3年ごと見直し2026年版の全体像

個人情報保護法は3年ごとに見直されます。今回(2026年)の改正は、2020年・2023年に続く3周目の大型改正で、課徴金制度や団体訴訟の導入など、これまでで最大級の制度変更が含まれます。個人情報保護委員会の中間整理(2024年9〜10月)、答申(2025年6月)を経て、国会審議の流れにあります。施行は段階的(一部は2026年中、本格運用は2027年)と想定されています。

本記事では、中小企業(300名規模)の情シス・法務・経営層が必ず実装すべき7ステップに分けて、規程改訂、システム改修、運用フローまでを具体的に解説します。施行を待たずに動き出すべき内容なので、2026年中の対応が現実的なタイムラインです。

📌 2026年改正の主要論点(一次整理)
  • 課徴金制度の導入(GDPRに近づくスタイル)
  • 団体訴訟制度(消費者団体による差止・損害賠償請求)
  • 漏えい等報告の厳格化(基準・期限・対象範囲の見直し)
  • 子どもの個人情報の取扱い特則
  • ダークパターン(誘導型UI)に対する規制
  • 越境移転(国外提供)の同意要件強化
  • 本人の権利強化(利用停止請求・第三者提供記録)

制度の全体像は個人情報保護法 2026年改正の概要個人情報保護法ガイドもあわせて参照してください。

ステップ1:個人データの棚卸し(データマッピング)

すべての対応の起点は「自社がどの個人データを、どこに、なぜ持っているか」の把握です。マッピング表が無いまま規程だけ整えても、漏えい時に「対象者○名」を即時に出せず報告期限を守れません。

具体的なアクション

  • 業務システム・SaaS(M365、Salesforce、kintone、CRM等)ごとに保有データ項目を一覧化
  • 各項目について「取得経路」「利用目的」「保管期間」「委託先」「越境移転の有無」を記載
  • センシティブ情報(要配慮個人情報、子ども、医療、金融、生体)を別タグで管理
  • Excel/kintoneで台帳化し、四半期ごとに更新
  • DLP導入と組み合わせ、自動検出も併用

ステップ2:プライバシーポリシー・同意取得UIの改訂

ダークパターン規制を踏まえ、「同意を意図しない誤クリックを誘導するUI」を廃止します。デフォルトチェック、目立つ承諾/目立たない拒否、複数同意の一括取得などが該当します。

具体的なアクション

  • プライバシーポリシーを2026年改正対応版に更新(取得項目、利用目的、第三者提供、越境移転、保管期間を明示)
  • 同意取得UIを「目的別」「同意項目別」に分離(マーケ/分析/第三者提供を別チェックに)
  • 拒否ボタンを承諾ボタンと同等のサイズ・色に変更
  • 子ども向けサービス/18歳未満が利用する可能性のあるサービスは特則対応
  • クッキー同意バナーをGDPR水準に揃える(特に海外ユーザーがいる場合)

ステップ3:漏えい等報告フローの厳格化対応

現行法でも「速やかに(おおむね3〜5日以内)」の速報義務、30日以内の確報義務がありますが、改正では報告基準の明確化と即時報告の徹底が求められる見込みです。

具体的なアクション

  • インシデント検知から24時間以内に「速報」をPPCに出せる体制を構築
  • 速報テンプレート、確報テンプレートを準備(個人情報保護委員会の様式に準拠)
  • 判断フローを明文化:要報告/不要の判定基準、対象本人通知の判定
  • CSIRT/インシデント対応規程に連動させる(CSIRT構築ガイド参照)
  • サイバー保険会社、外部弁護士、フォレンジック業者の連絡先を事前確保
  • 業務委託先からの漏えい通知ルートも契約で取り決め

ステップ4:越境移転(国外提供)の同意・記録

クラウドサービス利用=越境移転に該当するケースが多く、中小企業でも避けて通れません。改正では移転先国の制度情報の本人提供義務が強化される方向です。

具体的なアクション

  • 利用中SaaS/クラウドの「データ保管リージョン」を全数把握(M365 East Asia/Japan East、AWS Tokyo、Salesforce JP等)
  • 米国系SaaS/中国系SaaSの利用有無を分類
  • 越境移転に該当する場合、プライバシーポリシーに移転先国・法制度概要を明記
  • 同意取得画面でも「国外移転される」ことを別個に通知
  • SCC(標準契約条項)相当の契約条項を委託先と締結
  • 子どもの個人情報の越境移転は別途厳格な同意取得

ステップ5:本人の権利請求対応の体制整備

本人からの開示・訂正・利用停止・第三者提供記録の請求に対する対応窓口を明確化します。改正では権利範囲の拡大と対応期限の明確化が見込まれます。

具体的なアクション

  • 請求受付窓口(メール/フォーム/郵送)を明示し、Webサイトに掲示
  • 本人確認の方法を規程化(eKYC、運転免許証等)
  • 請求受付から30日以内に対応するワークフローを構築
  • 第三者提供記録(提供先、提供日、提供項目)を期間中保持できる仕組みに
  • SaaSやCRMで「特定本人のデータを全て一覧/削除」できるかを確認
  • 削除請求への対応:バックアップ/ログからも消去できるか

ステップ6:委託先管理・サプライチェーン点検

個人データを取り扱う委託先(SaaSベンダー、印刷会社、コールセンター、業務委託先)の管理責任が強化されます。「委託先から再委託先まで」の把握が必要です。

具体的なアクション

  • 個人データ取扱い委託先の一覧化と再委託状況の確認
  • 委託契約書を改正法対応条項に改訂(漏えい時通知、再委託許諾、監査権限、契約終了時データ返却)
  • 年次の委託先評価チェックリストを運用
  • SCS(経済安保サプライチェーン)対応と整合させる(サプライチェーン・セキュリティ参照)
  • クラウド事業者の認証(ISMAP、ISO27017、ISO27018)を確認

ステップ7:課徴金・団体訴訟リスクへの備え

2026年改正の最大の変更点が課徴金制度団体訴訟制度です。違反時の経済的インパクトが桁違いに大きくなるため、経営層への報告ラインを整える必要があります。

具体的なアクション

  • 取締役会/監査役向けに「個人情報保護リスク」項目を追加
  • サイバー保険の補償範囲に「課徴金」「団体訴訟費用」が含まれるか確認
  • 違反発覚時の社内対応フロー(経営層エスカレーション、外部弁護士起用、PPC対応)を整備
  • 役職員教育の年次化(特に営業/マーケティング部門の同意取得実務)
  • 個人情報保護管理者(CPO相当)の任命・職務記述書整備
  • 監査計画にプライバシー監査を組み込み(IT監査ガイド参照)

2026年中の実装スケジュール

時期やること主担当
2026年5〜6月個人データ棚卸し、現状ギャップ分析情シス+法務
2026年6〜8月プライバシーポリシー・同意取得UI改訂、漏えい報告体制法務+マーケ+情シス
2026年8〜10月越境移転対応、委託先契約改訂法務+情シス
2026年10〜12月本人請求対応窓口、ワークフロー整備カスタマーサポート+法務
2026年12月〜2027年役員報告、年次監査、教育展開経営層+全社

よくある落とし穴

  • 「うちは個人情報を扱っていない」と思い込む:従業員データ・取引先担当者データだけでも対象事業者
  • プライバシーポリシーをコピペで使い回す:自社の実態と乖離すると、虚偽記載リスク
  • SaaSのリージョン設定を放置:デフォルトで米国リージョンになっているSaaSが多い。契約時にJapan East指定が必須
  • 委託先一覧を更新しない:新規SaaS導入時に台帳追加するルールを徹底
  • 子ども向けサービスの認識漏れ:本来18歳未満の利用が想定されないサービスでも実態として登録されているケースがある
  • 漏えい報告体制を「通報経路だけ」で済ます:報告書テンプレ・連絡先・判定基準を文書化していないと24時間で動けない
  • 役員教育を後回し:課徴金・団体訴訟は経営判断が絡む。役員研修を最初の半年で実施

まとめ

2026年の個人情報保護法改正は「ペナルティが重くなる」という量的変化「権利範囲・規制範囲が広がる」という質的変化の両方を伴います。施行を待たずに2026年中に7ステップを進めれば、施行後の運用は無理なく回せます。逆に施行直後に慌てて対応すると、UI改修・委託先契約改訂・報告体制構築が間に合わず、課徴金リスクが顕在化します。

BTNコンサルティングでは、ITコンサルティング情シス365を組み合わせて、データ棚卸し・規程改訂・委託先契約・漏えい報告体制までを伴走支援しています。60分の無料相談から、自社のギャップ整理をお手伝いします。

関連記事・参考リンク
個人情報保護法 2026年改正の概要個人情報保護法ガイド改正法の情シス影響情報漏えい対策CSIRT構築ガイド内部不正対策個人情報保護委員会 ↗
E

BTNコンサルティング 編集部

株式会社BTNコンサルティング|情シス365 運営

Microsoft 365・Google Workspace導入支援、IT-PMI(M&A後のIT統合)、セキュリティ対策を専門とするITコンサルティング企業。中小企業の「ひとり情シス」を支援し、ITの力で経営課題を解決します。