個人情報保護委員会「令和6年度 個人情報の保護に関する法律施行状況の報告」(2025年9月公表)によると、2024年度の個人情報漏洩報告件数は前年比32%増の1万3,279件を記録した。2026年秋に施行予定の改正個人情報保護法では課徴金制度が導入され、違反への金銭的制裁が現実のリスクになる。EU域内に顧客や拠点を持つ企業は、GDPRの制裁金リスク(全世界売上高の最大4%)にも備えなければならない。
「法律はわかった。で、対応するシステムにいくらかかるのか」——この問いに対して、本記事では具体的な費用相場を提示する。同意管理(CMP)、Cookie管理、データマッピング、DSAR(本人開示請求)対応の各機能について、SaaS導入とカスタム開発の費用を整理した。「何を、どの順番で、いくらで構築すべきか」を判断する材料にしていただきたい。
目次
- 個人情報保護法/GDPR対応システムの全体像
- 費用相場 -- SaaS導入とカスタム開発の比較
- 同意管理(CMP)・Cookie管理の機能と費用
- データマッピング・データインベントリの設計
- DSAR(本人開示請求)対応システムの構築
- 開発の優先順位 -- 何から始めるべきか
- 開発会社の選び方
- まとめ
- FAQ
- 参考資料
- 付録
1. 個人情報保護法/GDPR対応システムの全体像
プライバシー対応システムは「1つのソフトウェアを入れれば完了」ではない。法律が求める義務をシステム機能に分解すると、大きく4つの領域に整理できる。
4つの機能領域
| 領域 | 法的根拠 | 主な機能 | 対応しない場合のリスク |
|---|---|---|---|
| 同意管理(CMP) | 個情法16条・17条、GDPR第7条 | Cookie同意バナー、マーケティング同意管理、同意履歴の記録 | 課徴金、GDPR制裁金、訴訟リスク |
| データマッピング | 個情法32条、GDPR第30条 | 保有個人データの台帳管理、データフロー図、第三者提供記録 | 監督機関への報告義務違反、課徴金 |
| DSAR対応 | 個情法33条〜37条、GDPR第15条〜22条 | 本人開示請求の受付・処理、訂正・削除の対応 | 30日以内の回答義務違反(GDPR)、課徴金 |
| インシデント管理 | 個情法26条、GDPR第33条・34条 | 漏洩時の通知、報告書作成、対応記録 | 72時間以内の報告義務違反(GDPR)、行政処分 |
個人情報保護法とGDPRの主な違い
両法律の要件は重なる部分が多いが、システム設計に影響する違いもある。
| 比較項目 | 個人情報保護法(2026年改正後) | GDPR |
|---|---|---|
| 同意の要件 | 利用目的の通知・公表が基本。オプトアウトも一部容認 | 明示的・積極的同意(オプトイン)が原則 |
| 域外適用 | 外国の事業者にも適用(2022年改正で強化) | EU域内の個人データを扱うすべての組織 |
| 開示請求の期限 | 法定の期限なし(「遅滞なく」) | 原則1ヶ月以内(延長しても3ヶ月) |
| 制裁金 | 課徴金制度(2026年秋施行予定) | 最大2,000万ユーロまたは全世界売上高の4% |
| データ保護責任者 | 法的義務なし(ただし設置推奨) | DPO(Data Protection Officer)の選任義務あり |
| データポータビリティ | 規定なし | 本人がデータを機械可読形式で受け取る権利 |
セクションまとめ:プライバシー対応システムは「同意管理」「データマッピング」「DSAR対応」「インシデント管理」の4領域で構成される。GDPR対応が必要な企業はGDPR基準で設計し、国内法も包含するのが効率的だ。
2. 費用相場 -- SaaS導入とカスタム開発の比較
SaaS導入の費用相場
SaaS型のプライバシー管理ツールは、OneTrust、TrustArc、Cookiebot、iubendaなど国内外の製品が存在する。日本市場ではppc(プライバシープロテクションクラウド)やWebtru等の国内製品も選択肢に入る。
| 規模 | 月額費用 | 年間費用 | 含まれる機能 |
|---|---|---|---|
| 小規模(〜50人) | 5〜10万円 | 60〜120万円 | Cookie同意管理、基本的な同意記録、テンプレート型プライバシーポリシー |
| 中規模(50〜300人) | 10〜20万円 | 120〜240万円 | 上記+データマッピング、DSAR受付ポータル、レポート |
| 大規模(300人〜) | 20〜30万円 | 240〜360万円 | 全機能+API連携、マルチリージョン対応、DPOダッシュボード |
カスタム開発の費用相場
自社の業務プロセスや既存システムに合わせたカスタム開発の場合、費用は以下が目安になる。
| 開発範囲 | 費用相場 | 開発期間 | 適するケース |
|---|---|---|---|
| 同意管理(CMP)のみ | 300〜600万円 | 2〜4ヶ月 | 自社サイトのCookie・同意管理を独自実装したい |
| 同意管理+データマッピング | 500〜1,000万円 | 3〜6ヶ月 | 保有データの台帳管理もシステム化したい |
| DSAR対応を含むフル構成 | 800〜1,500万円 | 5〜10ヶ月 | 開示請求の受付からデータ抽出・回答まで自動化したい |
| マルチ法域対応フル構成 | 1,200〜2,000万円 | 8〜14ヶ月 | 日本+EU+米国(CCPA等)に対応する統合基盤を構築したい |
SaaS vs カスタム -- 3年間TCO比較
| 項目 | SaaS(中規模プラン) | カスタム開発(フル構成) |
|---|---|---|
| 初期費用 | 0〜50万円 | 800〜1,500万円 |
| 月額/年額 | 月額15万円(年180万円) | 保守月額5〜10万円(年60〜120万円) |
| 3年間合計 | 540〜590万円 | 980〜1,860万円 |
| メリット | 初期投資が少ない、法改正への自動追従 | 自社業務に最適化、既存システムとの深い連携 |
| デメリット | カスタマイズの限界、ベンダーロックイン | 初期投資が大きい、法改正対応は自社負担 |
セクションまとめ:SaaSは月額5〜30万円で導入可能。カスタム開発は500〜2,000万円が中心価格帯。3年間TCOで比較し、自社のデータ量と既存システム連携の要件から判断する。
3. 同意管理(CMP)・Cookie管理の機能と費用
CMPに必要な機能
同意管理プラットフォーム(CMP: Consent Management Platform)は、Webサイト訪問者からCookieやデータ利用の同意を取得し、記録・管理するシステムだ。
| 機能 | 個情法対応 | GDPR対応 | 実装の優先度 |
|---|---|---|---|
| Cookie同意バナーの表示 | 推奨 | 必須 | 高 |
| 同意カテゴリの分類(必須/分析/マーケティング) | 推奨 | 必須 | 高 |
| 同意拒否時のCookie自動ブロック | -- | 必須 | 高(GDPR対応時) |
| 同意履歴の記録・証跡管理 | 推奨 | 必須 | 高 |
| 同意の撤回機能 | -- | 必須 | 中(GDPR対応時) |
| GPC(Global Privacy Control)シグナルの検知 | -- | 推奨 | 低 |
| IAB TCF v2.2準拠 | -- | 推奨(広告利用時) | 中 |
| Cookieスキャン・自動分類 | 推奨 | 推奨 | 中 |
Cookie管理の技術実装ポイント
「同意前ブロック」が最大の技術的ハードル。 GDPRでは、ユーザーが明示的に同意するまで、分析用・マーケティング用のCookieやスクリプトの実行をブロックする必要がある。Google Analyticsのタグ、Facebook Pixel、各種広告タグを「同意状態」に応じて動的に制御する仕組みが求められる。
実装方法は主に3つだ。
- タグマネージャー連携方式:Google Tag Manager(GTM)のConsent Modeと連携し、同意状態に応じてタグの発火を制御する。最もコストが低く、月額1〜3万円のSaaSで対応可能
- サーバーサイドブロック方式:Webサーバー側でCookieの発行を制御する。確実だが実装コストが高い
- プロキシ方式:CDN/リバースプロキシ層でスクリプトを書き換える。大規模サイト向け
CMP構築の費用目安
| 実装方式 | 費用 | 特徴 |
|---|---|---|
| SaaS(Cookiebot、Webtru等) | 月額1〜10万円 | 導入が簡単。GTM連携で即日運用開始可能 |
| GTM + SaaS連携のカスタム設定 | 50〜150万円(初期) | 自社サイトの構成に合わせた設定調整 |
| フルカスタムCMP開発 | 300〜600万円 | 自社の同意管理ロジックを独自実装 |
4. データマッピング・データインベントリの設計
データマッピングとは
データマッピングとは、組織が保有する個人データの「何を・どこに・なぜ・どのように」保存しているかを台帳として可視化する作業だ。GDPRでは第30条で「処理活動の記録」(ROPA: Records of Processing Activities)の作成が義務化されている。個人情報保護法でも、保有個人データの開示請求に対応するために事実上必要になる。
データマッピングで記録すべき項目
| 項目 | 内容 | GDPR要件 | 個情法要件 |
|---|---|---|---|
| データカテゴリ | 氏名、メール、住所、決済情報等 | 必須 | 必須 |
| データ主体 | 顧客、従業員、取引先等 | 必須 | 必須 |
| 処理目的 | マーケティング、人事管理、契約履行等 | 必須 | 必須 |
| 法的根拠 | 同意、契約、正当な利益等 | 必須 | -- |
| 保存場所 | CRM、HRシステム、クラウドストレージ等 | 必須 | 推奨 |
| 第三者提供先 | 外部委託先、グループ会社、海外移転先 | 必須 | 必須 |
| 保存期間 | 契約終了後○年等 | 必須 | 推奨 |
| 安全管理措置 | 暗号化、アクセス制御等 | 必須 | 必須 |
データマッピングの実装方法と費用
| 方式 | 費用 | メリット | デメリット |
|---|---|---|---|
| Excel/スプレッドシート | 無料〜 | 即座に開始可能 | データ量増加で管理破綻、バージョン管理困難 |
| SaaSツール | 月額5〜15万円 | テンプレート活用、自動スキャン機能 | ツールへの依存、API連携の制約 |
| カスタム開発 | 300〜600万円 | 既存システムとの自動連携、独自ダッシュボード | 初期投資が大きい |
セクションまとめ:データマッピングはGDPR第30条で義務化されており、国内法でも開示請求対応の前提になる。まずはExcelで棚卸しを行い、複雑さに応じてSaaS(月額5〜15万円)またはカスタム開発(300〜600万円)を検討する。
5. DSAR(本人開示請求)対応システムの構築
DSARとは
DSAR(Data Subject Access Request)は、個人が自身のデータについて「何を持っているか開示してほしい」「訂正してほしい」「削除してほしい」と組織に請求する権利のことだ。個人情報保護法では「保有個人データの開示等の請求」(第33条〜37条)、GDPRでは「データ主体の権利」(第15条〜22条)に規定されている。
DSAR対応の業務フロー
- 請求の受付:Webフォーム、メール、書面で受付
- 本人確認:請求者が本人であることを確認(なりすまし防止)
- データ検索:社内の各システムから該当するデータを抽出
- レビュー・編集:第三者の個人情報が含まれる場合はマスキング
- 回答の送付:請求内容に応じてデータを提供/訂正/削除
- 記録の保存:対応の証跡を保存
DSAR対応で最もコストがかかる工程
データ検索とレビューが全体工数の約70%を占める。CRM、メール、チャット、クラウドストレージ、基幹系システムなど、個人データが分散している企業ほど、1件のDSAR対応に時間がかかる。
Gartner「Privacy Management Tools Market Guide 2025」によると、手動でのDSAR対応にかかるコストは1件あたり平均1,500ドル(約22万円)。年間100件の請求を処理する場合、年間2,200万円の人件費がかかる計算になる。
DSAR対応システムの費用
| 構成 | 費用 | 処理能力の目安 | 自動化レベル |
|---|---|---|---|
| 手動運用(Excel管理) | 人件費のみ | 月10件程度 | なし |
| SaaSツール | 月額5〜20万円 | 月50〜200件 | 受付・ステータス管理を自動化 |
| カスタム開発(基本) | 300〜500万円 | 月100〜500件 | 受付〜データ検索を自動化 |
| カスタム開発(フル自動化) | 600〜1,000万円 | 月500件以上 | 受付〜回答生成まで一貫自動化 |
セクションまとめ:DSAR対応は手動だと1件あたり22万円のコストがかかる。月20件以上の請求が見込まれる場合はシステム化が合理的。SaaSなら月額5〜20万円、カスタム開発なら300〜1,000万円が目安だ。
6. 開発の優先順位 -- 何から始めるべきか
限られた予算のなかで、すべてを同時に構築するのは現実的ではない。以下の優先順位で段階的に対応することを推奨する。
フェーズ1:即座に対応(費用:0〜月額10万円、期間:1〜2週間)
| 対応項目 | 方法 | 費用 |
|---|---|---|
| Cookie同意バナーの設置 | SaaS型CMP(Cookiebot等)の導入 | 月額1〜5万円 |
| プライバシーポリシーの更新 | 2026年改正法・GDPR両対応の文面に改訂 | 弁護士費用10〜30万円 |
| データマッピングの棚卸し | Excelテンプレートで保有データを一覧化 | 無料(人件費のみ) |
フェーズ2:3ヶ月以内に対応(費用:50〜300万円)
| 対応項目 | 方法 | 費用 |
|---|---|---|
| DSAR受付フォームの設置 | 自社サイトに専用フォームを構築 | 50〜100万円 |
| 同意管理のシステム化 | CMP+GTM連携の本格設定 | 50〜150万円 |
| データマッピングツールの導入 | SaaSまたは簡易カスタム | 月額5〜15万円 or 100〜200万円 |
フェーズ3:6〜12ヶ月以内に対応(費用:300〜1,500万円)
| 対応項目 | 方法 | 費用 |
|---|---|---|
| DSAR対応の自動化 | 既存システムとのAPI連携、データ検索の自動化 | 300〜1,000万円 |
| 統合プライバシー管理基盤 | 同意管理+データマッピング+DSAR+インシデント管理の統合 | 800〜1,500万円 |
| マルチ法域対応 | CCPA(カリフォルニア)、LGPD(ブラジル)等の追加対応 | 追加200〜500万円 |
7. 開発会社の選び方
プライバシー対応システムは「法律の理解」と「技術力」の両方が求められる。通常のWebシステム開発とは異なる選定基準が必要だ。
確認すべき4つのポイント
ポイント1:個人情報保護法/GDPRの実務知識があるか
プライバシー関連法は条文が抽象的で、ガイドラインや判例を踏まえた解釈が必要になる。「同意の有効性の要件」「開示請求への回答範囲」「越境移転の適法化根拠」など、法律の理解なしに正しい要件定義はできない。
確認方法:「GDPR第6条の法的根拠6類型を、御社のシステム設計にどう反映しているか」を質問する。具体的な回答が返ってくるかが判断基準だ。
ポイント2:プライバシー・バイ・デザインの実装経験があるか
GDPRが求める「プライバシー・バイ・デザイン」(第25条)は、システムの設計段階からプライバシー保護を組み込むことを意味する。「後からプライバシー機能を付け足す」設計では法的要件を満たせない。
ポイント3:多言語・マルチリージョン対応の経験があるか
GDPR対応ではEU各国の言語でCookie同意バナーやプライバシーポリシーを表示する必要がある。さらに、データの保存先がEU域内の要件を満たすかの確認も必要だ。
ポイント4:運用後の法改正対応サポートがあるか
プライバシー関連法は頻繁に改正される。2026年の日本の改正法施行後も、政令・規則の改正やガイドラインの更新が続く。EUでもePrivacy規則の制定が見込まれる。開発会社が法改正を継続的にウォッチし、システムの改修提案を行えるかが重要だ。
GXO株式会社の会社概要では、プライバシー・セキュリティ領域を含むシステム開発の体制を紹介している。開発事例では業務システムの構築実績を掲載している。
セクションまとめ:開発会社選びでは「法律の実務知識」「プライバシー・バイ・デザインの経験」「マルチリージョン対応力」「法改正追従のサポート体制」の4点を確認する。
まとめ
個人情報保護法/GDPR対応システムの費用は、SaaS導入で月額5〜30万円、カスタム開発で500〜2,000万円が中心価格帯だ。
2026年秋の改正個人情報保護法施行で課徴金制度が始まり、「対応しないリスク」が金銭的に可視化される。EU向けビジネスを行う企業はGDPR制裁金のリスクも加わる。システム投資の判断は「費用がかかるからやらない」ではなく、「違反した場合の損失と比較してどうか」で行うべきだ。
まずやるべきことは3つだ。
- 自社のデータを棚卸しする:保有個人データの種類、保存場所、第三者提供先をExcelで一覧化する
- 法的要件のギャップを確認する:本記事の付録チェックリストで、現状と法的要件の差分を洗い出す
- 費用の概算を把握する:SaaSとカスタム開発の3年間TCOを比較し、自社に合った方式を選ぶ
この3つは、すべて無料で始められる。
個人情報保護法/GDPR対応システムの導入・開発を検討している方へ
「自社にはSaaSとカスタムどちらが合うか」「2026年改正法への対応で何が不足しているか」をまとめて確認できます。費用の概算と対応状況のギャップ分析を無料で実施します。
※ 営業電話はしません | オンライン対応可 | 相談だけでもOK
よくあるご質問(FAQ)
Q1. GDPR対応は日本企業にも必要ですか?
A1. EU域内に拠点がある、EU域内の顧客にサービスを提供している、またはEU域内の個人のデータを処理している場合は、企業の所在地にかかわらずGDPRが適用されます。典型的には、EU向けのECサイト運営、EU在住者へのSaaS提供、EU拠点の従業員データ管理などが該当します。該当しない場合は個人情報保護法のみの対応で問題ありませんが、将来の海外展開を見据えてGDPR基準でシステムを設計しておくと改修コストを抑えられます。
Q2. Cookie同意バナーは日本のサイトでも設置すべきですか?
A2. 日本の個人情報保護法では、Cookie単体は「個人情報」に該当しないため、法律上の義務は限定的です。ただし、Cookieを他のデータと紐付けて個人を識別できる場合は「個人関連情報」として規制対象になります(2022年改正で新設)。また、EU域内からのアクセスがある場合はGDPRのePrivacy指令に基づくCookie同意が必要です。実務的には、信頼性の向上とGDPR対応の両面から、日本のサイトでも設置を推奨します。SaaSなら月額1〜5万円で導入できます。
Q3. DSARの対応件数が少ない場合でもシステム化は必要ですか?
A3. 現時点で開示請求が少なくても、2026年改正法の施行後は請求が増加する可能性があります。課徴金制度の導入により「自分のデータがどう扱われているか」への消費者の関心が高まることが予想されるためです。月10件以下であればExcel管理でも対応可能ですが、20件を超えるとシステム化のROIがプラスになるケースが多いです。まずは受付フォームとステータス管理の簡易システム(50〜100万円)から始めることを推奨します。
Q4. 個人情報保護法の対応とGDPR対応を別々に進めるべきですか?
A4. 別々に進めると重複投資が発生するため、統合的に進めることを推奨します。GDPRの要件は個人情報保護法より厳しいため、GDPR基準でシステムを構築すれば日本法の要件も自動的にカバーできます。ただし、GDPRの「忘れられる権利」(削除権)など日本法にない概念もあるため、どの法域に対応が必要かを明確にしたうえで、優先順位をつけて進めてください。プライバシー対応の全体設計については無料相談で個別にアドバイスしています。
Q5. 開発費用を抑える方法はありますか?
A5. 3つの方法があります。第一に、フェーズ1はSaaSで始め、要件が固まってからカスタム開発に移行する「段階的アプローチ」。第二に、デジタル化・AI導入補助金(2026年)やIT導入補助金を活用する方法。プライバシー対応システムはセキュリティ強化の文脈で補助金の対象になるケースがあります。第三に、同意管理とデータマッピングはSaaS、DSAR対応のみカスタム開発という「ハイブリッド構成」。最新の補助金情報はデジタル化・AI導入補助金2026ガイドで確認できます。
参考資料
- 個人情報保護委員会「令和6年度 個人情報の保護に関する法律施行状況の報告」(2025年9月公表) https://www.ppc.go.jp/
- 個人情報保護委員会「個人情報の保護に関する法律についてのガイドライン(通則編)」 https://www.ppc.go.jp/personalinfo/legal/guidelines_tsusoku/
- European Data Protection Board(EDPB)「Guidelines on Consent under Regulation 2016/679」 https://edpb.europa.eu/
- European Data Protection Board(EDPB)「Guidelines on the Right of Access under Regulation 2016/679」 https://edpb.europa.eu/
- IPA(情報処理推進機構)「ソフトウェア開発分析データ集2024」(2024年10月公表) https://www.ipa.go.jp/digital/chousa/metrics/
- JISA(情報サービス産業協会)「情報サービス産業 基本統計調査 2024年版」 https://www.jisa.or.jp/
- Gartner「Privacy Management Tools Market Guide 2025」 https://www.gartner.com/
- IAPP(International Association of Privacy Professionals)「Privacy Tech Vendor Report 2025」 https://iapp.org/