解读《个人信息保护法》“每三年审查”方针——对企业实务的影响及应对要点
在令和8年(2026年)1月9日,日本的个人信息保护委员会公布了「个人信息保护法 所谓每三年一次的制度修订方针」。此次修订旨在促进AI时代的数据利用,同时对不当使用进行规范,重新整理了关于“罚款”的使用规则和监管方式,并对企业的数据处理产生影响。
本文将解读企业在日本需要掌握的实务修订要点。
日本《个人信息保护法》修订方针的背景与制度性要求
此次修订方针的制定背景主要分为三个要素。
作为法律义务的“每三年检讨”
首先是制度性的要求。根据令和2年(2020年)修订法的附则,要求在施行后每三年,考虑国际动向、信息通信技术的发展、新产业的创出状况等,检讨法律的施行状况并采取必要措施。
此次的修订方针是基于这一规定,于令和5年(2023年)11月开始的检讨工作的结论。
与政府整体的数字改革联动
其次是与政府整体的数据利用战略的协调性。政府在令和7年(2025年)6月通过了关于“数据利用制度的基本方针”的内阁决议,推进跨领域的法律整备以确立数据与AI的良性循环。特别是,由于AI的快速普及和数据处理的高度化、复杂化,个人难以掌握自身数据的处理情况的问题已经显现。
为应对此问题,必须培养个人能够安心提供数据的信任感,要求一体化地整备利用的推进与事后纪律的实效性确保。
应对社会与技术环境的变化
第三是围绕个人权利利益的风险变化。
近年来,以面部特征数据(将面部形状和部件配置等数值化,使个人识别成为可能的信息)为代表的生物信息的利用正在扩大,同时,关于16岁以下儿童个人信息处理的问题也已显现。
此外,以“黑名单”为起点的特殊诈骗或网络钓鱼诈骗等,个人信息被犯罪利用的情况也层出不穷。再者,随着将数据处理委托给外部的情况增多,委托方超出业务范围使用数据等,由管理不善引发的风险也被指出。
面对这些新的风险,现行法律框架无法充分应对的情况成为此次检讨的背景。
日本個人信息保护法修正方针的四大支柱
此次修正方针主要由四大支柱构成。以下将详细解说每个支柱的内容。
推动适正的数据利用
在本次修订中,对于对本人权利利益影响较小的数据利用,将重新审视本人参与的方式,以促进数据利用的顺畅进行。
具体而言,在制作统计信息或进行AI开发等无法识别特定个人的情况下,若满足一定条件,已显示出不再需要本人同意即可向第三方提供个人数据的方向性。
此外,对于从获取情况来看显然不违背本人意愿的情况(例如,将酒店预订信息提供给住宿地或在进行海外汇款时的信息共享等),也在考虑不需要同意的整理。
进一步来说,关于生命、身体、财产的保护以及公共卫生的提升等例外规定,将在放宽现行“难以取得同意”这一要件的方向上进行重新整理,并且关于学术研究的例外,也在考虑进行修订,以便于医疗机构的临床研究顺利进行。
适当应对风险的规章
根据处理方式的变化,完善规章也是一个重要的论点。
首先,关于未成年人相关的规章,如果从16岁以下的未成年人本人处获取个人信息,原则上需要法定代理人的参与,正在探讨制度的完善。此外,还提出了关于未成年人个人信息处理的责任规定,要求考虑“本人最佳利益”。
其次,关于生物信息的规章,对于如面部特征数据等能够持续识别特定个人的信息,正在探讨加强使用目的等的告知,以及扩大停止使用请求的范围。同时,关于通过选择退出(opt-out)方式向第三方提供信息的重新审视也是一个论点。
此外,关于委托相关的规章,正在探讨明确规章以防止委托方在业务范围外的使用。另一方面,对于仅根据委托方指示进行机械处理的情况,也提出了合理化义务的方向性。
除此之外,关于应对泄露等事件,也在探讨根据风险程度重新审视通知本人和报告的方式。
防止不当使用等行为
关于防止不当使用等行为,将加强规制以阻止犯罪行为等的恶意利用。
对于电话号码、Cookie ID等能够联系特定个人的信息,即使不属于个人信息,也禁止用于网络钓鱼等不当目的的使用或获取。此外,通过要求在使用选择退出制度时确认提供方的身份和使用目的,以抑制名册的非法流通。
确保遵守日本法律的有效性
确保遵守日本法律的有效性是此次修正中的最大关注点。为了能够迅速下达纠正命令,相关要求将被重新审视,同时也将创设针对协助违法行为的第三方(如托管服务提供商等)的措施请求依据规定。
此外,将引入一项制度,针对收集大量个人信息并通过恶意使用或提供获取经济利益的企业,命令其缴纳相当于所获财产利益的罚款。原则上,该制度仅限于涉及人数超过1,000人的大型案件,但这将显著提高企业的合规风险。
企业应对日本《个人信息保护法》修订的措施
修订方针内容广泛,企业需要彻底重新审视其法律和合规体系。以下是具体要求的应对措施。
重建委托方管理和合同审查
根据此次修订,委托方也将承担直接的法律义务。企业首先需要在自身作为委托方的情况下,重新检查委托方是否在超出业务范围使用数据的监督体系。特别是,在将AI开发或数据分析外包的情况下,委托方在新法下使用数据进行独立学习可能会面临明确禁止的风险。
另一方面,对于仅委托输入作业等“机械处理”的情况,为了获得义务豁免的特例,需要在合同中就处理方法达成一致,并明确状况把握措施,以适应新制度的合同修订。
未成年人及生物数据的特别规则制定
提供面向16岁以下未成年人的服务的企业,亟需构建年龄确认流程,并实施获取法定代理人同意的工作流程。此外,由于需要考虑“未成年人的最佳利益”,企业还需在隐私政策中加入易于未成年人理解的说明。
此外,导入面部识别系统的企业需准备好法定化的周知事项(如获取者名称、具体使用目的、身体特征内容等),并仔细检查公告板或网站上的记载内容。
作为“进攻性治理”的统计利用
另一方面,此次修订也具有促进数据利用的方面。正在讨论限制于统计制作等的无需本人同意的特例,在一定条件下,可能会扩大高级数据分析和AI开发的利用范围。
企业需要为适当利用此特例制定内部规则(禁止目的外使用、限制向第三方提供、适当的公开程序等),以建立创新创造的法律基础。
严惩化与罚款风险管理
此次修订的一个重大论点是加强罚款制度和处罚。如果发生大规模泄露或不当使用,除了行政命令外,还可能被要求缴纳相当于不当所得利益的罚款。
此外,关于加强对法人处罚的讨论也在进行中,构建合规体系以排除从不当名簿业者获取数据或可能导致欺诈性使用的数据利用变得尤为重要。
总结:关于日本个人信息保护法修正方针,请咨询专家
此次日本个人信息保护法的修正方针并非简单的微调,而是为了应对AI时代的到来和日益严重的数据犯罪,具有极高的实效性。
修正法案预计将在令和8年(2026年)的通常国会上提交,如果通过,预计将在令和9年(2027年)至令和10年(2028年)左右施行。现在修正方针已经公布,重要的是不要等到法制化后才行动,而是从现在开始重新审视公司内部的数据治理方式。特别是,课征金制度的引入以及对未成年人和生物数据的严格规制,成为直接影响经营的重要课题。建议密切关注今后的法制化动向,并与公司内部相关部门协作,稳步推进准备工作。
本事务所的对策指南
Monolith法律事务所是一家在IT领域,特别是互联网和法律方面具有高度专业性的法律事务所。近年来,日本个人信息保护法相关的治理备受关注。本事务所提供针对劳务问题的解决方案。详细信息请参阅以下文章。
