日本のデータプライバシー法:個人情報保護法(APPI)完全ガイド(2026年)

日本は、個人情報の保護に関する法律(個人情報保護法、APPI)によって個人データを規律しています。同法は、日本国内に拠点を持たない外国企業を含め、日本国内の個人のデータを取り扱うすべての事業者に適用されます。2026年に閣議決定された改正法案により、初めて課徴金制度が導入される見込みで、施行は2028年頃と見込まれています。
日本のデータプライバシー制度の中核をなすのが、アジアで最も確立されたデータ保護法の一つである**個人情報の保護に関する法律(個人情報保護法、APPI)**です。2003年に制定された同法は、世界的なプライバシー法制の動向に対応するため、2015年、2020年、2022年に大きな改正を経てきました。
日本国内で事業を行う企業や日本の消費者を対象とする企業にとって、個人情報保護法を理解することは選択の余地のある事柄ではありません。同法は域外適用があり、米国、欧州、その他いずれの国に拠点を置く企業であっても、日本国内の個人の個人データを取り扱う場合には、その要件を遵守しなければなりません。
本ガイドでは、画期的な2026年1月のPPC制度改正大綱、国会で審議中の2026年4月改正法案を含め、2026年時点における個人情報保護法の現状と、それらがコンプライアンス計画にとって何を意味するかについて解説します。
簡潔な回答:日本における個人データの規制の仕組み
日本における主たるデータ保護法は**個人情報の保護に関する法律(個人情報保護法、APPI)**であり、**個人情報保護委員会(PPC)**によって執行されています。個人情報保護法は、事業者の規模を問わず、日本国内の個人に関する個人情報を取り扱うすべての事業者を対象とし、外国企業にも域外適用されます。
個人情報保護法の執行は、これまで課徴金ではなく刑事罰に依拠してきました。しかし、この状況はまさに変わろうとしています。2026年1月9日、PPCは義務付けられている3年ごと見直しを経て制度改正大綱を公表し、課徴金制度を直接導入する方針を確認しました。2026年4月7日には、内閣が改正法案を閣議決定し、国会に提出しました。2026年中に見込みどおり可決された場合、新たな執行体制は2028年までに施行される見通しです。
多くの事業者にとって、現時点での実務上のコンプライアンス上の義務は、利用目的の制限、(2022年以降義務化された)漏えい報告、越境移転規制、および本人の権利を中心としています。2026年の改正は、これらの基盤を置き換えるものではなく、その上に積み重なるものです。
個人情報保護法の沿革と発展
個人情報保護法は2003年5月30日に制定され、これにより日本はアジアで最も早く包括的なデータ保護法制を採用した国の一つとなりました。同法は、情報技術の発展により個人データについて正式な保護が必要であるとの日本の認識を反映したものでした。

当初の個人情報保護法には大きな限界がありました。同法は、5,000人を超える識別可能な個人の個人情報を取り扱う事業者にのみ適用されていました。また、専門の執行機関を欠いており、コンプライアンスの監督は分野ごとの所管省庁に委ねられていました。
2015年の抜本改正
最初の大きな改正は2015年に行われ、2017年に施行されました。この改正では、次の3つの重要な目標が達成されました。
第一に、2015年改正により、日本の独立したデータ保護機関として**個人情報保護委員会(PPC)**が設置され、それまで複数の省庁に分散していた執行権限が一元化されました。
第二に、この改正により5,000人という人数要件が撤廃され、保有する記録の件数にかかわらず、個人データを取り扱うすべての事業者が個人情報保護法の適用対象となりました。
第三に、この改正により匿名加工情報という概念が導入され、特定の条件のもとで事業者が非識別化されたデータを分析や研究に利用するための枠組みが整備されました。
2020年改正(2022年4月施行)
2026年以前における最も大きな変革は、2022年4月1日に施行された2020年改正法によってもたらされました。EUのGDPRや中国の個人情報保護法の制定を背景に成立したこの改正により、個人情報保護法は国際的な基準により近いものとなりました。
2022年改正では、義務的な漏えい報告制度が導入され、本人の権利が拡大され、新たなデータ区分(仮名加工情報および個人関連情報)が創設され、越境移転に関する要件が厳格化され、PPCに外国事業者に対する権限が付与され、罰則が大幅に強化されました。
2023年の公的部門への拡張
2023年4月の施行により、個人情報保護法はさらに改正され、地方公共団体を含む全国の公的機関に一律に適用されることとなりました。それ以前は、国や地方の行政機関による個人情報の取り扱いは、それぞれ別個の法律によって規律されていました。2023年の改正により、すべての公的部門の機関が、PPCが監督する単一の統合された枠組みのもとに置かれることになりました。
2026年改正サイクル
個人情報保護法には、3年ごとの見直しを行うことがあらかじめ組み込まれています。2026年1月9日の制度改正大綱と2026年4月7日の国会提出法案として結実した今回の見直しサイクルは、2020年以来最も重要なものです。その内容については以下で詳しく解説します。
個人情報保護委員会(PPC)
個人情報保護委員会(個人情報保護委員会、PPC)は、それまでの分野別の規制手法を引き継ぐ形で2016年に設置された、日本の独立したデータ保護機関です。内閣府のもとに置かれており、職員数は約200名です。
執行手段
PPCは段階的な執行手法を採用しています。
指導・助言。 コンプライアンス上の問題を是正するための拘束力のない勧告です。最も一般的な執行措置であり、2024年度にはPPCが395件の指導・助言を行いました。
勧告。 特定の是正措置を講じるよう求める、正式かつ公表される勧告です。これに従わない場合には、拘束力のある命令につながることがあります。
命令。 特定の措置を講じることを求める法的拘束力のある指示です。命令に従わない場合には刑事罰が科されます。2026年改正法案のもとでは、侵害のおそれがある場合には、PPCが事前に勧告を行うことなく是正命令を発出できるようになり、従来の枠組みからの大きな手続上の変更となります。
立入検査。 PPCは事業所に立ち入り、記録を検査し、事業者に資料や報告の提出を求めることができます。2024年度には、PPCは67件の調査措置を実施しました。2026年法案では、実際の被害がすでに発生していることを要件としていた従来の規定を見直し、侵害が差し迫っており緊急性がある状況にまで緊急命令の権限を拡大します。
課徴金(提案中、2028年頃施行見込み)。 詳細は後述の項をご覧ください。
主な執行事例
PPCの姿勢は、これまで制裁的な措置よりも指導や自主的な是正を重視する傾向にありましたが、この姿勢は変化しつつあります。
2025年3月、PPCは、保険代理店が契約者データを同意なく不適切に共有していたことについて業務改善命令を発出し、組織内の階層をまたぐコンプライアンス上の課題を浮き彫りにしました。
2024年には、委託先企業の従業員が約10年間にわたり顧客データに不正アクセスし窃取していたことが判明したことを受け、PPCはNTT西日本グループ各社に対して勧告および行政指導を行いました。この事案は、サプライチェーン全体における責任の所在に対するPPCの重視の姿勢を改めて示すものとなりました。
2021年から2022年にかけて、PPCは、中国に拠点を置く子会社の従業員が十分な保護措置のないまま日本人ユーザーのデータにアクセスできる状態にあったとして、LINE株式会社を調査しました。この調査の結果、正式な行政指導が行われ、同社は中国からのアクセスを停止し、データガバナンス体制を全面的に見直すこととなりました。
データ漏えいの報告件数は増加を続けています。2024年度第2四半期だけでも、PPCには3,599件の漏えい報告が提出され、そのうち30.2パーセントが外部からのサイバー攻撃を含む不正アクセスによるものでした。
個人情報保護法における主要な定義
個人情報保護法を理解するためには、GDPRなど西欧の枠組みとは重要な点で異なる、同法特有の用語に精通する必要があります。

個人情報
個人情報保護法上の個人情報とは、生存する個人に関する情報であって、当該情報に含まれる氏名、生年月日その他の記述等により特定の個人を識別することができるものをいいます。これには、指紋データ、顔認証データ、旅券番号、運転免許証番号、マイナンバー(日本の国民識別番号)など、個人識別符号によって特定の個人を識別できる情報も含まれます。
保有個人データ
保有個人データとは、事業者が開示、訂正、削除、または利用停止を行う権限を有する個人データをいいます。2022年改正により、従来存在していた6か月以内の保有データを除外する規定が撤廃され、保有期間の長短にかかわらず、すべての個人データが保有個人データに該当することになりました。
これが重要なのは、開示、訂正、削除の権利を含む本人の権利は、保有個人データについて特に適用されるためです。
要配慮個人情報
個人情報保護法は、特定の機微な情報の区分を要配慮個人情報として指定しています。これらの区分については、取得に先立って本人の事前の明示的な同意(オプトイン)が必要とされます。
保護の対象となる区分には、人種・民族、信条(宗教的または政治的な信念)、社会的身分、病歴および健康情報、犯罪歴、犯罪被害を受けた経歴、身体的または精神的な障害、健康診断等の結果、そして診療または処方に関する記録が含まれます。
金融分野には追加的な要件が課されています。分野別のガイドラインのもとで、金融機関は、労働組合への加入状況、家族の出身、本籍地、医療の詳細、性生活についても機微な個人情報として取り扱わなければなりません。
匿名加工情報
匿名加工情報は、個人情報保護法に特有の概念です。これは、特定の個人を識別することができず、かつ元の個人情報を復元することができないように加工された個人データに由来する情報をいいます。その基準は厳格であり、事業者は、特定の識別子を削除し、個人識別符号を置き換え、個人を単独で特定し得る特徴を除去しなければなりません。
データが匿名加工情報に該当することとなった場合、本人の同意なく、当初の取得目的を超えて利用することができます。また、漏えい報告義務や本人による開示請求の対象外となります。もっとも、加工基準が高いため、実務上この区分を利用することは容易ではありません。
仮名加工情報
2022年改正により導入された仮名加工情報(PPI)は、完全な個人データと匿名加工情報の中間に位置する区分です。仮名加工情報とは、それ単体では特定の個人を識別することができないものの、他の情報と照合することにより再識別が可能な形に加工されたデータをいいます。
仮名加工情報は、完全な個人データと比較してコンプライアンス上の負担が軽減されています。漏えい報告の対象外であり、本人は開示や削除の権利を行使することができず、利用目的の変更も公表によって行うことができます。ただし、仮名加工情報は第三者に提供することができず、個人を再識別するために他の情報と照合することも認められません。
個人関連情報
同じく2022年改正で導入された個人関連情報(PRI)は、それ単独では個人情報に該当しないものの、提供先が保有するデータと組み合わせることにより個人を識別できるようになり得るデータを対象としています。この区分は、クッキーデータ、閲覧履歴、購入履歴、位置情報など、デバイス識別子に紐づく情報を対象としています。
事業者が、個人を識別できる情報として利用することが想定される第三者に対して個人関連情報を提供する場合には、提供に先立って本人の同意を取得しなければなりません。
特定生体個人情報(2026年提案)
2026年4月改正法案は、数値化された顔認証データや指紋データを対象とする特定生体個人情報という新たな区分を導入します。提案されている規則のもとでは、オプトアウト方式によるこのデータの第三者提供は禁止され、事業者の名称、利用目的、およびデータの取扱手続を開示する強化された透明性確保のための通知が求められます。本人には、利用停止を求める緩和された権利が認められる見込みです。
マイナンバー制度と個人情報
日本のマイナンバー制度は、行政手続における特定の個人を識別するための番号の利用等に関する法律に基づき、日本の住民一人ひとりに固有の12桁の番号を付与するものです。この制度は、社会保障、税務行政、および災害対応の連携のために利用されています。
マイナンバーは個人情報保護法上の個人識別符号に該当するため、本人のマイナンバーに紐づけられた情報はすべて個人情報に該当し、個人情報保護法上のすべての義務の対象となります。マイナンバー法は、個人情報保護法上の基本的な要件に加えて、追加的な制限を課しています。
マイナンバー情報の取扱いは厳格に制限されています。事業者は、給与に係る源泉徴収、年末調整、社会保険の加入手続、金融口座の報告など、法律で認められた特定の行政目的のためにのみマイナンバーを取得・利用することができます。マーケティングその他の許可されていない目的でマイナンバーを転用することは禁止されています。
マイナンバー情報は安全に保管しなければならず、許可された行政目的が完了した後は速やかに削除しなければなりません。多くのコンプライアンス体制では、マイナンバーに関するデータを、個人情報保護法の一般的な対応とは別に特別な手続を要する区分として扱っています。
個人情報保護法における処理の根拠と同意
GDPRとは異なり、個人情報保護法は、個人情報を処理するにあたって事業者が列挙された複数の法的根拠のいずれかを特定することを求めていません。その代わりに、同法は主として、利用目的を特定し、その目的を公表または本人に通知し、本人の同意なく特定された目的の範囲を超えてデータを利用しないという、通知および目的制限を基本とする仕組みで運用されています。
要配慮個人情報については、公益や学術研究に関する狭い例外を除き、取得に先立つ事前の同意(オプトイン)が義務付けられています。
越境移転については、オプトイン方式の同意、または同等の保護措置のいずれかが必要とされます。
日本国内における第三者提供については、従来、本人に通知し、異議を述べる機会を与えることにより、同意なく提供を行うことを認めるオプトアウト方式が用いられてきました。2022年改正はこの仕組みを制限し、2026年法案は生体情報および不正な手段により取得されたデータについてさらなる制限を提案しています。
2026年改正法案は、重要な拡張も導入しています。すなわち、データがもっぱら統計分析またはAI開発のために利用される場合には、第三者へのデータ提供や公開されている機微情報の取得を同意なく行うことを認める新たな例外です。この例外を利用する事業者は、定められた情報を公表するとともに、データの提供先との間で明示的な契約上の安全管理措置を定めなければなりません。
本人の権利
2022年改正により、個人情報保護法上の本人の権利は大幅に拡大されました。これらの権利は保有個人データについて適用されます。
開示請求権
本人は、自己の保有個人データ、その利用目的、および第三者提供の記録について開示を請求することができます。2022年4月以降、本人は電磁的方法を含め、データを受け取る形式を指定することができます。
訂正請求権
保有個人データの内容が事実でない場合、本人は訂正、追加、または削除を請求することができます。事業者は遅滞なく調査を行い、是正の措置を講じなければなりません。
利用停止・消去請求権
2022年改正により、この権利が認められる要件が大幅に拡大されました。本人は、データが特定された目的の範囲を超えて利用されている場合、データが偽りその他不正の手段により取得された場合、漏えいが発生しもしくは発生するおそれがある場合、本人の権利もしくは正当な利益が侵害されるおそれがある場合、またはデータが不要となった場合に、利用停止、消去、または第三者提供の停止を請求することができるようになりました。
子どもに関する権利の強化(2026年提案)
2026年4月改正法案は、16歳未満の者に関する特別な保護規定を導入します。その個人データを処理するには、限られた例外を除き、保護者の同意および通知が必要とされます。子どもおよびその保護者は、成人の本人に適用される通常の立証要件を満たすことなく、利用停止または第三者提供の停止を請求することができます。
生体情報に関する権利の強化(2026年提案)
提案されている新区分のもとで特定生体個人情報に分類されるデータについては、本人に緩和された利用停止請求権が認められ、通常の法定要件を証明することなく利用停止を請求できるようになります。
対応期限
個人情報保護法は、GDPRの1か月という基準に相当する明確な対応期限を定めていません。PPCのガイダンスは、単純な請求については2週間から4週間程度の合理的な対応期間を示唆しています。
データ漏えい報告
2022年4月より前は、PPCへの漏えい報告や本人への通知は、推奨されるベストプラクティスにすぎませんでした。2022年改正により、これらはいずれも法律上の義務となりました。
報告が必要となる場合
義務的な漏えい報告は、漏えいまたはそのおそれのある事案が、次のいずれかに該当する場合に生じます。要配慮個人情報が含まれる場合(1件であっても)、本人に財産的被害が生じるおそれがある場合、サイバー攻撃やランサムウェアによる被害など不正な目的によるものと考えられる場合、または影響を受ける本人が1,000人を超える場合です。
PPCへの二段階報告
速報: 漏えいを認識した後、速やかに提出しなければなりません。PPCのガイドラインは「速やかに」を営業日ベースで3日から5日程度と解釈しています。
確報: 漏えいを認識してから30日以内に提出しなければなりません。サイバー攻撃など不正な目的によるものと考えられる漏えいについては、期限は60日に延長されます。
確報には、漏えいの内容、影響を受ける本人の区分およびおおよその人数、原因、想定される影響、ならびに講じた措置または講じる予定の措置を含めなければなりません。
本人への通知
事業者は、影響を受ける本人に対して速やかに通知しなければなりません。個別の通知が困難な場合には、事業者は自社のウェブサイトへの公表など、代替的な措置を講じることができます。
リスクベースの例外(2026年提案)
2026年4月改正法案は、リスクに応じた例外規定を導入します。すなわち、事業者が代替的な保護措置を講じる場合には、低リスクの漏えいについて本人への通知義務が免除され得るというものです。何が低リスクに該当するかについては、PPCが今後の規則で定める予定です。
越境データ移転規制
2022年改正は、個人データが日本国外へどのように移転され得るかを根本的に再構築しました。事業者は、次の3つの仕組みのいずれかによってのみ、日本国外の第三者に個人データを移転することができます。
1. 情報提供を強化した上での同意。 本人が移転について事前の同意(オプトイン)を与える方法です。2022年の規則では、移転先の国名、当該国の個人情報保護制度の説明、および海外の提供先が講じている保護措置の開示が求められます。
2. 同等の保護水準の措置。 海外の提供先が、個人情報保護法と同等の水準の個人情報保護制度を整備している場合です。これはGDPRの標準契約条項の考え方に類似しています。移転元の事業者は、提供先の遵守状況を継続的にモニタリングしなければならず、PPCのガイドラインは少なくとも年1回の確認を推奨しています。
3. 十分性認定に基づく移転。 提供先が、PPCにより同等の保護水準を有すると認められた国にある場合です。2026年時点で、この方法により認められている主な法域はEU・EEAおよび英国です。
日EU間の相互十分性認定
2019年1月23日、欧州委員会は日本に関する十分性認定を採択し、これと同時にPPCもEUが同等の保護水準を有することを認めました。これにより、二国間としては世界最大規模の相互データ自由流通圏が形成され、GDPRのもとで初めての相互の十分性認定となりました。
両制度の違いを埋めるため、日本はEUから移転された個人データに特化した追加的な保護措置を定める補完的ルールを採用しました。これらの規則は、通常の個人情報保護法上の義務を超える、機微情報の取扱い、保有期間の制限、透明性に関する要件を定めています。
この十分性認定の枠組みは2023年に最初の見直しを受け、欧州委員会および欧州データ保護会議は、これが引き続き効果的に機能していることを確認しました。以後の見直しは4年ごとに予定されており、2027年に予定される次回の見直しは、2026年改正の施行が見込まれる時期と重なることになります。
米国に対する十分性認定は存在しない
米国は、PPCによる十分性認定を得ていません。日本から米国の提供先に個人データを移転するには、事業者は、(米国のデータ保護環境について十分な開示を行った上での)十分な説明に基づくオプトイン方式の同意を取得するか、または米国の提供先が個人情報保護法と同等の保護制度を整備し、年次のモニタリングを受けることを確保しなければなりません。
2026年1月のPPC制度改正大綱
2026年1月9日の制度改正大綱は、PPCによる3年ごと見直しサイクルの正式な成果物です。この大綱は、2026年4月改正法案の基礎となった4つの包括的な改正テーマを定めました。
テーマ1:適正なデータ利活用の推進。 あらゆる場合に同意を必要とすることなく、AI開発、統計処理、医療研究のためのデータ共有を可能にする例外規定の拡大。
テーマ2:リスクに応じた規律。 すべての個人情報の取扱いに一律の要件を課すのではなく、個々の処理活動の実際のリスクの水準に応じてコンプライアンス上の義務を調整すること。
テーマ3:不適正な利用の防止。 不正な手段により取得されたデータに関する規律の強化、オプトアウト方式による提供の仕組みの厳格化、そして生体情報および子どものデータに関する的を絞った保護規定の導入。
テーマ4:規制の実効性の確保。 今回の改正の中核をなすものであり、PPCが裁判所を通じた刑事訴追のみに頼ることなく、直接的に金銭的な制裁を科すことができるよう課徴金制度を導入すること。
制度改正大綱は2026年1月9日に公表されました。内閣は2026年4月7日にこれを実施するための改正法案を閣議決定し、国会に提出しました。可決された場合、この法案は公布から2年以内に施行されることとなり、新たな規則は遅くとも2028年までには施行されると見込まれています。
罰則:現行の制度と提案されている変更
現行の刑事罰
個人情報保護法の現行の罰則制度は、全面的に刑事罰に依拠しています。
個人の場合:
- PPCの命令への違反:1年以下の拘禁刑または100万円以下の罰金(約6,700米ドル相当)
- 虚偽の報告や検査の妨害:50万円以下の罰金
- 不正な利益を図る目的での個人情報データベース等の提供:1年以下の拘禁刑または50万円以下の罰金
法人の場合(両罰規定に基づく法人への罰金):
- PPCの命令への違反:1億円以下(約67万米ドル相当)
- 個人情報データベース等の提供:1億円以下
2022年改正により、法人に対する罰則は大幅に引き上げられました。従来、法人に対する罰金額は個人に対するものと同額でした。1億円への引き上げは、大企業にとって実効性のある罰則とすることを意図したものですが、GDPRの売上高に連動した制裁金と比較すると依然として控えめな水準にとどまっているとの指摘もあります。
提案されている課徴金制度(2026年法案)
2026年4月改正法案は、個人情報保護法の歴史上初めて課徴金制度を導入します。これは、同法が制定されて以来、日本のデータ保護に関する執行の枠組みにおける最も大きな構造的変化です。
課徴金の算定方法。 課徴金の額は、違反によって得られた経済的利益に相当する額とされます。具体的には、違反行為の対価として得た金銭的利益、またはコンプライアンス費用を回避したことによる利益です。この没収的なアプローチは、日本の独占禁止法の課徴金制度をモデルとしています。
適用の要件。 課徴金が適用されるのは、次のすべてに該当する重大な違反があった場合に限られます。すなわち、個人情報保護法の特定の規定(不適正な第三者提供、統計処理に関する違反、データの再提供違反を含む)に関わるものであること、本人の権利の侵害という結果を生じさせるものであること、そして1,000人を超える本人に影響を及ぼすか、軽微とはいえない被害を生じさせるものであることです。事業者が合理的な注意義務を尽くしていた違反は対象外となります。
繰り返し違反者に対する加算。 事業者が、過去の課徴金命令から10年以内に違反を行った場合、算定された課徴金の額は1.5倍に加算されます。
自主申告に対する減免。 事業者が調査の開始が予想される前に自発的にPPCへ違反を報告した場合、課徴金は**50%**減額されます。これは独占禁止法における課徴金減免制度を踏襲したものであり、事業者による積極的な開示を促すことを意図しています。
課徴金に(現時点で)含まれないもの。 2026年法案は、GDPRのような売上高に対する一定割合の制裁金制度を導入するものではありません。この没収的なモデルでは、責任の上限は世界売上高の一定倍数ではなく、当該違反行為による経済的利益にとどまります。
施行の見通し。 2026年中の国会での可決を前提とすると、課徴金制度は2028年までに完全に運用開始される見込みです。
最近の動向(2024年から2026年)
現在の時期において、日本のデータ保護をめぐる状況にはいくつかの重要な動向がみられます。
AIと生成データ。 生成AIの急速な普及は、個人情報保護法の同意モデルに大きな圧力をもたらしました。個人データをAIモデルの学習に利用する事業者は、これが再同意を要する目的の変更に該当するかどうかについて不確実性に直面してきました。2026年改正法案は、統計処理およびAI開発について法定の例外規定を新設することでこの問題に直接対応していますが、その適用範囲は今後のPPC規則によって定められる予定です。
商業分野における生体情報。 小売、交通、職場といった場面での顔認証技術の利用の広がりにより、生体情報の取扱いに対する監視が強まっています。2026年法案による特定生体個人情報の区分の導入は、日本が生体情報の取扱いについてGDPRに匹敵する水準へと移行しつつあることを示しています。
子どものデータ。 国際的な圧力と国内の働きかけにより、2026年法案には16歳未満の者に関する保護規定が盛り込まれることとなりました。この改正以前、個人情報保護法には子どもの定義や年齢に応じた要件はなく、これは米国のCOPPAやGDPR第8条のような枠組みと比較すると大きな空白でした。
2025年3月の保険データに関する命令。 PPCは、契約者データを同意なく共有していた保険代理店に対して業務改善命令を発出し、個人情報保護法上の義務が組織のサプライチェーン全体に及ぶことを強調しました。
増加する漏えい報告。 2024年度第2四半期には、PPCに3,599件の漏えい報告が提出され、そのうち30.2パーセントが外部からの不正アクセスによるものでした。この件数の増加は、漏えいの発生頻度の増加と、義務的な報告制度に対する組織の認識の向上の両方を反映しています。
EUとの十分性認定の見直し。 2023年に行われた日EU間の十分性認定の枠組みの見直しでは、これが引き続き有効に機能していることが確認されました。次回の見直しは2027年に予定されており、2026年改正の施行が見込まれる時期と重なります。
個人情報保護法とGDPRの比較
日EU間の十分性認定は、個人情報保護法がGDPRと同等の水準の保護を提供していることを確認するものです。もっとも、両者の間には重要な相違点も残っています。
個人情報保護法は、GDPRのように処理のための特定の法的根拠を要求していません。同法は主として、通知・同意モデルと目的制限を組み合わせた仕組みで運用されています。GDPRの正当な利益に基づく比較衡量テストに相当する制度はありません。
GDPRは、世界年間売上高の最大4パーセントに相当する制裁金を科すことができます。個人情報保護法における法人に対する罰則は現在1億円が上限とされており、2026年に提案されている課徴金も、売上高に連動するものではなく没収的な性質のものです。大企業にとっては、GDPRの方が財務上のリスクが依然として大幅に高い状態にあります。
GDPRは、一定の組織に対してデータ保護責任者(DPO)の設置を義務付けています。個人情報保護法は正式なDPOの設置を義務付けていませんが、事業者は個人データの管理に責任を負う者を選任しなければなりません。
GDPRにおけるデータポータビリティの権利は、より広範なものです。2022年の個人情報保護法改正により電磁的方法による開示請求権が導入されましたが、サービス提供者間でのデータの完全な可搬性を認める権利までは含まれていません。
GDPRと他の主要な枠組みとの詳細な比較については、GDPRとCCPAの比較をご覧ください。
事業者向けコンプライアンスガイド
個人情報保護法の適用を受ける事業者は、2026年の改正の帰趨にかかわらず、さまざまなコンプライアンス上の措置を講じなければなりません。
利用目的の特定と制限
事業者は、個人情報を利用する目的を特定し、その目的を公表するか本人に通知し、本人の同意なく特定された目的の範囲を超えて情報を利用してはなりません。
安全管理措置
個人情報保護法は、事業者に対し、個人データの漏えい、滅失、または毀損を防止するために必要かつ適切な措置を講じることを求めています。PPCのガイドラインは、組織的措置(責任者の選任、社内規程の整備)、人的措置(従業者の教育、監督)、物理的措置(保管場所へのアクセス制御)、および技術的措置(システムへのアクセス制御、不正アクセスからの保護)を求めています。
従業者および委託先の監督
事業者は、個人データを取り扱う従業者を監督するとともに、個人データの取扱いを委託する委託先に対しても適切な監督を行わなければなりません。NTT西日本に対する執行事例は、サプライチェーン全体における責任の所在に対するPPCの重視の姿勢を示しています。
第三者提供に関する記録
事業者は、個人データを第三者に提供し、または第三者から個人データの提供を受ける場合、提供が行われた日時、提供されたデータの内容、および相手方の氏名・名称を記録として作成・保存しなければなりません。これらの記録は、状況に応じて1年から3年間保存する必要があります。
委託先に関する適用除外(2026年提案)
2026年改正法案は、委託先に関する部分的な適用除外を導入します。個人データの取扱いを委託された事業者は、漏えい報告の範囲や利用制限を含む所定の事項が契約で定められている場合には、個人情報保護法第4章の一部の義務を免除されることになります。安全管理措置や漏えい報告といった中核的な義務は、いずれにせよ引き続き義務として課されます。
課徴金制度への備え
事業者は、2028年頃までに施行が見込まれる課徴金制度に向けて、今から準備を始めるべきです。具体的には、個人データから経済的利益を得ている大規模なデータ処理活動を監査すること、第三者提供に関する取り決めのコンプライアンス状況を確認すること、50%の減額の対象となり得る社内報告体制を整備すること、そして違反が過失によるものであることを示せるよう注意義務を尽くしたことを記録に残しておくことが求められます。
Frequently Asked Questions
個人情報保護法は、日本に拠点を持たない外国企業にも適用されますか。
はい、適用されます。2022年改正以降、個人情報保護法は、商品またはサービスの提供に関連して日本国内に所在する個人の個人データを取り扱う外国事業者に対して域外適用されます。PPCは、海外の企業に対しても直接命令を発出することができます。ECサイト、モバイルアプリ、またはオンラインサービスを通じて日本の消費者から個人データを取得している場合には、物理的な所在地にかかわらず個人情報保護法の適用を受けます。
2026年1月のPPC制度改正大綱とは何ですか。
2026年1月9日に決定された制度改正大綱は、日本の個人情報保護法に義務付けられている3年ごと見直しに関するPPCの正式な成果物です。この大綱は、AIに関する例外を含むデータ利活用の推進、リスクに応じた規律、不適正な利用の防止、そして課徴金制度による執行の実効性確保という4つの改正の優先事項を示しました。この大綱が直接の契機となり、2026年4月7日に国会に提出された閣議決定済みの改正法案につながりました。
日本の新たな課徴金制度はいつ施行されますか。
2026年4月7日の改正法案は、個人情報保護法の歴史上初めて課徴金制度を導入するものです。この法案は、まだ国会での可決を経る必要があります。2026年中に可決されることを前提とすると、新たな課徴金制度は公布から2年以内に施行されることとなり、遅くとも2028年までには運用が開始される見込みです。
提案されている課徴金はどのように算定されますか。
課徴金の額は、違反によって得られた経済的利益に相当する額とされ、具体的には違反行為の対価として得た金銭的利益、またはコンプライアンス費用を回避したことによる利益をいいます。過去の課徴金命令から10年以内に違反を繰り返した場合には算定額が1.5倍に加算され、調査開始前に事業者が自主的に報告した場合には50%減額されます。課徴金は、事業者が経済的利益を得ており、1,000人を超える本人に影響を及ぼす重大な違反にのみ適用されます。
匿名加工情報と仮名加工情報の違いは何ですか。
匿名加工情報は不可逆的に非識別化されたものです。元の個人データを復元することはできず、いかなる状況においても特定の個人を識別することはできません。仮名加工情報は可逆的に非識別化されたものであり、それ単体では個人を識別できませんが、別途保管されている情報と照合することにより再識別が可能です。いずれも完全な個人データと比較してコンプライアンス上の負担は軽減されますが、仮名加工情報は第三者に提供することができず、個人を再識別するために照合することも認められません。
企業はどのくらいの速さでPPCにデータ漏えいを報告しなければなりませんか。
個人情報保護法は二段階の報告制度を採用しています。速報は、漏えいを認識した後速やかに提出しなければならず、PPCのガイドラインはこれを営業日ベースで3日から5日程度と解釈しています。詳細な確報は30日以内に提出しなければなりません。サイバー攻撃によるものや不正な目的によるものと考えられる漏えいについては、確報の期限は60日に延長されます。影響を受ける本人にも速やかに通知しなければなりませんが、具体的な期限は定められていません。
企業は本人の同意なく日本から米国へ個人データを移転できますか。
自動的にはできません。米国は、PPCによる十分性認定を得ていません。日本から米国へ個人データを移転するには、事業者は、(移転先の国およびそのデータ保護制度を開示した上での)十分な説明に基づくオプトイン方式の同意を取得するか、または米国の提供先が個人情報保護法と同等の個人情報保護制度を整備し、年次のコンプライアンスモニタリングを受けることを確保しなければなりません。
個人情報保護法には子どものデータに特化した規定はありますか。
現行法にはありませんが、2026年4月改正法案は、16歳未満の者に関する専用の規定を提案しています。これにより、限られた例外を除き、処理に先立って保護者の同意および通知が求められることになります。子どもおよびその保護者にも、成人の本人に適用される立証要件を満たすことなく、データの利用停止や第三者提供の停止を請求できる緩和された権利が認められる見込みです。施行は2028年頃と見込まれています。
Sources and References
- 個人情報の保護に関する法律(公式英訳)(japaneselawtranslation.go.jp).gov
- 個人情報保護委員会公式ウェブサイト(ppc.go.jp).gov
- 個人情報保護委員会 法令・政策ページ(ppc.go.jp).gov
- 改正個人情報保護法の概要(PPC公式資料)(ppc.go.jp).gov
- PPC 3年ごと見直しに係る制度改正大綱(ppc.go.jp).gov
- 欧州委員会による日本に関する十分性認定(2019年)(europa.eu).gov
- 欧州委員会による日本の十分性認定に関する第1回見直し(2023年)(eur-lex.europa.eu).gov
- 西村あさひ法律事務所:個人情報保護法改正の方向性(2026年1月)(nishimura.com)
- 森・濱田松本法律事務所:個人情報保護法改正案の解説(2026年)(morihamada.com)
- ベーカー&マッケンジー法律事務所:日本の個人情報保護法改正の要点(2026年5月)(bakermckenzie.com)
- Chambers and Partners:データ保護・プライバシー2026年版 日本(practiceguides.chambers.com)
- ICLG データ保護法制報告書 2025年から2026年版:日本(iclg.com)