なぜ緩和と規律強化が同時に進むのか?
3年ごとに見直し「個人情報保護法」が改正へ
顧客管理や採用活動など、企業がビジネスを行ううえで個人情報の取り扱いは避けて通れません。情報漏えいや不正利用が発生した場合、本人に不利益が生じるだけでなく、企業の信用低下や取引先との関係悪化にもつながります。
こうした個人情報について、個人の権利や利益を守りながら、適切に活用するためのルールが規定された法律が、個人情報保護法です。同法は2003年に制定され、社会情勢・技術動向に対応するため、3年ごとに見直されてきました。
2026年は、まさに同法の見直しが実施される年です。2026年1月には、個人情報保護委員会が同法の制度改正方針を公表。同年4月7日には改正案が閣議決定・国会提出され、5月26日には衆議院本会議で可決されました。現在は参議院で審議中であり、今特別国会(第221回、会期末:2026年7月17日)での成立が見込まれています。
今回の制度改正方針は、「①適正なデータ利活用の推進」「②リスクに適切に対応した規律」「③不適正利用等の防止」「④規律遵守の実効性確保」の四つを柱としています。本人の権利利益(プライバシーや財産上の利益など、個人が本来持つ権利と正当な利益)を害するおそれが少ない利用は促進し、侵害するおそれがある行為には強く対応するという「リスクに応じた管理」への転換です。
この4点をまとめると、個人情報をめぐる「ニーズ」と「リスク」の両面に対応するため、ルールの見直しが進んでいるといえます。AI開発・統計分析・医療研究などへのデータ活用ニーズと、不適正利用や不正取得のリスクの双方へ対応する意図が読み取れます。
AI開発・統計作成における同意要件は緩和へ
制度改正方針では「緩和」の実例として、個人情報取得に関する同意が不要となる場面を二つ追加しています。
一つ目は、統計情報等の作成にのみ利用されることが担保されている場合で、AI開発もこれに含まれます。対象には、公開されている要配慮個人情報(病歴・障害・犯罪歴など、取り扱いに特に配慮が必要な情報)の取得も含まれます。
とはいっても、自由にデータを使えるわけではなく、提供元・提供先双方の公表義務、書面による合意、目的外利用・第三者提供の禁止などの条件が課されます。これにより、生成AIベンダーへの個人データ提供をモデル学習に活用できる道が開かれる一方、条件違反は後述の課徴金の対象にもなりえます。
二つ目は、取得の状況からみて本人の意思に反しないことが明らかな場合です。たとえばホテル予約の履行に伴う情報伝達や、国際送金における送金者情報の提供などが想定されており、これまで「黙示の同意」として整理されていたケースが明文で同意不要となり、確認記録義務も免除される可能性があります。
子どもや顔のデータは規律が強化される
一方で、規律が「強化」される例もあります。具体的には16歳未満の子どもの個人情報で、同意取得・通知等を法定代理人(親権者や未成年後見人など)に行うことが明文化されます。また、未成年者の個人情報の取り扱いについて、本人の最善の利益を優先すべき旨の責務規定も設けられます。子ども向けサービスだけでなく、全年齢対象のサービスを含むすべての企業が影響を受ける可能性があります。
顔特徴データ等については、個人情報取扱事業者の名称・利用目的・利用停止請求手続き等の本人への通知・公表が義務化されます。加えて、オプトアウト方式による第三者提供も認められなくなります。オプトアウト方式とは、本人から停止の申し出がない限り、当該データの第三者提供を認める仕組みです。この方式が認められなくなるということは、改正後は本人の同意を個別に得ないまま、顔特徴データ等を第三者に提供することは禁止される、ということになります。また、所在地・電話番号・メールアドレス・Cookie IDなど特定の個人への接触を可能にする情報の不適正利用・不正取得を禁止する規定も新設されます。個人情報でない情報であっても、取得時の利用目的の明示が重要になります。
委託先への義務も明文化│
課徴金制度も新設される
このほか委託先事業者に対し、委託業務の範囲を超えた個人データの取り扱いを禁止する義務が直接課されます。現行法では委託先への直接的な義務付けが法文上明確でなかったものが、改正により明文化されます。SaaS・クラウドサービスを提供する企業は、委託契約書の整備が求められます。なお、委託先自らが取り扱い方法を決定しないなど一定の条件(委託元が取り扱い方法を指示し委託先は指示に従うのみのケースなど)を満たす場合は、委託元側で委託先の義務の一部を実質的に担う仕組みも示されています。
一方、本人の権利利益の保護に欠けるおそれが少ない場合(単体で意味を持たないIDのみの漏えい等)は、本人への通知義務が緩和されます。また、オプトアウトにより個人データを第三者提供する事業者には、提供先の身元・利用目的の確認が義務付けられます。
課徴金制度も新設されます。対象は、違法な差別的取扱いが想定される者への提供・無断の第三者提供など特定の行為に限定され、改正法案では対象となる本人の数が1,000人を超えない場合は、課徴金納付命令の対象から除外されます。なお、安全管理措置義務違反(個人データの漏えいを招くようなセキュリティ上の不備や管理体制の欠如など)は課徴金の対象に含まれません。
課徴金額は対象行為によって得た財産的利益に相当する額とされており、経営上のリスク管理として捉える必要があります。不正提供罪は加害目的にも処罰対象が拡大され法定刑が引き上げられるほか、詐欺行為等による不正取得にも罰則が新設されます。
個人情報を「守る体制」と
「活用するルール」を両輪で整えよう
今後の個人情報保護法の方向性は、一律に規律を強めるものではなく、データの性質・利用目的・本人への影響に応じてルールを整える「リスクに応じた管理」です。
企業が今すぐ着手すべきことは、自社がどのような個人情報を、どの目的で、どの部門・システム・委託先で扱っているかを正確に把握することです。子どもの情報・顔特徴データ・大量の顧客データなどリスクの高い情報を洗い出し、対応の優先順位を早急に明確にしなければなりません。AIやデータ分析に個人情報を利用する企業は、統計作成の範囲に収まっているか、目的外利用や第三者提供を防ぐ仕組みが機能しているかを今すぐ確認してください。
特に1,000人以上の個人データを取り扱う案件については、取得・利用・提供の各場面での適法性確認と記録の整備が必要です。委託先との契約内容が改正後の義務付けに対応できているかについても、先送りは許されません。
個人情報保護対応は、もはや単なる法令遵守の問題ではありません。事業の根幹を支える基盤として、「守るべき情報を守る体制」と「適正にデータを活用するルール」の両輪を今から整えることが、すべての企業に求められています。
【注記】本記事は2026年1月9日に個人情報保護委員会が公表した制度改正方針に基づいています。その後の国会審議により、最終的な法案の内容が変更される可能性があります。最新情報は個人情報保護委員会の公式サイトでご確認ください。
<記事監修>
東京弁護士法人 立川法律事務所
弁護士
笠垣のぞみ(かさがき・のぞみ)
早稲田大学大学院法務研究科在学中に司法試験合格。同大学院を修了後、都内法律事務所にて企業法務から一般民事事件まで幅広く取り扱い、個人・法人双方からの相談に対応。法令の正確な理解と平易な説明を心がけ、企業のコンプライアンス対応に関する助言も行う。
弁護士
加藤翔大(かとう・しょうた)
一橋大学卒業後、早稲田大学法科大学院を修了し司法試験合格。都内の法律事務所にて企業法務のほか、離婚・相続をはじめとする一般民事事件も幅広く担当する。情報管理分野の法的問題にも携わり、法律解説記事の執筆・監修も行う。








