個人情報保護法 2026年改正のポイント ― 中小企業情シスがやるべき対応【完全版】
個人情報保護法は3年ごとに見直しが入る運用になっており、2026年は次期改正の議論がいよいよ実質化しています。AIや海外SaaS利用が一般化する中、中小企業の情シスが対応する側として準備すべき項目が増えました。
本記事では、2026年改正で議論されている主要論点と、今すぐやるべき5つの実務対応を整理します。
⚠️ 本記事は2026年4月時点で公表・議論されている改正方向の整理です。最終的な条文・施行日は今後の国会審議を経て確定します。実務対応は施行スケジュールに合わせて段階的に行ってください。
議論されている主要論点
1. 漏えい等報告・本人通知の規律強化
2022年改正で個人情報保護委員会への報告義務化は既に定着していますが、通知期限の短縮(72時間以内 → 速やかに、等)や通知対象の拡大が議論されています。中小企業も例外なく対象です。
2. 同意の質の引き上げ
「分かりにくい同意」を排除する流れが世界的に強まっており、日本でも同意取得画面のデザイン規律(ダークパターン禁止)に関する議論が進んでいます。
3. Cookie・トラッキング規律の明確化
EUのePrivacy指令や米国州法(CCPA等)に倣った形で、Cookieの利用目的開示、オプトアウトの提供義務などの規律が強化される方向です。
4. AI・自動化処理に関する透明性義務
AIによる自動意思決定(採用、与信、人事評価等)に対する説明義務、人間関与の権利、学習データの取り扱いなどがテーマに上がっています。
5. 児童・若年層保護
18歳未満の個人情報取扱いに対する親権者同意、プロファイリング制限などが議論されています。
6. 域外適用と越境移転
海外SaaS利用時の第三国移転規制、処理委託先の管理強化が想定されています。AI生成サービス(米国系)利用時の整理が情シスの新たな論点に。
7. 課徴金・制裁金の検討
GDPR・米州法のような売上ベースの課徴金導入が議論の俎上に。これまでの「指導・命令」ベースから抑止力強化へ。
中小企業情シスが今すぐやるべき5つの対応
対応1:個人情報の棚卸し
「うちはどんな個人情報をどこで持っているか」を一覧化することが、すべての出発点です。
- 顧客データ(CRM、メール配信リスト)
- 従業員データ(人事システム、給与システム)
- 採用候補者データ(ATS、応募管理)
- 取引先担当者データ(名刺管理、請求書管理)
- アクセスログ・行動ログ(Webサイト、アプリ)
クラウドサービス(Salesforce、HubSpot、freee、SmartHR等)の保管場所と保管期間を、改正対応文書として整理しておきます。
対応2:海外SaaS利用の整理(越境移転対応)
ChatGPT、Claude、Gemini、Notion、Figma、Slack、Salesforce ―― 業務で使うSaaSの大半は米国データセンター保管です。
- 利用しているSaaSのリスト化
- データ保管国(米国・EU・日本)の確認
- 越境移転の法的根拠の整理(個人情報保護法 28条)
- 現地法(CLOUD Act等)への懸念の文書化
- 必要に応じて日本リージョン版への切替検討
対応3:プライバシーポリシーの見直し
3年ごとに改訂が必要、と思った方がよいレベルです。
- 第三者提供先の最新リスト(SaaSベンダー含む)
- Cookie・トラッキング技術の利用目的
- AI / 自動化処理の説明
- 越境移転先の国名と保護措置
- 安全管理措置(アクセス制御、ログ、暗号化)の概要
- 苦情・問合せ窓口の連絡先
「形だけのプライバシーポリシー」は通用しなくなります。
対応4:漏えい時の対応プレイブックを作る
「漏えいかもしれない事象」を発見してから本人通知・報告までを72時間以内に終わらせる体制を、改正前の今のうちに作っておきます。
漏えい対応プレイブックの最低構成:
- 検知 → 隔離・証拠保全
- 影響範囲特定(誰の・何の・何件)
- 法務・経営層への第一報
- 個人情報保護委員会への速報
- 本人への通知準備
- 復旧・再発防止策の整理
- 個人情報保護委員会への確報
- 公表(必要に応じて)
対応5:従業員教育とデータ取扱ルールの再整備
技術対応だけでは守れません。人が漏えいの最大要因です。
- 個人情報の取扱ルールの社内マニュアル化
- メール誤送信対策(暗号化PPAP廃止+共有リンク化)
- BCCルール(同報メールはBCCで配信)
- 退職時のデータ持ち出し防止
- AI / 生成AIへの個人情報入力禁止ルール
SaaS・AI利用時の論点
生成AIへの個人情報入力
「ChatGPTに顧客リストを貼り付けて要約させた」 ―― これは第三者提供 + 越境移転として法的論点になります。改正で説明義務・同意要件が強化される方向のため、社内ガイドラインで禁止するのが安全です。
OpenAI / Anthropic / Google のEnterprise契約では学習利用されない設計ですが、契約形態とテレメトリ送信先を明確にした上で利用を許可する運用が望ましい。
採用におけるAI活用
「履歴書をAIで自動スクリーニング」は、自動意思決定の典型例です。改正後は説明義務・人間の関与が強化される方向のため、最終判断を人が行う運用+ログ保管が必要です。
Cookie利用の同意
中小企業のコーポレートサイトでも、Google Analytics、HubSpot、広告タグなどのCookie利用は当たり前です。日本では現時点で「明示的同意」までは求められていませんが、Cookie同意バナーは標準的な対応として導入をお勧めします(OneTrust、Cookiebot、自社実装等)。
改正までのロードマップ(推奨)
| 時期 | 対応事項 |
|---|---|
| 2026年Q2 | 個人情報棚卸し、利用SaaSリスト化 |
| 2026年Q3 | プライバシーポリシー見直し、Cookie同意バナー導入 |
| 2026年Q4 | 漏えい対応プレイブック整備、従業員教育実施 |
| 2027年〜 | 改正条文確定後の最終チューニング |
まとめ
個人情報保護法は「重く・速く・厳しく」なる方向で改正が進んでいます。中小企業も例外ではなく、むしろ「自社で対応できない」というリスクが高まっています。
特に漏えい時の72時間ルールと生成AI利用時の越境移転は、情シスが先回りで体制を作っておく必要があります。施行日に慌てて作るのではなく、半年前倒しで整えるのが王道です。
情シス365のSecurity365では、個人情報保護法対応のアセスメント、プライバシーポリシー策定支援、漏えい対応プレイブック整備、従業員教育まで一気通貫で対応しています。
関連記事: