3年ごと見直しの節目──2026年改正の全体像

個人情報保護法は、3年ごとの見直し規定に基づき、個人情報保護委員会が2025年に中間整理を公表。2026年の通常国会で改正案の提出が見込まれています。今回の改正は漏えい報告義務の厳格化、課徴金制度、プロファイリング規制など、情シスの実務に直接影響する内容が中心です。

本記事では、情シス担当者が「法務に任せきり」にせず、自ら準備すべき項目を整理します。

改正の主要ポイント

改正項目現行想定される改正
漏えい報告一部類型のみ要配慮個人情報を含む漏えい全般へ対象拡大、速報期限短縮の可能性
課徴金制度なし(罰則のみ)違反企業に対する課徴金導入が議論
プロファイリング個別規定なし一定の自動決定・プロファイリング利用への規律(透明性、異議申立)
同意要件利用目的通知+同意同意取得方法の厳格化(ダークパターン禁止)
子どもの個人情報明示規定薄い未成年者への配慮の強化
越境移転移転先国開示移転先の適切性評価の強化
⚠️ 情シスが注視すべきは"報告期限"

漏えい報告の速報期限(現行は速やかに)が、EU GDPR型の"72時間以内"に近づく可能性が議論されています。CSIRT体制と自動化の整備が今のうちから必要です。

情シス実務への5つのインパクト

  • ①インシデント報告フローの自動化:検知→一次切り分け→報告まで24時間以内の完了を想定した手順構築
  • ②個人データ所在マップの整備:社内SaaSごとにどの個人情報が保管されているかを可視化
  • ③データ消去・持出防止:退職者・異動者のアクセス即時遮断、DLPツール導入
  • ④同意取得UIの改修:Webサイト・会員サービスの同意バナーの適正化
  • ⑤ベンダー管理:SaaSベンダーとのDPA(データ処理契約)見直し、越境移転の評価

個人データマップの作成手順

情報漏えい報告の迅速化には、「どのシステムに・誰の・何の個人情報があるか」を事前にマップ化しておく必要があります。

  • ステップ1:全SaaS/オンプレミスの棚卸し
  • ステップ2:各システムが保有する個人データ種別の分類(氏名、連絡先、決済情報、要配慮情報等)
  • ステップ3:データ件数・取得経路・保管場所(国)・委託先の記録
  • ステップ4:Purview/Google Cloud DLP/Box Shield等のツールで機密データを自動分類
  • ステップ5:年1回の棚卸し更新を運用ルール化

漏えい対応フローの再設計

時間アクション主担当
検知〜1時間一次切り分け、CSIRT招集情シス
〜24時間影響範囲確定、委員会への速報準備情シス+法務
〜72時間速報提出、本人通知方針決定法務+広報
〜30日確報提出、本人通知、再発防止策策定経営+情シス

ログ収集、影響範囲算出、本人通知リスト抽出の3工程を自動化できる仕組み(SIEM、ログ統合、AIアシスト)が今後の競争要件になります。

プロファイリング規制への備え

マーケティングオートメーション、採用AI、信用スコアなど、自動化された意思決定を使っている場合は以下を確認してください。

  • プロファイリング処理の対象者への事前通知の有無
  • 異議申立・人間によるレビューの受付体制
  • 不公平な差別を生むデータバイアスの監査
  • プロファイリングに使用するデータ項目の必要性検証

情シス対応チェックリスト

  • □ 個人データマップの作成(SaaS/オンプレ横断)
  • □ インシデント対応手順書(24時間・72時間版)
  • □ 退職者・異動者のアクセス即時遮断フロー
  • □ DLPツール導入検討
  • □ SaaSベンダーのDPA棚卸し
  • □ 越境移転先の評価(米国、中国、東南アジア等)
  • □ Webサイト同意バナーの適法性レビュー
  • □ 社内研修(マイナンバー・要配慮情報の取扱)
  • □ プロファイリング利用の棚卸し(MA、採用AI等)
  • □ 漏えい訓練(年1回のテーブルトップエクササイズ)

BTNコンサルティングの支援

BTNでは、個人データマップ作成、DLP導入、インシデント対応体制構築、ベンダーDPAレビューまで情シス実務を全面支援します。「Security365」「Consult365」で法改正に応じた継続アップデートも可能です。

まとめ

改正個人情報保護法は情シスにとって"攻めの契機"です。漏えい対応の自動化、個人データマップ整備、DLP導入──これらは法改正を超えて企業競争力に直結します。法改正の前に情シスが主導権を握ることが、経営へのインパクトを最大化する鍵です。