個人情報保護法改正案は成立しましたか？

2026年5月26日に衆議院を通過し、参議院での審議に移りました。今国会（通常国会）での成立が見込まれていますが、本記事公開時点（6月20日）では参議院での審議が継続している段階です。最新の成立状況は個人情報保護委員会の公式サイトでご確認ください。

改正法はいつ施行されますか？

成立・公布された場合、施行は公布日から2年以内の政令で定める日とされており、2028年頃の施行が見込まれます。課徴金など一部の規定は施行時期が分かれる可能性があるため、政令の公表を待つ必要があります。

課徴金制度で中小企業も対象になりますか？

なります。課徴金は企業規模を問わず、違反行為によって得た財産的利益に相当する額を国が徴収する制度です。違法に個人データを売買・利用したようなケースが主な対象として想定されています。罰金とは別建ての行政上の金銭的制裁である点が従来との大きな違いです。

16歳未満のこどもの個人情報の扱いはどう変わりますか？

16歳未満のこどもから個人情報を取得する際に、親権者など法定代理人の同意を必要とする規律が新設される見込みです。BtoCサービスやアプリ、学習塾・スクール事業などこどもの情報を扱う事業者は、同意取得フローの見直しが必要になります。

ITガバナンス 2026年6月20日（更新: 2026年6月21日）

個人情報保護法改正案が衆院通過（2026年5月26日）｜成立目前、施行2028年までに中小企業がやることロードマップ

#個人情報保護法 #法改正 #課徴金 #ITガバナンス #コンプライアンス

改正案、衆院通過——「議論中」から「成立目前」へフェーズが変わった

個人情報保護法の改正案（いわゆる令和8年改正）が、2026年5月26日に衆議院を通過しました。現在は参議院での審議に移っており、今国会での成立が見込まれています（本記事公開時点の6月20日では参議院審議が継続中）。

これまで「3年ごと見直しの方針」「閣議決定・国会提出」と段階を追ってきた改正が、いよいよ成立目前の局面に入りました。本記事は、衆院通過というニュースを受けた続報として、改正の要点を再整理しつつ、成立から施行（2028年頃見込み）までに中小企業が取るべき準備をロードマップにまとめます。

改正案の条文ベースの詳細解説は個人情報保護法改正（2026年法案提出）で中小企業は何が変わる？、改正全体の俯瞰は個人情報保護法 2026年改正のポイント【完全版】を参照してください。

1. 立法プロセスの現在地（2026年6月時点）

時期	出来事
2026年1月9日	個人情報保護委員会が「3年ごと見直しの制度改正方針」を公表
2026年4月7日	「個人情報の保護に関する法律等の一部を改正する法律案」を閣議決定・国会提出
2026年5月26日	衆議院本会議で可決・通過
2026年6月（現在）	参議院で審議中。今国会成立が見込まれる
成立・公布後	公布日から2年以内に施行（2028年頃見込み）

「成立目前」だからこそ準備の好機です。 施行は2028年頃ですが、課徴金や同意ルールの変更は社内規程・システム・契約書の見直しを伴うため、2年弱は決して長くありません。

2. 改正の主要ポイント（中小企業に効くもの）

(1) 課徴金制度の導入【最重要】

違反行為によって得た財産的利益に相当する額を国が徴収する、行政上の金銭的制裁が新設される見込みです。従来の罰金・拘禁刑とは別建てで、企業規模を問わず適用されます。違法に個人データを売買・利用したケースなどが主な対象として想定されています。

(2) こども（16歳未満）の個人情報の規律強化

16歳未満のこどもから個人情報を取得する際に、親権者等の同意を必要とする規律が新設される見込みです。BtoCサービス・アプリ・学習塾・スクール事業などは同意取得フローの見直しが必要になります。

(3) AI開発・統計作成目的での同意緩和（利活用側の緩和）

AI開発を含む統計作成目的など一定の条件下では、要配慮個人情報を含むデータの利用や第三者提供で本人同意が不要となる方向の緩和が盛り込まれています。規制強化だけでなく「使いやすくする」側面もあるのが本改正の特徴です。

(4) 違法な第三者提供の報告対象化

現行で報告対象だった「漏えい・滅失・毀損」に加え、違法な第三者提供も報告対象に加わる見込みです。実務上の報告件数が増える可能性があります。

(5) 本人通知義務の一部緩和

それ単体では意味を持たない内部識別子のみの漏えいなど、本人の権利利益を害するおそれが少ない場合は通知不要となる条件が追加される見込みです。

(6) 団体訴訟（適格消費者団体の差止請求等）は今回見送り

消費者団体による差止・被害回復の制度は、今回の改正では見送られました。今後の見直しで再浮上する可能性は残ります。

3. 成立〜施行までの中小企業ロードマップ

施行（2028年頃見込み）から逆算した、現実的な準備の進め方です。

フェーズ1：成立直後〜（2026年下期）— 現状把握

保有個人データの棚卸し：何の情報を、どこに、どの形式で保有しているかのデータマップ作成。これがすべての起点です（個人情報保護法中小企業の対応チェックリスト）。
こどもの情報を扱っているかの確認：BtoC・採用・イベント等で16歳未満の情報を取得していないか。
委託先・第三者提供先の一覧化：違法な第三者提供の報告対象化に備える。

フェーズ2：政令・ガイドライン公表後（2027年見込み）— 規程整備

課徴金リスクの洗い出し：個人データを「利益を伴って」扱う業務がないかを点検。
同意取得フローの再設計：こどもの情報・AI利用に関する同意文言・取得画面の見直し。
漏えい対応フローの更新：報告対象の拡大に合わせてインシデント対応手順を改訂（個人情報漏えい発生時の報告義務と実務対応ガイド）。

フェーズ3：施行前（2028年頃）— 最終整備・教育

社内規程・プライバシーポリシー・契約書ひな形の改訂を完了。
全社員向けの教育・周知。新ルールの運用テスト。

4. 「まだ施行2028年だから」と先送りすると危ない理由

データマップ作成には時間がかかる：散在する個人データの棚卸しは、規模によって数か月単位の作業です。
契約書・同意フローの改訂は関係部署が多い：法務・営業・開発・人事の調整が必要で、直前着手では間に合いません。
課徴金は「知らなかった」が通用しにくい：行政上の制裁であり、体制不備そのものがリスクになります。

施行までの2年弱は、棚卸し→規程整備→教育という3段階を回すのにちょうどよい準備期間です。成立目前の今こそ、フェーズ1の現状把握に着手するタイミングです。

まとめ

個人情報保護法改正案は2026年5月26日に衆院通過。参院審議を経て今国会成立が見込まれる段階。
要点は課徴金制度の導入・16歳未満の同意義務・AI統計利用の同意緩和・違法な第三者提供の報告対象化など。団体訴訟は見送り。
施行は2028年頃見込みだが、データマップ作成・規程整備・教育には2年弱でも余裕はない。
今やるべきはフェーズ1の現状把握（保有データの棚卸し、こども情報の確認、委託先一覧化）。

法改正は「施行されてから対応する」ものではなく、「成立が見えた段階で逆算して準備する」ものです。自社の現状把握や規程整備の進め方でお困りの場合は、情シス365の無料相談をご活用ください。なお本記事は2026年6月20日時点の審議状況に基づくものであり、最新の成立・公布状況は個人情報保護委員会の公式サイトでご確認ください。