【お役立ちブログ】令和8年改正個人情報保護法の方向性とは?
1 はじめに
令和8年の通常国会への法案提出を見据えて、個人情報保護法の 「3年ごと見直し」 に関する検討が進められています。今回の改正議論の大きな特徴は、 AI時代に対応したデータ利活用の促進 と、 個人情報の不正利用や権利侵害への対策強化 を同時に進めようとしている点にあります。
企業にとっては、 今後のデータ活用や社内ガバナンスのあり方に直結するテーマ です。この記事では、実務上とくに重要と思われる改正ポイントを整理します。
2 統計情報等の作成のみに利用される場合の同意不要
現行法では、統計情報等のみに利用される場合であっても、個人情報の第三者提供や要配慮個人情報の取得には、原則として 本人同意が必要 です(法27条、28条、20条2項)。
もっとも、AI開発の学習等を含むデータの利活用の場面では、大量のデータを迅速に集める必要があり、この同意取得が実務上のハードルになりやすい一方で、特定の個人と紐づきにくい統計情報の作成・利用は権利侵害の危険が少ないものであると指摘されてきました。
そこで改正案では、 「統計情報等の作成」を目的とする場合には、一定の条件のもとで本人同意を不要とする としています。条件の具体的な内容については明らかではないですが、個人の権利利益を害するおそれが少ないものとして個人情報保護委員会規則で定めるものに限定することを想定しているようです。
3 その他、同意取得にかかる規制緩和
現行法では、目的外利用、要配慮個人情報取得及び第三者提供を行う場合には原則として本人の同意を得ることが求められます(法20条2項、27条、28条)。この同意取得義務に係る 例外要件の緩和 として、具体的な要件等についてはまだ明確にされていませんが、以下の三点の改正方針が示されています。
① 取得の状況からみて本人の意思に反しないため本人の権利利益を害しないことが明らかな取扱いである場合は 本人同意を不要 とする
② 生命等の保護又は公衆衛生の向上等のために取り扱う場合における 同意取得困難性要件を緩和
③ 学術研究例外の対象である「学術研究機関等」に 医療の提供を目的とする機関又は団体が含まれることを明示
4 16歳未満の個人情報取得ルールが明確化へ
次に、未成年者、とくに子どもの個人情報保護に関する見直しです。これまで法令上整備されていなかった 未成年者の個人情報の取扱いについて明確なルール を設ける方向で検討が進んでいます。
特に、 16歳未満の本人から個人情報を取得する場合に、法定代理人(親権者など)の同意取得や通知を求めるという仕組み が検討されており、注目ポイントです。
さらに、今回の議論では、単なる手続規制にとどまらず、事業者や法定代理人に対して、 「子どもの最善の利益を優先して考慮する」 という考え方を明確に打ち出す方向も示されています。
この改正は、未成年者向けのアプリ、SNS、学習サービス、ゲーム、ECなど、若年層が利用するサービスを展開する企業にとって影響が大きいと考えられます。
実務上は、たとえば次のような点を見直す必要が出てくるでしょう。
- 年齢確認の方法
- 保護者同意の取得フロー
- 利用規約やプライバシーポリシーの記載
- 子ども向けサービスの設計や広告表示のあり方
5 顔特徴データの扱いはより厳格に
顔特徴データは、本人を識別できるうえ、 一度漏えいすると変更がきかない という性質を持っています。パスワードのように後から差し替えることができないため、通常の個人情報以上に 慎重な管理が必要 です。
この点を踏まえ、改正案では、
① 顔特徴データについてその取扱いに関する 一定の事項の周知の義務化
② 利用停止等の要件の緩和
③ 顔特徴データについて、 オプトアウトによる第三者提供の禁止等
が検討されています。
企業実務では、たとえば、 入退室管理システム、店舗や施設での顔認証、会員識別や本人確認サービス 等の場面で影響が出てくると思われます。
6 委託を受けた事業者の規律の見直し
現行法では、委託を受けた事業者に対して 直接適用される明示的な義務は定められていません。 個人データ等の取扱いについて、実質的に第三者に依存するケースが拡大している状況を踏まえ、データ処理等の委託を受けた事業者について、以下の義務を新設する方針が示されています。
① 取扱いを委託された個人データを開示された業務の遂行に必要な範囲を超えて取り扱ってはならない旨の義務を委託先に明文規定により課すこと
② 委託先自らは取扱いの方法を決定しないケースにおいては、委託契約において必要な措置等について合意した場合は、当該委託先に対しては、 個人情報保護法4章の各義務規定の適用を原則として免除 すること
7 漏えい等発生時の本人通知義務の緩和
現行法では、個人情報取扱事業者は、漏えい等報告の義務を負うときは、本人への通知が困難な場合であって、代替措置を講じたときを除き、一律に本人への通知義務を負うこととなります(法26条2項)。
本方針では、漏えい等発生時について、 本人の権利利益の保護に欠けるおそれが少ない場合は、本人への通知義務を緩和する と示されています。「本人の権利利益の保護に欠けるおそれが少ない場合」が具体的にどのような場合であるかは明確ではありませんが、サービス利用者の社内識別子(ID)など、漏えいした情報の取得者において それ単体ではおよそ意味を持たない情報のみが漏えいした場合 などが想定されます。
8 特定の個人に対する働きかけが可能となる情報についての不適正利用及び不正取得の禁止
特定の個人に対して何らかの連絡を行うことができる電話番号、メールアドレス等を含む情報については、それが 個人情報に該当しない場合であっても 、連絡を通じて個人の権利利益の侵害が発生するおそれがあります。本方針では、特定の個人に対する働きかけが可能となる個人関連情報等についても、 不適正利用及び不正取得を禁止する と示されています。
9 罰則等の強化
勧告や命令を柔軟に行使できるような改正等もあるのですが、今回、特に取り上げたいのは 課徴金制度 です。これまで個人情報保護法違反に対しては、行政指導や是正命令、場合によっては刑事罰が用意されていましたが、必ずしも十分な抑止力になっていないとの指摘がありました。
そこで本方針で示されたのが、一定の重大事案に対して課す課徴金制度です。
- ① 対象行為
以下のいずれかの行為又は当該行為をやめることの対価として金銭等を得たときを 課徴金納付命令の対象 とするとされています。
・個人情報の提供であって、当該個人情報を利用して 違法な行為又は不当な差別的取扱いを行うことが想定される状況にある第三者に対して行うもの
・第三者の求めにより行う個人情報の利用であって、当該第三者が当該個人情報の利用を通じて 違法な行為又は不当な差別的取扱いを行うことが想定される状況にある場合に行われるもの
・個人情報保護法20条1項の規定に違反して、 偽りその他不正の手段により個人情報を取得し、当該個人情報を利用する行為
・個人情報保護法27条1項の規定に違反して、 あらかじめ本人の同意を得ないで、個人データを第三者に提供する行為
・統計作成等の特例に基づき取得した個人情報を、当該特例に係る義務に反して目的外に取り扱う行為又は第三者に提供する行為等
- ② 適用条件
以下の条件をすべて満たす場合に限り、対象となるとされています。
・当該個人情報取扱事業者が、当該対象行為を防止するための 相当の注意を怠った者でないと認められる場合でないこと (相当の注意(主観的要素))。
・当該対象行為に係る個人情報又は個人データの本人の数が 1,000人を超えること (大規模事案であること)。
・ 個人の権利利益を害する程度が大きくない場合に該当しないこと (権利利益侵害があること)。
- ③ 課徴金額
対象行為又は対象行為をやめることの対価として個人情報取扱事業者が得た 金銭等の財産上の利益に相当する額 とするとされています。
以上が概略ですが、この制度が導入されれば、違反時の経済的リスクとして、損害賠償だけでなく、 課徴金も前提に考える必要があります。
10 まとめ
令和8年改正の方向性を一言でいえば、 データ利活用を促進しながら、権利侵害に対しては従来より厳しく対応する というものです。企業にとっては、AI活用やデータ分析を進めるチャンスが広がる面がある一方で、 違反時のリスクや説明責任はこれまで以上に重くなります。
したがって、今後、 自社がどのような個人情報を扱っているか、未成年者データや生体データを含んでいないかといった点を、あらためて棚卸しすることが必要 になりそうです。改正の内容が明確になった段階で、再度、お知らせしたいと思います。
