2026年7月10日、参議院本会議で改正個人情報保護法が可決・成立しました。
今回の法改正は、通称「3年ごと見直し」と呼ばれる定期的なブラッシュアップです。今回は「AI時代におけるデータ活用の促進」と「悪質な規律違反への厳罰化」が盛り込まれています。
AI開発・統計目的の「同意不要特例」の新設
これが今回の改正で最も大きな議論を呼んだ部分です。日本国内のAI開発を後押しするため、個人データの扱いが大幅に緩和されます。
- 本人同意の免除(特例の新設):AIモデルの開発や統計情報の作成といった目的に限り、個人データを外部提供する際の「本人同意が不要」になります。
- 「要配慮個人情報」も対象に:SNS等に公開されているものに限定されるなどの一定のルールはあるものの、病歴や信条といった極めてプライバシー性の高い「要配慮個人情報」もこの同意不要の特例に含まれることになりました。
「課徴金制度」の導入
これまで、個人情報保護法には、独占禁止法や金融商品取引法にあるような、行政が金銭的なペナルティを科す「課徴金」の仕組みがありませんでした。今回の改正でこれが導入されます。
- 悪質な義務違反に金銭的ペナルティ:通常の事務ミスによる漏えいが直ちに課徴金になるわけではありませが、「不正な利益を得る目的でデータを裏で売却した」「大規模な情報漏えいを認識しながら放置・隠蔽した」「安全管理措置の著しい不備を放置した」といった、ガバナンス不全や悪質なケースを対象に、違反行為で得た利益(経済的利益)等をベースにした重い課徴金が行政処分として下されるようになります。
- 罰則(刑事罰)の強化:これまでは「不正な利益を得る目的」での提供のみが処罰対象でしたが、「(嫌がらせ等の)加害目的」での提供も新たに処罰対象に追加され、詐欺や脅迫等で個人情報をだまし取る行為自体にも新たな罰則が設けられました。
「こども」と「生体データ」の保護強化
特定のリスクが高い領域について、保護のルールが明確化・厳格化されます。
- こどもの個人情報保護(16歳未満):本人が16歳未満の場合、同意取得や通知の対象を原則「本人の法定代理人(保護者)」とすることが明文化されました。また、未成年の最善の利益を優先して考慮する義務が事業者に課されます。
- 顔特徴データ等の生体データ(特定生体個人情報)の規律:顔認識データなどを用いたシステム(入退室管理や防犯カメラのAI解析など)の取扱いについて、利用目的の周知が義務化されます。また、本人の求めに応じて第三者提供を停止する「オプトアウト制度」による第三者提供は禁止されます。
生体データは一生変更できません。もし、ある企業がオプトアウト(本人が気づかないうち)であなたの顔特徴データを他社に提供し、それが流通してしまったら、本人が後から「削除して!」と求めても、すでに手遅れでコントロールできなくなっている恐れがあります。
そのため、「生体データのように取り返しのつかない重要な情報は、本人がハッキリと『いいですよ』と事前に同意(オプトイン)した場合か、法律が定める例外を除き、勝手に他社へ渡してはならない」と、逃げ道を塞いだのです。
したがって、「利用規約の裏面に『拒否のお申し出がない限り、データを提携先と共有します』と書いてあるから大丈夫」という運用は、この生体データに関しては完全に違法となります。
委託先への義務化と、漏えい通知の合理化
実務的な負担を軽減しつつ、役割を明確にする変更もあります。
- 委託先の「目的外利用の禁止」を明文化:これまでガイドライン等で示されていた「データ処理を委託された会社が、勝手に別の目的にデータを使ってはならない」というルールが、法律上の義務として格上げされました。
- 漏えい報告・通知の合理化:軽微なミスなど、本人の権利利益を害するおそれが極めて少ないと判断される場合は、本人への通知義務が一部緩和されるなど、実務的な負担軽減も図られています。
まとめ
まとめとして、特に重要なポイントを、重複する部分もありますが説明します。
自社の所有データを提供するリスク
自社で「AIモデルの開発」や「大規模な統計データの分析」を行っていない一般企業であっても、無関係とは言えません。
「自社がAIを作らない」としても、「自社が持っている顧客データを、外部のAI開発会社やビッグデータ事業者に売却・提供してビジネスにする」という道が、今回の法改正で拡大することが見込まれます。
- 何が起きるか: これまでは、自社が持つデータを他社に渡すには「本人同意」を取るために膨大なコストがかかっていました。今回の改正で、目的がAI開発や統計目的なら、原則として「同意不要」で外部提供できるようになります。
- 実務への影響: たとえば、「この顧客データをAI開発会社に提供して協業(マネタイズ)したいが、法律上問題ないか?」という観点が重要になります。その際、提供するデータが本当に「特例の要件(SNSなどで公開されているものなど、ガイドラインで定められる範囲)」を満たしているかをチェックしなければなりません。
自社のデータが「勝手に学習される」ことへの対策
この特例は、自社がデータを「出す」ときだけでなく、自社のデータが他社に「吸い上げられる」側になったときにも関係してきます。
- 何が起きるか: 例えば、自社や自社の社員・取引先がネット上に公開している情報が、AI開発企業によって「同意なし」で収集され、AIの学習データに使われるケースが法的に認められやすくなります。
- 実務への影響: 会社として「自社の機密情報や、従業員のプライバシーに関わるデータが勝手にAIの学習に使われないようにするための防御策(利用規約の改定や、スクレイピング(自動収集)を禁止するシステム設定など)」を講じる必要性が出てきます。
今回の改正法はすべての企業に関係する
「AIの同意不要特例」ばかりがニュースで目立ちますが、今回の法改正にはすべての一般企業が対応しなければならない義務が含まれています。
ですので、「うちはAI開発なんてしないから関係ない」と見過ごしてしまうのは禁物です。
- 課徴金制度の導入: 万が一、自社で重大な個人情報の漏えい(隠蔽や著しい管理不足など)が起きた場合、巨額の金銭的ペナルティを科されるリスクはすべての企業に生じます。
- 委託先管理の義務化: 例えば、「名刺の発注」「給与計算の外部委託」「シュレッダー業者への廃棄委託」などについても、委託先がデータを目的外利用しないよう、契約書の見直しや管理監督を行う法的義務が明確になります。
- 顔認証などの生体データ規律: 自社で「顔認証による入退室管理」や「防犯カメラの映像分析」を導入している企業は、自社でAI開発をしていなくても、そのデータの取扱いについて新しいルール(利用目的の周知など)に対応しなければなりません。
企業としての今後のスケジュール
今回の改正法は、公布後2年以内(2028年夏頃まで)に施行される予定です。
施行に向けて今後「個人情報保護委員会規則」や「具体的なガイドライン」が順次策定されていきます。
企業としては、今後1〜2年をかけて、
- 自社が保有する個人データの棚卸し(特に、オフィスで顔認証システムを使っていないか、16歳未満の顧客情報はあるか)
- 委託先企業との契約書の見直し(目的外利用禁止の明記など)
- 万が一の漏えい発生時の「報告・対応フロー」の時間軸の明確化
などを準備していくことになります。今後下りてくる具体的なガイドライン等の動向に注目しましょう。
