個人情報保護法関連
ITやインターネットが関わるビジネスの場面では、いわゆる個人情報データベース等やCookieなど、
法改正によって取扱が刻々と変化するものを含めた、様々な個人情報の取扱が問題となります。
モノリス法律事務所は、専門性の高い個人情報保護法関連の法務に対応しております。
個人情報保護法(個人情報の保護に関する法律)は、個人情報の有用性に着目し、その利用を認めつつ、個人の権利利益保護を図るため、「個人情報取扱事業者」が遵守すべき義務を設定する、企業活動における個人情報の取扱を定める重要な法令です。
デジタル技術の進展に伴い、同法は3年ごとの見直しが規定されており、現在は2026年(令和8年)改正に向けた準備が企業にとって必要不可欠な課題となっています。特に次期改正では、違反に対する行政上の金銭的制裁である「課徴金制度」の導入が予定されており、企業における個人情報管理体制の整備は、これまで以上に経営上の重要リスクとして位置づけられています。
モノリス法律事務所は、IT・インターネットビジネスのサポートに強みを持つ法律事務所として、東証プライム上場企業からシードステージのITベンチャー企業まで、多数の企業様の個人情報保護法関連法務を手がけております。最新の法改正動向を踏まえたプライバシーポリシーの改定から、万が一の情報漏洩時の危機管理対応まで、技術的理解に基づいた迅速かつ的確なサポートを提供いたします。
MENU
企業が抱える個人情報保護法に関する課題
個人情報保護法は頻繁な改正と複雑な義務体系を持ち、IT・インターネットビジネスを営む企業においては、以下のような課題が生じやすい状況にあります。
最新法令への適合
既存のプライバシーポリシーが令和4年改正や2026年改正に対応しているか確認できていない。機能追加・サービス改修のたびに改定の要否を判断する体制が整っていない。
漏洩時の初動対応
個人情報漏洩が発覚した際、個人情報保護委員会への「速報」は概ね3〜5日以内に求められる。しかし対応フローが整備されておらず、発覚時に何をすべきかが不明確なケースが多い。
新規ビジネス
新サービスの立ち上げや機能追加の際、個人情報・個人関連情報・要配慮個人情報の取り扱いが個人情報保護法上適法かどうかを、専門家に確認する機会がない。
社内管理体制
個人情報保護管理者の設置や社内マニュアルの整備が形式的に留まっており、従業員が実際に守るべきルールが明確でない。委託先の管理・監督体制も不十分なケースがある。
改正への対応準備
2026年4月に閣議決定された改正法案では、課徴金制度の導入が予定されている。改正内容の把握と、自社の管理体制・プライバシーポリシーへの影響確認が急務となっている。
子どもの個人情報
2026年改正では16歳未満の個人情報取得に保護者同意を義務化する規定が予定されている。教育・ゲーム・EC等のサービスでは、申込フローやシステムの改修が必要となる。
モノリス法律事務所に依頼するメリット
技術的理解
当事務所の代表弁護士はITエンジニアとしての実務経験を持ち、アプリやウェブサービスの仕組みをコードレベルで理解した上でアドバイスを提供します。Cookieの取り扱い、APIを通じたデータ連携、クラウド上の個人データ管理など、IT企業特有の複雑な個人情報の取り扱いについても、技術と法律の双方の観点から的確に対応することが可能です。
最新の法改正対応
3年ごとの見直しが規定される個人情報保護法において、最新の改正内容を正確に把握し、自社の対応に反映することは容易ではありません。当事務所は、2026年改正で予定される課徴金制度の導入をはじめとする最新の法改正動向を常時把握しており、プライバシーポリシーの改定から社内体制の整備まで、現行法および改正後の法令に適合した実務対応を支援します。
迅速な危機管理対応
個人情報漏洩が発覚した場合、個人情報保護委員会への速報は概ね3〜5日以内という極めて短い期限が求められます。当事務所は、漏洩の規模・原因・対象者の特定から、速報・確報の作成支援、対象者への通知文の起案、再発防止策の策定まで、高いスピード感のもとで一貫してサポートします。万が一の事態に備え、対応フローを事前に整備しておくことも支援しております。
豊富な対応実績
当事務所は、東証プライム上場企業からシードステージのITベンチャー企業まで、規模・業種を問わず多数の企業の個人情報保護法関連法務を手がけてきました。SaaSサービス、ECプラットフォーム、医療情報システム、フィンテックサービスなど、業態ごとに異なる個人情報の取り扱いの特性を熟知しており、画一的なひな形ではなく、各社のビジネスモデルに即した対応を提供します。
提供可能なサービス内容の一例
| プライバシーポリシーの作成・改定 | 新規サービスの立ち上げ時におけるプライバシーポリシーの新規作成、および法改正・機能追加・サービス改修に伴う既存ポリシーの改定。アプリの要件定義書等の既存資料を基にドラフトを作成するため、ヒアリングの負担を最小化します。 |
| 個人情報取扱規程・社内マニュアルの整備 | 個人情報保護管理者の設置支援、社内における個人情報の取り扱いルールを定めた規程・マニュアルの策定。法令の要求事項を満たしつつ、実際の業務フローに即した内容に仕上げます。 |
| 個人情報漏洩時の危機管理対応 | 漏洩発覚時の初動対応の指示、個人情報保護委員会への速報・確報の作成支援、対象者への通知文の起案、再発防止策の策定まで一貫してサポート。速報の期限(概ね3〜5日以内)を踏まえた迅速な対応を提供します。 |
| 新規ビジネスの適法性リサーチ | 新規サービスや機能追加の際に、個人情報・個人関連情報・要配慮個人情報の取り扱いが個人情報保護法上適法かどうかを事前に確認。第三者提供・越境移転・共同利用など、複雑なデータ流通を伴うケースにも対応します。 |
| 第三者提供・越境移転に関する対応 | 個人データの第三者提供(オプトアウト方式を含む)や、外国にある第三者への提供(越境移転)に関する法的要件の確認と、必要な同意取得フロー・契約書の整備を支援します。 |
| 委託先・提携先との契約書整備 | 個人データの取り扱いを委託する場合に必要な委託契約書(個人情報保護に関する条項)の作成・レビュー。委託先の監督義務を果たすための管理体制の整備もあわせて支援します。 |
| 従業員向けコンプライアンス研修 | 個人情報保護法の基礎知識から、自社の規程・マニュアルの内容、漏洩発生時の対応手順まで、従業員が実務で活用できる研修を提供。オンライン・対面いずれの形式にも対応します。 |
| 2026年改正対応支援 | 2026年改正で導入予定の課徴金制度、子どもの個人情報保護規制、生体認証データの規制強化等を踏まえ、自社の現状の管理体制・プライバシーポリシーへの影響を分析し、必要な対応策を提案します。 |
2026年(令和8年)改正個人情報保護法の動向と企業対応
2026年4月に閣議決定された改正法案は、公布から2年以内の施行が見込まれています。課徴金制度の導入や子どもの個人情報に関する規制の厳格化など、企業の管理体制・プライバシーポリシーに直接影響する改正が多数含まれており、今から対応準備を進めることが重要です。
| 対象事業者 | 法改正の内容 | 必要な対応 |
|---|---|---|
| 全ての事業者 | 【新設】課徴金制度の導入 違法な取り扱いで財産的利益を得た場合、個人情報保護委員会が課徴金の納付を命令 | 個人情報管理体制の整備・強化。違反リスクの洗い出しと是正 |
| 16歳未満のユーザーを持つ事業者 | 【改正】子どもの個人情報の厳格化 16歳未満は原則として法定代理人(保護者)からの同意取得が義務化 | 保護者同意を取得するUI/UXの改修・年齢確認フローの構築。プライバシーポリシーの改定 |
| 顔認識・生体認証を利用する事業者 | 【新設】顔特徴データ等(特定生体個人情報)の規律新設 取得・利用に際し事前周知の義務化。オプトアウトによる第三者提供の禁止 | 取得目的等の事前通知フローの整備。オプトアウト提供の廃止・同意取得方式への切り替え |
| 個人データの取り扱いを委託する事業者 | 【改正】委託先の目的外利用の禁止 受託した個人データを委託業務の範囲を超えて取り扱うことを明文で禁止 | 業務委託契約書(個人情報保護条項)の見直し・更新。委託先の監督体制の強化 |
| 全ての事業者 | 【改正】罰則の強化・拡大 既存の刑事罰の強化および違反行為の対象範囲の拡大 | 社内コンプライアンス研修の実施。従業員の個人情報取り扱いルールの周知徹底 |
| AI開発・データ分析を行う事業者 | 【改正】統計・AI開発目的の同意取得義務の免除 統計作成等にのみ利用される場合、一定条件のもとで本人同意が不要に | 免除条件(公表・書面合意等)の充足状況の確認。データ利活用スキームの適法性リサーチ |
| 全ての事業者 | 【改正】同意取得に係る例外規定の要件緩和 「本人の意思に反しないことが明らかな場合」等に同意取得義務の例外が新設 | 既存サービスの同意取得フローの見直し。例外規定の適用可否の確認 |
2022年(令和4年)改正への対応状況の確認
2022年4月に施行された改正個人情報保護法への対応は、すでに完了しているという企業も多いかと思います。しかし、機能追加やサービス改修が続く中で、当初の対応が形骸化していないかを定期的に確認することが重要です。下表に示す各項目について、自社の対応状況を今一度ご確認ください。
なお、2026年改正で導入予定の課徴金制度は、現行法違反を前提とした制裁です。令和4年改正への対応が不十分なまま施行を迎えた場合、行政処分・課徴金の対象となるリスクがあります。
| 対象事業者 | 法改正の内容 | 必要な対応 |
|---|---|---|
| 全ての事業者 | 利用停止、消去、第三者提供停止の請求の要件緩和 | 請求件数増加への対応強化。社内の受付・対応フローの整備状況を確認 |
| 全ての事業者 | 開示請求の充実 | 「利用する必要がなくなった」の判断を行える体制の整備。開示対応の担当者・手順の明確化 |
| 6ヶ月以内に消去する短期保存データを扱う事業者 | 開示等の対象となる保有個人データの範囲の拡大 | 社内マニュアルの取扱改定。短期保存データの管理台帳・対応フローの見直し |
| オプトアウトを利用する事業者 | オプトアウト規制の強化:通知等を行う事項の追加 | プライバシーポリシーの修正。個人情報保護委員会への届出事項の最新化 |
| オプトアウトを利用する事業者 | オプトアウト規制の強化:二重オプトアウトの禁止 | 取得・入手手段を検証し、必要に応じてビジネススキームを変更 |
| 全ての事業者 | 漏えい等の報告及び本人への通知の義務化 | 万一の漏洩に備えた社内マニュアル等のフローの整備。速報・確報の対応体制の確認 |
| 「仮名加工情報」を用いる事業者 | 仮名加工情報の新設 | プライバシーポリシーの修正。仮名加工情報の取り扱いルールの社内整備 |
| DMP等提供事業者 | 提供先で個人データとなる個人関連情報の規制 | 提供先事業者による本人同意の取得を確認。同意取得フローの整備状況の検証 |
| 海外越境を行う事業者 | 越境移転の規制強化 | 「提供」か否かを検討し適宜サービス乗換。移転先の体制確認・同意取得の適否を再確認 |
個人情報取扱事業者の基本的な義務
個人情報保護法は、「個人情報」を取り扱う「個人情報取扱事業者」に対して、概要、下記のような義務を設定しています。これらへの対応を行いコンプライアンス体制を整備することが必要です。
| 利用目的に関する規律 | 利用目的をできる限り特定(法17条1項) 利用目的を通知又は公表(法21条1項) 特定した利用目的の範囲内での利用(法18条1項) 変更前の利用目的と関連性を有すると合理的に認められる範囲内でのみ変更可能(法17条2項) |
| 適切な手段による取得 | 偽りその他不正の手段による取得の禁止(法20条1項) |
| 適切な安全管理措置等 | 漏えい、滅失又は毀損の防止など(法23条) 従業者の監督(法24条)、委託先の監督(法25条) |
| 第三者提供・越境移転 | 第三者提供の際に、原則としてあらかじめ本人の同意を取得(法27条1項) 一定の要件を満たした場合のいわゆるオプトアウト方式(法27条2項) 外国にある第三者への提供(越境移転)を行う場合は、原則として本人の同意等が必要(法28条) |
プライバシーポリシーの作成・改定
IT・インターネット関連のビジネスを立ち上げる場合には、そのシステムやサービスが具体的にどのような個人情報を、どのように利活用しているのかを踏まえた上で、適切なプライバシーポリシーを策定することが必要です。また、そうしたビジネスの機能追加等の際や、法改正の際には、当該ポリシーの改定の必要性を検討する必要があります。
「IT・インターネット・ビジネス」をキーワードに掲げる法律事務所として、クライアント企業様の負担を最小限として、当該システムの挙動等を理解し、適切なプライバシーポリシーの作成や改定等業務を実施致します。
当事務所による実績の一例
BGM・効果音配信サービス, BGM再生用アプリ, BtoBのSaaS型音声認識サービス, D2CのECサイト, ECプラットフォーム, SaaSサービス同士のデータ連携を行うサービス, SaaS事業者向け連携サービス, アーティストプラットフォーム, クラウド型勤怠管理サービス, クラウド型経費精算サービス, クラウド型交通費精算サービス, サプリメント販売サービス, タクシー配車アプリ, データ解析受託サービス, ビジネスSNS, ビジネス系マッチングサイト, プログラミングスクール, ブロックチェーン型SNS, ブロックチェーン型アドネットワーク, ライブコマースサービス, リファレンスサービス, 安否確認サービス, 医療情報ネットワークシステム, 営業支援ツール, 仮想通貨取引所(国外), 家計簿アプリ, 求人関連ウェブサービス, 求人転職サービス, 矯正歯科医院データベースサイト, 障がい者支援サービス, 新卒採用、社員管理、社員育成クラウドサービス, 政治関連SNS, 正規輸入車販売サイト, 生活に関する悩みサポートサービス, 創業サポートサービス, 動画SNSサービス, 反社チェックサービス, 病院予約プラットフォーム, 旅行関連コンシェルジュサービス
個人情報漏洩時の対応
令和4年の個人情報保護法改正により、個人情報取扱事業者は、個人情報の漏洩等が生じた際、一定の要件に該当する場合には、個人情報保護委員会への報告および本人への通知が義務付けられています。
そして、このうち、速報は「概ね3〜5日以内」が目安です。
漏洩の全容が判明していない段階から、速やかに対応を開始する必要があります。初動の遅れが行政処分やレピュテーション毀損に直結するため、発覚直後から専門家のサポートを受けることが重要です。
- 即時 / 発覚直後:漏洩の規模・原因・対象者の特定。被害拡大防止のための緊急措置(アクセス遮断等)
- 3〜5日 / 速報の目安:個人情報保護委員会への速報の提出。報告様式の作成・内容確認
- 速やかに / 本人通知:対象となる本人への通知文の作成・送付。通知方法・範囲の判断
- 30日以内 / 確報の期限:原因・再発防止策を含む確報の作成・提出(不正アクセス等は60日以内)
- 確報後 / 再発防止:原因分析に基づく社内体制・システムの改善。必要に応じた外部公表の対応
迅速な初動支援
漏洩発覚の連絡を受けた後、速やかに事実確認の方針と速報提出に向けたスケジュールを整理。個人情報保護委員会への報告様式の作成・内容確認から、本人通知文の起案まで一貫してサポートします。
原因分析への対応
ITエンジニア出身の弁護士やITコンサルタントが在籍しており、不正アクセスやシステム設定ミス、委託先からの漏洩など技術的な原因が絡む事案でも、エンジニアとの連携をスムーズに行い、法的・技術的対応を並行して進めます。
確報・再発防止策
確報の作成支援に加え、社内規程・マニュアルの改定、委託先管理体制の見直し、従業員教育の実施など、再発防止に向けた実効性のある体制構築を支援します。
対応フロー整備
漏洩発生時に備え、社内のエスカレーションフローや初動対応マニュアルを事前に整備することも支援。万が一の事態に備えた「守りの体制」を構築します。
個人情報保護法対応
個人情報保護法は、「個人情報取扱事業者」に対して、その個人情報の利用目的に関する規律、適切な手段による取得の義務付け、適切な安全管理措置等、第三者提供・越境移転に関連する規律を行うものです。
また、法改正が頻繁に行われており、「個人情報データベース等」「匿名加工情報」「仮名加工情報」など、新たな定義や規律を行う法改正が頻繁に行われていることも特徴です。
技術的理解に基づく対応
当事務所の代表弁護士は元ITエンジニアです。
アプリやウェブサービス等のプライバシーポリシー等を作成するためには、当該アプリ等の機能や(どういった操作で何に同意する想定かという意味での)画面遷移等を理解する必要があります。当事務所は、当該アプリ開発用の要件定義・Adobe XD等で作成されたフレームワーク・LP・見込顧客向け営業資料等、貴社内に既に存在する各種資料やデータを元に、それらを当事務所側で読み取ることが可能です。
したがって、ヒアリング等に頂くお時間を最小限として、プライバシーポリシー等のドラフトを作成することができ、コミュニケーションコストや作成期間などを効率的に圧縮することが可能です。
IT・ベンチャーの顧問と、事業会社のIT担当
モノリス法律事務所は、個人情報保護法関連法務のみならず、「IT」をキーワードとした企業法務全般に強みを有する法律事務所です。
特に、いわゆるIT企業やベンチャー企業の顧問弁護士といった形で、当該企業の法務全般を担当するケースと、事業会社のIT担当弁護士といった形で、当該企業のIT関連法務を担当させて頂いているケースが多いと言えます。
料金体系
プライバシーポリシー作成・改定
3.85万円(税込)~1時間3.85万円(税込)にて稼働を行います
アプリの機能強化等に伴うシンプルな改定業務が概ね1時間程度となります
また、比較的シンプルなポリシーの作成や法改正に伴う改定業務が概ね2時間程度となります
社内マニュアル等作成
11.55万円(税込)~1時間3.85万円(税込)にて稼働を行います
社内マニュアルの作成業務が概ね3時間程度となります
その他、作成した社内マニュアルの周知に関するセミナーの開催等の業務にも対応しております
危機管理顧問契約
月額5.5万円(税込)個人情報漏洩などの危機管理等の必要発生時、最優先対応
実稼働に関して、1時間4.4万円(税込)にて最優先対応を行います
※裁判等の紛争処理はモノリス法律事務所報酬基準((旧)弁護士報酬基準と同様)にてお受けできます。
稼働時間の共有方法
タイムチャージ型契約というのは、「弁護士が稼働した時間」によるものとして、ある意味分かりやすいものではありますが、しかし一方で、ある業務を行うために弁護士にどの程度の稼働時間が発生するのか、事前に分かりづらく、したがって依頼前の段階で弁護士費用の総額が見えづらいという欠点があります。
当事務所は、本ページ記載の通り、各契約書の作成等に関する稼働時間目安を事前に明示することを務めております。また、当事務所はクライアント企業様との連絡手段として、ChatWork・Slack・Teams・Facebookメッセンジャー・LINE・電子メール等、様々なサービスを利用しておりますが、こうした連絡手段内にて、Googleスプレッドシートでのタイムチャージ管理表によって、実際の稼働時間を随時共有しております。
