脱PPAPで本当に難しいのは、廃止することではなく、
2026年4月、政府は「個人情報の保護に関する法律等の一部を改正する法律案」を閣議決定し、現在の通常国会に提出しました。これは、いわゆる「3年ごと見直し」制度に基づく改正で、AI技術の進展や生体認証の普及といった環境変化に対応しつつ、個人の権利保護をより実効的にすることを目的としています。
今回の改正案は、「適正なデータ利活用の推進」「リスクに適切に対応した規律」「不適正利用等の防止」「規律遵守の実効性確保」という4つの柱のもと、12の項目で構成されています。なかでも注目すべきは、1,000人を超える個人情報を扱う事業者が対象となる課徴金制度の新設です。これは個人情報保護法の歴史上初めての金銭的行政罰であり、中堅企業にとって最も大きな影響をもたらす改正点といえます。
本記事では、改正案の主要ポイントを、中堅企業の法務・情報セキュリティ担当者の視点から整理し、企業が今から準備すべき対応ステップとリスクの実態をまとめています。
2026年改正の主なポイント
2026年改正案は、個人情報保護委員会(PPC)が2026年1月9日に公表した「個人情報保護法 いわゆる3年ごと見直しの制度改正方針」に基づいて策定されました。本章では、制度改正方針で示された12項目のうち、中堅企業の実務に最も影響が大きい8項目を、影響の大きさ順に解説します。
12項目は4つの柱のもとに整理されています。
- 適正なデータ利活用の推進:AI学習や統計利用における同意要件の緩和を扱います。
- リスクに適切に対応した規律:子どもの個人情報、顔特徴データ、外部委託先管理などの新たな保護規律を新設します。
- 不適正利用等の防止:連絡可能個人関連情報という新類型を創設し、オプトアウト要件を厳格化します。
- 規律遵守の実効性確保:課徴金制度の導入と罰則強化により、改正全体を実効化する仕組みを整えます。
課徴金制度の導入
2026年改正案は、課徴金制度(改正法第148条の3~17)を新設し、個人情報保護委員会が事業者に対して直接、課徴金の納付を命じることを可能にします。個人情報保護法の歴史上初めての金銭的行政罰となります。
課徴金の対象は、個人情報の不適正利用・不正取得・第三者提供違反等のうち、当該事案に係る本人の数が1,000人を超える大規模事案で、かつ事業者が「相当の注意」を怠った場合です。額は、違反行為で得られた財産的利益等に相当する額を基準に算定されます。具体的な算定方法や手続きは、今後委員会規則で整備されます。
適用には複数の条件があり、権利利益侵害程度が大きくない場合は対象外とされる予定です。
子どもの個人情報保護の強化
16歳未満の個人情報の取扱いについて、法定代理人(親権者)の同意取得が必須化される方向です。あわせて、16歳未満の本人による利用停止等請求の要件が緩和されます。事業者には、16歳未満の本人の個人情報を扱う際の「最善の利益」に配慮する責務も新たに規定される見込みです。
EdTech、ゲーム、若年層向けB2C SaaS等は、ユーザー登録フローや親権者同意取得メカニズムの見直しが必要になります。
顔特徴データ等・生体認証データの規律新設
生体認証データ、特に顔特徴データ(顔認証システムで用いる特徴量データ)は、一意性が高く本人が認識しないまま取得可能な特性から、新たな規律の対象となります。具体的には、周知義務、利用停止等請求の対象化、オプトアウト方式による第三者提供の禁止が定められる予定です。
規律の対象は「顔特徴データ」であり、単なる顔写真は対象外です。オフィスの入退室管理や店舗での顔識別マーケティングを行う事業者は、自社システムが特徴量を抽出・保存しているか確認が必要です。
AIトレーニング・統計利用における同意例外
統計情報等の作成のみに利用される場合(AI開発を含む)、第三者提供の本人同意が不要となる例外(改正法第30条の2)が新設されます。要配慮個人情報も、公表されている場合は同意なしでの取得が可能になる方向です。
同意例外の適用には、利用目的の公表、書面合意、目的外利用の禁止等の条件が課されます。「AI学習目的でのデータ第三者提供」と「AI推論結果の利用」は別の規制対象である点に注意が必要です。後者は引き続き通常の同意ルールが適用されます。
連絡可能個人関連情報の新類型追加
改正案は、「連絡可能個人関連情報」という新しい情報類型を創設します。電話番号、メールアドレス、Cookie ID、住所等、単体では個人を識別できないものの、特定の個人に連絡可能な情報を指します。
従来、個人情報に該当しない情報は規制対象外でしたが、改正後は連絡可能個人関連情報にも不適正利用および不正取得の禁止が適用されます。マーケティングオートメーションやCookieを用いた広告配信を行う事業者は、データ取得・利用フローの見直しが必要です。
委託先管理の強化
委託先管理の規律が強化されます。委託契約において、委託元が指定した利用目的を超えた利用の禁止を明示することが義務化され、委託先における漏えい等の即時報告メカニズムも契約に組み込むことが求められます。
一方、機械的処理のみを行い取扱い方法を委託先が決定しない場合の免責規定も整備される予定です。クラウドサービスやSaaSを委託先として利用している場合、契約と運用の両面で見直しが必要になります。
漏えい発生時の本人通知義務の緩和
現行法では、漏えい等が発生した場合、本人への通知が一律に義務付けられています。改正案では、本人の権利利益保護に欠けるおそれが少ない場合に通知義務が緩和される方向で検討されています。社内ID単独の漏えい等が例として想定されています。
ただし、個人情報保護委員会への報告義務自体は緩和されません。緩和の具体的要件は委員会規則で整備される予定のため、現時点で「通知不要」と判断できる範囲は限定的です。
罰則の強化
課徴金制度の導入とあわせて、刑事罰の範囲も拡大されます。加害目的での個人情報データベースの提供、詐欺等による個人情報の不正取得が新たに処罰対象となり、法定刑も引き上げられる予定です。
中堅企業が特に注意すべき5つの改正点
2026年改正案の影響は、業種や規模によって大きく異なります。本章では、中堅企業にとって特に影響が大きい5つの改正点を、実務対応の観点から整理します。
1,000人を超える顧客データを持つ企業は課徴金対象
課徴金制度の対象判定で最も重要な指標が、「当該対象行為に係る個人情報または個人データの本人の数が1,000人を超える」という基準です(制度改正方針 p.6)。
ここで注意すべきは、この「1,000人」が事案ごと(per-incident)の数値であり、企業の保有データ総量ではない点です。とはいえ、CRMに登録された顧客情報、メールマガジン購読者リスト、ECサイトの会員データなど、中堅企業の多くは1件の漏えい事案でも容易に1,000人を超える規模のデータを保有しています。
つまり、「自社は中堅規模だから課徴金とは無縁」と判断するのは適切ではありません。社内の主要な顧客データベースを棚卸しし、1,000人を超えるデータセットがどこに存在するかを把握することが、対応の第一歩となります。
顔認証システム導入企業の新義務
オフィスの入退室管理、工場の作業者認証、店舗での来店客分析などに顔認証システムを導入している企業は、新たな規律の対象となります。具体的には、顔特徴データの取扱いに関する周知義務、利用停止等請求への対応、オプトアウト方式での第三者提供の禁止が定められる予定です。
ただし、規律の対象は顔の特徴量データ(顔特徴データ)であり、通常の防犯カメラ映像や顔写真自体は対象外です。顔識別を行うかどうかが分かれ目となるため、自社の顔認証システムが特徴量を抽出・保存しているかを技術担当者に確認することが重要です。
クラウド・SaaS委託の管理責任強化
中堅企業の多くは、人事システム、会計、CRM、コラボレーションツールなど、業務の大部分をクラウド・SaaSに依存しています。2026年改正案では、委託先における目的外利用の禁止を契約で明示することが義務化される方向です。
実務的な対応としては、以下の3点が優先事項となります。
- 既存のSaaS契約書・利用規約を棚卸しし、目的外利用禁止条項の有無を確認
- 委託先における漏えい等の即時報告メカニズムを契約に組み込む
- 委託先の取扱い方法(特に再委託・海外保管の有無)を把握する仕組みを整備
委託先のアクセス管理は、特権ID管理(PAM)の文脈で運用するのが効率的です。クラウドサービスの管理者アカウントは、それ自体が委託先のもつ「特権」であり、ここでの管理不備が漏えいの起点となるケースが多く報告されています。特に第三者ベンダーや委託先のアクセスを管理する用途には、PAMの一形態であるベンダー特権アクセス管理(VPAM)が適しています。VPAMは、時間制限付き・ジャストインタイム方式での外部ユーザー向けアクセスに特化したアプローチです。
16歳未満ユーザーがいるサービスへの影響
EdTechサービス、オンラインゲーム、SNS、若年層向けB2Cサービスを運営する企業は、法定代理人(親権者)の同意取得フローを実装する必要があります。
具体的な対応としては、ユーザー登録フォームにおける年齢確認の追加、16歳未満のユーザー向けの親権者同意取得メカニズムの導入、未成年者から利用停止等請求があった場合の処理プロセス整備、などが想定されます。例外要件(本人が16歳以上と詐術を用いた場合等)の運用についても、別途整備が必要です。
漏えい時の対応プロセスの見直し
本人通知義務の緩和は、すべての漏えい事案で通知が不要になるわけではありません。「本人の権利利益保護に欠けるおそれが少ない場合」という限定的な条件のもとでのみ通知不要となる方向で、具体的な要件は今後委員会規則で整備されます。
実務面では、以下の整備が優先事項です。
- 漏えい発生時の内部報告フローの整備(検知から個人情報保護委員会への報告までのタイムライン明確化)
- 委託先からの即時報告を契約上担保するメカニズム
- 通知不要要件への該当性を判断するプロセス(誰が、何を根拠に、どう判断するか)
企業が今すべき対応ステップ
改正法案の成立は2026年中、施行は1~2年後と見込まれていますが、対応準備は今から始めるべきです。本章では、改正に向けて中堅企業が優先的に取り組むべき4つの対応ステップを整理します。
アクセス制限・特権ID管理の見直し
個人情報保護法違反の多くは、アクセス制限の不備を起点として発生します。改正案で新設される課徴金制度の対象となる「不適正な利用」「不正取得」「第三者提供違反」のいずれも、結局のところ、認証情報やアクセス権限の管理失敗から始まるケースが大半です。
優先的に見直すべきは以下の3点です。
- 従業員アカウントの最小権限化:業務に必要な範囲のみアクセス可能とする原則の徹底
- 特権アカウントの個別管理:管理者権限や顧客データベースへの直接アクセス権を持つアカウントの厳格な管理
- 退職者・異動者のアクセス権限の即時削除:人事イベントに連動した権限管理プロセスの整備
特に、特権アカウントの管理はPAMの仕組みで運用するのが効率的です。属人的なパスワード共有や、Excelでの認証情報管理は、改正案が想定するリスク管理水準には到底及びません。
ログ管理・監査体制の整備
漏えい等が発生した際、「いつ、誰が、どのデータに、どのようにアクセスしたか」を追跡できる体制が、改正法のもとでは事実上必須となります。個人情報保護委員会への報告義務、課徴金算定の根拠提示、本人通知要否の判断、いずれもログがなければ実行不可能です。
整備すべきポイントは以下のとおりです。
- 監査ログの保存期間:少なくとも1年以上、できれば3~5年
- 改ざん防止:ログ自体の完全性を担保する仕組み
- SIEM等との連携:異常検知の自動化
- 定期的なログレビュー体制:取得して終わりにせず、定期的に確認する運用
中堅企業の場合、SIEM製品の本格導入が予算的に難しいケースもあります。その場合は、まず認証情報管理ツールに付属する監査ログ機能の活用から始めるのが現実的です。
暗号化・データ保護の強化
個人情報保護法における「安全管理措置」の中心は、データそのものの保護、すなわち暗号化です。改正案でも、課徴金適用の判断における「相当の注意」の要素として、技術的安全管理措置の水準が考慮されます。
暗号化は、データの状態に応じて3つの層で検討する必要があります。
- 保管時の暗号化:データベース、ファイルサーバー、バックアップの暗号化
- 通信時の暗号化:TLS/SSL、VPN等による通信経路の保護
- 利用時の暗号化:ゼロ知識暗号化等、サービス提供者にも内容が見えない仕組み
特に認証情報のような機微なデータの保管には、ゼロ知識暗号化の採用が推奨されます。これは、暗号化された状態のままサーバーに保管され、利用者本人以外(サービス提供者を含む)が内容を解読できない方式です。万一サーバーが侵害されても、データそのものが漏えいするリスクを最小化できます。
なお、日本のCRYPTREC(電子政府推奨暗号リスト)に登録されているAES等の暗号アルゴリズムは、個人情報保護委員会のFAQでも安全管理措置として認められており、改正法のもとでも引き続き有効な選択肢となります。
社内ガバナンス体制の再点検
技術的対策と並行して、組織的・人的な対応も不可欠です。優先順位の高い項目は以下のとおりです。
- プライバシーポリシーの改訂:連絡可能個人関連情報、顔特徴データの取扱いに関する記載の追加
- 内部規程の更新:個人情報取扱規程、委託先管理規程、インシデント対応手順書の見直し
- 従業員研修:改正内容と自社業務への影響を説明する全社研修の実施
- インシデント対応プロセスの整備:検知から個人情報保護委員会への報告、本人通知までのタイムラインと役割分担の明確化
中堅企業の場合、これらすべてを社内リソースだけで進めるのは現実的ではありません。改正の12項目すべてに対して、技術的・組織的対応の優先度を明確にし、計画的に取り組むことが求められます。
改正法未対応の企業リスク
改正法対応を怠った場合、企業は法的・財務的・経営的に複数のリスクにさらされます。本章では、それらのリスクの実態と、リスクの根本的な原因について整理します。
行政処分・刑事罰・課徴金リスク
現行の個人情報保護法では、法人に対する罰則として1億円以下の罰金が定められています(法第184条)。改正案では、この刑事罰の対象範囲が拡大されるとともに、新設される課徴金制度のもとで、個人情報保護委員会が事業者に対して直接、課徴金の納付を命じることが可能になります。
ただし、すべての違反事案に対して自動的に課徴金が課されるわけではありません。制度改正方針 p.6では、課徴金適用の要件として「1,000人超の大規模事案」「相当の注意を怠ったこと」「権利利益侵害程度が大きくない場合に該当しないこと」の3つの条件が示されています。
漏えい等が発生した際の個人情報保護委員会への報告手続きについては、現行の枠組みが引き続き適用されますが、改正後はその不履行自体が課徴金リスクを高めることになります。
レピュテーション・損害賠償リスク
法的制裁以上に企業経営に長期的なダメージを与えるのが、レピュテーションリスクと損害賠償リスクです。過去には、ベネッセコーポレーション(2014年)の漏えい事案、リクルートキャリア「リクナビ」事件(2019年)など、データの不適切な取扱いが企業のブランド価値を大きく毀損した事例が複数あります。ベネッセの事案では、顧客離反、株価下落、経営責任の追及へと発展しました。リクナビ事件は、従来型の漏えいではなく、求職者の行動データを十分な同意なしに第三者提供したことが問題となり、サービス終了とリクルートキャリアへの大規模なレピュテーション毀損につながりました。
個人情報保護委員会の令和6年度年次報告によれば、同年度の漏えい等報告件数は19,056件に達し、過去最多となりました。漏えい等のインシデントは、もはや「起こる前提」で対応プロセスを設計する必要があるフェーズに入っています。
加えて、令和2年改正法施行以降、本人通知が義務化されたことで、漏えい事案がメディアやSNSで可視化されるリスクも飛躍的に高まっています。発覚から世論形成までのスピードは、企業のリスク管理計画が想定する時間軸を上回るケースも珍しくありません。
漏えいの根本原因は認証情報管理の失敗
行政処分、課徴金、レピュテーション低下、損害賠償。これらは結果として現れるリスクですが、その根本原因の多くは、技術的な脆弱性ではなく「認証情報管理の失敗」にあります。
実際の漏えい事案を分析すると、その大半は以下のようなパターンに分類されます。
- フィッシングによるアカウント乗っ取り
- パスワードの使い回しによる不正アクセス
- 退職者のアクセス権限が削除されずに悪用
- 委託先従業員の認証情報管理不備による情報持ち出し
- クラウドサービスの管理者アカウントの設定ミス
つまり、課徴金リスクの実質は、認証情報管理の失敗です。改正法案が想定する「相当の注意」の水準を満たすには、暗号化やアクセス制限といった個別の技術対策に加え、それらを統合的に運用する認証情報管理基盤の整備が不可欠です。
Keeperによる改正個人情報保護法対応
Keeper®は、ゼロ知識暗号化を基盤としたパスワード管理および特権ID管理(KeeperPAM)を通じて、2026年改正個人情報保護法対応の中核となる「アクセス制限・ログ管理・暗号化」の3要素を支援します。両製品はゼロ知識暗号化を基盤としています。
企業向けパスワードマネージャーは、組織全体の認証情報を一元管理し、ロールベースのアクセス制御と退職・異動時の即時権限削除により、漏えい事案の主因となるアクセス制御の不備を解消します。多要素認証(MFA)やSSO連携により、課徴金制度の対象となる「不正アクセス」起点の漏えいをさらに防ぎます。KeeperPAMは、ジャストインタイム・アクセスとゼロトラスト接続を通じて、中堅企業が依存するクラウドやSaaS環境への安全なアクセスを提供し、2026年改正で強化される委託先管理要件に直接対応します。高度なレポート・アラート機能(ARAM)は300種類以上のイベントを記録し、主要SIEMとの連携にも対応しています。個人情報保護委員会への報告や課徴金算定に必要なアクセス追跡を実現します。すべてのデータはAES-256で暗号化され、日本のCRYPTREC(電子政府推奨暗号リスト)の基準にも準拠しています。無料トライアルでKeeperをお試しいただくか、Keeperチームまでお気軽にご相談ください。
※本記事は2026年MM月時点の改正案に基づく一般的な解説であり、個別事案への法的助言ではないため、具体的な対応については弁護士等の専門家へご相談ください。
よくある質問
改正個人情報保護法はいつから施行されますか?
2026年通常国会で改正法案が成立した後、1~2年の準備期間を経て段階的に施行される見通しです。前回の令和2年改正のスケジュールにならえば、法案成立は2026年5~6月頃、施行は2027~2028年が想定されます。施行までの期間に、政令・施行規則・ガイドライン・分野別Q&Aが順次整備される見込みです。
16歳未満の利用者がいるサービスはどう対応すればよいですか?
法定代理人(親権者)の同意取得フローを実装する必要があります。具体的には、ユーザー登録フォームにおける年齢確認の追加、未成年者向けの親権者同意取得メカニズムの導入、未成年者から利用停止等請求があった場合の処理プロセス整備が必要です。例外要件(本人が16歳以上と詐術を用いた場合等)の運用についても、別途整備が必要です。
委託先の管理はどう変わりますか?
委託契約において、委託元が指定した利用目的を超えた利用の禁止を明示することが義務化される方向です。また、委託先における漏えい等の即時報告メカニズムを契約に組み込むことも求められます。一方、機械的処理のみを行い、取扱い方法を委託先自身が決定しない場合は、免責される規定も整備される予定です。クラウドサービスやSaaSを委託先として利用している企業は、契約と運用の両面で見直しが必要となります。
改正に向けて、今から何を準備すべきですか?
最優先事項は、「アクセス制限・ログ管理・暗号化」の3つのセキュリティ基盤の整備です。次に、委託先契約の見直し(目的外利用禁止条項の明示)、社内ガバナンス体制の再点検(プライバシーポリシー改訂、内部規程更新、従業員研修)を進めることが推奨されます。詳細は本記事の「企業が今すべき対応ステップ」の章をご参照ください。