個人情報(病歴・犯罪歴等)の取得には原則として本人同意が必要で、公開情報からの取得であっても同意取得が求められる場面があった。改正法案では、公開されている要配慮個人情報をAI開発・統計作成の目的に限定して取得する場合に同意不要とする方向が明示されている。Webスクレイピングで取得した公開情報を学習データとして用いるAI開発の実務に直接影響する論点である。
ただし、「公開」されていない情報や、目的が統計・AI開発以外(個人プロファイリング等)にわたる場合は、引き続き本人同意が必要となる点に注意が必要である。
「本人の意思に反しないことが明らかな場合」の例外
法案18条3項7号・20条2項7号・27条1項8号では、契約履行のために必要やむを得ないことが明らかである場合等、取得の状況からみて本人の意思に反しないため本人の権利利益を害しないことが明らかな場合について、利用目的外利用・要配慮個人情報の取得・第三者提供の同意取得義務の例外が新設される(PPC規則で具体的場面を定める)。
| 類型 | 具体例 | 改正後の扱い |
|---|---|---|
| 契約履行に必要不可欠な処理 | 配送のための住所利用、決済のための口座情報利用 | 同意取得負担を軽減 |
| 本人が合理的に予期できる処理 | 会員登録時の情報をサービス改善に利用 | 例外として整理 |
| 緊急時の本人利益保護 | 安否確認のための情報利用 | 既存例外規定に追加 |
公衆衛生・生命保護の例外要件緩和
法案18条3項2号・3号、20条2項2号・3号、27条1項2号・3号では、現行の「本人の同意を得ることが困難であるとき」に加え、「本人の同意を得ないことについて相当の理由があるとき」が追加される。これにより、医療現場での疫学調査や感染症対策のデータ活用において、同意取得が物理的に困難な場合に限らず、プライバシー侵害防止措置が講じられている場合など、より広い状況での例外適用が想定される。
“出口強化” — 課徴金制度の新設
課徴金制度の概要
改正の最大の目玉が、PPCに新たな経済的制裁権限を与える課徴金制度(法案148条の3〜148条の17)の新設である。これは違反行為によって得られた財産上の利益を剥奪し、違反の事前抑止を図るものである。
| 項目 | 内容 |
|---|---|
| 制度の根拠 | 改正法案 第148条の3〜第148条の17 |
| 賦課権者 | 個人情報保護委員会 |
| 制度の性質 | 行政上の金銭的制裁(刑事罰・過料とは独立) |
| 算定方法 | 違反行為により得られた財産上の利益に相当する額 |
| 加減算規定 | 過去10年以内の課徴金納付命令確定者は1.5倍(法案148条の5)、調査前の自主報告は100分の50を減額(法案148条の6) |
課徴金の対象行為(法案148条の3)
課徴金の対象となるのは、経済的誘因を伴う悪質な違反行為に限定されている。法案148条の3は第1項で5号の違反行為を列挙し、第2項で不正取得の取得・利用を別途規定する構成となっている。
| 条項 | 対象行為 | 趣旨 |
|---|---|---|
| 第1項1号 | 違法行為・不当な差別的取扱いを行うおそれがある第三者の求めに応じた個人情報の利用 | 連絡可能個人関連情報等の不適正利用に類する利用 |
| 第1項2号 | 違法行為・不当な差別的取扱いを行うおそれがある第三者への個人情報の提供 | 名簿売買等の悪質な第三者提供 |
| 第1項3号 | 第27条第1項違反の個人データ第三者提供 | 本人同意なしの違法な第三者提供 |
| 第1項4号 | 第30条の2第4項・第9項、第31条の3第5項違反の取扱い | 統計作成等特例の範囲超過利用 |
| 第1項5号 | 第30条の2第10項・第11項、第31条の3第6項・第7項違反の第三者提供 | 統計作成等特例で取得・提供されたデータの違法な第三者提供 |
| 第2項 | 第20条第1項違反による個人情報の取得・利用 | 偽りその他不正の手段による取得 |
いずれも、違反行為の対価として金銭等の財産上の利益を得た場合に限られる。
課徴金の3要件 — 千人超ルールに注意
上記4類型に該当しても、以下の3要件をすべて満たさなければ課徴金は賦課されない。
| 要件 | 内容 |
|---|---|
| 主観的要件 | 違反について相当の注意を欠いたこと |
| 規模要件 | 本人の数が1,000人を超える大規模事案であること |
| 侵害要件 | 個人の権利利益を害する程度が大きいこと |
【重要】課徴金の対象外 — 漏えいは原則対象外
読者が最も誤解しやすいのが、安全管理措置違反による個人データ漏えいは課徴金の対象外とされた点である。
| 違反類型 | 課徴金の適用 |
|---|---|
| 意図的な違法な第三者提供(売却含む) | 対象 |
| 不正取得した個人情報の利用 | 対象 |
| 統計特例の名目で目的外利用 | 対象 |
| 安全管理措置義務違反による大規模漏えい(不正アクセス・誤送信等) | 対象外 |
誤解されやすいポイント: 「課徴金制度ができたから、漏えい事故で課徴金を取られる」というのは誤読である。改正法案は、経済的利益を狙った悪質な違反行為に絞って課徴金を科す設計となっており、セキュリティインシデントによる漏えいは引き続き従来の命令・公表・刑事罰の枠組みで対応する。これは事業者のセキュリティ対応負担を過度に重くしてインシデント発生時の萎縮効果を招くことを避ける趣旨と考えられる。
ただし、漏えいした個人情報を意図的に売却・転用するなどの後行的行為が判明した場合は別途課徴金の対象となり得る。漏えい→違法提供への発展シナリオには引き続き要警戒である。
適格消費者団体による請求制度は「見送り」
3年見直しの議論で導入が検討されていた適格消費者団体による差止請求制度・被害回復制度は、今回の改正では見送りとなった。本人の権利利益保護の向上策として議論されたが、制度的な導入は将来の検討課題として持ち越された(出典: 日経xTECH)。
課徴金制度と既存の罰則の比較
| 制度 | 性質 | 賦課権者 | 金額・刑量 |
|---|---|---|---|
| 課徴金(新設) | 行政上の金銭的制裁 | 個人情報保護委員会 | 違反により得た財産上の利益相当額(過去10年以内違反1.5倍/調査前自主報告50%減額) |
| 命令違反の罰則(現行) | 刑事罰 | 検察官の起訴 | 1年以下の懲役又は100万円以下の罰金 |
| 法人重課(現行) | 法人に対する刑事罰 | 検察官の起訴 | 1億円以下の罰金 |
| 不正取得罪等(新設) | 刑事罰 | 検察官の起訴 | 法案178条〜180条で新設・引上げ |
“横断強化” — 特定生体個人情報と子どもの保護
特定生体個人情報の新設 — 顔認証データへの規律強化
改正法案では「特定生体個人識別符号(顔特徴データ等)が含まれる個人情報」を特定生体個人情報として新たに定義し(法案16条5項)、通常の個人情報よりも厚い保護を課す。
| 規律事項 | 内容 | 該当条文 |
|---|---|---|
| 取扱事項の周知義務 | あらかじめ本人に通知、または本人が容易に知り得る状態に置くことを義務化 | 法案21条の2 |
| 本人による利用停止請求の拡充 | 違法な取扱いがなくとも本人は利用停止等を請求できる。事業者は請求を受けて「その請求に理由があることが判明したとき」に限り、遅滞なく利用停止等を行う義務を負う | 法案35条7項・8項 |
| オプトアウト提供の禁止 | オプトアウト制度に基づく第三者提供を禁止 | 法案27条2項関連 |
「違法な取扱いがなくても利用停止請求の対象になる」点は現行法と比較して顕著に強化された本人関与権である。ただし請求を受けた事業者が無条件に停止義務を負うわけではなく、「その請求に理由があることが判明したとき」に限って遅滞なく停止する義務が課される設計となっている(法案35条第8項)。顔認証サービス事業者にとっては、利用停止請求の受付・理由審査・対応のフロー整備が運用見直しの重要トリガーとなる。
子ども(16歳未満)の個人情報保護
| 項目 | 内容 |
|---|---|
| 対象年齢 | 16歳未満 |
| 同意取得の対象 | 法定代理人(親権者等) |
| 通知の対象 | 法定代理人 |
| 利用停止等請求 | 要件を緩和(法定代理人からの請求を容易に) |
| 事業者の責務 | 本人の最善の利益を優先する責務規定を新設 |
16歳未満ルールの例外規定
| 例外事由 | 内容 |
|---|---|
| 年齢不知の正当理由 | 事業者が本人を16歳未満と知らないことについて正当な理由がある場合 |
| 法定代理人による営業許可 | 法定代理人が本人の営業を許可し、当該営業に関して個人情報を取得した場合 |
| 法定代理人不在 | 本人に法定代理人がない場合、またはそう信ずるに足りる相当な理由がある場合 |
委託管理の見直し — 「処理者」概念の導入
委託先の取扱範囲制限を明文化
法案30条の3では、委託先について「委託された個人情報を委託を受けた業務の遂行に必要な範囲を超えて取り扱わない」義務が明文化される。これは現行法では明文規定がなかった目的外利用禁止を、委託先側の義務として明確化するものである。
委託先の規律免除(処理者類似の仕組み)
法案58条の2では、委託契約に「取扱方法の全部」と「委託元による状況把握の措置」を明記した場合、委託先に対する個人情報保護法第4章の各義務規定の適用を原則免除する。これは GDPRの「処理者(processor)」概念を参考にした仕組みで、委託先の法的負担を合理化するものである。
委託先に残る義務 vs 免除される義務
| 義務の種類 | 現行法 | 改正後(規律免除適用時) |
|---|---|---|
| 利用目的の特定・公表 | 委託先にも義務あり | 免除 |
| 第三者提供規制への直接対応 | 委託先にも義務あり | 免除 |
| 本人からの開示請求への対応 | 委託先にも義務あり | 免除 |
| 利用停止・消去請求への対応 | 委託先にも義務あり | 免除 |
| 苦情処理体制の構築 | 委託先にも義務あり | 免除 |
| 安全管理措置 | 委託先にも義務あり | 義務あり(継続) |
| 目的外利用の禁止 | 明文規定なし | 義務あり(法案30条の3で新設) |
| 委託元への漏えい報告 | 契約上の義務 | 義務あり(合意事項) |
対象法令の拡張 — 個情法・番号法・次世代医療基盤法
今回の改正は「個人情報の保護に関する法律等」の一部改正という形式で、複数法令にまたがる横断的な整備が行われる。
| 対象法令 | 主な改正事項 |
|---|---|
| 個人情報保護法 | 同意規律緩和、課徴金新設、特定生体個人情報、子ども保護、委託規律見直し等の中核改正 |
| 番号法(マイナンバー法) | 個情法改正に伴う規律の整合化 |
| 次世代医療基盤法 | 学術研究機関等の定義に市中病院を含む旨を明示(法案16条9項)、医療データ利活用の促進 |
医療分野では、学術研究機関等の定義拡張により市中病院(一般病院)も「学術研究を目的とする機関」に含むことが明示され、臨床データを用いた研究開発の法的位置づけが明確化される。次世代医療基盤法の関連改正と併せ、医療データ利活用の基盤整備が進む見込みである。
施行スケジュール — 公布後段階的に施行
スケジュールの全体像
| 時期 | 事項 | 状況 |
|---|---|---|
| 2026年1月9日 | 制度改正方針の公表 | 完了 |
| 2026年4月7日 | 改正法案 閣議決定・第221回特別国会へ提出 | 完了 |
| 2026年2月18日召集〜会期末(未確定) | 第221回特別国会会期 | 審議中 |
| 2026年夏頃(見込み) | 法案成立・公布 | 未了 |
| 公布日から起算して6か月以内 | 関連整備規定の先行施行(見込み) | 未了 |
| 2026年末頃 | 施行令・施行規則案の公表 | 未了 |
| 2027年夏頃 | ガイドライン・Q&Aの公表 | 未了 |
| 公布日から起算して2年を超えない範囲内 | 本則施行(政令で定める日) | 未了 |
| 2028年4月頃(有力) | 改正法本則施行(見込み) | 未了 |
施行期日の法的根拠
改正法案附則1条本文では、原則として「公布の日から起算して2年を超えない範囲内において政令で定める日から施行」と規定される。一部の規定(番号法・次世代医療基盤法等の関連整備規定)については、公布後6か月以内など、より早期の施行が定められる可能性がある。
企業の実務対応チェックリスト
改正法施行までのロードマップ
| フェーズ | 時期(想定) | 実施事項 |
|---|---|---|
| 情報収集 | 〜2026年夏 | 国会審議のフォロー、修正動向の把握、PPC資料の継続確認 |
| 影響分析 | 法案成立後 | 自社業務への影響範囲特定、Gap分析、課徴金リスク評価 |
| 方針策定 | 施行令・ガイドライン公表後(2027年中) | 対応方針策定、予算・体制確保 |
| 実装・運用変更 | 施行6か月前〜 | プライバシーポリシー改訂、社内規程整備、システム改修 |
| 教育・訓練 | 施行3か月前〜 | 従業員研修、対応マニュアル整備 |
| 運用開始 | 施行日(公布後段階的) | 新制度に基づく運用開始 |
改正事項別の対応チェックリスト
| # | チェック項目 | 対応が必要な企業 | 優先度 |
|---|---|---|---|
| 1 | プライバシーポリシーの改訂(AI開発・統計目的の利用明記) | AI開発・データ分析を行う企業 | 高 |
| 2 | データ提供契約の整備(統計特例の条件確保) | 複数事業者でデータ連携する企業 | 高 |
| 3 | 課徴金リスクの評価(千人超の違法提供フロー有無) | 個人データの第三者提供を行う全企業 | 高 |
| 4 | 顔認証データの取扱見直し(特定生体個人情報対応) | 顔認証技術を利用する企業 | 高 |
| 5 | 子どもの個人情報対応体制の構築 | 16歳未満ユーザーがいるサービス | 高 |
| 6 | 委託契約の棚卸し・改訂(処理者類似の規律免除対応) | 個人データ取扱いを委託する全企業 | 中 |
| 7 | Webスクレイピング運用ルール整備(要配慮個人情報の判別) | AI学習データを外部取得する企業 | 中 |
| 8 | 漏えい時の通知判断フローの見直し | 全企業 | 中 |
| 9 | 不正取得罪等の新刑事罰への社内研修 | 全企業 | 中 |
| 10 | データマッピングの更新 | 大量の個人データを取扱う企業 | 低(法案確定後) |
プライバシーポリシー改訂のポイント
| 改訂項目 | 改訂のポイント |
|---|---|
| 利用目的の記載 | 統計作成目的・AI開発目的の利用を明記(同意不要化の適用を受けるため) |
| 第三者提供に関する記載 | 統計特例の適用条件・複数事業者連携の枠組みを明記 |
| 子どもの情報に関する記載 | 16歳未満ユーザーへの取扱方針・法定代理人からの同意取得方法を明記 |
| 生体データに関する記載 | 特定生体個人情報の取扱事項の周知・利用停止請求権の拡充を明記 |
| 委託に関する記載 | 委託先における取扱範囲制限・規律免除の枠組みを明記 |
| 漏えい時の対応 | 本人通知判断基準の見直しを反映 |
今すぐやること:個人情報保護法2026年改正 対応スケジュール
Phase 1:法案成立前(〜2026年夏目処)
- 国会審議のフォロー:第221回特別国会での修正動向を継続確認(PPC公式・国会会議録)
- 業務委託契約の棚卸し:個人データ取扱い委託先を一覧化し、(1)安全管理措置条項、(2)定期監査・報告の仕組み、(3)再委託先の管理条項をチェック
- AI学習データの法的整理:自社のAI開発で利用するデータの取得経路(自社取得/Webスクレイピング/第三者提供)と要配慮個人情報該当性を全件マッピング
- 千人超フローの洗い出し:個人データの第三者提供フローのうち本人数1,000人超のものを全件特定し、法的根拠を再確認
- 顔認証データの利用棚卸し:顔認証技術を利用するサービスの取扱方針・利用停止対応フローを整理
Phase 2:法案成立後〜施行前(2026年後半〜2028年目処)
- 改正条文に基づきプライバシーポリシーを改訂:統計目的利用、AI開発、特定生体個人情報、子どもの情報、委託に関する記載を更新
- データ提供契約を統計特例対応に改訂:目的拘束条項、目的外利用禁止条項、監査条項を整備
- 委託契約を「処理者」類似の規律免除に対応:取扱方法全部の合意、状況把握措置の明記
- 課徴金リスク評価レポートの作成:千人超フローの全件洗い出しと法的根拠ドキュメント化
- インシデント対応手順書の改訂:本人通知判断基準を更新
- 社内研修を実施:AI開発担当者・マーケティング担当者・法務担当者向けに改正内容を周知
業種別の最優先事項
- AI開発・データ分析企業 → 統計特例の活用条件整備、Webスクレイピング運用ルール策定
- IT・Webサービス企業 → 子ども保護・顔認証データ規律強化対応
- BtoB製造業 → 委託管理の見直し、グループ会社間データ共有の法的整理
- 医療・介護事業者 → 公衆衛生例外要件の活用、次世代医療基盤法改正への対応
- 小売・EC事業者 → 個人関連情報の取扱い見直し、ポイントシステム経由のデータ連携整理
FAQ(よくある質問)
Q1. 改正個人情報保護法はもう成立したのですか?
いいえ。2026年4月7日に閣議決定され第221回特別国会に提出された段階で、まだ成立はしていない。閣議決定は政府が国会に提出する法律案を確定させた段階であり、実際の効力発生には国会での可決成立、公布、施行日の到来というステップが残っている。本則施行は公布日から起算して2年を超えない範囲内で政令により定められる(附則第1条)。具体的な施行日は、法律成立後の政令で確定する。
Q2. AI開発のために個人情報を本人同意なしで使えるようになるのですか?
条件付きでイエス。改正法案では、(1)統計情報等の作成にのみ利用されることが担保されている場合、(2)公開された要配慮個人情報をAI開発・統計目的に限定して取得する場合、(3)本人の意思に反しないことが明らかな場合、(4)個人の権利利益を損なわないことが明らかな場合などについて、本人同意が不要となる。ただし、「AI開発なら何でも同意不要」ではなく、緩和される条件は明確に限定されている点に注意が必要である。プロファイリングなど統計目的を超える利用には引き続き同意取得が必要となる。
Q3. 課徴金制度はどのような場合に適用されますか?
課徴金制度は、以下の3要件をすべて満たす場合に適用される。(1) 相当の注意を欠いた事業者による、(2) 本人数1,000人を超える大規模事案で、(3) 個人の権利利益を害する程度が大きい違反行為。対象行為は法案148条の3に列挙される、不正取得・差別的取扱目的等での違法な利用・違法な第三者提供・統計特例の範囲超過利用等に限定される。課徴金額は違反行為により得られた財産上の利益に相当する額となる(過去10年以内の課徴金納付命令確定者は1.5倍、調査前の自主報告は100分の50を減額)。
Q4. データ漏えい事故を起こすと課徴金を取られますか?
原則として取られない。安全管理措置義務違反による個人データ漏えい(不正アクセスによる流出、誤送信、紛失等)は課徴金制度の対象外とされている。これは事業者のセキュリティ対応負担を過度に重くしてインシデント発生時の萎縮効果を招くことを避ける趣旨と考えられる。ただし、漏えいした個人情報を意図的に売却・転用するなどの後行的行為は別途課徴金の対象となり得るため、漏えい後の対応にも引き続き注意が必要である。なお、従来からの命令・公表・刑事罰の枠組みは漏えい事案にも適用される。
Q5. 適格消費者団体による差止請求制度は導入されますか?
今回の改正では見送りとなった。3年見直しの議論で導入が検討されていたが、制度的な導入は将来の検討課題として持ち越された。改正法案では、課徴金制度の新設、刑事罰の引上げ、不正取得罪等の新設など、行政的・刑事的な制裁手段の強化が優先されている。
Q6. 顔認証データの取扱いはどう変わりますか?
「特定生体個人情報」として新定義され、通常の個人情報よりも厚い保護が課される。具体的には、(1) 取扱事項の周知義務化(本人通知または容易に知り得る状態)、(2) 利用停止等請求の要件緩和(違法な取扱いがなくても本人から利用停止請求が可能。事業者は「請求に理由があることが判明したとき」に停止義務を負う)、(3) オプトアウト制度に基づく第三者提供の禁止が導入される方向である。顔認証技術を提供する事業者は、利用停止対応フローの整備と通知・公表事項の見直しが必要となる。
Q7. 委託先の法的負担はどう変わりますか?
委託契約に「取扱方法の全部」と「委託元による状況把握の措置」を明記した場合、委託先に対する個人情報保護法第4章の各義務規定の適用が原則免除される(処理者類似の仕組み)。免除されるのは利用目的の特定・公表、第三者提供規制への直接対応、本人からの開示請求対応など。一方、安全管理措置義務と新設される目的外利用禁止義務(法案30条の3)は引き続き委託先に課される。
Q8. 次世代医療基盤法も改正されるのですか?
はい。今回の改正は「個人情報の保護に関する法律等の一部を改正する法律案」という形式で、個人情報保護法本体に加え、番号法(マイナンバー法)、次世代医療基盤法を含む横断的な整備が行われる。次世代医療基盤法では、学術研究機関等の定義に市中病院(一般病院)も含むことが明示され(法案16条9項関連)、医療データ利活用の法的基盤が拡張される。
免責事項
本記事は、2026年4月7日に閣議決定された「個人情報の保護に関する法律等の一部を改正する法律案」および個人情報保護委員会が公表した関連資料(概要、法律案要綱、新旧対照条文、記者配布資料)に基づき、2026年5月21日時点の公開情報を整理したものである。閣議決定は法案を国会に提出した段階であり、国会審議の過程で条文に修正が入る可能性がある。最終的な改正内容は、成立した法律、施行令、施行規則およびガイドラインの確認が必要である。条文番号は閣議決定版法律案によるが、国会修正・公布後の整理により変動する可能性がある。本記事の内容は一般的な情報提供を目的としたものであり、法的助言を構成するものではない。具体的な法的判断については、弁護士等の専門家にご相談いただきたい。
参考文献・法令等
一次ソース(公式資料)
- 個人情報の保護に関する法律(平成15年法律第57号)
- 個人情報保護委員会「「個人情報の保護に関する法律等の一部を改正する法律案」の閣議決定について(令和8年4月7日)」
- 個人情報保護委員会「個人情報の保護に関する法律等の一部を改正する法律案 概要」
- 個人情報保護委員会「個人情報の保護に関する法律等の一部を改正する法律案 要綱」
- 個人情報保護委員会「個人情報の保護に関する法律等の一部を改正する法律案・理由」
- 個人情報保護委員会「新旧対照条文」
- 個人情報保護委員会「個人情報保護法 いわゆる3年ごと見直しの制度改正方針」(2026年1月9日)
報道・解説
- 日本経済新聞「個人情報保護、違反企業に課徴金 法改正案を閣議決定」(2026-04-07)
- 日経xTECH「個人情報保護委員会が法改正方針、課徴金を導入 消費者団体による請求見送り」
- Web担当者Forum「個人情報保護法改正案を閣議決定、課徴金制度を導入し、AI学習データ利用を緩和」
- 共同通信「AI開発、普及へ個人情報活用 政府、規制緩和で改正法案決定」(2026-04-07)
- NHK「政府 AI開発促進に向け 個人情報保護法改正案 閣議決定」(2026-04-07)
法律事務所解説
- 牛島総合法律事務所「個人情報保護法 改正法案の公表」
- BUSINESS LAWYERS「令和8年改正個人情報保護法はどうなる?改正案を弁護士が解説」
- TMI総合法律事務所「「個人情報保護法 いわゆる3年ごと見直しの制度改正方針」(令和8年1月9日)の解説」
- インターネットプライバシー研究所「個人情報保護法改正案の閣議決定を読む ── AI・統計分析のための利活用拡大と、執行強化の両面」
