ひかり総合法律事務所
弁護士　板倉　陽一郎氏

• 印刷用PDFファイルをダウンロード

個人情報保護法第二次３年ごと見直しは、通常国会（会期152日間）での法案提出が予定されており、5月頃に提出、6〜7月頃に成立する見込みです。施行時期は2027年4月または2028年4月が有力とみられています。

データ利活用関係法制は、個人情報保護法の改正がデータ利活用推進の前提として位置づけられており、デジタル行財政改革の一環として同時並行で議論・決定が進められています。「データ利活用の在り方に関する基本方針」には、官民データ法などの抜本的な改正が記載されていますが、実際には官民データ法そのものではなく、「次期通常国会での法案提出を目指す」とされています。

一方、データ利活用に関する「各論」も並行して議論されています。例えば、医療情報に関する日本版EHDS（European Health Data Space）に相当する枠組みは、昨年9月頃から議論が始まり、現在は中間整理が示されている段階です。他にも、行政保有データの利活用、金融分野のAPI整備、教育事務データの活用、モビリティ分野など、複数のテーマでデジタル庁がそれぞれ取り組みを進めています。

ただし、今回法律として国会に提出されるのは、こうした幅広い議論のうち、総論的な部分にあたるものになる見通しです。

• 出典：「デジタル行政改革取りまとめ2025」概要（内閣官房　デジタル行財政改革会議）別ウインドウで開く

個人情報保護法の改正について理解するためには、令和7年3月5日に公表された「個人情報保護法の制度的課題に対する考え方について」と、そこに含まれていない論点を補う形で示された令和8年1月9日の「個人情報保護法 いわゆる3年ごと見直しの制度改正方針　概要」の両方を参照する必要があります。

論文執筆や原文を確認したい場合には、個人情報保護委員会が公開している以下の文書を確認するとよいでしょう。

• 令和7年3月版「個人情報保護法の制度的課題に対する考え方について」別ウインドウで開く
• 令和8年1月版「個人情報保護法 いわゆる3年ごと見直しの制度改正方針　概要」別ウインドウで開く

また、年末に高市首相が「個人情報保護法も改正する」と述べて話題になりましたが、これは人工知能基本計画の中にも改正方針が記載されていたため報道されたものです。制度改正方針の概要が、まさに今回の改正で取り上げられている内容に相当します。

• 出典：「個人情報保護法 いわゆる３年ごと見直しの制度改正方針 概要」（第347回 個人情報保護委員会）

ここで主に想定されているのは、AIの開発です。ガイドライン等で明確化していくだろうと思いますが、統計作成等であると整理できるAI開発等がどの範囲を指すかは現時点ではわかりません。

AI を含む統計情報などを作成する場合、個人情報を取得する方法としては、基本的にウェブのクローリングが用いられます。また、複数の企業が保有するデータを第三者提供によって組み合わせて利用する方法も可能になります。ただし、これらの方法を使う場合には、法定公表事項があるため、当然プライバシーポリシーへの記載が必要です。

一方で、これらの方法を利用しない企業は、特に対応する必要はありません。しかし、利用を検討している企業にとっては、プライバシーポリシーの改定が必須になる、ということになります。

今回の議論では、AI 開発に関連する個人情報の扱い、とくに 要配慮個人情報の取得や第三者提供における同意不要の範囲 が検討されています。

要配慮個人情報は本来「本人の同意なく取得してはならない」ものです。例えば本人が自分の SNS に「風邪をひいた」と投稿している場合、その情報を AI が取得するのは問題ありませんが、友人の投稿から同じ情報を得た場合は違法になります。

今回のルール変更では、AI 学習目的であれば、こうしたデータ取得が例外的に認められる 方向です。
また、複数企業が互いの個人データを提供し、それらをまとめて統計情報を作成する場合、従来は第三者提供として「目的を問わず本人同意が必要」でした。今後は、最終目的が統計作成（AI 開発を含む）であれば、同意が不要となる特例 を設ける方針です。ただし、その代わりとして、

• どの企業がデータを取得し、AI 学習のために使うのか
• どの会社同士で統計データを作るのか

といった情報を事前に公表する義務が課されます。
さらに、統計情報への加工は利用目的の記載が不要という従来の解釈が、今後どのように扱われるかも論点になっています。特に、AI 学習が「統計情報の加工」に含まれるのかどうかは、現時点では明確ではなく、今後のガイドラインや Q&A で整理される見通しです。

（１）取得の状況からみて本人の意思に反しないため本人の権利利益を害しないことが明らかな取扱いである場合は本人同意を不要とする。

本人の意思に反せず、明らかに本人の権利や利益を害さないと判断できる取り扱いについては、個人情報の利用にあたり本人同意が不要とされています。
つまり、契約に基づき、契約の履行に必須となる個人情報の利用は、同意を取らなくても認められるという考え方です（契約が有効であることが前提）。
例としては、外国送金の場合、第三者提供に該当し本来は第28条の規制対象ですが、送金先国の制度情報が提示されない場合、同意は無効になります。ただし 契約に基づく必須の取り扱いであれば、同意がなくても実施できます。
決済や予約システムなどのデジタルプラットフォームの場合、第三者提供が前提となりますが、同意が取れないとサービスが成立しないため、契約で必要な部分は同意が不要とされます。
個人情報を海外のクラウドなどに提供する場合、通常は本人同意が必要ですが、第27条第1項の例外に該当する場合のみ同意が不要 になります。ただし、この例外が統計情報の作成や契約に基づくデータ利用にも適用されるかどうかは、現時点で明確ではありません。
「契約に基づく利用」は、GDPR6条1項(b)をベースに、契約の履行に不可欠な範囲に限って個人データを使える という考え方がとられています。
具体例としては以下が挙げられます。

• 配送のためにクレジットカード情報や請求先住所を取得するのは該当する
• 配送先が自宅でない場合、自宅住所の取得は不要なので該当しない
• 行動ターゲティングは契約履行に必要ないため対象外
• 購入商品の誤りなどのクレーム対応は契約履行として扱われる
• サブスクの請求書発送は契約履行に必要
• サービス利用可否判断のための郵便番号取得も該当
• 金融機関の本人確認は「法的義務」であり、契約根拠ではない

また、契約書に「必要」と書けば何でも許されるわけではないため、何を契約根拠とし、何を同意で処理するかを事前に整理しておくことが重要とされています。

（２）生命等の保護又は公衆衛生の向上等のために取り扱う場合における同意取得困難性要件を緩和する。

生命身体財産の保護や、公衆衛生の向上の時に、本人の同意得ることが困難だという要件が現在あります。これが使い難い理由として、本人の同意がウェブサービスであれば連絡ができるのだから、取得できるであろうと、かなり厳しい背景があります。その他、本人の同意を得ないことについて、相当の理由がある場合が入ると、例えば、セキュリティの時に、生命、身体、財産の保護で対応したい場合、本人の同意、得られますよね、と言われると、ウェブサービスは全員同意を得ないといけないのですけど、得ないことについて、相当の理由があるというように読める場合もあるのではないかという話です。 現在、生命身体財産の保護でスキーム組んでいるような場合には、少し楽になるかもしれません。

（３）学術研究例外の対象である「学術研究機関等」に、医療の提供を目的とする機関又は団体が含まれることを明示する。

学術研機関等というのは、研究機関です。 国立開発と研究、国立研究法人等、病院は入ってないのですが、「関連の医療法人で研究していますし、 医師も学会に入っています。 」という背景から、病院も学術研究機関にしましょうということです。
医学系の研究は、当然その大学も、私立の学校とか、国立研究開発法人等、色々な機関と一緒に研究をやるわけですけが、その関連の病院が出てきた時に、学術、研究機関じゃないので、スキームを組む時に大変になりますので、これを学術、研究機関等に含めましょうという話ですので、使いやすくなるかもしれません。

未成年の個人情報を取り扱う場合、個人情報保護法では16歳未満が未成年として扱われます。そのため、16歳未満の子どもが個人情報の提供や同意を行う場合には、法定代理人（通常は父母）の同意が必須です。通知を行う際も、本人ではなく法定代理人に行う必要があります。

また、子どもの個人データの扱いについては、従来のガイドラインよりも厳密な対応が求められており、プライバシーポリシーや同意取得フローの見直しが必須になります。さらに、利用停止請求が本人から来た場合は、原則として事業者はこれに応じる義務があるため、この点も運用を修正する必要があります。

未成年の個人情報を取り扱う場合は手続きが煩雑になるため、事業者への影響が大きくなります。重要なサービスでは、戸籍などを使って法定代理人の確認を行う必要があるかもしれませんが、ガイドラインでそこまで求められるかは不明です。日本には法定代理人を簡単に確認できる仕組みがないため、重要でないサービスでは、「親が同意している」ことを確認するチェックボックスで対応するのが現実的と考えられます。

16歳未満の個人情報については、本人や親の同意取得に関わらず「利用停止請求」が比較的容易に行えるようになるため、企業はその対応フローの整備が必要になります。
諸外国では、図表3の通り、子どものSNS利用を制限する動きが進んでいます。
日本でも今後、こども家庭庁の議論を通じて、こうした規制を導入するかどうかが検討されていく見通しです。

• 出典：「青少年インターネット環境整備法に係る検討事項について」（こども家庭庁）

顔認証や顔特徴データの取り扱いについては、防犯目的とマーケティング目的の両面でルールが整理されています。もとになっているのは「カメラ画像利活用ガイドブック」や「顔識別機能付きカメラシステムの利用に関する指針」です。個人情報保護委員会が公表しているものではないので、ガイドラインには該当しないですが、いずれも基本的な運用方針を示すものです。

屋外や駅構内など逃げ場のない場所で顔画像を収集する場合は、事前に十分な「周知」が求められます。ウェブサイト上の掲示では不十分で、現場に看板などを設置して、一定期間をさかのぼって情報を知らせることが必要とされています。

また、利用を望まない人のために「オプトアウト（利用停止請求）」を受け付けることも義務づけられます。ただし、顔画像だけを保有している場合、本人確認のために再度写真を送ってもらう必要が生じるなど、実務上の課題も指摘されています。いずれにしても、事業者は利用停止請求に対応できる体制を整える必要があります。

個人情報保護法における「個人データの取扱いの委託」は、提供元（委託元）を基準に判断するという考え方で統一されています。そのため、委託された情報が 委託先では個人データに当たらなくても、それが委託元における個人データの一部であれば、委託元には委託先を監督する義務が発生します。一方で、委託先には、単体で個人データに該当しない場合、法的義務が課されないという解釈が可能で、ここに疑問が残るという問題意識があります。

例えば、購買履歴だけを委託するケースでは、委託先では個人データに当たらないことが多いものの、委託元には監督義務が発生します。しかし、委託先側にはどの義務がかかるのか、現行ルールからは明確ではありません。

また、委託先が「取扱いの決定」を行うかどうかについても議論があります。典型的なシステム開発やデータ処理では、委託先は委託元の指示に従うだけで意思決定を行いません。それでも、委託先には安全管理措置義務が課されるとされていますが、もともと委託先に課される義務は安全管理措置が中心であり、この新しい整理が従来と何が違うのかは明確ではありません。

さらに、クラウド事業者に関する「クラウド例外」に関する質問もありますが、今回の整理では委託先側の義務の話のみで、委託元側の緩和措置については条文化されない可能性が高いと考えられます。

総じて、委託先で個人データに該当しない情報にまで義務を課すのか、また委託先に課される義務の範囲が従来とどう異なるのかといった点が、現行の公表内容では明確でなく、重要な論点として残っています。

漏えい通知については緩和されます。個人データが漏えい等した場合に、個人情報保護委員会に報告して、本人に通知しないといけない場合はありますが、その際の本人通知義務が緩和されますので、インシデントが発生した場合のフローの改定は必須です。

• 個人情報が漏えいした際の報告制度について、今後は「認定団体」の確認を受けることで、企業が提出しなければならない速報の一部が免除される制度が導入される可能性があります。速報は短期間で提出する必要があるため、企業にとって大きな負担となっており、この仕組みが実現すれば負担軽減が期待されます。
• 漏えいの統計を見ると、最も多いのは「要配慮個人情報が1件漏えいしたケース」で、これも認定団体に所属していれば一定の猶予が得られる可能性があります。また、これまで漏えい報告の対象外だった「意図的な第三者提供」も、今後は報告対象に含まれる方針です。
• 行政処分の状況を分析すると、多くがセキュリティ（安全管理措置や委託先管理）に関する指摘で占められており、本来重要であるはずの「同意取得」や「利用目的の妥当性」といった項目は、ほとんど取り締まりが行われていません。その結果、日本では漏えい対策だけに注目が偏り、海外と比べてもバランスに課題があると指摘されています。

連絡が可能な、特定の個人に対する働きかけが可能な個人関連情報は、不適正利用と不正取得だけ、個人情報と同等に禁止されますので、内部規程の改定は注意をしてください。

個人関連情報の中には、本人に連絡できる情報であっても、法律上「個人情報」や「個人データ」として扱われないものがあり、不正なデータ取得や悪質な取り扱いを十分に防げないため、規制強化を求める議論が出ています。

不適切な取得の例としては、虚偽の説明でメールアドレスを集めて健康情報を付けて販売するケースや、フィッシングサイトでアドレスを盗み取るケースなどが挙げられます。また、メールアドレスだけでは「個人データ」と見なされない現状についても問題視されています。

さらに、クッキーなどの外部送信については電気通信事業法の規律（外部送信規律）があるものの、これは事業者が自ら情報を取得する行為ではないため、法的な位置づけが曖昧です。ただし、取り扱い方によっては不適切と判断され、個人情報保護法上の問題になる可能性があるため、注意が必要です。

オプトアウトによって取得した情報については、闇名簿対策のため「相手がオプトアウト対象者であっても本人確認が必要」とされています。その結果、オプトアウトで得たデータを自由に提供できなくなり、事業に支障が出る可能性が懸念されています。

特に、地図データのように本来は広く提供されてきたものでも、購入者全員に本人確認が必要なのかという疑問が残ります。オプトアウトに関する議論はこれまでも十分でないことが多いため、この点を明確にしないままでは、事業モデルによっては成立しなくなる恐れがある、という問題意識が示されています。

現在は「今行っている行為をやめさせる」という命令しか出せませんが、今後は予防的な命令も出せるようになります。

さらに、悪質なウェブサイトに対して警告しても従わない場合、行政指導として、サイトをホスティングから外したり、検索エンジンの結果から除外したりといった任意の要請を、法的根拠を明確にしたうえで行えるようになります。

また、こうした対応を公表することについても、法律上の規定が整備される予定です。

個人情報データベースを不正に提供した場合の刑事罰が強化されることになりました。具体的には、個人に対する懲役（拘禁刑）の上限が2年から3年へ引き上げられ、罰金も100万円から150万円へ増額されます。一方で、法人に課される最大1億円の罰金について変更はありません。

また、これまで処罰の対象となるのは「利益を得る目的」のみでしたが、新たに「損害を与える目的」も加わり、悪意のある情報提供に対して規制が強化されます。これらの改正がどの程度の抑止力を持つかは明確ではありませんが、個人情報保護に対する罰則が全体として厳しくなる方向です。

対象となるのは、不適正利用の禁止（第19条）違反、適正な取得（第20条）違反、第三者提供の制限（第27条第1項）違反など、明確に規定された行為です。また、統計目的で取得したデータを別目的で使ったり、勝手に第三者提供したりする行為も含まれます。

一方、多くの人が関心を持っている「漏えいが課徴金の対象になるのか」については、明文では対象外とされています。もともとの案では「重大な漏えいは対象」とする方向性もありましたが、最終的には法律上明記されませんでした。

ただし、極端にずさんな管理の結果として漏えいが起きた場合、それが「不適正利用」（第19条）違反に当たる可能性は残っています。この点には二つの考え方があり、

• A説：安全管理義務違反は法律上対象外なので、漏えいも課徴金対象にはならない
• B説：安全管理義務かどうかに関係なく、不適正と評価されれば課徴金の対象になり得る

と整理されています。明文上は外れているものの、あまりに重大なケースは第19条で拾える可能性があると考えています。

今回の法改正では、行政機関が保有するデータを民間などが活用できるようにするための「利活用法制」が導入されます。当初は官民データ法の改正が想定されていましたが、最終的にはデジタル行政推進法の改正として制度が整備されることになりました。

新制度では、行政データを使ったいわゆる「事業計画」を作成し、それをデジタル庁に申請して認定を受けると、その計画に基づいたデータ利用が適法に実施可能になる仕組みが設けられます。申請にあたっては、個人情報保護委員会や関係省庁との相談も行われ、認定されれば法令に基づく例外としてデータ利用が認められます。かつて自治体にあった審査会を通じてデータ利用を認めていた仕組みに似ています。

例示されているデータとしては、国土関連データや事故情報データ、さらには KYCやAML で活用できる国の情報を API として提供するといった内容も含まれています。本来であれば法令改正ですぐに対応すべきではないかという疑問もありますが、制度例に金融分野が含まれていることから、金融業界は早めに準備を進めておくべきだと考えられます。

本内容は、2026年2月18日に開催された認定個人情報保護団体 対象事業者向けセミナー「個人情報保護法第二次3年ごと見直しとデータ利活用関係法制の現状」での講演内容を取りまとめたものです。