解讀《個人情報保護法》「每三年檢討」方針──對企業實務的影響及應對要點
在令和8年(2026年)1月9日,日本的個人情報保護委員會公佈了「個人情報保護法 所謂三年一度檢討的制度改正方針」。此次的改正旨在促進AI時代的數據利用,同時對於不當使用則引入「課徵金」作為規範,重新整理了利用規則與規制的方式,並包含了對企業數據處理的影響。
本文將解釋企業在日本應掌握的實務改正要點。
日本個人情報保護法修正方針的背景與制度性要求
此次修正方針的制定背景主要分為三個要素。
作為法律義務的「每三年檢討」
首先是制度性的要求。根據令和2年(2020年)修正法附則,要求在施行後每三年,考慮國際動向、信息通信技術的進展、新產業的創出狀況等,檢討法律的施行狀況並採取必要措施。
此次的修正方針是基於此規定,作為令和5年(2023年)11月開始的檢討工作的結論而提出的。
參考:個人情報保護委員会|個人情報保護法 いわゆる3年ごと見直しについて
與政府整體的數位改革聯動
其次是與政府整體的數據利用戰略的一致性。政府在令和7年(2025年)6月通過了「關於數據利用制度的基本方針」,推進跨領域的法律整備以確立數據與AI的良性循環。特別是,由於AI的快速普及和數據處理的高度化、複雜化,個人難以掌握自身數據的處理情況的問題已經顯現。
為應對這一問題,建立個人能夠安心提供數據的信任感至關重要,並要求一體化推進利用的促進和事後規範的實效性確保。
應對社會與技術環境的變化
第三是圍繞個人權利利益的風險變化。
近年來,以面部特徵數據(將面部形狀和部件配置等數據化,使個人識別成為可能的信息)為代表的生物信息的使用日益廣泛,關於16歲以下兒童個人信息處理的問題也已經顯現。
此外,以「黑名單」為起點的特殊詐騙或釣魚詐騙等,個人信息被犯罪利用的情況層出不窮。再者,隨著將數據處理委託給外部的情況增加,委託方超出業務範圍使用數據等管理不善引發的風險也被指出。
面對這些新風險,現行法框架無法充分應對的情況成為檢討的背景。
日本個人情報保護法改正方針的四大支柱
此次的改正方針主要由四大支柱構成。以下將詳細解說每一個支柱的內容。
推動適正的數據利用與活用
在本次日本法律的修正中,針對對本人權利利益影響較小的數據利用,重新檢討了本人參與的方式,以促進數據的順利利用與活用。
具體而言,當數據以無法識別特定個人的形式被使用時,例如統計信息的製作或AI開發,已確保不會識別個人,則在一定條件下,提供個人數據給第三方等情況下可不需取得本人同意。
此外,若從取得的情況來看,顯然不違背本人的意願(例如,將酒店預訂信息提供給住宿地點或在海外匯款時的信息共享等),也在考慮不需取得同意的整理。
進一步來說,關於生命、身體、財產的保護及公眾衛生的提升等例外規定,現行的「取得同意困難」的要件將朝著放寬的方向重新整理,並且關於學術研究的例外,也在考慮重新檢討,以促進醫療機構進行臨床研究的順利化。
適切應對風險的日本規範
隨著處理方式的變化,完善相關規範成為重要的議題。
首先,針對未成年人相關的日本規範,當從16歲以下的本人獲取個人信息時,原則上考慮要求法定代理人的參與。此外,還提出了應考慮未成年人「本人最佳利益」的新責任規定。
接下來,關於生物信息的日本規範,對於如面部特徵數據等能夠持續識別特定個人的信息,正在考慮加強使用目的等的公示,以及擴大停止使用請求的範圍。同時,對於第三方提供的選擇退出機制的重新檢討也是一個議題。
此外,關於委託相關的日本規範,正在考慮明確規範以防止委託方在業務範圍外的使用。另一方面,若僅根據委託方的指示進行機械性處理,則也提出了合理化義務的方向性。
除此之外,針對洩漏等事件的應對,正在考慮根據風險程度重新檢討通知本人及報告的方式。
防止不當使用等行為
關於防止不當使用等行為,將加強規範以阻止犯罪行為等的濫用。
即使是電話號碼或Cookie ID等能夠聯繫特定個人的資訊,即便不屬於個人資訊,也禁止用於網絡釣魚詐騙等不當目的的使用或取得。此外,透過選擇退出制度提供資訊時,強制確認提供對象的身份及使用目的,以抑制名單的不正當流通。
確保遵守規範的實效性
確保遵守規範的實效性是此次日本法律修正中的最大關注點。為了能夠迅速發出糾正命令,相關要件將被重新檢討,並且將創設針對協助違法行為的第三方(如主機服務提供商等)的措施要求的法律依據。
此外,針對收集大量個人信息並通過惡意使用或提供來獲取經濟利益的業者,將引入一項制度,命令其繳納相當於所獲得財產利益的罰款。此制度原則上僅限於涉及人數超過1,000人的大型案件,但這將大幅提高企業的合規風險。
企業因應日本個人情報保護法修正的必要措施
修正方針的內容涉及廣泛,企業需要徹底重新檢討其法律和合規體系。以下整理了具體所需的應對措施。
重建委託方管理與檢討合約
根據此次修正,委託方也將承擔直接的法律義務。企業首先需要在自身作為委託方的情況下,重新檢查委託方是否在業務範圍之外使用數據的監督體系。特別是,若將AI開發或數據分析外包,委託方在新法下使用數據進行獨立學習的行為可能會被明文禁止。
另一方面,若僅委託輸入作業等「機械性處理」的情況,為了獲得義務免除的特例,企業需要在合約中就處理方法的全部達成共識,並明確記載狀況掌握措施,以準備適應新制度的合約修訂。
未成年人與生物數據相關的特別規則整備
提供16歲以下未成年人服務的企業,急需建立年齡確認流程,並實施獲得法定代理人同意的工作流程。此外,由於需考慮「未成年人的最佳利益」,企業應在隱私政策中加入針對未成年人的易懂說明等考量。
此外,導入人臉識別系統的企業,需準備好法定義務化的周知事項(如取得者名稱、具體使用目的、身體特徵內容等),並仔細檢查公告板或網站的記載內容。
作為「積極治理」的統計利用
另一方面,此次修正也具有促進數據利用的側面。正在考慮針對統計製作等不需本人同意的特例,這可能在一定條件下擴大高級數據分析或AI開發的利用範圍。
企業應建立適當利用此特例的內部規則(禁止目的外使用、限制第三方提供、適當的公佈程序等),以整備創新創出的法律基礎。
風險管理:嚴罰化與課徵金
此次檢討中的一大論點是課徵金制度與罰則的強化。若發生大規模洩漏或不當使用,除了行政命令外,還可能被命令繳納相當於不當所得利益的課徵金。
此外,對法人罰則的強化也在討論中,為排除從不當名單業者取得數據或可能導致詐欺性使用的數據利用,建立合規體系變得尤為重要。
總結:關於日本個人信息保護法修正方針,請諮詢專家
此次的日本個人信息保護法修正方針並非僅是小幅度的變更,而是為了應對AI時代的到來及日益嚴重的數據犯罪,具有極高的實效性。
修正法案預計將於令和8年(2026年)的通常國會中提交,如若通過,預計將於令和9年(2027年)至令和10年(2028年)左右施行。現在修正方針已經公佈,重要的是不必等待法制化,從現階段開始重新審視自身公司的數據治理方式。特別是,課徵金制度的引入以及對未成年人和生物數據的嚴格規範,將成為直接影響經營的課題。在關注未來法制化動向的同時,建議與公司內部相關部門協作,穩步推進準備工作。
本事務所提供的對策指南
Monolith法律事務所是一家在IT領域,特別是互聯網與法律方面擁有高度專業知識的法律事務所。近年來,有關個人信息保護法的治理受到廣泛關注。本事務所提供針對勞務問題的解決方案。詳細內容請參閱下列文章。
