個人情報保護法改正(2026年法案提出)で中小企業は何が変わる? 課徴金制度の導入と情シスが今から準備すべきこと
個人情報保護法の「3年ごと見直し」による改正法案が、2026年4月7日に閣議決定され、国会に提出されました。今回の改正の目玉は、日本の個人情報保護法制で初めてとなる課徴金制度の導入です。
「違反したら指導や命令を受ける」段階から、「違反で得た利益を金銭で召し上げられる」段階へ——企業にとっての違反コストが質的に変わります。一方で、検討されていた団体による差止請求・被害回復制度(いわゆる団体訴訟の拡張)は今回見送りとなりました。
施行は公布から一定の準備期間を経て2028年4月頃と見込まれており、まだ時間はあります。しかし課徴金時代の個人情報管理は「規程があるか」ではなく「実態として管理できているか」が問われるため、体制づくりには年単位の時間がかかります。この記事では、改正案の要点と、情シスが今から進めるべき準備を整理します。
※本記事は国会提出時点の法案に基づきます。審議過程で修正される可能性があるため、最新の公表情報をご確認ください。
改正案の要点
1. 課徴金制度の導入(最大の変更点)
悪質な違反——たとえば不正な利益を得る目的での個人データの第三者提供や、重大な義務違反——に対して、違反行為で得た経済的利益を基準に課徴金の納付を命じる制度が導入されます。
ポイントは以下のとおりです。
- 対象は悪質・重大な違反類型に限定される設計。通常の事務ミスによる漏えいが直ちに課徴金になるわけではない
- ただし「漏えいを認識しながら放置」「安全管理措置の著しい不備」といったガバナンス不全は悪質性の評価に直結する
- 罰金(刑事罰)と違い行政処分として課されるため、発動のハードルが下がる
中小企業にとっての実務的な意味は、「うちは小さいから狙われない」ではなく、インシデント後の対応のまずさ(隠蔽・放置・報告遅延)が金銭的制裁に直結する時代になる、ということです。
2. こども(16歳未満)の個人情報の規律強化
16歳未満の個人情報について、取扱いの規律が強化されます。塾・スクール事業、子ども向けサービス、採用活動で未成年の情報を扱う企業は、同意取得・利用目的の運用を見直す必要があります。
3. 顔特徴データ等の生体データの規律強化
顔認識データなどの生体データについて、本人が予期しない形での利用に対する規律が強化されます。オフィスや店舗で顔認証システム(入退室管理・勤怠・防犯カメラのAI解析)を使っている企業は直接の影響対象です。導入済みのシステムについて「何のデータを取得し、どう告知しているか」の棚卸しが必要になります。
4. 漏えい等報告・本人通知の合理化
現行法で課題とされていた漏えい報告の負担について、一定の合理化(軽微な事案の取扱い見直し等)が図られます。報告義務が消えるわけではなく、「メリハリがつく」方向の見直しです。
5. 同意規律・委託管理の見直し
統計作成等への利用に関する同意の在り方や、委託先管理の規律も整理されます。データ分析・AI学習への利用を見据えた整理であり、生成AI活用を進める企業は利用目的の特定・公表の実務に影響します。
情シスが今から準備すべき5項目
施行まで時間があるからこそ、後回しにせず「体制」を作る期間に充てるのが得策です。課徴金時代の備えは、突き詰めると**「漏えいを起こしにくくする」「起きたら即座に検知・報告できる」**の2点です。
1. 個人データの棚卸し(データマッピング)
「どの部署が・どんな個人データを・どのシステムに・何件持っているか」を一覧化します。顔認証・録画データ・採用応募者情報など、見落とされがちな保有データも含めます。課徴金の議論以前に、これがないと漏えい時の影響範囲すら答えられません。
2. 安全管理措置の技術的実装
規程文書だけでなく、実態としての対策が問われます。具体的には、
- アクセス権限の最小化と退職者アカウントの即時無効化
- MFA(多要素認証)の全社適用
- 個人データを扱うクラウドの監査ログ有効化・保全(M365監査ログの設定参照)
- 持ち出し制御(DLP)の段階的導入
これらはSCS評価制度★3の要件ともほぼ重なるため、SCS対応と個情法対応を一つの基盤整備として進めるのが効率的です。
3. インシデント対応フローの「時間軸」明確化
「漏えいの恐れを認識してから、誰が・何時間以内に・どこへ報告するか」を文書化し、訓練しておきます。課徴金時代は初動の遅れ・報告の遅れ自体が悪質性の評価材料になり得ます。
4. 顔認証・カメラ系システムの利用実態確認
入退室管理、勤怠の顔認証、AIカメラを使っている場合は、取得データの種類・保存期間・本人への告知内容を確認し、規律強化に備えた見直し候補をリスト化しておきます。
5. 委託先・SaaSの管理体制
個人データを預けている委託先・SaaSの一覧化と、契約上のセキュリティ条項・再委託条件の確認。これも委託先管理の実装と同じ作業です。
よくある質問
Q. 施行はいつ? いま何かしないと違法になる? A. 施行は公布後の政令で確定しますが、2028年4月頃と見込まれています。現時点で新たな義務はありませんが、体制整備に1〜2年かかる項目(データ棚卸し、ログ基盤、委託先管理)から逆算すると、着手は今が適切です。
Q. 課徴金はどんな会社でも対象? A. 法案上、対象は悪質・重大な違反類型に限定される設計です。ただし「重大な安全管理の不備」は中小企業でも起こり得るため、規模による免罪はありません。
Q. 団体訴訟は導入されない? A. 今回の法案では適格消費者団体による差止請求・被害回復の拡張は見送られました。ただし3年ごと見直しの枠組みは続くため、将来の再検討はあり得ます。
まとめ
- 個人情報保護法改正案が2026年4月7日に国会提出。目玉は日本初の課徴金制度で、施行は2028年4月頃と見込まれる
- 課徴金は悪質・重大類型に限定されるが、インシデント後の放置・隠蔽・報告遅延が金銭的制裁に直結する構造になる
- 16歳未満の個人情報と顔特徴データ等の生体データの規律が強化される。顔認証システム利用企業は棚卸しを
- 今やるべきは(1)データマッピング、(2)安全管理の技術的実装、(3)報告フローの時間軸明確化、(4)顔認証系の実態確認、(5)委託先管理——SCS評価制度対応と同じ基盤で進められる
- 法案は審議中。成立・公布のタイミングで詳細(政令・ガイドライン)を継続フォローする
情シス365では、個人データの棚卸し、Microsoft 365 / Google Workspaceでの安全管理措置・監査ログの実装、インシデント対応体制の整備を支援しています。「規程はあるが実態が伴っていない」と感じる企業は、施行を待たずにご相談ください。