速報 令和8年個人情報保護法改正法案 第1回 総論（改正点の概要等）

(1) AI特例（統計作成等の特例）

　AI開発を念頭に、統計の作成その他の大量の情報から当該情報を構成する要素に係る情報を抽出して分類、比較その他の解析を行うことにより、当該大量の情報の傾向又は性質に係る情報（個人に関する情報であるものが除外されます。）を作成する行為のうち、個人の権利利益を害するおそれが少ないものとして個人情報保護委員会規則で定めるものを「統計作成等」と定義した上で（改正法案2条13項）、本人の同意を取得することが要求される各規律を前提として次の特例が設けられるとされます。

• 統計作成等の目的又はそのための提供の目的で現に公にされている要配慮個人情報を取り扱う必要がある場合であって、インターネットの利用等の方法により統計作成等の内容等の事項を公表しているとき、そのような要配慮個人情報の取得について本人同意の取得が不要とされる（改正法案30条の2第1項）。
• 第三者が個人情報又は個人関連情報を統計作成等の目的で取り扱う必要がある場合であって、インターネットの利用等の方法により統計作成等の内容等の事項を公表、第三者との書面による合意等がなされているとき、そのような個人情報等を第三者に提供することについて本人同意の取得が不要とされる（改正法案30条の2第5項、31条の3第1項）。

　また、公表の継続や、公表されている内容の統計作成等以外での個人情報等の利用・提供の禁止等（改正法案30条の2、31条の3）、本人同意の取得を不要とすることに代わるルールが複数設けられています。

(2) 個人情報取扱事業者の義務に関する例外事由の拡大

　個人情報保護法が①個人情報の目的外利用、②要配慮個人情報の取得、③個人データの第三者提供について、原則として本人の同意を義務付けつつ、一定の例外事由を定めている（法18条、20条、27条参照）ところ、改正法案は、例外事由を拡大することで、個人情報取扱事業者の義務の緩和を図ろうとしています。

1. 人の生命等の保護又は公衆衛生の向上等のために（特に）必要がある場合等の例外事由の拡大
   現行法では、人の生命等の保護又は公衆衛生の向上等に関して、本人の同意取得が困難な場合に限り例外が認められていますが、改正法案では、同意を得ないことに相当の理由がある場合にも、同意を得ることなく①～③の行為を行うことが可能となります。
2. 本人の意思に反しないため本人の権利利益を害しないことが明らかである場合の例外事由の新設
   契約履行に必要不可欠な場合等、本人の意思に反せず権利利益を害しないことが明らかな場合について、新たに本人の同意を不要とする例外が設けられます（改正法案18条３項７号、20条２項７号、27条1項8号）。なお、契約履行に必要不可欠な場合のほか、どのような場合が例外となるかについては、その具体的な範囲は個人情報保護委員会規則に委ねられています。
3. 学術研究機関等の範囲の拡張に伴う例外事由の拡大
   いわゆる学術研究例外（法18条３項５号・６号、20条５号～7号、27条１項５号～７号）について、「学術研究機関等」の定義が見直され、医療提供を目的とする機関や団体が含まれることにより、同意不要となる範囲が拡大されます。これにより、大学病院や研究所に加え、市中の病院や診療所も対象に含まれるようになります。

(1) 16歳未満の子どもの個人情報に関する規律の新設

　これまで子どもの個人情報の取扱いはガイドライン等で言及され、実務運用に委ねられてきました。改正法案は、16歳未満の者の個人情報の取扱いについて、あらかじめ当該本人の法定代理人の同意を得て当該保有個人データを取得した場合や、当該本人が当該個人情報取扱事業者に対し自らが16歳以上であることを信じさせるために詐術を用いていた場合等一定の場合を除き、本人は、自己が識別される保有個人データについて、その利用停止等・第三者提供の停止の請求が可能とされ（改正法案35条9項）、個人情報取扱事業者は、その請求に理由があると判明したときは、原則として遅滞なく利用停止等・第三者提供の停止を行わなければならないとされます（同条10項）。

　また、個人情報取扱事業者が16歳未満の者の個人情報を取り扱う場合には、一定の場合を除き、個人情報保護法上の義務として本人に対して行うべき通知（例：利用目的の通知・明示（法21条））や本人からの同意取得（例：目的外利用のための同意取得（法18条1項）、第三者（国内・国外）への個人データ提供のための同意取得（法27条・28条））について、法定代理人に対して行い、又は法定代理人から取得しなければならないとされています（改正法案40条の2第1項）。なお、この規律は、個人関連情報取扱事業者が16歳未満の者に関する個人関連情報を取り扱う場合についても、ほぼ同様の規律が提案されています（同条2項）。

　さらに、個人情報取扱事業者等は、未成年者に関する個人情報等の取扱いについて、その年齢及び発達の程度に応じて最善の利益を優先的に考慮し、権利利益を害することがないよう必要な措置を講ずるよう努めものとされ、法定代理人も同様に、開示請求や同意に当たり本人の最善の利益を優先して考慮すべきものとされています（改正法案58条の3）。

(2) 特定生体個人情報（顔特徴データ等）に関する規律

　生体情報に係る個人識別符号のうち、特別の技術・多額の費用を要せず取得でき、かつ、その取得を本人が容易に認識することができないものを政令で定め、これを変換したものが含まれる個人情報を「特定生体個人情報」と定義（改正法案16条5項）し、個人情報取扱事業者は、特定生体個人情報を取り扱うにあたっては、原則として、利用目的等の法定事項を個人情報保護委員会規則で定めるところにより、あらかじめ本人通知又は本人の容易に知り得る状態に置かなければならないとされています（改正法案21条の2）。この「特定生体個人情報」は、個人情報保護委員会が「顔特徴データ等」と呼んで新たな規律が必要としていたものを指します。

　また、保有個人データに含まれる場合、これに係る本人は、特定生体個人情報に含まれる特定生体個人識別符号の作成又は特定生体個人情報の取得についてあらかじめ本人の同意を得ている等一定の場合を除き、当該特定生体個人情報の利用停止等・提供停止に係る請求が可能とされ（改正法案35条7項）、個人情報取扱事業者は、その請求に理由があると判明したときは、原則として遅滞なく利用停止等・提供停止を行わなければならないとされます（同条8項）。

(3) データ処理等の委託を受けた事業者に対する規律

　現行法では、委託元による委託先の監督義務が定められているものの、実務上は技術力等の差から委託先への依存が進み、監督が十分に機能していないとの指摘を踏まえ、委託先に関する規律の見直しが行われています。

　改正法案は、法令に基づく場合等を除き、委託先（再委託先を含む）が委託された個人情報（注：委託先では個人関連情報となるものを除きます。）を業務遂行に必要な範囲を超えて取り扱ってはならないことを明文化しています（改正法案30条の3）。これは従前の解釈を明確化するものと位置付けられ、法令に基づく場合のほか、例外として緊急時の人命救助等が想定されています※4。

　また、委託契約において取扱方法、漏えい時の報告義務等の一定事項について合意し、かつ委託先が業務遂行に必要な範囲で当該契約に従って個人情報を取り扱う場合には、委託先に対する各種義務（法第4章第2節〜第4節）及び未成年者の個人情報等の取扱に関する個人情報取扱事業者等の責務（改正法案58条の31項）を原則として免除することが提案されています（改正法案58条の2）。もっとも、個人情報等の取扱いに関する安全管理措置等に関する義務は免除されていません。

(4) 漏えい等報告対象事態についての通知義務の緩和

　現行法上は、個人情報取扱事業者は、個人データの漏えい等が発生した場合には、原則として本人へ通知しなければなりませんが、例外的に、本人への通知が困難な場合であって、代替措置をとるときは、通知義務を免れることとされています（法26条2項ただし書）。

　改正法案は、その本人への通知が困難な場合に加えて、本人への通知が行われなくても本人の権利利益の保護に欠けるおそれが少ない場合として個人情報保護委員会規則で定める場合にも、代替措置をとるときは通知義務を免れることを認めるものです（改正法案26条2項ただし書）。

(1) 特定個人への働きかけ可能な個人関連情報等（連絡可能個人関連情報等）に係る規律の新設

　現行法上は、「個人関連情報」については、一定の場合における第三者提供のみが規律の対象となっていますが（法31条）、個人関連情報に含まれる特定の個人へ連絡可能な情報を利用したプライバシーや財産権等の侵害を十分に抑止できないことから、改正法案は、特定の個人に対する連絡その他の情報の伝達に利用することができる記述等が含まれる個人関連情報を「連絡可能個人関連情報」と定義した上で（改正法案2条8項）、個人関連情報取扱事業者が、違法又は不当な行為を助長し、又は誘発するおそれがある方法により連絡可能個人関連情報を利用すること、及び、偽りその他不正の手段により連絡可能個人関連情報を取得することを禁止することを提案します（改正法案31条の2）。なお、この規律は、仮名加工情報取扱事業者による連絡先情報等が含まれる仮名加工情報の取扱い及び匿名加工情報取扱事業者による連絡先情報等が含まれる匿名加工情報の取扱いについても準用することが提案されています（改正法案42条4項、46条の2）。

(2) 個人データの第三者提供に係るオプトアウト制度に関する確認義務の追加等

　現行法上、個人情報取扱事業者は、オプトアウト制度を利用することによって、例外的に、本人の同意を得ることなく、個人データを第三者に提供することができます（現行法27条2項）が、改正法案は、このオプトアウト制度について規制を強化しようとしています。

　具体的には、個人情報取扱事業者がオプトアウトにより個人データを第三者に提供する場合、一定の例外を除き、個人情報保護委員会規則で定めるところにより、あらかじめ、その提供先の名称等及び利用目的を事前に確認する義務を課す（改正法案27条7項）とともに、提供先となろうとする第三者にはその確認に対する虚偽回答を禁止し（同条8項）、その違反には過料を科すこととしています(改正法案186条1号)。さらに、事業者には、当該確認事項及び利用目的に関する記録の作成義務も課すものとされています（改正法案29条1項）。

(1) 命令の要件見直し及び勧告・命令に係る是正措置の追加

　勧告に係る措置をとらなかった場合における命令の要件を緩和し個人の重大な権利利益侵害の切迫性までは必要なく、その害されるおそれがあることが要件とされています（改正法案148条2項）。また、緊急命令については、個人の重大な権利利益侵害の事実があるときに加え、侵害の切迫性があるときが対象とされています（同条3項）。

　そして、違反行為の中止等の是正に必要な措置に加えて、違反行為に係る事実の本人への通知・公表その他の個人の権利利益を保護するために必要な措置をとるべき旨を勧告又は命令できることとされています（改正法案148条）。

(2) 違法行為中止のための措置の第三者への要請

　措置命令を受けた個人情報取扱事業者等がこれに従わない場合に、個人情報保護委員会は、その措置命令がなされた違反行為に係る個人情報等の取扱いに用いるサービス提供者（「取扱関係役務提供者」）に対して、当該個人情報の取扱いの停止、サービス提供の停止等の措置の実施を要請できるとされています（改正法案148条の2第1項）。また、SNS事業者等（「特定電気通信役務提供者」）に対しては、特定電気通信による当該個人情報の流通を防止する措置の実施を要請できるとされます（同条3項）。

(3) 罰則強化

　データベース提供等罪について、法定刑が引き上げられ、また、不正な利益を図る目的での提供に加え、本人等に損害を加える目的で提供したときも罰則の対象とされました（改正法案178条）。そして、不正な利益を図る目的又は本人等に損害を加える目的で、欺罔・暴行・脅迫や個人情報を保有する者の管理を害する行為によって個人情報を取得したときを新たに罰則の対象としています（改正法案180条）。

(4) 課徴金制度の導入

　平成29改正法案は、経済界を中心に制度導入について反対の声が大きかった課徴金制度の導入を提案しています。ただし、当初の構想と比べれば、安全管理措置義務違反が課徴金対象行為から除外される等要件（対象事案）は限定されており、企業への影響を限定しようとしたことがうかがわれます。

① 要件

1. 課徴金対象行為
   課徴金対象行為は以下のとおりです（改正法案148条の3第1項・2項）。
   • 提供される個人情報を利用して違法な行為又は不当な差別的取扱いを行うことが想定される状況にある第三者に対する個人情報の提供（同条1項1号）
   • 第三者が個人情報の利用を通じて違法な行為又は不当な差別的取扱いを行うことが想定される状況において、当該第三者の求めによる個人情報の利用（同項2号）
   • 法27条1項の規定（第三者提供）に違反する個人データの提供※5（同項3号）
   • 統計作成等の特例に係る規律に違反する個人情報等の取扱い・提供※6（同項4号・5号）
   • 法20条1項の規定（個人情報の適正取得に関する規定）に違反して個人情報を取得し、当該個人情報を利用した場合（改正法案148条の3第2項）
2. その他の要件（対価要件）
   個人情報取扱事業者が、(ア)の違反行為又は当該違反行為をやめることの対価として金銭その他の財産上の利益を得た場合（改正法案148条の3第1項・2項）
3. 除外事由（消極的要件）
   (ア)及び(イ)の要件を充足する場合であっても、次の場合は課徴金の納付を命じることはできません。（改正法案148条の3第1項・2項）
   • 個人情報取扱事業者が、違反行為が行われた期間を通じて、当該違反行為を防止するための相当の注意を怠った者でないと認められる場合※7（主観的要件）
   • 違反行為に係る個人情報又は個人データの本人の数が1000人を超えないとき（規模要件）
   • その他個人の権利利益を害する程度が大きくない場合として政令で定めるとき

② 効果（課徴金の額）

　課徴金の額は、違反行為又は当該違反行為をやめることの対価として得た金銭その他の財産上の利益に相当する額として政令で定める方法により算定した額とされます（改正法案148条の3第1項）。なお、課徴金の計算の基礎となるべき事実についての報告や資料の提出要求に応じなかったときは、個人情報保護委員会規則で定める合理的な方法による推計に基づいて課徴金納付命令をすることができます（改正法案148条の4）。また、過去に課徴金納付命令を受けたことがある者についての課徴金額の加算（改正法案148条の5）、自主報告による課徴金額の減額（改正法案148条の6）等も提案されていますが、これらについては景品表示法における課徴金制度が参考になるものと思われます。

③ 手続

　そのほかにも、弁明の機会の付与（改正法案148条の8～10）や行政手続法の適用除外（改正法案148条の16）等の手続に関する規律も提案されていますが、これも他の法令（特に景品表示法）の課徴金制度が参考になるものと思われます。