GXO
個人情報保護

改正個人情報保護法が成立・公布(2026年7月17日)|課徴金とAIデータ利活用が「案」から確定法へ、公布後2年で何から着手するか

25分で読める

QUICK CHECK

本文を読みながら、自社で進めるべきか、相談前に何を整理するかを確認できます。

5分で自社の状況を診断する

GXO COLUMN

IT補助金・制度

結論:議論のフェーズは終わった。ここからは「2年の準備期間をどう使うか」の勝負である

2026年(令和8年)7月10日、「個人情報の保護に関する法律等の一部を改正する法律」が第221回国会で可決・成立し、7月17日に公布された。個人情報保護委員会(PPC)が公式サイトで成立・公布の事実を公表し、あわせて改正法の概要資料を公開している。施行期日は「原則として公布の日から起算して2年を超えない範囲内」とされており、具体的な施行日はまだ確定していないが、遅くとも2028年7月までには新しいルールの下で事業を運営することになる。

ここで最初に強調したいのは、フェーズが変わったという事実そのものだ。当サイトでは法案段階からこの改正を追ってきた。4月の閣議決定時点の全体整理、課徴金制度の設計の深掘り、AI学習データと16歳未満同意の実務論点は、それぞれ既報の記事で扱っている(本文中で該当箇所にリンクする)。それらは「成立するかもしれない案」を前提にした解説だった。本稿は違う。もう国会審議の行方を見守る段階ではなく、確定した法律を前提に、自社の準備を逆算する段階の記事である。「様子見」という選択肢が消えた日として、2026年7月17日を経営カレンダーに刻んでほしい。

そのうえで、本稿の主張は次の三点に集約される。

第一に、守りの面では「勧告を受けてから直せば実害はない」という従来の前提が崩れる。PPCの概要資料自身が現行法の限界をこう説明している——「違反事業者は勧告・命令等を受けた後に違反行為を中止すれば、違反行為から得た経済的利得をそのまま保持することが可能」。改正法はここに課徴金納付命令を差し込み、さらに勧告を前置しない緊急命令が出せる場面を「権利利益の侵害が切迫している場合」へと広げた。指摘されてから直す後追い型のコンプライアンスは、制度設計上の逃げ道を失った。

第二に、攻めの面ではAI開発を含むデータ利活用が明確に緩和される。統計情報等の作成——統計作成等と整理できるAI開発等を含む——にのみ利用される場合、個人データの第三者提供や公開されている要配慮個人情報の取得に本人同意が不要になる。ただしこの特例には公表・書面合意・目的外利用禁止という担保規律が付き、特例に違反した目的外利用・第三者提供はそのまま課徴金の対象類型に入っている。攻めの特例と制裁が表裏一体で設計されている点を読み違えると危ない。

第三に、システム開発の発注・受注の現場には委託先規律の明文化が直撃する。委託を受けた事業者が、委託された業務の遂行に必要な範囲を超えて個人データ等を取り扱うことが、法律の明文で禁止される。これは受託側だけの話ではない。委託元には従来どおり監督義務があり、契約書と運用の両方を作り直す必要が生じる。発注側・受注側のどちらの立場でも、開発委託契約の見直しが施行までの宿題になる。

FREE DOWNLOAD

中小企業のDX推進「失敗を防ぐ5ステップ」ガイドを無料でお送りします

多くの企業がつまずくポイントを着手順に整理した無料ガイド。相談する前に、自社の現在地と進め方を掴めます。

5ステップガイドを無料でダウンロード

この記事を読むべき人

  • 顧客データ・会員データを事業の中核に持つが、法務専任者や強い情シスがいない中堅・中小企業の経営者・役員
  • AI開発や データ分析基盤への投資を検討しており、「個人データを学習・分析に使ってよいのか」の判断を保留したままの事業責任者
  • システム開発を外部に委託している、または受託している会社で、個人データの取扱い条項を数年前の雛形のまま使い回している管理部門
  • 法案段階の報道は目にしたが、「成立したら考える」と言って社内の検討を止めていた会社

逆に、条文の逐条解説や法解釈の網羅を求める読者には向かない。本稿は経営判断——何を、どの順番で、いつまでに——に絞る。

改正の全体像:4本柱を一枚で押さえる

PPCの概要資料は、改正内容を4つの柱に整理している。まず全体をこの表で掴んでほしい。

横にスクロールして確認できます

主な内容経営へのインパクト
1. 適正なデータ利活用の推進統計作成等(AI開発等を含む)なら個人データの第三者提供・公開要配慮個人情報の取得に本人同意不要。本人の意思に反しないことが明らかな取扱いの同意不要化。生命保護・公衆衛生目的の同意取得困難性要件の緩和。病院等を学術研究機関等に含める明示攻め。AI・データ分析投資の法的ボトルネックが下がる
2. リスクに適切に対応した規律16歳未満の同意取得・通知等への法定代理人関与の義務化。顔特徴データ等の周知義務化・オプトアウト提供禁止。委託先の業務範囲外利用の禁止の明文化。漏えい時の本人通知義務の一部緩和子ども向けサービス・カメラ活用・開発委託の契約と運用の作り直し
3. 不適正利用等防止特定個人への働きかけが可能な個人関連情報(電話番号・メールアドレス・Cookie ID等)の不適正利用・不正取得の禁止。オプトアウト提供時の提供先の身元・利用目的の確認義務化「個人情報ではないから自由」という整理が通用しなくなる
4. 規律遵守の実効性確保課徴金制度の新設。勧告を前置しない緊急命令。違反への事実の通知・公表の勧告・命令。罰則強化(行為者個人の法定刑引き上げ等。法人への両罰は従来どおり1億円以下の罰金)。詐欺・不正アクセス等による個人情報の不正取得への直罰新設守り。「指摘されてから直す」戦略の終焉

法案段階の各論の詳しい設計——課徴金の算定方法や適用要件の細部——は、課徴金制度を法律案ベースで深掘りした既報記事を参照してほしい。本稿ではそこで書いた内容の繰り返しを避け、確定後の視点、つまり「どの順番で着手するか」に紙幅を使う。

FREE DOWNLOAD

中小企業のDX推進 5ステップガイド

多様な企業の導入実績から抽出した、失敗を防ぐDX推進の5つのステップを継続解説。

施行タイムライン:確定していること・していないこと

準備の順序を考えるうえで、時間軸の「確定・未確定」を切り分けておくことが出発点になる。

横にスクロールして確認できます

時点事実状態
2026年4月7日改正法案を閣議決定、第221回国会に提出確定(済み)
2026年7月10日国会で可決・成立確定(済み)
2026年7月17日公布確定(済み)
公布後〜政令・委員会規則・ガイドライン等の検討・公表時期未確定。PPCは「円滑な施行に向け、引き続き、政令、規則、ガイドライン等の検討を行ってまいります」と表明
施行日原則として公布の日から起算して2年を超えない範囲内具体日は未確定(政令待ち)。遅くとも2028年7月までと読める

見落としやすいのは、改正法の実務上の細部の多くが「委員会規則等で定めることを想定」と概要資料に明記されている点だ。統計作成等特例の具体的な対象範囲や公表事項、本人の意思に反しないことが明らかな取扱いの具体的範囲、委託先の義務免除の詳細、漏えい時の本人通知緩和の対象範囲——いずれも規則・ガイドラインを待たないと最終形が決まらない。

だからこそ、準備は二層に分けるべきだ。規則が出ないと確定できない層(社内規程の最終文言、公表文面、契約条項の確定版)と、規則を待つ必要がない層(自社の個人データの棚卸し、委託関係の洗い出し、利活用したい用途の候補整理)である。2年の準備期間を有効に使える会社と使えない会社の差は、この切り分けができているかどうかで生まれる。順序としては、規則を待たない層を今から施行前年までに終わらせ、規則・ガイドラインが出た段階で確定作業だけを残す形が合理的だ。

攻めの判断軸:統計作成等特例(AI開発を含む)をどう使うか

今回の改正で経営者が最も誤解しやすいのは、「AI開発なら個人データを自由に使えるようになった」という読み方だ。正確ではない。特例の構造を判断軸として整理する。

判断軸1:目的が「統計情報等の作成」に収まるか

同意不要となるのは、個人データ等の第三者提供および公開されている要配慮個人情報の取得が「統計情報等の作成にのみ利用される場合」である。AI開発はこの中に無条件で入るのではなく、「統計作成等であると整理できるAI開発等」が含まれるという建て付けだ。特定の個人との対応関係が排斥された、一般的・汎用的な分析結果を得るための開発かどうか——ここが分水嶺になる。個々の顧客への働きかけ(ターゲティング、スコアリングした個人への営業)に個人データをそのまま使う用途は、この特例の外である。具体的な対象範囲は委員会規則等で定められる想定なので、際どい用途は規則を待って判断すべき「未確定ゾーン」として管理する。

判断軸2:担保規律を運用できる体制があるか

特例は無条件ではない。概要資料が挙げる担保規律は、(1)氏名・名称や行おうとする統計情報等の作成の内容等、一定の事項の公表、(2)第三者提供の場合は「統計情報等の作成のみを目的とした提供である旨」の提供元・提供先間の書面による合意、(3)取得者・提供先における目的外利用および第三者提供の禁止、である。つまり、公表文面を用意し、契約を交わし、受け取ったデータが統計目的の外に漏れ出さない内部統制を回す、という運用がセットで要る。データサイエンスの能力ではなく、契約と統制の能力が問われる。

判断軸3:特例違反は課徴金の対象類型であることを知っているか

ここが本稿で最も強調したい点だ。課徴金の対象4類型には、不適正利用の禁止違反、適正な取得の義務違反、第三者提供制限違反と並んで、統計特例違反(目的外利用・第三者提供)が明記されている。概要資料は違反例として、統計作成目的で提供を受けた個人データを「統計化等せずにそのまま第三者に販売していた場合」や「そのまま顧客企業に対する広告配信サービスの提供のために用いて利益を得ていた場合」を挙げる。攻めの特例に乗るということは、課徴金の射程に自ら足を踏み入れることでもある。データを受け取る側(AI開発の受託者を含む)は、この非対称なリスクを見積もったうえで契約に臨む必要がある。

判断軸4:それでも「準備を始める価値」は大きい

慎重論に傾きすぎるのも判断ミスだ。複数の事業者が持つデータを共有して横断的に解析するニーズに応えることが、この特例の立法趣旨として明示されている。自社データだけではAIモデルの精度が出ない、業界データと突合したいが同意の取り直しが現実的でない——そうした構想が「同意の壁」で止まっていた会社にとって、施行後は選択肢が確実に広がる。いま着手すべきは、(1)特例を使いたい用途の候補リスト化、(2)データの出し手・受け手になる相手先の想定、(3)担保規律を回すための社内の責任者決めまでだ。規則確定前でもここまでは進められるし、ここまで進めてある会社だけが施行と同時に動ける。

自社の構想が特例の内か外か、そもそもAIで何を作れば投資に見合うのか——その入口の整理から必要な場合は、GXOのAI導入可否アセスメントで、要件と法的な論点の切り分けを含めた壁打ちから始めるのが早い。なお、法案審議中の時点でのAI学習データと16歳未満同意の論点整理は既報の解説記事に詳しいので、同意フロー設計の各論はそちらを参照してほしい。

守りの判断軸:課徴金・緊急命令・委託先規律で「後追い型」が通用しなくなる

「勧告を受けてから直せば無傷」の構造的な終わり

現行法の下では、PPCから勧告や命令を受けても、そこで違反行為をやめれば行政上の金銭的制裁はなく、違反から得た利益も手元に残った。概要資料はこの構造を現行法の限界として明示し、「違反行為の経済的誘因を小さくする」ために課徴金を導入すると説明している。あわせて命令の要件も見直され、個人の権利利益の侵害が切迫している場合には勧告を前置せずに緊急命令を出せるようになり、命令の内容にも「本人に対する違反行為に係る事実の通知又は公表」を含められるようになった。行政対応の初手が「改善のお願い」から始まるとは限らなくなる、ということだ。

ただし、過剰に怯える必要もない。課徴金の対象は、(1)対象行為の限定(前述の4類型)、(2)事業者が対象行為を防止するための相当の注意を怠っていなかった場合の除外、(3)個人の権利利益が侵害され又は侵害される具体的なおそれが生じた場合への限定、(4)対象行為に係る本人の数について1,000人を基準とする大規模事案への限定、という絞り込みがかかっており、金額も違反行為によって得た財産上の利益に相当する額——GDPRのような売上高比例ではなく、違法な儲けの吐き出し型——である。サイバー攻撃を受けて漏えいしたこと自体が課徴金に直結する制度ではない。この点の詳細な整理は課徴金制度の既報解説に譲る。

経営として持ち帰るべき判断軸はむしろこうだ。「相当の注意を怠っていなかった」と将来証明できる体制を、いま作っているか。課徴金の除外要件も、緊急命令への対応も、結局は「誰が・いつ・どのデータを・何の根拠で扱ったか」を自社が説明できるかにかかっている。1,000人という基準に照らせば、会員1,000人超のECサイト、従業員名簿と採用応募者を合わせて1,000人を超える中堅企業、顧客リストを持つBtoC事業のほとんどが「大規模事案になり得る母数」を既に抱えている。自社のどのデータベースが1,000人を超えているかを即答できないなら、それが最初の宿題である。

委託先規律:システム開発の発注側・受注側の双方に効く

今回の改正で、システム開発業界にとって最も実務的な変更が委託先規律の明文化だ。背景として概要資料は「委託元による委託先の監督等が十分に機能せず、委託先が委託された業務の範囲を超えて独自に個人データ等を利用する事案も生じている」と指摘し、委託された個人データ等を「当該委託を受けた業務の遂行に必要な範囲を超えて取り扱ってはならない」義務を委託先に直接課すことにした。例外は法令に基づく場合と、人命救助・災害救援等の非常事態への緊急対応に限られる想定だ。

これが開発現場で何を意味するか、具体的に書く。受託開発会社が、預かった本番データを別案件の検証に流用する。AI開発ベンダーが、顧客から預かった学習データを自社汎用モデルの改善に転用する。保守ベンダーが、障害調査で抽出した顧客データを社内の営業資料に使う。——グレーな慣行として現場に残っていたこれらは、施行後は委託先自身の明文の法律違反になる。一方で、委託元から指示された方法で機械的にデータを取り扱うだけの委託先については、取扱いの方法の全部を契約で合意し、委託元が取扱状況を把握するための措置に合意した場合に、義務の一部を免除する仕組みも入る(範囲外利用の禁止と安全管理義務は免除されない)。つまり、契約書の書き方次第で受託側の義務の重さが変わる設計であり、免除の詳細は委員会規則待ちだ。

発注側の経営者に伝えたいのは、これを「ベンダーの問題」と読まないことだ。委託元の監督義務は従来どおり残る。むしろ、委託先が法律上の直接義務を負う以上、契約書に取扱範囲・再委託・返還消去・報告の条項がない発注は、施行後には双方にとってリスクの塊になる。開発委託契約の雛形を数年前のまま使い回している会社は、施行を待たず、次の発注から個人データ条項を見直すべきだ。これから新規のシステム開発やリプレイスを計画しているなら、要件定義の段階でデータの取扱い設計と契約条項を組み込むのが最も安くつく。GXOではDX・システム開発の支援において、発注側の立場でこうした委託条件の整理から入ることができる。

守りのチェックリスト:施行までに潰すべき10項目

規則・ガイドラインの確定を待たずに始められる守りの点検項目を、着手順に並べる。

  1. 個人データの棚卸し:どの部門が、どのシステムに、何人分の個人データを持つか。1,000人超のデータベースを特定する
  2. データフローの可視化:取得→利用→第三者提供→委託→廃棄の流れを主要データごとに1枚に描く
  3. 第三者提供の洗い出し:同意に基づく提供、オプトアウト、委託・共同利用の区別が説明できるか。オプトアウトに依拠している提供があるなら、提供先の身元・利用目的の確認義務化に耐えられるか
  4. 委託契約の点検(発注側):個人データの取扱範囲・再委託・返還消去・漏えい時報告の条項があるか。監督の実態(選定・契約・把握)が回っているか
  5. 受託業務の点検(受注側):預かりデータを契約範囲外で使っている業務・慣行がないか。免除ルートを狙うなら取扱方法の全部合意に耐える文書化ができるか
  6. 16歳未満の該当性確認:自社サービスの利用者に16歳未満が含まれ得るか。含まれるなら年齢確認と法定代理人関与のフロー設計が必要になる
  7. 顔特徴データ等の利用有無:入退室管理・防犯カメラ・本人認証で顔識別を使っていないか。使っているなら周知義務化への対応が要る
  8. 個人関連情報の整理:「個人情報ではないから規制外」と整理してきたメールアドレス・電話番号・Cookie ID等の取扱いを、不適正利用・不正取得禁止の観点で再点検する
  9. 漏えい対応手順の更新:報告・本人通知の現行手順を文書化する。通知緩和の対象範囲は規則待ちだが、手順が文書化されていなければ緩和の恩恵も受けられない
  10. 証跡の整備:アクセスログ・持ち出し記録・委託先報告など、「相当の注意」を事後に示せる記録が残る仕組みになっているか

このうち9と10は、個人情報保護法対応であると同時にセキュリティ体制の問題でもある。今回の改正では、詐欺行為や不正アクセス等により個人情報を不正取得する行為への直罰が新設され、行為者個人の法定刑も引き上げられた(個人情報データベース等の不正提供等に対する法人の罰金刑は、令和2年改正で導入済みの1億円以下が維持される)。攻撃者側への罰則強化は歓迎すべき変化だが、裏を返せば、内部不正やアクセス管理の穴を放置した会社が「相当の注意」を主張する難易度は上がる。自社の管理体制がこの水準に耐えるか不安がある場合は、セキュリティ診断で現状の穴を第三者の目で確認しておくことを勧める。

公布後2年の着手順序:経営としてのロードマップ

以上を、時間軸に沿った着手順序としてまとめる。厳密な期日は施行日(未確定)から逆算して各社で引き直してほしい。

横にスクロールして確認できます

フェーズ時期の目安やること
フェーズ0:現状把握いま〜3か月データ棚卸し・データフロー可視化・1,000人超DBの特定・委託関係の洗い出し(チェックリスト1〜5)
フェーズ1:規則を待たない設計〜施行前年委託契約雛形の改訂着手、16歳未満・顔特徴データ・個人関連情報の該当性判定、統計特例を使いたい用途の候補整理と相手先想定
フェーズ2:規則・ガイドライン反映政令・規則・ガイドライン公表後社内規程・公表文面・契約条項の最終確定、同意管理・年齢確認・ログなどシステム改修の実装、統計特例の運用開始判断
フェーズ3:施行前の総点検施行6か月前〜全社周知・教育、委託先への通知と契約巻き直しの完了確認、漏えい対応訓練

順序の設計思想は一つだ。「規則が出てから全部やる」と、フェーズ2に現状把握と設計が雪崩れ込み、システム改修と契約巻き直しが施行に間に合わなくなる。逆に、フェーズ0・1を先に終えておけば、規則公表後にやることは確定作業と実装だけになる。2年は長いようで、契約の巻き直し先が数十社ある会社や、システム改修に予算年度の壁がある会社にとっては決して長くない。

よくある質問(FAQ)

Q1. 施行日はいつですか。 未確定である。改正法は「原則として公布の日から起算して2年を超えない範囲内」で施行するとされており、公布日が2026年7月17日なので、原則どおりなら2028年7月までに施行される計算になる(「原則として」の文言上、規定によって施行時期が異なる可能性は残る)。具体日は今後の政令で定まる。PPCの公式発表を継続的に確認してほしい。

Q2. 中小企業にも課徴金は適用されますか。 企業規模による適用除外は概要資料に示されていない。ただし対象は4類型の違反行為に限られ、相当の注意を怠っていなかった場合は外れ、本人数1,000人を基準とする大規模事案への限定もある。規模の小さい会社でも顧客・従業員・応募者を合算して1,000人を超えるデータを持つことは珍しくないため、「中小だから無関係」とは言えない。

Q3. AI開発に個人データを使うことは全面的に自由になったのですか。 違う。同意不要となるのは「統計情報等の作成」(統計作成等と整理できるAI開発等を含む)にのみ利用される場合で、公表・書面合意・目的外利用禁止という担保規律が条件になる。特定の個人への働きかけに使う用途は特例の外であり、特例違反の目的外利用・第三者提供は課徴金の対象類型である。

Q4. 開発を受託している側です。何が変わりますか。 委託された個人データ等を、委託業務の遂行に必要な範囲を超えて取り扱うことが明文で禁止される。預かりデータの別案件流用や自社サービス改善への転用は、契約以前に法律違反になる。一方、委託元の指示どおり機械的に取り扱うだけの場合に義務の一部が免除される仕組みも入るため、契約書での取扱方法の合意のしかたが今まで以上に重要になる。

Q5. 法案段階で準備を始めていた会社は、やり直しが必要ですか。 方向性のやり直しは不要である。成立した法律の骨格は閣議決定時の法案の枠組みを維持している。ただし細部は政令・委員会規則・ガイドラインで確定するため、法案段階の解説記事や社内資料を根拠に規程の最終文言まで固めるのは早い。「確定した骨格で設計を進め、規則で最終化する」二段構えに切り替えてほしい。

GXOに相談すべきタイミング

次のいずれかに当てはまるなら、規則・ガイドラインの公表を待つ前に、一度外部の目を入れる価値がある。

  • 自社のどのデータベースが1,000人を超えるか、第三者提供・委託がどこに何本あるか、即答できない
  • AI開発・データ分析への投資構想はあるが、統計作成等特例の内か外かの整理がつかず止まっている
  • 開発委託契約の雛形を数年前から更新しておらず、個人データ条項の有無すら把握していない
  • 施行までの2年で何にいくらかかるのか、システム改修・契約巻き直し・体制整備の全体量を見積もれていない

GXOは法律事務所ではないため、法解釈の最終判断は弁護士の領分である。GXOが提供できるのは、その手前の実務——データフローの棚卸し、AI活用構想の要件整理、委託契約に紐づくシステム側の設計、セキュリティ体制の点検——を、発注側の立場で一緒に進めることだ。AI・データ利活用の構想段階ならAI導入可否アセスメントで30分の壁打ちから、既存システムの改修や再構築を伴うならDX・システム開発の相談から、管理体制・証跡の不安が先に立つならセキュリティ診断から、入口を選んでほしい。2年の準備期間は、先に動いた会社にとっては攻めの投資期間であり、動かなかった会社にとっては施行直前の駆け込みコストになる。

参考ソース(一次情報)

※本記事は2026年7月19日時点で上記一次情報を確認して執筆した。施行日、政令・委員会規則・ガイドラインの内容は本記事時点で未確定であり、今後の公表により本記事の記載と異なる運用が定まる可能性がある。個別の法解釈・適用判断は弁護士等の専門家に確認してほしい。

ISSUE HUB

法令・監査に対応したいの全体像を見る

関連する中カテゴリ・小カテゴリ・記事を横断し、課題の整理、優先順位、解決策をまとめて確認できます。

課題別ハブを見る

CATEGORY CLUSTER

同じ課題で読む

この記事の親カテゴリと近い小カテゴリをたどると、課題の全体像から具体的な解決策まで順に確認できます。

関連 HUB

この記事は以下の業種・悩み hub にも掲載されています。同じテーマの実務ナレッジと支援サービスをまとめてご覧いただけます。

お気軽にご相談ください

AI・DXに関するご質問やお見積もりなど

無料相談する

CONTACT

まずは 無料相談 から始めませんか。

サービスについてのご相談・ご質問などお気軽にお問い合わせください。
※ 営業電話はしません | オンライン対応可 | 相談だけでもOK