【令和8年7月成立】改正個人情報保護法のポイントとは?AI特例から初の課徴金導入まで詳しく解説

令和8年(2026年)7月10日、個人情報保護法のいわゆる「3年ごと見直し」に基づく「個人情報の保護に関する法律等の一部を改正する法律」が参議院本会議で可決され、成立しました。今回の改正は、統計作成やAI開発を目的とする場合に本人同意を不要とするなど、データ利活用を後押しする規制緩和と、課徴金制度の導入や罰則の強化といった執行面の大幅な強化を併せ持つ、近年で最も影響の大きい改正の一つです。加えて、16歳未満の子どもの個人情報や顔特徴データなどの生体データに関する新たな規律、データ処理等の委託を受けた事業者に対する義務の見直しなど、企業の実務に直結する項目が数多く盛り込まれています。施行は原則として公布の日から起算して2年を超えない範囲内で政令により定められる予定であり、企業には施行日までに社内体制を整備するための準備期間が与えられています。
本記事では、今回成立した改正個人情報保護法の内容を整理した上で、企業が施行までに対応すべきポイントを解説します。
この記事の目次
改正個人情報保護法の成立経緯と施行スケジュール
今回の改正は、令和2年(2020年)改正法の附則において、施行後3年ごとに国際的動向や情報通信技術の進展等を勘案して法の施行状況を検討し、必要な措置を講ずることとされていたこと、いわゆる「3年ごと見直し」を出発点とするものです。個人情報保護委員会は令和5年(2023年)11月から検討を進め、令和8年1月9日に「個人情報保護法 いわゆる3年ごと見直しの制度改正方針」を公表しました。
参考:個人情報保護委員会|個人情報保護法 いわゆる3年ごと見直しについて
この改正方針の内容と背景については、以下の記事で詳しく解説しています。
その後、改正方針を具体化した「個人情報の保護に関する法律等の一部を改正する法律案」が令和8年4月7日に閣議決定され、第221回特別国会に提出されました。同法案は国会での審議を経て、令和8年7月10日に参議院本会議で可決され、成立しました。
改正法の施行期日は、原則として公布の日から起算して2年を超えない範囲内において政令で定める日とされています。本記事執筆時点では公布日は確定していませんが、今後公布される予定であり、順調に進めば令和10年(2028年)夏頃までに施行される見込みです。
もっとも、施行までの間に、改正法の詳細を定める政令・個人情報保護委員会規則の制定や、ガイドラインの改正が順次行われる予定です。企業の具体的な実務対応の多くはこれらの下位規範の内容によって確定するため、施行日を待つのではなく、政省令やガイドラインの公表状況を継続的に確認しながら準備を進めることが重要です。
個人情報保護法改正によるデータ利活用推進のポイント

今回の改正の第一の柱は、本人の権利利益への影響が小さい場面における同意規制の見直しです。企業にとっては、AI開発やデータ分析の自由度が広がる「緩和」の側面であり、正しく理解すれば事業機会につながる改正といえます。
統計作成・AI開発目的での本人同意の不要化(AI特例)
今回の改正における最大の注目点の一つが、統計情報やAIの学習モデル作成を目的とする場合に限り、本人同意を不要とする「データの利活用促進」に踏み込んだ特例の創設です(改正法第30条の2、第31条の3)。
これまで、企業がAIモデルの機械学習や高度な統計解析を行う際、外部からデータを調達したり複数企業でデータを持ち寄ったりする「第三者提供」を行うには、原則として本人の同意取得が必要であり、これがデータ連携の実務上、極めて大きな障壁(ボトルネック)となっていました。
改正法の施行後は、特定の個人を識別する結果を出力しない「統計情報の作成」や、これと同等に整理できる「AI開発・モデル学習」の目的に限定される限り、以下のケースで本人の同意なくデータを取得・提供することが可能になります。
- 医療AIの開発:ウェブ上で一般に公開されている病歴や症例情報(要配慮個人情報)を、同意なしでスクレイピング・収集し、画像診断AIの学習用データセットとして利用する。
- 共同AIモデルの構築:複数の異なる事業者が、それぞれの顧客の行動ログや購買履歴(個人データ)を持ち寄り、お互いに同意を得ることなく、特定の個人を識別しない汎用的な予測アルゴリズム(AIモデル)を共同開発する。
この特例(AI特例)は、同意取得を免除する代わりに、本人の権利利益を害さないための厳格な安全管理と「代替的なルール」の遵守を事業者に義務付けています。実務上は、以下の対応が不可欠となります。
- 利用目的等の公表継続:統計作成やAI開発にデータを利用している旨を、ウェブサイト等で本人が容易に確認できるよう公表し続けなければなりません。
- 利用制限(目的外利用の厳禁):取得したデータをマーケティングやターゲティング広告など、統計作成・AI開発「以外」の目的へ流用することは一切禁止されます。
- 第三者提供の禁止:特例によって取得したデータを、さらに別の第三者へ再提供することは認められません。
- 厳格な安全管理措置:学習用データへの不正アクセスや漏えいを防ぐため、開発環境における厳重なアクセス制御(セキュアな隔離環境でのデータ処理)や、速やかな加工処理(匿名化技術の適用等)を講じる必要があります。
改正法により同意不要の道が開かれたことで、社内データに眠っていた個人情報をAI開発へ回すハードルは格段に下がります。ただし、特例を利用する場合は「統計作成・AI開発」の目的にプロセスを厳格に限定し、目的外利用や再提供を防ぐ「技術的・運用的ガードレール」を構築する必要があります。法務部門は、事業部門が構築しようとしているデータパイプライン(データの流れ)を精査し、この特例の要件を満たす設計になっているか、ガバナンス体制を事前に検証しておくべきです。
本人の意思に反しないことが明らかな場合等の同意規制の緩和
今回の改正では、形式的な同意取得に伴う「同意疲れ(同意ポップアップの乱立等)」を解消し、真に本人の不利益にならない範囲での実務の円滑化を図るため、同意規制が合理的に緩和されました。
取得の状況からみて「本人の意思に反しないため、権利利益を害しないことが明らかな取扱い」である場合には、目的外利用、要配慮個人情報の取得、および第三者提供の場面において本人同意が不要となりました。具体的には以下の例が考えられます。
- アンケート回答に伴う付随的案内:ユーザーが自発的に回答したアンケート情報に基づき、関連するセミナーの案内メールを送信するケース(従来の「厳密な目的外利用」の枠組みから、取得状況に照らして許容され得る範囲へ緩和)。
- 名刺交換に基づく情報登録:オフラインで直接名刺交換を行った相手の情報を、明示的な事前同意なく営業管理(SFA)システムや顧客管理(CRM)データベースに登録・利用するケース。
また、生命・身体・財産の保護、または公衆衛生の向上のために個人データを取り扱う場合、従来は「本人の同意を得ることが困難であるとき」という非常に厳しい限定要件が課されていました。改正により、このハードルが緩和されています。具体的には以下の例が考えられます。
- 大規模災害時の安否情報提供:被災した顧客や従業員の安否情報を、自治体や家族からの要請に応じて迅速に提供するケース(「本人の同意取得を試みたが連絡がつかない」といった厳格なプロセスを踏まずとも、事態の緊急性と社会的合理性から速やかな連携が可能に)。
- フィッシング詐欺や不正送金等の被害防止:金融機関や決済事業者が、不正利用の疑いがある口座・取引情報を、本人の同意取得を待たずに業界内で迅速に共有し、被害拡大を防止するケース。
このほかにも、学術研究を目的とする個人情報の取扱いに関する例外規定の対象(学術研究機関等)に、「医療の提供を目的とする機関又は団体(病院や診療所など)」が含まれることが明示されました。これにより、大学病院以外の一般病院や民間クリニックが臨床データを共同研究に提供する際、極めて厳格な個人情報保護法の同意プロセスから一部免除され、医学研究や創薬開発のスピードアップが期待されます。
これらの改正は、災害対応や医療研究といった公共性の高い場面だけでなく、BtoB・BtoCを問わず日常的なマーケティング・営業活動における「同意取得プロセス」の引き算(簡素化)を可能にします。企業は、自社のプライバシーポリシーに記載している「利用目的」の射程や、サービス画面設計における「同意ポップアップ(チェックボックス)」の要否について、ガイドラインの具体化を待ちつつ、設計の見直しに着手すべきでしょう。
企業が対応すべき点:特例を活用するための社内体制整備
同意不要の特例は、無条件に認められるものではなく、統計作成等の目的に利用が限定されていることなど、一定の要件を満たすことが前提となります。要件の詳細は今後の政省令やガイドラインで具体化される見込みですが、企業としては、特例の活用を見据えて、データの利用目的を統計作成等に限定するための社内規程の整備、目的外利用を防止するアクセス管理、データ提供契約における利用範囲の明確化といった管理体制をあらかじめ設計しておくことが有益です。
改正個人情報保護法におけるリスク対応規律と企業の対応
第二の柱は、取扱いの態様の変化に応じた規律の整備です。子どもの個人情報、生体データ、委託管理、漏えい対応という、多くの企業の実務に関わるテーマが対象となっています。
16歳未満の個人情報は法定代理人への対応が原則に
改正法では、16歳未満の者が本人である場合、同意の取得や通知等について、本人ではなく法定代理人(親権者など、本人に代わって法律行為を行う権限を持つ者)を対象とすることが明文化されました。また、16歳未満の本人に係る保有個人データについては、利用停止等請求の要件が緩和されます。さらに、未成年者の個人情報等の取扱いについて、本人の最善の利益を優先して考慮すべき旨の責務規定も新設されました。
ゲーム、教育サービス、SNSなど16歳未満のユーザーを想定するサービスを提供する企業は、年齢確認の仕組みと、法定代理人から同意を取得するためのワークフローの構築が急務となります。また、最善の利益への配慮という観点から、未成年者にも理解しやすいプライバシーポリシーの説明を用意するなどの対応も求められるでしょう。
顔特徴データなど生体データに関する規律の新設
顔特徴データ(顔の形状やパーツの配置などを数値化し、個人の識別を可能にする情報)等については、その取扱いに関する一定の事項の周知が義務化されるとともに、利用停止等請求の要件が緩和され、さらにオプトアウト制度に基づく第三者提供が禁止されました。
顔認証による入退室管理や本人確認、防犯目的の顔識別カメラなどを導入している企業は、施行までに、周知すべき事項の整理と掲示物・ウェブサイトの記載内容の見直し、利用停止等請求を受けた場合の社内対応フローの整備を行う必要があります。生体データは一度漏えいすると変更が事実上不可能であるという特性を持つため、規律強化の対象となったものであり、取得の必要性自体を再検討することも選択肢となります。
委託を受けた事業者の義務見直しと契約の再点検
データ処理等の委託を受けた事業者について、委託された個人データ等の適正な取扱いに係る義務の見直しが行われました。委託先による業務範囲を超えたデータの利用を防止する趣旨であり、AI開発やデータ分析を外部委託している企業、逆に委託を受けてデータを取り扱う企業の双方に影響します。
委託元となる企業は、委託先が委託された業務の範囲を超えてデータを自社の学習や分析に利用していないか、監督の実効性を再点検する必要があります。委託先となる企業は、自社に課される義務の内容を踏まえ、受託データの管理体制と契約条件を見直すことが求められます。いずれの立場でも、施行までに委託契約の条項を棚卸しし、取扱いの範囲や監督方法を明確化する契約改訂の準備を進めることが望まれます。
漏えい等発生時の本人通知義務の緩和
漏えい等が発生した場合の対応については、本人の権利利益の保護に欠けるおそれが少ない場合には、本人への通知義務を緩和する見直しが行われました(改正法第26条第2項)。通知に代わる保護措置の内容など具体的な要件は今後の下位規範で示される見込みであり、企業は、政省令やガイドラインの公表を踏まえて、インシデント対応規程における本人通知の判断基準を更新する必要があります。通知義務が緩和される場面があるとはいえ、個人情報保護委員会への報告や再発防止の重要性が変わるものではない点には留意が必要です。
個人情報の不適正利用の防止に関する改正ポイント
第三の柱は、特殊詐欺やフィッシング詐欺など、個人情報等の悪用による被害を防ぐための規律の強化です。一見すると悪質な事業者への規制に見えますが、データを提供・取得する一般の企業にも確認義務等の形で影響が及びます。
個人情報に該当しない連絡可能情報への規制拡大
改正法では、個人情報には該当しないものの、特定の個人への連絡や働きかけが可能となるアドレス情報(住所、電話番号、メールアドレス等)を「連絡可能個人関連情報」(改正法第2条第8項)と定義し、これらについて不適正な利用および不正な取得を禁止する規律を新設しました(改正法第31条の2)。
単体では特定の個人を識別できない電話番号やメールアドレスのような情報であっても、詐欺の電話をかけるなど特定の個人への働きかけに悪用され得ることを踏まえた規律です。
マーケティングや営業活動で連絡先情報のリストを取得・利用している企業は、その取得経路が適正であるか、利用の態様が不適正利用に該当しないかを点検する必要があります。従来は個人情報保護法の直接の規律が及ばないと整理されていた情報についても、コンプライアンス上の管理対象に加えることが求められます。
オプトアウト制度における提供先確認の義務化
本人の求めに応じて提供を停止すること等を条件に、同意なく個人データを第三者に提供できる制度(オプトアウト制度)については、提供先(受領者)の本人特定情報(氏名・名称、住所、代表者氏名)および利用目的の確認(改正法第27条第7項)、ならびに確認事項の記録作成・保存(改正法第29条等)が義務化されました。
これまでは、名簿業者等が「誰に、どのような目的で」データを売却したのかが不透明であり、詐欺グループ等へのデータ流出の温床となっていました。改正法は、この流通経路を完全に可視化するため、「確認・記録・虚偽回答禁止」のトリプル義務を課しています。
提供元(データを売る側)は、提供先(購入者)の「身元」と「利用目的」の事前確認義務が課されます。提供先の氏名/名称、住所(法人の場合は代表者名)および、具体的なデータの利用目的を事前に確認しなければなりません。確認した内容は、提供記録として一定期間作成・保存する義務があります。
一方、提供先(データを受領・購入する側)は、確認に対する「虚偽回答の禁止義務」が課されます。つまり、提供元から上記の確認を求められた際、偽りの身元や利用目的を回答することは法律上禁止されます。虚偽の回答を行った場合、10万円以下の過料(行政罰)の対象となります。
改正個人情報保護法による課徴金制度の導入と罰則強化

第四の柱は、規律遵守の実効性確保です。今回の改正の中で企業経営に与えるインパクトが最も大きい部分であり、違反時の経済的な制裁が大幅に強化されました。
個人情報保護法に初めて導入される課徴金制度
改正法では、経済的誘因のある、大量の個人情報の取扱いによる悪質な違反行為を実効的に抑止するため、重大な違反行為により個人の権利利益が侵害された場合等について、当該違反行為によって得られた財産的利益等に相当する額の課徴金の納付を命ずる制度が導入されました(改正法第148条の3から第148条の17)。
従来は、違反行為に対して勧告・命令等の行政上の措置が中心であり、違反によって得た利益が事業者の手元に残るという構造的な問題が指摘されていました。課徴金制度の導入により、違反行為の「やり得」が許されなくなります。対象となる違反行為の範囲や算定方法の詳細は下位規範や運用で具体化されていきますが、大量の個人情報を取り扱う企業ほど、違反時の経済的リスクが従来とは質的に異なるものになることを認識する必要があります。
罰則の強化と個人情報保護委員会の権限拡充
罰則面では、個人情報データベース等の不正提供等に係る罰則について、加害目的での提供行為も処罰対象とされるとともに法定刑が引き上げられ、また、詐欺行為等により個人情報を不正に取得する行為に対する罰則が新設されました。
あわせて、個人情報保護委員会が速やかに違反行為の是正を求めることができるよう命令の要件が見直され、本人に対する違反事実の通知・公表等を勧告・命令することも可能となりました。さらに、違反行為を補助等する第三者に対して、違反行為の中止のために必要な措置等を要請する際の根拠規定も設けられています。
企業が対応すべき点:ガバナンス体制の再点検
課徴金や罰則の強化を踏まえ、企業には、自社が違反行為の当事者とならないための体制整備に加え、違反に加担しないための取引管理も求められます。具体的には、外部から個人データやリストを取得する際の調達先の適正性確認、社内での不正持ち出しを防ぐアクセス管理・ログ管理の強化、インシデント発生時に速やかに調査・是正できる初動体制の整備などが挙げられます。個人情報の取扱いに関するリスクが経営リスクそのものとなったことを前提に、経営層を含めたガバナンスの見直しを行うべき局面といえます。
改正個人情報保護法の施行までに企業が対応すべきこと
ここまで見てきたとおり、改正内容は多岐にわたりますが、施行までに一定の準備期間があるため、段階的に対応を進めることが可能です。
まず、現時点から着手すべきは現状把握です。自社が取り扱う個人データの棚卸しを行い、16歳未満の利用者の有無、顔特徴データ等の生体データの取扱いの有無、データ処理の委託・受託関係、オプトアウト制度や外部からのデータ取得の利用状況など、今回の改正項目に自社のどの業務が該当するかをマッピングします。その上で、委託契約をはじめとする関連契約の条項を棚卸しし、改訂が必要となり得る箇所を洗い出しておきます。
次に、政令・委員会規則・ガイドラインが公表された段階で、同意取得フローや年齢確認の仕組み、周知事項の掲示、インシデント対応規程などの具体的な設計を確定させ、システム改修や規程改訂、従業員研修を実施します。特例を活用したデータ利活用を検討する企業は、この段階で要件充足性を精査することになります。改正対応は法務部門だけで完結するものではなく、事業部門、システム部門、経営層を巻き込んだプロジェクトとして推進することが、施行日までに確実に対応を終えるための鍵となります。
まとめ:改正個人情報保護法への対応は弁護士にご相談を
令和8年7月10日に成立した改正個人情報保護法は、統計作成・AI開発目的での同意不要化などデータ利活用を促進する緩和措置と、課徴金制度の導入や罰則強化といった執行面の強化を両輪とする、企業実務への影響が極めて大きい改正です。16歳未満の子どもの個人情報や生体データへの新たな規律、委託を受けた事業者の義務の見直しなど、対応すべき項目は業種を問わず広範に及びます。
施行は公布の日から2年を超えない範囲内で政令により定められる予定であり、今後公表される政省令やガイドラインによって実務対応の詳細が確定していきます。自社への影響の把握と準備には相応の期間を要するため、施行を待たずに現状把握と体制整備に着手することをお勧めします。
当事務所による対策のご案内
モノリス法律事務所は、ITと法律の両面で豊富な経験を有する法律事務所です。昨今、個人情報保護法の度重なる改正やデジタル技術の発展に伴い、企業におけるプライバシーポリシーの改定や、個人データの適切な管理体制の重要性が増しています。特に、万が一の情報漏洩時における迅速な危機管理対応や、法改正への迅速な対応は、企業の信頼を揺るがしかねない重要な課題です。当事務所では、各企業の状況に即した実践的なリーガルサポートを提供いたします。下記記事にて詳細を記載しておりますのでご参照ください。
カテゴリー: IT・ベンチャーの企業法務



































