個人情報保護法は 3年ごとの見直し規定 により改正議論が継続的に行われており、漏えい報告義務・越境移転規制・本人通知の厳格化 など、企業の実務負担を高める方向での議論が進んでいる。
不動産業は、本人確認書類(運転免許証・マイナンバーカード等)・収入証明・家族構成・勤務先 といった極めて機微な個人情報を大量に保有し、さらにIT重説の録画映像・eKYCの容貌画像などデジタル化で扱う情報の種類と量が拡大している。他業種と比べて漏えい時のインパクトが大きい業種の一つだ。
本記事では、従業員25〜100名規模の不動産仲介会社・管理会社の総務部長・情シス責任者 向けに、個人情報保護法の改正論点と不動産業特有の対応ポイントを整理する。
注記: 本記事は個人情報保護法および関連法令(犯収法・宅建業法等)の概要整理を目的としており、個別の運用判断は個人情報保護委員会(PPC)の公表資料・ガイドライン・FAQ、および顧問弁護士への相談を前提としてほしい。
不動産会社が扱う個人情報の特性
不動産業が扱う個人情報は、他業種と比べて以下の特性がある。
1. 情報の機微度が高い
- 本人確認書類の画像データ(犯収法eKYC)
- 収入証明・源泉徴収票・確定申告書
- 家族構成・世帯年収
- 勤務先・勤続年数
- 賃貸保証会社との情報連携に伴う 信用情報
2. 保有期間が長い
宅建業法の帳簿保存義務(原則5年、売買10年)、犯収法の本人確認記録保存義務(7年)と連動し、長期にわたる保存が必要。個人情報の保有期間と削除基準を明確化しないと、必要以上のデータを抱え続けることになる。
3. 関係者が多い
物件オーナー・入居者・保証会社・管理会社・銀行・司法書士・リフォーム業者と関係者が多く、個人データの第三者提供・委託関係が複雑になる。
4. IT重説・eKYCでデジタル情報化
従来は紙で管理されていた本人確認書類が、画像・動画・ログとして大量にシステム内に蓄積される。サイバー攻撃の対象になりやすい。
セクションまとめ: 不動産業の個人情報は「機微・長期保存・関係者多数・デジタル化」の4つの特性が重なる。他業種のテンプレート規程をそのまま使うのは危険。
漏えい報告義務への対応(現行ルールの実務)
個人情報保護委員会(PPC)への報告対象
以下のいずれかに該当する場合、PPCへの報告と本人通知が義務化されている(速報3〜5日以内、確報30〜60日以内)。
- 要配慮個人情報を含む漏えい
- 不正アクセスによる漏えい
- 1,000人超の漏えい
- 財産的被害が生じるおそれ
不動産会社で該当しやすいケース:
- 本人確認書類画像のサーバー流出(犯収法対象情報なので機微度が高い)
- メール誤送信(CCで顧客リスト流出)
- 委託先(保証会社・管理システムベンダー)経由の漏えい
- ランサムウェアによる物件管理システム侵害
速報期限(3〜5日)に間に合う体制が作れているか
漏えい覚知から3〜5日以内の速報は、実務的にかなりタイトな期限だ。中堅不動産会社でよくある詰まりポイントは以下のとおり。
- 誰が覚知したら誰に報告するか の社内フローが未整備
- 委託先で起きた漏えいを自社に通知する契約条項が不足
- 影響範囲の特定(どのお客様のどの情報が流出したか)に時間がかかる
- 本人通知の雛形と通知チャネル(メール・郵送)が未準備
2026年改正で論点となる方向性
継続する改正議論では、以下のような方向が挙げられている(確定情報ではなく、最新動向はPPC公表資料で確認してほしい)。
- 速報期限のさらなる短縮(EU GDPR の72時間に接近する議論)
- 代替措置要件の厳格化
- 罰則の強化(売上高の%表記の議論)
- 越境移転規制のさらなる厳格化
セクションまとめ: 漏えい報告の期限は短く、影響範囲特定と本人通知の事前の型を持っているかで明暗が分かれる。委託契約の見直しも含めた事前整備が必要。
本人確認データ(eKYC・IT重説録画)の管理実務
eKYC画像データの取扱い
犯収法のホ方式eKYCでは、顧客の容貌の画像と本人確認書類の画像を取得・保存する。この情報は以下の性質を持つ。
- 生体情報に近い機微情報
- 犯収法による7年間の保存義務
- 流出時のインパクトが極めて大きい
管理要件:
- 暗号化保存(保存時・通信時)
- アクセス制御(最小権限の原則、ログ取得)
- 委託先管理(eKYCベンダー選定時の安全管理措置確認)
- 削除ルール(保存期間経過後の確実な消去)
IT重説の録画データ
IT重説は国交省ガイドラインで録画または記録の保存が推奨されており、顧客の顔・音声・画面共有資料が含まれる。
- 録画の閲覧権限を宅建士と監査担当に限定
- 録画期間を社内規程で明文化(原則として帳簿保存義務と整合)
- 録画承諾を重説開始時に取得し、ログを残す
委託先(ベンダー)管理
不動産DXでは、IT重説ベンダー・eKYCベンダー・CRMベンダー・電子契約ベンダーと複数の外部事業者に個人データを預ける構造になる。個人情報保護法の委託先の監督義務を果たすため、以下を契約で明記する必要がある。
- 安全管理措置の実施
- 再委託時の事前承認
- 漏えい発生時の即時通知義務
- 監査の受け入れ
- 委託終了時のデータ削除・返却
セクションまとめ: eKYC画像・IT重説録画は特に機微度が高いため、暗号化・アクセス制御・委託先管理の三点セットを要件化。契約書のひな形も更新してほしい。
越境移転規制と海外ベンダーの利用
越境移転に該当するケース
個人データを外国に所在する事業者に提供する場合、本人への情報提供(移転先国の個人情報保護制度、移転先の講じる措置等)が義務化されている。不動産DXで気をつけるべきは以下のケース。
- 海外ベンダーのクラウドCRM・電子契約を利用
- 外国親会社を持つeKYCベンダー
- 海外サーバーに顧客データを保存するSaaS
- 海外コールセンターへの業務委託
「クラウド例外」の誤解
クラウドサービス利用でも、ベンダーが個人データを自らの目的で取り扱わない場合は第三者提供・越境移転に該当しないとする整理がある(いわゆるクラウド例外)。ただし、この整理は契約・仕様・アクセス実態の詳細確認が必要で、PPCの公表FAQでも慎重な解釈が求められている。「クラウドだから例外」と単純に判断するのは危険。
不動産会社が取るべき対応
- 利用中SaaSのデータ所在地(リージョン) の確認
- ベンダーとの契約条項にデータアクセス範囲を明記
- 越境移転に該当する場合は本人同意取得フローをCRMに組み込む
- PPCのFAQ更新を定期ウォッチ
セクションまとめ: クラウド例外は誤解されがち。利用SaaSのデータ所在地と契約条項を棚卸しし、該当する場合は本人同意フローを整備してほしい。
中堅不動産会社の実装チェックリスト
組織・体制:
- [ ] 個人情報保護責任者(CPO/プライバシーオフィサー相当)の任命
- [ ] 漏えい時の社内エスカレーションフロー(覚知→責任者→PPC→本人通知)
- [ ] 委託先(ベンダー)一覧表の作成と個人データフロー図の整備
規程・契約:
- [ ] 個人情報取扱規程の改訂(eKYC画像・IT重説録画の追加)
- [ ] プライバシーポリシーの更新(取扱情報・委託先・越境移転の明示)
- [ ] 委託契約書の見直し(漏えい時の即時通知・監査受入・削除義務)
システム・技術的措置:
- [ ] 本人確認書類画像の暗号化保存
- [ ] アクセス権限の最小化とログ取得
- [ ] 保存期間経過後の自動削除機能
- [ ] 脆弱性診断・ペネトレーションテストの定期実施
教育・監査:
- [ ] 宅建士・営業担当者向けの個人情報保護研修
- [ ] メール誤送信防止(添付ファイル暗号化・誤送信防止ツール)
- [ ] 四半期ごとの運用監査
セクションまとめ: 漏えいは起きてからでは遅い。上記チェックリストのうち未整備項目を四半期ごとに一つずつ潰していく運用が現実的。
まとめ:不動産業の個人情報保護は「業種特化」で設計する
個人情報保護法の改正は、すべての業種に同じ条文が適用されるが、実務対応は業種特性によって大きく異なる。不動産業は 「機微情報・長期保存・関係者多数・デジタル化の波」 の4つが重なる特殊性を持ち、汎用的なテンプレート規程では対応しきれない。
中堅不動産会社が優先すべき3ステップ:
- 個人データフローの可視化(誰から、どの情報が、どのシステムに、誰に流れているか)
- 委託契約と越境移転の棚卸し(SaaS・eKYC・電子契約ベンダーを含む)
- 漏えい時の初動フロー訓練(机上演習で速報3日以内が守れるか検証)
IT導入補助金・事業再構築補助金の活用でシステム更改を行うタイミングは、個人情報保護のガバナンス再構築のベストタイミングでもある。「システム更改と規程改訂をセット」 で進めてほしい。
GXOでは、不動産業の個人情報保護法対応(漏えい対応体制・eKYC/IT重説データ管理・委託先管理・越境移転棚卸し)の無料診断を受け付けております。顧問弁護士と連携した規程改訂、IT導入補助金・事業再構築補助金を活用したシステム更改と合わせたガバナンス再構築まで、伴走支援いたします。まずはお問い合わせフォームよりご相談ください。
GXO実務追記: システム開発・DX投資で発注前に確認すべきこと
この記事のテーマは、単なるトレンド紹介ではなく、要件定義、費用、開発体制、ベンダー選定、保守運用を決めるための検討材料です。検索で情報収集している段階でも、発注前に次の観点を整理しておくと、見積もりのブレ、手戻り、ベンダー依存を減らせます。
まず決めるべき3つの論点
| 論点 | 確認する内容 | 未整理のまま進めた場合のリスク |
|---|---|---|
| 目的 | 売上拡大、工数削減、リスク低減、顧客体験改善のどれを優先するか | 成果指標が曖昧になり、PoCや開発が終わっても投資判断できない |
| 範囲 | 対象部署、対象業務、対象データ、対象システムをどこまで含めるか | 見積もりが膨らむ、または重要な連携が後から漏れる |
| 体制 | 自社責任者、現場担当、ベンダー、保守運用者をどう置くか | 要件確認が遅れ、納期遅延や品質低下につながる |
費用・期間・体制の目安
| フェーズ | 期間目安 | 主な成果物 | GXOが見るポイント |
|---|---|---|---|
| 事前診断 | 1〜2週間 | 課題整理、現行確認、投資判断メモ | 目的と範囲が商談前に整理されているか |
| 要件定義 / 設計 | 3〜6週間 | 要件一覧、RFP、概算見積、ロードマップ | 見積比較できる粒度になっているか |
| PoC / MVP | 1〜3ヶ月 | 検証環境、効果測定、リスク評価 | 本番化判断に必要な数値が取れるか |
| 本番導入 | 3〜6ヶ月 | 本番環境、運用設計、教育、改善計画 | 導入後の運用責任と改善サイクルがあるか |
発注前チェックリスト
- [ ] 発注前に目的、対象業務、利用者、現行課題を1枚に整理したか
- [ ] 必須要件、将来要件、今回はやらない要件を分けたか
- [ ] 見積比較で、開発費だけでなく保守費、運用費、追加改修費を見たか
- [ ] ベンダー選定で、体制、実績、品質管理、セキュリティ、引継ぎ条件を確認したか
- [ ] 検収条件を機能、性能、セキュリティ、ドキュメントで定義したか
- [ ] リリース後3ヶ月の改善運用と責任分界を決めたか
参考にすべき一次情報・公的情報
上記の一次情報は、社内稟議やベンダー比較の根拠として使えます。一方で、公開情報だけでは自社の現行システム、業務フロー、データ状態、予算制約までは判断できません。記事で一般論を把握した後は、自社条件に落とした診断が必要です。
GXOに相談するタイミング
次のいずれかに当てはまる場合は、記事を読み進めるだけでなく、早めに相談した方が安全です。
- 見積もり依頼前に、要件やRFPの粒度を整えたい
- 既存ベンダーの提案が妥当か第三者視点で確認したい
- 補助金、AI、セキュリティ、レガシー刷新が絡み、判断軸が複雑になっている
- 社内稟議で費用対効果、リスク、ロードマップを説明する必要がある
- PoCや診断で終わらせず、本番導入と運用改善まで進めたい
個人情報保護法 2026年改正 × 不動産会社コンプライアンス|漏洩報告義務と本人確認データ管理の実務を自社条件で診断したい方へ
GXOが、現状整理、RFP/要件定義、費用対効果、ベンダー比較、導入ロードマップまで実務目線で確認します。記事の一般論を、自社の投資判断に使える形へ落とし込みます。
※ 初回相談では営業資料の説明よりも、現状・課題・判断材料の整理を優先します。