「課徴金」という言葉に、ぎくりとした経営者は少なくないだろう。 個人情報保護法の「いわゆる3年ごと見直し」を受けた改正法案が、2026年4月7日に閣議決定され、同日、第221回国会に提出された。日本で初めて個人情報の取扱い違反に対する課徴金制度を導入する内容が含まれている。
ただし重要な前提として、本記事の執筆時点(2026年6月2日)で、この改正法案はまだ国会で審議中であり、成立も公布もしていない。 課徴金制度をはじめとする新しい論点は「法案段階」であり、施行は法案成立後さらに先(課徴金など主要な制度は公布から2年以内、2028年頃が見込み。一部の規定は公布から6か月経過日など別途定め)になる。一方で、漏えい等報告義務や安全管理措置といった現行法ですでに義務化されている事項は、改正を待たず今すぐ守らなければならない。
本記事では、(1)中堅・中小企業が今すぐやるべき「確定対応」と、(2)今後ウォッチすべき「改正動向」を切り分けたうえで、管理部門の責任者が今日から使える10項目チェックリストを解説する。なお、課徴金などの法案内容は審議の過程で修正される可能性があるため、最終的な判断は個人情報保護委員会の公表資料(記事末尾の参考資料を参照)で確認してほしい。
目次
- 今すぐやるべき確定対応とウォッチすべき改正動向
- 改正動向の全体像(法案段階)
- 課徴金制度の論点と注意点(検討中)
- 中小企業向け10項目チェックリスト
- 個人情報取扱いの棚卸し方法
- プライバシーポリシー更新テンプレート
- 違反時のリスクシミュレーション
- まとめ:対応スケジュール
今すぐやるべき確定対応とウォッチすべき改正動向
最初に、最も大切な切り分けを示す。「現行法ですでに義務化されている確定事項」と「改正法案で検討中の今後の動向」を混同しないことが、過剰投資も対応漏れも防ぐ鍵になる。
A. 今すぐやるべき確定対応(現行法・すでに義務)
これらは改正を待つ必要がない。違反すれば現行法で是正勧告・命令・罰則の対象になり得る。
| 項目 | 内容 |
|---|---|
| 漏えい等報告義務 | 一定の漏えい等が発生した場合、個人情報保護委員会へ速報(概ね3〜5日以内)と確報(30日以内、不正の目的による場合は60日以内)を報告。あわせて本人への通知が必要 |
| 安全管理措置 | 組織的・人的・物理的・技術的安全管理措置を講じる義務 |
| 利用目的の特定・通知公表 | 利用目的をできる限り特定し、本人に通知または公表する |
| 委託先の監督 | 委託する場合、委託先に対する必要かつ適切な監督を行う |
| 開示・訂正・利用停止請求への対応 | 本人からの請求に法令に従って対応する |
B. ウォッチすべき改正動向(法案段階・未成立/未公布/未施行)
これらは2026年4月7日に閣議決定・国会提出された改正法案に含まれる内容だ。2026年6月2日時点の審議経過は、4月7日提出 → 5月21日衆議院委員会で可決 → 5月26日衆議院本会議で可決 → 参議院に送付され審議中であり、まだ成立も公布もしていない。審議で変わる可能性があるため、確定情報は個人情報保護委員会の発表を都度確認すること。
| 論点 | 改正法案での扱い(検討中) |
|---|---|
| 課徴金制度 | 違法な第三者提供・不正取得・目的外利用などで財産上の利益を得た場合に課徴金納付を命じる制度を新設する方向。算定は売上高ではなく、違法行為により得た財産上の利益(その対価として得た金銭等)を基礎とする設計で、具体的な算定方法は政令に委任 |
| こどもの個人情報 | 16歳未満について法定代理人の関与(同意・通知)、利用停止請求権の拡充、本人の最善の利益への配慮などを検討 |
| 団体による差止・被害回復請求 | 適格消費者団体等による差止・被害回復請求制度は、今回の「3年ごと見直し」(個人情報保護委員会の制度改正方針)では見送りの方向 |
| 施行時期 | 段階施行。課徴金など主要な新制度は公布日から2年を超えない範囲で政令で定める日に施行(2028年頃の見込み)。ただし法案附則上、一部の規定は公布から6か月を経過した日など別の時期が定められている。具体的な区分は成立後の政令・個人情報保護委員会資料で要確認 |
注意: 旧版の本記事では「2025年6月公布」「2026年秋施行」「売上ベースの課徴金」「団体訴訟の対象拡大」と記載していたが、これらは最新の制度動向と異なるため修正した。最新の正確な情報は必ず個人情報保護委員会の一次資料で確認してほしい。
FREE CONSULTATION
この記事の内容について、専門家に相談できます
AI・DX・セキュリティに関するご質問やお見積もりなど、お気軽にお問い合わせください。
改正動向の全体像(法案段階)
改正法案の主なポイント
下表は2026年4月7日に閣議決定・国会提出された改正法案の主な論点である。すべて法案段階であり、成立・施行はしていない。
| # | 改正ポイント | 中小企業への想定影響 | ステータス |
|---|---|---|---|
| 1 | 課徴金制度の導入 | 違法な取扱いで利益を得た場合の金銭的制裁 | 法案段階(算定方法は政令) |
| 2 | こどもの個人情報の特則 | 16歳未満の情報に追加の保護義務 | 法案段階 |
| 3 | データ利活用の促進 | 統計作成等の一定要件下での利用緩和 | 法案段階 |
| 4 | 団体による差止・被害回復請求 | (導入されれば影響大だが)今回は見送りの方向 | 見送り |
想定スケジュール(確定ではない)
| 時期 | 内容 | 確度 |
|---|---|---|
| 2026年1月9日 | 個人情報保護委員会が「3年ごと見直しの制度改正方針」を公表 | 確定(実施済み) |
| 2026年4月7日 | 改正法律案を閣議決定・第221回国会に提出 | 確定(実施済み) |
| 2026年5月21日 | 衆議院委員会で可決 | 確定(実施済み) |
| 2026年5月26日 | 衆議院本会議で可決 | 確定(実施済み) |
| 2026年6月2日時点 | 参議院に送付され審議中(未成立・未公布) | 確定(審議中) |
| 成立時期(見込み) | 参議院での審議・採決を経て成立する可能性 | 未確定(審議中) |
| 成立・公布後 | 政令・規則の整備(課徴金の算定方法等) | 未確定 |
| 公布から6か月経過日など(法案附則) | 一部規定の先行施行 | 未確定 |
| 公布から2年以内(2028年頃の見込み) | 課徴金など主要な新制度の施行 | 未確定 |
重要: 施行はまだ先だが、AやBの整理のとおり、漏えい報告・安全管理措置などの確定事項は今すぐ対応が必要だ。課徴金など新制度は、成立後の施行に向けて体制を前倒しで整えておくと安全という位置づけになる。
課徴金制度の論点と注意点(検討中)
ここで扱う内容はすべて改正法案の段階であり、成立・施行していない。中堅・中小企業として押さえておくべき論点を整理する。
押さえるべき3つのポイント
-
対象は「利益を得た違法行為」/算定は利益額ベース — 改正法案では、違法な第三者提供・不正取得・目的外利用などにより財産上の利益を得た場合に課徴金を命じる方向で設計されている。課徴金額は売上高ではなく、違法行為(またはこれをやめること)の対価として得た金銭等の財産的利益を基礎とする設計とされており、具体的な算定方法は政令に委ねられている。現時点で具体的な金額や料率は確定していない。
-
安全管理措置の不備による漏えいは課徴金の対象外(方針) — 個人情報保護委員会の方針では、事業者が安全管理措置義務を怠って大規模漏えいが起きたケースは、課徴金の対象外とする整理が示されている。つまり「うっかり漏えい」そのものが直ちに課徴金になるわけではない(ただし現行法の報告義務・是正命令等の対象である点は変わらない)。
-
金額・上限・減免の詳細は未確定 — 課徴金の上限額、算定料率、自主申告による減免の有無といった詳細は、法案成立後の政令・規則で定められる見込みであり、2026年6月時点では確定していない。
旧版にあった「売上の1%で◯◯万円」といった金額試算は、算定方法が確定していない現時点では誤解を招くため削除した。確定情報が公表され次第、自社の数値で試算するのが適切だ。
中堅・中小企業の実務としては、金額の試算に先回りするより、Aの確定対応(漏えい報告フロー・安全管理措置・利用目的の明確化・委託先監督)を確実に固めておくことが、課徴金制度が施行された場合の最善の備えになる。
中小企業向け10項目チェックリスト
以下の10項目を順にチェックしてほしい。項目1〜9は現行法のもとで今すぐ整えるべき確定対応、項目10は改正動向(こどもの個人情報)を見据えた先行整備という位置づけだ。「未対応」が3つ以上ある場合は、早急な対策が必要だ。
基本体制(項目1〜3)
| # | チェック項目 | 対応済 / 未対応 |
|---|---|---|
| 1 | 個人情報保護管理者(責任者)を任命しているか | |
| 2 | 個人情報の取扱いに関する 社内規程 が存在し、過去1年以内に見直しを行っているか | |
| 3 | 従業員に対する 個人情報保護研修 を年1回以上実施しているか |
データ管理(項目4〜6)
| # | チェック項目 | 対応済 / 未対応 |
|---|---|---|
| 4 | 自社が保有する個人情報の 種類・件数・保管場所 を一覧化(台帳化)しているか | |
| 5 | 個人情報へのアクセス権限を 必要最小限の範囲 に制限しているか | |
| 6 | 個人情報の 利用目的 を明示し、目的外利用を防止する仕組みがあるか |
インシデント対応(項目7〜8)
| # | チェック項目 | 対応済 / 未対応 |
|---|---|---|
| 7 | 個人情報の漏えい発生時の 報告フロー(個人情報保護委員会への報告手順)を定めているか | |
| 8 | 報告に必要な ログの保存期間 を180日以上に設定しているか |
外部委託・こども対応(項目9〜10)
| # | チェック項目 | 対応済 / 未対応 |
|---|---|---|
| 9 | 個人情報の取扱いを外部委託している場合、委託先の監督体制(契約条項、定期監査)を整備しているか | |
| 10 | 16歳未満の利用者がいるサービスの場合、こどもの個人情報の取扱い(法定代理人の関与を含む追加の保護措置)を確認・整理しているか(※改正法案の動向を踏まえた先行整備) |
判定基準
| 未対応の数 | 評価 | 推奨アクション |
|---|---|---|
| 0個 | 良好 | 年次レビューを継続 |
| 1〜2個 | 要改善 | 3か月以内に未対応項目を解消 |
| 3〜5個 | 要注意 | 優先度を決めて即時着手 |
| 6個以上 | 危険 | 専門家の支援を受けて包括的に見直し |
個人情報取扱いの棚卸し方法
チェックリストの 項目4(個人情報の台帳化) は、すべての対策の土台になる。以下の手順で棚卸しを進める。
ステップ1:部署ごとに洗い出す
各部署が保有する個人情報を以下のフォーマットで一覧化する。
| 部署 | データの種類 | 件数 | 保管場所 | 保管形式 | 利用目的 | 保存期間 |
|---|---|---|---|---|---|---|
| 営業部 | 顧客名簿(氏名・電話・メール) | 約3,000件 | 社内サーバー | Excel | 営業連絡 | 取引終了後3年 |
| 人事部 | 従業員情報(マイナンバー含む) | 50件 | クラウド(freee) | SaaS | 給与計算・社会保険手続き | 退職後7年 |
| EC部門 | 購入者情報(住所・決済情報) | 約10,000件 | Shopify | SaaS | 配送・アフターサービス | 最終取引後5年 |
ステップ2:リスク評価を行う
| リスクレベル | 基準 | 対応 |
|---|---|---|
| 高 | 要配慮個人情報(病歴、犯罪歴等)、マイナンバー、決済情報 | 暗号化・アクセスログ監視必須 |
| 中 | 氏名・住所・電話番号の組合せ(1,000件以上) | アクセス制限・定期監査 |
| 低 | メールアドレスのみ、社内従業員の業務連絡先 | 基本的な管理措置 |
ステップ3:不要なデータを削除する
棚卸しの結果、保存期間を超過しているデータや利用目的を失ったデータがあれば、速やかに安全な方法で削除する。不要なデータの保持自体がリスクだ。
プライバシーポリシー更新テンプレート
2026年改正に対応するため、既存のプライバシーポリシーに以下の項目が含まれているか確認し、不足があれば追記する。
追記・更新が必要な項目
| # | 項目 | 記載例(要旨) |
|---|---|---|
| 1 | コンプライアンス体制 | 「当社は個人情報保護法を遵守し、違反行為の防止に努めます」(※課徴金制度への直接的な言及は不要だが、コンプライアンス体制の記載を強化) |
| 2 | インシデント報告の方針 | 「漏えい等が発生した場合、法令に基づき個人情報保護委員会および本人に速やかに報告・通知します」 |
| 3 | こどもの個人情報 | 「16歳未満の方の個人情報については、法定代理人(保護者)の同意を得た上で取得します」(※改正動向を見据えた記載) |
| 4 | 利用目的の明確化 | 各データ種別ごとに具体的な利用目的を列記(曖昧な「事業活動のため」は不十分) |
| 5 | 第三者提供の条件 | 委託先・グループ企業への提供範囲と安全管理措置を具体的に記載 |
| 6 | 開示・訂正・削除請求の手続き | 請求窓口(連絡先)、手続き方法、回答期限を明記 |
チェックポイント
- 最終更新日が古いままのプライバシーポリシーは、現行法(漏えい報告・利用目的の明確化等)への適合を改めて点検する
- 利用目的に 「その他当社の事業活動のため」 のような包括的記載のみの場合は、具体化が必要
- Cookie・アクセス解析ツール(GA4等)の利用について記載がなければ追記する
違反時のリスクシミュレーション
課徴金だけが違反のコストではない。以下は、個人情報漏えいが発生した場合に想定されるコストの全体像だ。
漏えい1,000件のケース(中小企業想定)
| コスト項目 | 金額目安 | 備考 |
|---|---|---|
| 課徴金 | (未確定) | 改正法案が成立・施行した場合のみ。算定方法は政令で定まる見込みで、現時点で金額は確定していない |
| フォレンジック調査費用 | 200万〜500万円 | 原因特定・影響範囲の調査 |
| 本人通知費用 | 50万〜100万円 | 郵送・コールセンター設置 |
| 信用毀損による売上減 | 算定困難 | 取引先からの契約解除リスク |
| 損害賠償(訴訟の場合) | 1人あたり数千円が目安 | 過去事例では1人あたり数百円〜数千円の幅。1,000件規模なら数十万〜数百万円 |
| 再発防止策の実装 | 100万〜300万円 | システム改修・研修等 |
| 合計 | 数百万〜1,000万円超 | 課徴金が施行された場合はこれに上乗せされ得る |
ここで挙げた課徴金以外の項目は、現行法のもとでも漏えいが起きれば現実に発生し得るコストだ。改正法案が成立すれば、これに課徴金が加わる可能性がある。予防コスト(年間数十万〜100万円程度)と比較すれば、事前対策の費用対効果は高い。(※各金額は事案の規模・内容により大きく変動する目安であり、確定値ではない)
自社の個人情報保護対応、確定対応はできていますか?
漏えい報告フローの整備、個人情報の棚卸し、プライバシーポリシーの更新、社内研修まで、現行法で「今すぐやるべき確定対応」を無料で診断します。課徴金など改正動向への先行整備もあわせてご提案。チェックリストの結果をもとに、貴社に必要な対策と優先順位を具体的にお示しします。
※ オンライン完結OK | システム面の安全管理措置の相談も可能
まとめ:対応スケジュール
最後に、「今すぐの確定対応」と「改正動向への備え」を時系列で整理する。
| 時期 | やるべきこと | 区分 |
|---|---|---|
| 今すぐ | 10項目チェックリストで自社の現状を把握 | 確定対応 |
| 直近(〜数か月) | 個人情報の棚卸し、不要データの削除、漏えい報告フロー(速報・確報・本人通知)の整備 | 確定対応 |
| 直近(〜数か月) | プライバシーポリシー・社内規程の点検と更新、従業員研修の実施 | 確定対応 |
| 継続 | 安全管理措置・委託先監督・利用目的の明確化を維持 | 確定対応 |
| 改正法の審議・成立を注視 | 個人情報保護委員会の発表をウォッチし、課徴金・こども特則の確定内容を確認 | 改正動向 |
| 成立・公布後(主要な新制度の施行は公布から2年以内・一部規定は6か月経過日など) | 課徴金など新制度に向けた体制の前倒し整備 | 改正動向 |
改正法案はまだ審議中だが、現行法の確定対応は待ったなしだ。チェックリストの「未対応」を1つずつ消していくことが、漏えいリスクと将来の課徴金リスクの両方から自社を守る最も確実な方法だ。
参考資料
- 個人情報保護委員会(一次情報の最新確認先)
- 個人情報保護委員会「個人情報の保護に関する法律等の一部を改正する法律案」の閣議決定について(令和8年4月7日)
- 個人情報保護委員会「個人情報保護法 いわゆる3年ごと見直しについて」
- 個人情報保護委員会「漏えい等報告・本人への通知の義務化について」
- 個人情報保護委員会「漏えい等の対応とお役立ち資料」
<!-- GXO_EVIDENCE_DEEPENING_20260507_START -->
追加の一次情報・確認観点
この記事の内容を社内で検討する場合は、一般論だけで判断せず、次の一次情報と自社データを照合してください。特に、稟議・RFP・ベンダー選定では「何を実装するか」よりも「どのリスクをどの水準まで下げるか」を先に決めると、見積もり比較のブレを抑えられます。
| 確認領域 | 参照先 | 自社で確認すること |
|---|---|---|
| デジタル調達 | デジタル庁 | 要件定義、調達、プロジェクト管理の標準観点を確認する |
| Webアプリ品質 | OWASP ASVS | 認証、認可、入力検証、ログ、セッション管理を確認する |
| DX推進 | 経済産業省 DX | レガシー刷新、経営課題、IT投資判断の前提を確認する |
| DX推進 | IPA デジタル基盤センター | DX推進指標、IT人材、デジタル基盤の観点で現状を確認する |
| 個人情報 | 個人情報保護委員会 | 個人情報・委託先管理・利用目的・安全管理措置を確認する |
稟議・RFPで使う数値設計
投資判断では、導入前後で測れる指標を3から5個に絞ります。下表のように、現状値・目標値・測定方法・責任者をセットにしておくと、PoC後に本番化するかどうかを判断しやすくなります。
| 指標 | 現状確認 | 目標の置き方 | 失敗しやすい例 |
|---|---|---|---|
| 対象業務数 | 現状の対象業務を棚卸し | 初期は1から3業務に限定 | 対象を広げすぎて要件が固まらない |
| 月間処理件数 | 件数、担当者、例外率を確認 | 上位20%の高頻度業務から改善 | 件数が少ない業務を先に自動化する |
| 例外対応率 | 手戻り、確認待ち、属人判断を計測 | 例外の分類と承認ルールを定義 | 例外をAIやシステムだけで吸収しようとする |
| 追加要件率 | 過去案件の変更件数を確認 | 要件凍結ラインを設定 | 見積後に仕様が増え続ける |
| 障害・手戻り件数 | 問い合わせ、障害、改修履歴を確認 | 受入基準とテスト観点を定義 | テストをベンダー任せにする |
よくある失敗と回避策
| 失敗パターン | 起きる理由 | 回避策 |
|---|---|---|
| 目的が曖昧なままツール選定に入る | 比較軸が価格や機能数に寄る | 経営課題、業務課題、測定KPIを先に固定する |
| 現場確認が不足する | 例外処理や非公式運用が見落とされる | 担当者ヒアリングと実データ確認を必ず行う |
| 運用責任者が決まっていない | 導入後の改善が止まる | 業務側とIT側の責任分界をRACIで定義する |
| RFPが抽象的で見積が比較できない | 業務フロー、データ、非機能要件が不足 | 見積前に要件定義と受入条件を固める |
GXOに相談する前に整理しておく情報
初回相談では、次の情報があると診断と提案の精度が上がります。すべて揃っていなくても問題ありませんが、分かる範囲で用意しておくと、概算費用・期間・体制の見立てを早く出せます。
- 対象業務の現行フロー、利用中システム、Excel・紙・チャット運用の一覧
- 月間件数、担当人数、手戻り件数、確認待ち時間などの概算
- 個人情報、機密情報、外部委託、権限管理に関する制約
- 希望開始時期、予算レンジ、社内承認者、決裁までの流れ
- 既存システム構成、画面・帳票・データ項目、外部連携、現行ベンダー契約
GXOでは、現状整理、要件定義、RFP作成、ベンダー比較、PoC設計、本番移行計画まで一気通貫で支援できます。記事の内容を自社に当てはめたい場合は、まずは現在の課題と制約を共有してください。
<!-- GXO_EVIDENCE_DEEPENING_20260507_END -->