■個人情報保護法改正案が閣議決定

2026年5月14日2026年6月11日

■個人情報保護法改正案が閣議決定
（セキュリティブログ）

みなさま、こんにちは。
2026年4月から個人情報保護法改正法案の国会審議が始まりました。
いわゆる3年ごと見直しに係る検討の結論とりまとめが少し遅くなりましたが、AI戦略と整合性をとり方向性がまとまったようです。
まずは、改正のポイントを押さえておきましょう。

個人情報保護委員会では、2026年1月9日に「個人情報保護法いわゆる3年ごと見直しの制度改正方針」（以下「制度改正方針」といいます。）を公表してきました。また、特に課徴金制度等をめぐっては、「個人情報保護法のいわゆる3年ごと見直しに関する検討会」を開催し、2024年12月25日に「個人情報保護法のいわゆる3年ごと見直しに関する検討会報告書」を公表していました。
今般閣議決定された改正法案は、概ね、これまでの個人情報保護委員会における検討結果を踏まえたものといえます。個人情報保護委員会は、制度改正方針において、①適正なデータ利活用の推進、②リスクに適切に対応した規律、③不適正利用等の防止、④規律遵守の実効性確保のための規律、の4つの改正方針を掲げて改正事項を検討しています。

個人情報保護委員会の個人情報の保護に関する法律等の一部を改正する法律案（概要）に、改正法案の目的と狙いが整理されています。
＝＝
（趣旨）
デジタル技術の急速な進展に伴い、個人情報を含むデータの利活用に対する需要が高まっている一方で、個人情報の違法な取扱いにより個人の権利利益が侵害されるリスクも高まっている。これらを踏まえ、「データ利活用制度の在り方に関する基本方針」（令和7年6月13日閣議決定）等に基づき、個人の権利利益の適切な保護を図るとともに、AI活用にも資する円滑なデータ連携を促進するための所要の措置を講ずる。

（改正内容）
１．適正なデータ利活用の推進
 個人データ等の第三者提供及び公開されている要配慮個人情報の取得について、統計情報等の作成（※）にのみ利用される場合は本人同意を不要とする。
※ 統計作成等であると整理できるAI開発等を含む。
(第30条の2、第31条の3)
 目的外利用、要配慮個人情報取得及び第三者提供に関する規制について、
・取得の状況からみて本人の意思に反しないため本人の権利利益を害しないことが明らかな取扱いである場合は本人同意を不要とする。
・生命等の保護又は公衆衛生の向上等のために取り扱う場合における同意取得困難性要件を緩和する。
・学術研究例外の対象である「学術研究機関等」に、医療の提供を目的とする機関又は団体が含まれることを明示する。
(第16条第9項、第18条第3項、第20条第2項、第27条第1項)

２．リスクに適切に対応した規律
 16歳未満の者が本人である場合、同意取得や通知等について当該本人の法定代理人を対象とすることを明文化し、当該本人の保有個人データの利用停止等請求の要件を緩和するとともに、未成年者の個人情報等の取扱い等について、本人の最善の利益を優先して考慮すべき旨の責務規定を設ける。
(第35条第9項、第10項、第40条の2、第58条の3)
 顔特徴データ等について、その取扱いに関する一定の事項の周知を義務化し、利用停止等請求の要件を緩和するとともに、オプトアウト制度に基づく第三者提供を禁止する。
(第21条の2、第27条第2項、第35条第7項、第8項)
 データ処理等の委託を受けた事業者について、委託された個人データ等の適正な取扱いに係る義務の見直しを行う。
(第30条の3、第58条の2)
 漏えい等発生時について、本人の権利利益の保護に欠けるおそれが少ない場合は、本人への通知義務を緩和する。
(第26条第2項)

３．不適正利用等防止
 個人情報ではないが、特定の個人に対する働きかけが可能となる情報について、不適正利用及び不正取得を禁止する。
(第31条の2)
 本人の求めにより提供を停止すること等を条件に同意なく第三者提供を可能とする制度（オプトアウト制度）について、提供先の身元及び利用目的の確認を義務化する。
(第27条第7項)

４．規律遵守の実効性確保のための規律
 速やかに違反行為の是正を求めることができるよう命令の要件を見直し、さらに、本人に対する違反行為に係る事実の通知又は公表等の本人の権利利益の保護のために必要な措置をとるよう勧告・命令することも可能とする。
(第148条)
 違反行為を補助等する第三者に対して当該違反行為の中止のために必要な措置等をとるよう要請する際の根拠規定を設ける。
(第148条の2)
 個人情報データベース等の不正提供等に係る罰則について加害目的の提供行為も処罰対象とするとともに法定刑を引き上げ、また、詐欺行為等により個人情報を不正に取得する行為に対する罰則を設ける。
(第178条～第180条)
 経済的誘因のある、大量の個人情報の取扱いによる悪質な違反行為を実効的に抑止するため、重大な違反行為により個人の権利利益が侵害された場合等について、当該違反行為によって得られた財産的利益等に相当する額の課徴金の納付を命ずることとする。
(第148条の3～第148条の17 )

施行期日原則として公布の日から起算して2年を超えない範囲内

※ その他、公的部門に対する規律、「行政手続における特定の個人を識別するための番号の利用等に関する法律」及び「医療分野の研究開発に資するための匿名加工医療情報及び仮名加工医療情報に関する法律」においても、所要の措置（16歳未満の者の個人情報等の取扱い等）を講ずる。
＝＝

改正法の施行に向けてはガイドライン整備などを経て、実務的な取り扱いが順次整理されていくことと思われますが、現時点での方向性について弁護士事務所等から各種論考も示されていますので、それらも参考にしつつ事業者としての対応準備を進めていきましょう。

当事務所は、テレワーク・セキュリティのコンサルティングを行っております。
情報セキュリティの担当者が不在である事業所も多くありますが、個人情報保護法を踏まえて、中小企業の現実的なセキュリティーマネジメントシステムの在り方をご助言させていただいております。
どうぞ安心してご相談ください。

2026年5月21日

小林勝哉社会保険労務士事務所　代表
特定社会保険労務士　小林勝哉

（参考）
・個人情報保護委員会　「個人情報の保護に関する法律等の一部を改正する法律案」の閣議決定について　2026年4月7日

・閣法第221回国会 54 個人情報の保護に関する法律等の一部を改正する法律案

・個人情報保護委員会　個人情報の保護に関する法律等の一部を改正する法律案（概要）

・個人情報保護委員会　個人情報保護法いわゆる3年ごと見直しの制度改正方針（制度改正方針）　2026年1月9日

・個人情報ご保委員会　個人情報保護法のいわゆる3年ごと見直しに関する検討会

・個人情報保護委員会　個人情報保護法のいわゆる3年ごと見直しに関する検討会報告書　2024年12月25日