執筆:弁護士 阿久津 透 ( AI・データ(個人情報等)チーム )
※本記事は2026年4月7日時点の情報に基づいています。法案は国会審議中であり、成立までに内容が修正される可能性があります。個別の事案については弁護士にご相談ください。
2026年4月7日、個人情報保護法の改正法案が閣議決定されました。今回の個人情報保護法改正(2026年・令和8年)は、AI開発に関連する本人同意不要な第三者提供のルールや課徴金制度の導入、こどもの個人情報保護の新規律など、企業実務に大きな影響を及ぼす内容を含んでいます。連載第1回目の本記事では、改正の背景から4つの柱の全体像、施行スケジュールまでを弁護士が解説します。
1.令和8年改正の背景と経緯
■3年ごと見直し規定とは
個人情報保護法には、法律の施行後3年ごとに、国際的動向、情報通信技術の進展、個人情報を活用した新たな産業の創出及び発展の状況等を勘案し、必要に応じて所要の措置を講ずるという「3年ごと見直し規定」が設けられています(令和2年法律第44号 附則第10条)。
この規定に基づき、個人情報保護委員会は定期的に法律の運用状況を検証し、時代の変化に合わせた制度の見直しを行っています。3年ごと見直しの仕組みの詳細については、当事務所の解説記事もあわせてご参照ください。
■令和5年~令和8年の検討経緯
今回の改正に向けた検討は、令和5年(2023年)秋から本格的に開始されました。その後の主な経緯は以下のとおりです。
【図表:検討経緯の時系列表を挿入推奨】
- 令和5年9月~10月:改正個人情報保護法の施行状況についてを公表
- 令和5年11月:3年ごと見直し規定に基づく検討を開始、関係団体等ヒアリングを順次実施
- 令和6年6月:中間整理を公表、パブリックコメントを実施
- 令和6年12月:検討会 報告書を公表。中間整理で掲げた検討事項のうち、課徴金制度及び団体による差止請求・被害回復制度について検討
- 令和7年1月~3月:制度的課題に対する考え方(案)を順次公表、パブリックコメントを実施
- 令和7年6月:「経済財政運営と改革の基本方針2025」等で個人情報保護法の改正案の早期国会提出を閣議決定
- 令和7年12月:人工知能基本計画において改正案の早期国会提出を目指すことを決定
- 令和8年1月9日:「個人情報保護法 いわゆる3年ごと見直しの制度改正方針」公表
- 令和8年4月7日:改正法案を閣議決定
約2年半にわたる検討を経て法案化に至っており、今回の改正ではAI技術の急速な普及やデータ利活用の拡大を背景とした新たな規定が数多く設けられています。
2.改正法案の4つの柱
今回の改正法案の趣旨は、デジタル技術の急速な進展に伴い、データの利活用に対する需要が高まっている一方で、個人情報の違法な取扱いにより個人の権利利益が侵害されるリスクも高まっていることを踏まえ、個人の権利利益の適切な保護を図るとともに、AI活用にも資する円滑なデータ連携を促進するための所要の措置を講ずるものです。
改正内容は、大きく以下の4つの柱に整理されています。
■第1の柱|適正なデータ利活用の推進
1つ目の柱は、データの利活用を適正に推進するための規律です。主な内容は次のとおりです。
統計作成等の特例: 個人データ等の第三者提供及び公開されている要配慮個人情報(信仰・病歴・犯罪歴などの差別につながり得る情報)の取得について、統計情報等の作成(AI開発等を含む)にのみ利用される場合は本人同意を不要とします。
同意規律の見直し: 契約の履行に必要な場合など、取得の状況からみて本人の意思に反しないため本人の権利利益を害しないことが明らかな取扱いについて、本人同意を不要とします。また、生命等の保護又は公衆衛生の向上等のための同意取得困難性要件(現行法では本人の同意を得ることが「困難であるとき」に限定)を緩和し、「相当の理由があるとき」も対象とします。
学術研究機関等の定義拡大: 現行法では大学等の学術研究機関に限られていた例外規定の適用対象に、病院その他の医療の提供を目的とする機関又は団体を追加します。
■第2の柱|リスクに適切に対応した規律
2つ目の柱は、個人情報の取扱いに伴うリスクの高さに応じた規律の整備です。
こどもの個人情報の保護: 16歳未満の者が本人である場合に、同意取得等の対象を法定代理人とすることを明文化し、保有個人データの利用停止等請求の要件も緩和します。事業者に対しては、本人の最善の利益を優先して考慮すべき旨の責務規定を設けます。
顔特徴データ等(特定生体個人情報)の規律: 顔特徴データ等について、その取扱いに関する一定の事項の周知を義務化し、利用停止等請求の要件を緩和するとともに、オプトアウト制度(本人の同意を得ないで第三者に提供できる制度)に基づく第三者提供を禁止します。
委託規律の見直し: データ処理等の委託を受けた事業者について、委託された個人データ等の適正な取扱いに係る義務の見直しを行います。
漏えい等報告・本人通知の合理化: 漏えい等が発生した場合の本人への通知義務について、本人の権利利益の保護に欠けるおそれが少ない場合は緩和します。
■第3の柱|不適正利用等の防止
3つ目の柱は、個人情報等の不適正な利用を防止するための規律です。
連絡可能個人関連情報の規律: 個人情報ではないが、特定の個人に対する働きかけが可能となる情報(電話番号、メールアドレス、Cookie ID等を含む個人関連情報)について、不適正利用及び不正取得を禁止します。
オプトアウト制度の強化: オプトアウト制度に基づく第三者提供を行う際に、提供先の身元(氏名又は名称、住所、代表者氏名)及び利用目的を確認しなければならないこととします。
■第4の柱|規律遵守の実効性確保のための規律
4つ目の柱は、法律の実効性を高めるための措置です(出典:法律案について p.5)。
勧告・命令等の見直し: 速やかに違反行為の是正を求めることができるよう命令の要件を見直し、本人に対する違反行為に係る事実の通知又は公表その他の本人の権利利益の保護のために必要な措置をとるよう勧告・命令の内容とすることができるようにします。
刑事罰の強化: 個人情報データベース等の不正提供等罪の対象行為を拡大し、詐欺行為や不正アクセス行為等により個人情報を不正取得する行為についての罰則を新設するとともに、法定刑を引き上げます。
課徴金制度の導入: 経済的誘因のある大量の個人情報の取扱いによる悪質な違反行為を実効的に抑止するため、重大な違反行為により個人の権利利益が侵害された場合等について、当該違反行為によって得られた財産的利益等に相当する額の課徴金の納付を命ずることとします。
3.施行スケジュール
■公布の日から2年以内に施行
改正法案の附則では、施行期日について「一部の規定を除き、公布の日から起算して二年を超えない範囲内にて政令で定める日から施行する」と定められています。
法案が今国会で成立し、2026年中に公布された場合、施行は最長で2028年中となる見通しです。ただし、政省令やガイドラインの整備状況によって具体的な施行日は変動し得るため、今後の動向に注意が必要です。
4.企業が今から準備すべきこと
法案の成立・施行を待たずに、企業は以下のアクションを検討しておくことが有益です。
法務担当者の方へ: まずは改正法案の全体像を把握し、自社の事業にどの改正事項が影響するかをマッピングしてください。特に、個人データの第三者提供、委託先管理、漏えい等報告のフローについては、現行の運用を棚卸ししておくことが重要です。
経営者・役員層の方へ: 課徴金制度の導入により、個人情報の取扱いに関する違反のリスクが経済的に大きくなります。コンプライアンス体制への投資を経営課題として認識し、法務部門と早期に対応方針を協議されることをお勧めします。
スタートアップの方へ: 限られたリソースの中では、まず自社サービスが扱う個人情報の種類と範囲を整理することが出発点です。特に、16歳未満のユーザーがいるサービス(EdTech、ゲーム等)や、顔認証・生体認証を利用しているサービスは、新規律の影響が大きいため早めの対応が求められます。
5.よくある質問(FAQ)
Q1. 個人情報保護法の令和8年改正はいつから施行されますか?
A1. 改正法案の附則では、公布の日から起算して2年を超えない範囲内で政令で定める日から施行するとされています。
法案が2026年中に成立・公布された場合、施行は最長で2028年中となる見込みです。具体的な施行日は今後政令で定められます。
Q2. 今回の改正で新たに導入される課徴金制度とはどのような制度ですか?
A2. 課徴金制度は、悪質な違反行為を行った事業者に対して、当該違反行為によって得られた財産的利益等に相当する額の金銭の納付を命じる行政上の制度です。
対象行為は不適正利用の禁止違反、適正な取得違反、第三者提供の制限違反、統計特例違反の4類型に限定されています。
Q3. 改正によって本人の同意が不要になる場面はありますか?
A3. はい。統計作成等の目的にのみ利用される場合の個人データ等の第三者提供や要配慮個人情報の取得については、本人同意が不要となります。また、契約の履行に必要な場合など、本人の意思に反しないため権利利益を害しないことが明らかな場合も同意不要となります。
Q4. こどもの個人情報についてどのような新しい規律が設けられますか?
A4. 16歳未満の者が本人である場合に、同意取得や通知等について法定代理人を対象とすることが明文化されます。また、違法行為の有無等を問わない利用停止等請求が可能となり、事業者には本人の最善の利益を優先して考慮すべき旨の責務規定が設けられます。
Q5. 「個人情報」と「個人関連情報」は何が違うのですか?
A5. 「個人情報」は特定の個人を識別できる情報であるのに対し、「個人関連情報」は個人情報に該当しないものの、個人に関する情報です。今回の改正で新たに定義される「連絡可能個人関連情報」は、電話番号やメールアドレス、Cookie ID等、特定の個人への連絡に利用できる記述等が含まれる個人関連情報を指します。「個人情報」に関するよくある誤解も併せてご確認ください。
次回(第2回)は「同意規律の見直しと統計作成等の特例」について、企業の実務対応も含めて詳しく解説します。
個人情報保護法の改正対応についてのご相談は、GVA法律事務所までお問い合わせください。
