＜目次＞
1.個人情報保護法改正の状況
2.同意取得の例外事由の追加
(1)統計情報等の作成
(2)本人の意思に反しない場合
(3)生命等の保護又は公衆衛生の向上等、学術研究例外
3.16歳未満の個人情報の規律強化
4.顔特徴データ等の規律強化
5.委託先の義務
6.漏えい等の本人通知義務の緩和
7.特定の個人に対する働きかけが可能な情報の不適正利用及び不正取得の禁止
8.課徴金制度の導入
9.オプトアウト事業者への規律強化、執行権限及び罰則の厳格化

1. 個人情報保護法改正の状況

個人情報保護委員会は、2026年1月9日、いわゆる３年ごと見直しの制度改正方針を公表しました（リンク）。

これまで、同委員会は個人情報保護法の改正に向けた検討を行い、種々の資料を公表してきましたが、今回公表された制度改正方針が、最終的な改正法案の内容であるとみられます。

前回の個人情報保護法改正（2020年改正）のスケジュールにならえば、2026年5月から6月頃に法案が成立し、その後、順次施行令・規則、ガイドライン、Q&A、分野別ガイドライン及びQ&Aが公表され、法案の成立から1～2年後に施行することが予想されます。

改正法の具体的な実務対応は、ガイドラインやQ&Aが公表された頃から行うことが考えられますが、まずは改正法案の全体像を把握し、自社にどの程度影響があるか把握しておくことが重要です。

2.同意取得の例外事由の追加

個人情報保護法（以下「法」といいます。）は、目的外利用（法18条1項）、要配慮個人情報の取得（法20条2項）、第三者提供（法27条1項）等を行うには本人の同意を得る必要があると定めています。現行法も同意を取得しなくてもよい例外事由が定められておりますが、これを追加や緩和するとされています。

(1) 統計情報等の作成

個人データ等の第三者提供及び公開されている要配慮個人情報の取得について、統計情報等の作成にのみ利用されることが担保されていること等を条件に、本人同意を不要とするとされています。

統計情報等の作成には、統計情報等の作成と整理できるAI開発等も含みます。

また、個人の権利利益を害するおそれが少ないものとして規則で定めるものに限定することが想定されています。2025年3月5日に公表された「個人情報保護法の制度的課題に対する考え方について」では、①個人データ等の提供元・提供先における一定の事項（提供元・提供先の氏名・名称、行おうとする統計作成等の内容等）の公表、②統計作成等のみを目的とした提供である旨の書面による提供元・提供先間の合意、③提供先における目的外利用及び第三者提供の禁止を義務付けることが想定されており、このような条件が付されると考えられます。

なお、本特例に係る義務の違反行為は、後述の課徴金制度の対象となっていることに留意が必要です。

これまで、生成AIサービスを利用するために事業者が個人データを入力する場合、本人から同意を得ないのであれば事業者から生成AIベンダへの個人データの取り扱いの委託（法27条5項1号）と整理せざるを得ない場合がありました。委託により提供した個人データを、委託先は委託された業務の目的でしか利用することができないため、委託先である生成AIベンダがモデルの学習には利用できないという問題がありました。しかし、改正法により、本人の同意がなくても、事業者が入力した個人データを、生成AIベンダがモデルの学習のために利用できるようになります。また、ユーザ企業としても、入力したプロンプトがモデルの学習のために利用される生成AIサービスを利用することも、個人情報保護法上は制限されなくなり、利用できる生成AIサービスが拡大する可能性があります（ただし、著作権や営業秘密、秘密保持契約などの問題は引き続きあります。）。

また、AIのモデルの学習用データを、クローリングによって収集する場合、Web上で公開されている要配慮個人情報を取得する場合にどのように同意を取得するかが問題となってきましたが、改正法によりこの問題は解消され、学習用データが収集しやすくなると考えられます。

(2) 本人の意思に反しない場合

目的外利用、要配慮個人情報取得及び第三者提供に関する規制について、取得の状況からみて本人の意思に反しないため本人の権利利益を害しないことが明らかな取扱いである場合は本人同意を不要とするとされています。

「個人情報保護法の制度的課題に対する考え方について」では、個人データの第三者提供等が契約の履行のために必要不可欠な場合などと想定されており、例えば、事業者Aの運営するホテル予約サイトで事業者Bの運営するホテルの宿泊予約を行ったため、事業者Aが事業者Bに当該本人の氏名等を提供する場合や、金融機関が海外送金を行うために送金者の情報を送金先の金融機関に提供する場合等が挙げられていました。

これまで、取得の状況からみて本人の意思に反しない場合における第三者提供は、黙示の同意があるとして取り扱っていることもありましたが、改正法案により同意が不要であることが明確になり、法的安定性が高まります。また、同意取得の事務的手続きという観点では、実務上の影響はそれほどないと思われますが、個人データの提供の確認記録義務（法29条、30条）は免除される可能性が高いと考えられます。

(3) 生命等の保護又は公衆衛生の向上等、学術研究例外

上記のほか、目的外利用、要配慮個人情報取得及び第三者提供に関する規制について、現行法では、人の生命、身体又は財産の保護のために必要がある場合（法18条3項2号等）や公衆衛生の向上又は児童の健全な育成の推進のために特に必要がある場合（法18条3項3号等）に、本人の同意を得ることが困難であることが求められていましたが、同意取得困難性要件を緩和するとされています。

これにより、例えば、不正行為を行った会員の情報を同種のサービスで共有したいにもかかわらず、会員登録申込時に同意取得の機会があるため、本人の同意を得ることが困難といえるかに懸念があり情報共有を諦めるといった問題が解消されることが期待できます。

また、現行法では、学術研究機関等に関する例外が定められておりますが、学術研究機関等に、医療の提供を目的とする機関又は団体が含まれることを明示するとされています。

3.16歳未満の個人情報の規律強化

16歳未満の者が本人である場合、同意取得や通知等について当該本人の法定代理人を対象とすることを明文化し、当該本人の保有個人データの利用停止等請求の要件を緩和するとともに、未成年者の個人情報等の取扱い等について、本人の最善の利益を優先して考慮すべき旨の責務規定を設けるとされています。

現行法では、子どもの個人情報に関する明文上の上乗せ規定は定められておらず、「一般的には12歳から15歳までの年齢以下の子どもについて、法定代理人等から同意を得る必要がある」（Q&A1-62）との考え方が示されるにとどまっていました。

改正法では、第三者提供等の同意や、利用目的の通知などを法定代理人に行う必要があることとなります。全年齢対象のサービスや、16歳以上を主なターゲットとしたサービスの場合、どのような条件で法定代理人からの同意取得を要するのか、どうすれば16歳未満の個人情報は取得していないこととできるのか、また法定代理人であることの確認方法など実務対応には課題があります。「個人情報保護法の制度的課題に対する考え方について」では、本人が16歳未満であることを事業者が知らないことについて正当な理由がある場合、法定代理人が本人の営業を許可しており、事業者が当該営業に関して個人情報を取得した場合、本人に法定代理人がない又はそのように事業者が信ずるに足りる相当な理由がある場合には例外を認めることも検討されています。

したがって、子ども向けサービスを提供する企業だけでなく、全ての企業が影響を受ける可能性があることに留意が必要です。

4.顔特徴データ等の規律強化

顔特徴データ等について、その取扱いに関する一定の事項の周知を義務化し、利用停止等請求の要件を緩和するとともに、オプトアウト制度に基づく第三者提供を禁止するとされています。

顔特徴データ等に含まれるものについて、「個人情報保護法の制度的課題に対する考え方について」では、本人が関知しないうちに容易に取得することが可能であり、一意性・不変性が高いため、本人の行動を長期にわたり追跡することに利用できる身体的特徴に係るデータとされていました。したがって、生体情報全般ではなく、顔特徴データなどが指定されることになると考えられます。

また、一定の事項の周知とは、個人情報取扱事業者の名称・住所・代表者の氏名、顔特徴データ等を取り扱うこと、顔特徴データ等の利用目的、顔特徴データ等の元となった身体的特徴の内容、利用停止請求に応じる手続等を想定されており、周知の方法も規則等で定めることが想定されています。

顔特徴データは、例えば、施設に設置したカメラで取得し、防犯やマーケティングのために利用されています。現行法では、カメラにより自らの個人情報が取得されていることを本人において容易に認識可能な状態にする必要があり、外観上カメラであることが明らかでない場合には、カメラが作動中であることの掲示は求められていました（Q&A1-13）。他方、利用目的の掲示は望ましいとされるにとどまっていましたが（Q&A1-14）、義務化されることとなります。

5.委託先の義務

データ処理等の委託を受けた事業者について、委託された個人データ等の適正な取扱いに係る義務について、取扱いを委託された個人データ等を当該委託を受けた業務の遂行に必要な範囲を超えて取り扱ってはならないことが明文化されます。ただし、法令に基づく場合や、人命の救助、災害の救援その他非常の事態への対応のため緊急の必要がある場合には例外的に委託先が独自の判断で個人情報を利用できるとされています。

また、委託先自らは取扱いの方法を決定しないケースでは、委託契約において、取扱いの方法の全部について合意し、かつ委託先における取扱いの状況を委託元が把握するために必要な措置等について合意した場合は、委託先に、委託を受けた業務の遂行に必要な範囲を超えて取り扱ってはならない旨の義務及び安全管理に係る義務のみが適用され、それ以外は免除されることとなっています。

委託先自らは取扱いの方法を決定しないケースとは、委託先が委託元から指示された方法で機械的に個人データ等を取り扱うのみの場合のことをいい、目的のみならず方法も委託元が指示している場合が想定されています。また、委託元と委託先間で合意する内容としては、漏えい等が生じたことを知ったときに委託先が委託元に対して速やかにその旨を報告することなどを、規則で定めることが想定されています。

現行法でも、委託先は委託された個人データを委託された業務の範囲を超えて利用することはできませんでした。もっとも、委託先自体に義務が課されていたわけではなかったものが、委託先に直接義務が課されることとなります。また、委託先になることが多いサービスにおいては、委託先側で委託契約書の雛型を準備し、委託を受けた業務の遂行に必要な範囲を超えて取り扱ってはならない旨の義務及び安全管理に係る義務以外の適用の免除を受けられるようにすることが考えられます。

6.漏えい等の本人通知義務の緩和

漏えい等発生時について、本人の権利利益の保護に欠けるおそれが少ない場合は、本人への通知義務を緩和するとされています。

これに該当する場合として、「個人情報保護法の制度的課題に対する考え方について」では、サービス利用者の社内識別子（ID）等、漏えいした情報の取得者において、それ単体ではおよそ意味を持たない情報のみが漏えいした場合などが挙げられていました。

なお、漏えい等報告の合理化は引き続き検討を続けるとして、今回の改正は見送りとなっています。

7.特定の個人に対する働きかけが可能な情報の不適正利用及び不正取得の禁止

特定の個人に対する働きかけが可能となる個人関連情報等について、不適正利用及び不正取得を禁止するとされています。

特定の個人に対する働きかけが可能となる個人関連情報等とは、「個人情報保護法の制度的課題に対する考え方について」では、特定の個人の所在地（住居、勤務先等）、電話番号、メールアドレス、Cookie ID等が挙げられていました。

これまで個人情報ではない個人関連情報は、提供先が個人データとして取得することが想定される場合の提供規制（法31条）のみ課せられていましたが、規制が追加されることとなります。「個人情報保護法の制度的課題に対する考え方について」では、オンラインメンタルヘルスカウンセリングサービスを運営する事業者が、ユーザーから取得したメールアドレス及び健康情報を、治療支援等のためにのみ利用し第三者に共有しない旨等を約していたにもかかわらず、広告目的で第三者に提供する事例が挙げられています。したがって、個人情報でない情報を取得する際であっても、取得時にどのような情報提供をするかを考慮する必要が生じると予想されます。また、個人情報である顔画像をカメラで取得することに関して、適正取得義務に基づき、カメラにより自らの個人情報が取得されていることを本人において容易に認識可能とするための措置を講じなければならないとされています（Q&A1-13）。そこで、Cookie IDなどを取得する場合に、本人に取得していることを認識させる必要があるかなども、今後の動きに注目する必要があります。

8.課徴金制度の導入

課徴金制度が導入されます。課徴金納付命令の対象は、以下を満たす場合です。

(1)対象行為

以下の行為又は当該行為をやめることの対価として金銭等を得たとき

①個人情報の提供であって、当該個人情報を利用して違法な行為又は不当な差別的取扱いを行うことが想定される状況にある第三者に対して行うもの

②第三者の求めにより行う個人情報の利用であって、当該第三者が当該個人情報の利用を通じて違法な行為又は不当な差別的取扱いを行うことが想定される状況にある場合に行われるもの

③法第20条第1項の規定に違反して、偽りその他不正の手段により個人情報を取得し、当該個人情報を利用する行為

④法第27条第1項の規定に違反して、あらかじめ本人の同意を得ないで、個人データを第三者に提供する行為

⑤統計作成等の特例に基づき取得した個人情報を、当該特例に係る義務に反して目的外に取り扱う行為又は第三者に提供する行為等

(2)個人情報取扱事業者が、当該対象行為を防止するための相当の注意を怠った者でないと認められる場合でないこと

(3)当該対象行為に係る個人情報又は個人データの本人の数が1,000人を超えること

(4)個人の権利利益を害する程度が大きくない場合に該当しないこと（権利利益侵害があること）

また、課徴金額は、対象行為又は対象行為をやめることの対価として個人情報取扱事業者が得た金銭等の財産上の利益に相当する額とされています。

企業においては、違法な取扱いをしないことと、その違法な取扱いをしないように対応をしたことの証拠を残す体制を構築していくことが重要となります。特に1000人以上の個人データを取り扱う案件を洗い出し、取得、利用、提供の場面において違法な取扱いがなされていないかを確認し記録を残すこと、また個人データの第三者の同意取得や、同意以外の根拠によるとの法的整理をしたことの記録を残すことなどが必要となってきます。

なお、課徴金の対象に安全管理措置義務違反は含まれていません。

また、適格消費者団体による差止請求制度・被害回復制度の導入は見送りとなりました。

9.オプトアウト事業者への規律強化、執行権限及び罰則の厳格化

その他、オプトアウト事業者に対し提供先の身元及び利用目的の確認の義務付けるとされています。

また、現行法では、個人情報保護委員会は、個人情報取扱事業者にのみ指導や命令等を行うことができますが、違反行為を補助等する第三者に対して当該違反行為の中止のために必要な措置等をとるよう要請する際の根拠規定を追加するとされています。例えば、SaaSサービス提供事業者など、個人情報を取り扱っていないとされる者も、個人情報保護委員会が要請を行うことができる対象になると考えられます。

さらに、命令の要件の見直しや、個人情報データベース等不正提供罪について加害目的の提供行為も処罰対象とし、法定刑が引き上げられます。また、詐欺行為等により個人情報を不正に取得する行為に対する罰則も設けるとされています。近年、個人情報保護法違反による刑事事件で逮捕されたとの報道もあるため、引き続き注意が必要です。

【関連セミナー】

2026年1月16日に予定していた「2026年個人情報・情報セキュリティ対応のポイント」の第2部として、制度改正方針を踏まえた個人情報保護法改正の対応のポイント、実務的対応のスケジュールなどを解説します。

U&Pリーガルセミナー【無料】2026年1月16日（金）
・第1部：「2026年個人情報・情報セキュリティ対応のポイント」（12:15~12:55）
・第2部：「速報　個人情報保護法　制度改正方針と実務への影響」（13:10～13:55）

ニューズレターのメール配信はこちら