個人情報保護法2026年改正｜生体情報・16歳未満・課徴金の実務対応

2026年4月7日、政府は個人情報保護法（個情法）の改正案を閣議決定しました。AIの開発・普及を後押しするためデータ利活用の規制を緩和する一方、違反企業への課徴金制度を新設して執行を強化する「アクセルとブレーキ」の両面改正です。本記事では2026年6月時点で判明している改正案の主要8項目と、企業が今から着手すべき実務対応を整理します。

今回の改正は、個人情報保護法（平成15年法律第57号）の3年ごと見直し（同法附則第10条）に基づくものです。改正案は2026年の通常国会で審議され、施行は2028年が見込まれています。施行までに猶予はありますが、データ資産の棚卸しやプライバシーポリシー改定には時間を要するため、2026年中の着手が推奨されます。

最大の目玉が、AI開発や統計作成の目的で個人情報を利用する場合、本人の同意を不要とする特例の創設です。個人が特定されない形での統計的処理や、本人の権利利益を害さないことが明らかな利用については、現行法第18条（利用目的による制限）・第27条（第三者提供の制限）の同意原則を緩和します。生成AIの学習データ確保がボトルネックとなっている国内事情への対応です。

ただし「本人の権利利益を害するおそれ」がある場合は従来どおり規律が及ぶため、何が「害さないことが明らか」に当たるかのガイドラインが今後の実務上の焦点となります。AI著作権をめぐる論点は生成AIと著作権侵害訴訟もあわせて参照してください。

これまで個情法の制裁は是正命令と、命令違反に対する刑事罰（個人情報保護法第178条等）に限られ、「やり得」が指摘されてきました。改正案は違反行為の対価として得た財産上の利益（不当利得）相当額を基礎とする課徴金を導入し、個人情報保護委員会が課徴金納付命令を出せるようにします。

EUのGDPRにおける制裁金制度に接近する内容で、グローバル企業の日本拠点にも影響します。GDPRとの比較はGDPRと日本の十分性認定で、閣議決定時点の詳細解説は個人情報保護法改正案の閣議決定もあわせて参照してください。

顔認証データ、指紋、DNA、声紋など、本人を識別できる生体データを「特定生体個人情報」として新たに類型化し、取得・利用に上乗せの規律を設けます。防犯カメラの顔認証や入退室管理など、生体情報を扱う事業者は取得目的の特定と安全管理措置の見直しが必要になります。

16歳未満の個人情報の取得・利用には原則として法定代理人の同意を要するものとし、子どものデータ保護を強化します。未成年者向けアプリ・ゲーム・SNSを運営する事業者は、年齢確認フローと同意取得設計の見直しが避けられません。

• 不適正利用の禁止拡大：差別的取扱いにつながる「特定個人アプローチ情報」の不適正な利用を明確に禁止
• 漏えい報告の合理化：軽微な漏えいの報告負担を軽減し、重大事案への対応にリソースを集中
• 委託先義務の見直し：委託元・委託先間の義務分担を実態に即して整理
• 罰則の拡大：不正に取得・提供する行為の処罰範囲を拡大

1. データマッピング：自社が保有する個人データの種類・取得経路・利用目的を棚卸しし、生体情報・未成年データの有無を確認する
2. プライバシーポリシー改定：AI学習利用の有無、利用目的の特定を改正方針に沿って見直す
3. 委託先管理の点検：委託契約と監督体制を課徴金リスクを前提に再確認する

個人情報の取扱体制の構築や、課徴金リスクを踏まえた社内規程の整備については、早期に弁護士へ相談することが有効です。

• 個人情報保護委員会「個人情報保護法 制度改正」: https://www.ppc.go.jp/
• e-Gov 法令検索「個人情報の保護に関する法律」: https://laws.e-gov.go.jp/law/415AC0000000057