個人情報保護法の改正法律案が閣議決定―法律案の4つの柱と企業が押さえるべきポイント

１　はじめに

令和8年4月7日、「個人情報の保護に関する法律等の一部を改正する法律案」が閣議決定され、第221回特別国会に提出されました。今回の法律案は、デジタル技術の急速な進展に伴って個人情報を含むデータの利活用ニーズが高まる一方、個人情報の違法な取扱いによる権利利益侵害のリスクも高まっていることを踏まえ、個人の権利利益の適切な保護と、AI活用にも資する円滑なデータ連携の促進を両立させようとするものです。

本法律案では、個人情報保護法本体だけでなく、公的部門、番号利用法、匿名加工医療情報等に関する法制度にも見直しが及びますが、本稿では主に民間事業者に関係する改正点を取り上げます。なお、施行日は原則として公布の日から起算して2年を超えない範囲内とされており、一定の準備期間が見込まれています。他方で、現時点ではあくまで法律案であるため、今後の国会審議等によって内容が修正される可能性がある点には留意が必要です。

 

２　適正なデータ利活用の推進

第一の柱は、適正なデータ利活用の推進です。

 

今回の法律案で特に注目されるのは、個人データ等の第三者提供および公開されている要配慮個人情報の取得について、統計作成等にのみ利用される場合には、一定の要件の下で本人同意を不要とする特例が設けられる点です。統計情報等の作成のために複数の事業者が持つデータを共有し横断的に解析するニーズが高まっていること、特定の個人との対応関係が排斥された統計情報等の作成や利用はこれによって個人の権利利益を侵害するおそれが少ないことが改正の理由として挙げられています。

ここでいう「統計作成等」とは、統計の作成その他の大量の情報から当該情報の傾向又は性質に係る情報を作成する行為のうち、個人に関する情報であるものを除き、かつ、個人の権利利益を害するおそれが少ないものとして個人情報保護委員会規則で定めるものをいいます。個人情報保護委員会の資料では、これには統計作成等であると整理できるAI開発等が含まれるとされています。

もっとも、この特例は無条件に認められるわけではありません。資料では、一定事項の継続的な公表、第三者提供の場合の提供元・提供先間の書面による合意、さらに取得者・提供先による目的外利用および第三者提供の禁止といった制約が示されています。したがって、AI開発やデータ分析を行う企業にとって利活用の余地が広がる可能性がある一方、制度に依拠するためには、対象行為の整理だけでなく、社内外の運用設計や契約実務まで含めた対応が必要になります。

 

また、目的外利用、要配慮個人情報の取得、第三者提供に関する本人同意規制についても見直しが予定されています。

①取得の状況からみて本人の意思に反せず、本人の権利利益を害しないことが明らかな取扱いである場合には同意不要とする方向が示されています。

令和８年４月個人情報保護委員会事務局「個人情報保護法等の一部を改正する法律案について」（以下「事務局スライド」といいます。）では、この「本人の意思に反せず、本人の権利利益を害しないことが明らかな取扱い」の具体的な想定事例として、ホテル予約サイトを通じた予約の場面（予約サイト事業者から実際に宿泊するホテルへ予約者の氏名等を提供するケース）や、海外送金の場面（送金元金融機関から送金先金融機関へ送金者の情報を提供するケース）が挙げられています。いずれも、契約の履行のために第三者提供が不可欠であり、本人の意思に反するものとはいえないと整理できる典型例ですが、現行規定ではこのような場合にも本人から同意を取得する必要があり、実務上の負担が指摘されてきました。なお、具体的な対象範囲は、制度が円滑に運用されるよう、改正の趣旨を踏まえつつ個人情報保護委員会規則で定められることが想定されています。

 

②生命・身体の保護や公衆衛生の向上等に関する同意取得困難性要件も緩和されます。具体的には、「本人の同意を得ることが困難であるとき」のみならず、「その他本人の同意を得ないことについて相当の理由があるとき」についても、本人からの同意取得を不要とするとされています。事務局スライドによれば、「相当の理由」については、（公衆衛生の向上等のために特に必要である一方で、）本人のプライバシー等の侵害を防止するために必要かつ適切な措置（氏名等の削除、提供先との守秘義務契約の締結等）が講じられているため、当該本人の権利利益が不当に侵害されるおそれがない場合等を想定し、具体的な事例については、制度が円滑に運用されるよう、改正の趣旨を踏まえつつ、ガイドライン等において明確化することを想定しているとのことです。

 

③学術研究例外の対象である「学術研究機関等」に、医療の提供を目的とする機関又は団体が含まれることも明確化される見込みです。現行規定では、個人情報の当初の目的外の利用（法第18条第3項）、信仰・病歴・犯罪歴などの差別につながり得る情報（要配慮個人情報）の取得（法第20条第2項）、個人データの第三者への提供（法第27条1項）については、原則、本人から同意を取得することが必要であり、学術研究を目的としてこれらの行為を行う場合には、本人同意が不要となり得るが（学術研究例外）、当該例外が適用される主体は、「学術研究機関等」のみであり、病院等は含まれていません。

他方、医学・生命科学の研究においては、研究対象となる診断・治療の方法に関する臨床症例の分析が必要不可欠であり、実際にも、病院等の医療の提供を目的とする機関又は団体による研究活動が広く行われている実態を踏まえ、今回の改正案となりました。

 

３　リスクに適切に対応した規律

第二の柱は、リスクに適切に対応した規律の整備です。

 

まず、こどもの個人情報の保護が強化されます。16歳未満の者が本人である場合には、通知等や同意取得に法定代理人の関与が求められることが明文化されるほか、当該本人の保有個人データについては、違法行為の有無等を問わず利用停止等を請求できる仕組みが導入される予定です。さらに、未成年者の年齢や発達の程度に応じて、その最善の利益を優先して考慮し、権利利益を害しないよう必要な措置を講ずるよう努めなければならない旨の責務規定も設けられます。

 

次に、顔特徴データ等を含む特定生体個人情報に関する規律が新設されます。法律案要綱では、特定の個人の身体の一部の特徴を電子計算機用に変換した個人識別符号のうち、特別の技術又は多額の費用を要しない方法で取得でき、かつ、その取得を本人が容易に認識できないものとして政令で定めるものを変換したものが含まれる個人情報とされています。

これに伴い、事業者には、名称・住所・代表者氏名、顔特徴データ等を取り扱うこと、その利用目的、元となった身体的特徴の内容、利用停止請求に応じる手続等の周知が求められる見込みです。もっとも、特定生体個人情報に関する周知義務については、本人又は第三者の権利利益、事業者の正当な利益、又は国若しくは地方公共団体の事務の遂行に支障を及ぼすおそれがある場合など、一定の例外が設けられる予定です。あわせて、利用停止等請求は違法行為等の有無を問わず可能とされ、オプトアウト制度に基づく第三者提供も禁止される方向です。顔特徴データ等は、本人が関知しないうちに容易に、それゆえに大量に入手可能であり、一意性及び不変性が高く特定の個人を識別する効果が半永久的に継続するため、取扱いが本人のプライバシー等の侵害につながる可能性があること、顔認証技術の普及により、本人が関知しない形での追跡や名寄せのリスクが高まっていることを踏まえた規律といえます。

 

また、委託先に対する規律も重要です。今回の資料では、委託先に対し、原則として委託を受けた業務の遂行に必要な範囲を超えて個人データ等を取り扱ってはならない旨の義務を明文化する一方、委託先が委託元から指示された方法で機械的に個人データ等を取り扱うのみの場合には、委託契約で取扱方法の全部や委託元による把握のための措置等について合意していることを前提に、法第4章の各義務規定の適用を原則として免除する方向が示されています。ただし、その場合でも、業務遂行に必要な範囲を超えて取り扱ってはならない義務と、安全管理に係る義務は適用されます。

 

さらに、漏えい等対応についても、本人通知だけでなく報告制度自体の見直しが予定されています。資料によれば、本人への通知が行われなくても本人の権利利益の保護に欠けるおそれが少ない場合には、本人通知を緩和し、代替措置による対応を認める方向です。加えて、サイバー攻撃対処能力強化法に基づく報告義務との関係では、共通様式により報告が行われる場合の窓口一元化の方向が示されており、認定個人情報保護団体等による体制・手順の確認を前提として、一定範囲で速報を免除し、本人1名に係る誤交付・誤送付のようなケースでは確報を一定期間ごとに取りまとめて行うことも許容する内容が示されています。さらに、違法な個人データの第三者提供も報告対象事態に加える方向です。

 

４　不適正利用等の防止

第三の柱は、不適正利用等の防止です。

 

今回の法律案では、従来の「個人情報」そのものにとどまらず、連絡可能個人関連情報に対しても新たな規律が及びます。法律案要綱上、これは、特定の個人に対する連絡その他の情報の伝達に利用することができる一定の記述等が含まれる個人関連情報をいいます。個人情報保護委員会の資料では、電話番号、住所、メールアドレス、Cookie ID等が例示されており、これらは提供元では個人情報に当たらない場合でも、特定個人への連絡や働きかけを通じてプライバシーや財産的利益の侵害につながり得るものとして整理されています。

事務局スライドでは、連絡可能個人関連情報の不適正な利用や不正取得が問題となり得る場面として、いくつかの想定事例が示されています。第一に、事業者が保有するメールアドレスを利用して認証情報やクレジットカード情報等の窃取を狙うフィッシングサイトへ誘導するケース、第二に、メールアドレスやCookie ID等を利用して投資詐欺広告を配信し、SNS等を通じて被害者に財産的損害を与えるケース、第三に、オンラインメンタルヘルスカウンセリングサービスにおいて「治療支援目的のみに利用し第三者提供しない」という偽りの説明により、メールアドレスや健康情報を取得するケースです。いずれも、提供元では個人情報に該当しない情報であっても、特定個人への連絡や働きかけを通じて深刻な権利利益侵害を引き起こし得る類型として整理されています。

そのため、連絡可能個人関連情報については、不適正利用および不正取得を禁止する規律が設けられる予定です。なお、これらの不適正利用・不正取得の禁止は、一定の記述等を含む仮名加工情報や匿名加工情報の取扱いにも準用される予定であり、データ流通やマーケティング関連事業者にとっても影響が及び得ます。デジタル広告や各種マーケティング手法の高度化により、個人情報該当性の有無だけでは十分に対応しにくい場面が増えていることを踏まえると、広告配信、リード獲得、データブローカー対応などにおいて、これまで以上に慎重な整理が必要になるといえます。

 

また、いわゆるオプトアウト制度についても見直しが行われます。資料では、提供元事業者に対し、オプトアウト制度に基づく第三者提供時には、あらかじめ当該第三者の身元（氏名又は名称、住所、代表者氏名）および利用目的を確認しなければならないとされています。確認事項を偽ってはならず、違反した場合には過料の対象となる方向です。いわゆる「闇名簿」対策の観点から、提供先の利用目的だけでなく、提供先の身元確認まで求める点が、今回の改正案の重要なポイントです。

 

５　規律遵守の実効性確保

第四の柱は、エンフォースメント、すなわち規律遵守の実効性確保です。

 

まず、勧告・命令の要件と内容が見直されます。資料によれば、現行法では、勧告を経ることなく直ちに命令を出せるのは、個人の重大な権利利益が既に侵害されている場合に限られていますが、改正案では、個人の権利利益の侵害が切迫している場合にも、勧告を前置せず命令を発出できるようにする方向です。また、勧告・命令の内容として、違反行為の中止等に加え、本人に対する違反行為に係る事実の通知又は公表その他本人の権利利益の保護のために必要な措置を含めることができるようになります。

 

さらに、命令の実効性を確保するため、違反事業者に対して命令を発出した場合には、違反行為に関与する第三者に対する任意の要請について明確な根拠規定を設ける方向が示されています。資料では、第三者の例として、クラウドサービス事業者、サーバのホスティング事業者、検索サービス提供事業者等が挙げられています。また、措置命令の対象となった違反行為が特定電気通信による情報送信である場合には、個人情報保護委員会は、当該情報の流通に係る特定電気通信役務提供者に対して、情報流通防止措置を要請できるとされています。これらの要請に応じた取扱関係役務提供者又は特定電気通信役務提供者は、違反事業者に生じた損害について賠償責任を負わないとされる予定です。

悪質事案への対応としては、刑事罰の強化も盛り込まれています。個人情報データベース等不正提供等罪については法定刑が引き上げられ、加害目的による提供行為も処罰対象に含める方向です。また、新たな不正取得罰則として、人を欺き、暴行を加え、若しくは脅迫する行為により、又は個人情報を保有する者の管理を害する行為により個人情報を取得する行為が対象とされています。詐欺行為や不正アクセスをはじめとする悪質な不正取得事案への直接的な対応を強化する趣旨です。

 

そして、今回の法律案で特に注目されるのが、課徴金制度の導入です。現行法では、勧告・命令を受けた後に違反行為を中止すれば、その時点までに得た経済的利益を保持し得るという問題が指摘されていました。課徴金制度は、そのような経済的誘因を減殺し、違反行為を実効的に抑止することを目的として導入されるものと位置付けられています。

資料では、対象行為として、①不適正な利用の禁止違反、②適正な取得違反、③第三者提供の制限違反、④統計特例違反の4類型が示されています。さらに、対象となるのは、深刻な権利利益侵害につながる可能性が高く、緊急命令の対象となっている重要な規制に違反する行為類型であって、国内外において現実に発生しており、かつ、剥奪すべき違法な収益が観念できるものに限定されると整理されています。

加えて、課徴金の対象となるためには、個人情報取扱事業者が対象行為を防止するための相当の注意を怠っていたこと、個人の権利利益が侵害され、又は侵害される具体的なおそれが生じたこと、そして大規模な事案であることが求められます。資料では、大規模事案について、対象行為に係る本人の数につき1,000人を基準とする考え方が示されています。算定方法については、違反事業者が対象行為又は対象行為をやめることの対価として得た金銭等の財産上の利益に相当する額が基礎とされる方向です。

 

６　おわりに

今回の法律案は、データ利活用を促進しつつ、リスクの高い場面では保護を強化し、悪質な違反行為に対しては命令・罰則・課徴金を組み合わせて実効性を高めるという方向性を明確に示しています。特に、AI開発やデータ分析を行う企業、顔特徴データ等を扱う企業、未成年者のデータを扱う企業、委託を受けてデータ処理を行う企業、オプトアウト制度を利用する企業にとっては、実務への影響が大きい改正案といえるでしょう。

もっとも、現時点ではまだ法律案であり、今後の国会審議や、成立後の政令、個人情報保護委員会規則、ガイドラインの整備によって、実務上の具体像はさらに明らかになっていくと考えられます。現段階では、改正の方向性を早めに把握したうえで、自社のデータ利活用、委託、広告・マーケティング、本人関与対応、インシデント対応の各実務にどのような影響が及ぶかを洗い出しておくことが重要です。

当事務所では、個人情報保護法に関するご相談を幅広くお受けしております。改正法律案の内容に関するご質問や、施行に向けた実務対応についてお悩みの点がございましたら、お気軽にご相談ください。