最初に押さえるポイント
- 改正案は2026年4月7日に閣議決定され、課徴金は経済的利得相当額が基準。違反逃れの「やり得」を封じる設計になっている。
- 課徴金の対象は悪質な5類型に絞られ、安全管理措置を怠った単純な漏えいは対象外。意図的な不適正利用が照準だ。
- 適用には本人数1,000人超・権利利益侵害が大きい・相当の注意を怠った、という条件が課される見込みだ。
- 過去に課徴金歴があれば1.5倍、自主報告には50%減額(リニエンシー)が設計され、早期申告のインセンティブが組み込まれた。
- GDPRの売上連動型(最大全世界売上4%)とは設計思想が異なるが、データ提供先の管理とログ整備は共通の備えになる。
何が起きたか──「方針公表」から「閣議決定」までの3カ月
2026年1月9日、個人情報保護委員会(個情委)は「いわゆる3年ごと見直し」の制度改正方針を公表し、新たに課徴金制度を導入する方向を明示した。それまで日本の個人情報保護法は刑事罰と是正命令が中心で、行政が金銭的な制裁を直接科す仕組みは存在しなかった。今回の方針は、その執行ツールの空白を埋める転換点である。
方針公表からわずか3カ月後の4月7日、政府は「個人情報の保護に関する法律等の一部を改正する法律案」を閣議決定し、第221回特別国会に提出した。施行は公布から2年を超えない範囲とされ、実務上は2028年頃の運用開始が見込まれている。準備に使える時間は、決して長くない。
課徴金の額は「対象行為又は対象行為をやめることの対価として個人情報取扱事業者が得た金銭等の財産上の利益に相当する額」とされる。つまり違反で得た利得を吐き出させる発想であり、定額の罰金ではなく利得連動型である点が、この制度を読み解く出発点になる。
なお、当初検討されていた適格消費者団体による差止・被害回復の請求制度は、今回の改正では見送られた。執行の強化は行政すなわち個情委による課徴金に一本化された格好で、企業が当面向き合う相手は規制当局である。民事ルートが広がらなかった分、当局の判断と運用にどう向き合うかが実務の焦点になる。
2026年改正をめぐる主な経過
個人情報保護委員会の公表資料および政府発表に基づく時系列
| 時期 | 出来事 | ポイント |
|---|---|---|
| 2026年1月9日 | 制度改正方針を公表 | 課徴金導入を明示・団体請求は見送り |
| 2026年4月7日 | 改正法律案を閣議決定 | 第221回特別国会に提出 |
| 公布後2年以内 | 施行(政令で指定) | 2028年頃の運用開始見込み |
背景──「やり得」を封じる利得連動という発想
なぜいま課徴金なのか。背景には、データの利活用需要が急拡大する一方で、個人データの違法な取扱いが個人の権利利益を脅かすリスクも同時に高まっている、という構造がある。違反で得た利益が制裁の痛みを上回るなら、抑止は働かない。利得連動型は、その「やり得」を成立させない設計思想だ。
ここで重要なのは、課徴金が漏えい一般への罰ではないことだ。改正案では、安全管理措置の義務を怠って大規模な漏えいが起きた場合は課徴金の対象外とされる。狙いは、不注意による事故ではなく、利益を目的とした意図的・悪質な不適正利用の抑止に絞られている。
この絞り込みは、規制が萎縮効果でデータ活用を止めないための配慮でもある。改正案は同時に、特定の個人に影響しない統計作成やAI開発のためのデータ利用を一定の条件で柔軟化する方向も含む。保護の強化と利活用の促進を同じ束で進めるのが、今回の改正の基本トーンだ。
言い換えれば、規制当局は「真っ当にデータを使う事業者は萎縮させず、利得目的で一線を越える者には経済的に割に合わなくする」というメリハリを志向している。マーケターにとっては、この線引きのどちら側に自社の運用があるかを点検することが第一歩になる。
論点の中心──課徴金がかかる「悪質な5類型」とは
課徴金の対象として整理されているのは、悪質性の高い5つの行為類型だ。いずれも、単なる管理ミスではなく、第三者への不適正な提供や不正な取得など、意図性をともなう違反である点が共通している。マーケティングのデータ取引・連携の文脈で読むと、距離が近い類型が含まれている。
とりわけ注意したいのは、違法行為や不当な差別的取扱いを行う第三者への個人データ提供、第三者の求めに応じた不適正利用、偽りその他不正の手段による取得、同意のない第三者提供(法27条1項違反)である。データの「提供先」と「取得経路」の正当性が、課徴金の境界線を分ける。
加えて、適用には複数の条件が課される見込みだ。事業者が防止のための相当の注意を怠ったこと、影響を受けた本人の数が1,000人を超えること、個人の権利利益を害する程度が大きいこと。一定規模かつ悪質という二重のフィルターで、対象は絞り込まれる構造になっている。
さらに、過去に課徴金納付命令を受けた事業者には1.5倍、違反事実を自主的に報告した場合は50%を減額するリニエンシーが盛り込まれた。再犯を重く、早期申告を軽くする独占禁止法に通じる設計であり、違反を早く見つけて申告する社内体制そのものが、企業の負担軽減に直結する構造になっている。
課徴金の対象類型と適用の枠組み(改正案ベース)
牛島総合法律事務所の解説等に基づく整理。最終的な内容は法案審議で確定する
| 区分 | 内容 | マーケ視点の留意点 |
|---|---|---|
| 対象類型(例) | 違法・差別目的の第三者への提供、第三者の求めに応じた不適正利用、不正取得、同意なき第三者提供 ほか | データ連携・外部提供の正当性 |
| 算定基準 | 対象行為で得た経済的利得に相当する額 | 違反の利得が制裁額に直結 |
| 主な適用条件 | 本人数1,000人超/相当の注意を怠った/権利利益侵害が大きい | 規模と悪質性の二重フィルター |
| 加重・減免 | 過去違反は1.5倍/自主報告で50%減額(リニエンシー) | 早期申告体制の価値が上がる |
| 対象外 | 安全管理措置を怠った単純な大規模漏えい | 事故型は課徴金の主対象外 |
データで読む──漏えいは過去最多、GDPRとの距離
制度強化の背中を押すのは、現実の数字だ。個情委の2024年度年次報告によれば、漏えい等の報告件数は前年度比58%増の2万1,007件と過去最多を記録し、うち民間部門は1万9,056件にのぼった。委託先の不正アクセスを起点とする連鎖的な報告が件数を押し上げた構図が見える。
もっとも、これらの多くは安全管理措置に関わる事故であり、前述のとおり課徴金の主たる対象ではない。だが報告件数の急増は、個情委の監督リソースと社会的関心が個人データに集中している現状を示す。執行ツールとしての課徴金が用意された文脈は、この数字の延長線上にある。
海外に目を転じれば、EUのGDPRは制裁金を全世界売上高の最大4%(または2,000万ユーロ)まで科せる。2023年にはMeta社にアイルランド当局が12億ユーロ(約1,800億円)を科し、過去最大となった。GoogleやAmazonにも巨額の制裁が下されており、売上連動型の威力は突出している。
日本の課徴金は利得連動であり、売上連動のGDPRとは設計思想も金額感も異なる。単純比較はできないが、「データの不適正な扱いには経済的コストが伴う」という潮流は共通だ。グローバルに事業を展開するマーケターは、二つの異なる物差しを同時に意識する局面に入る。
日本の漏えい報告とGDPR制裁金の対比
個情委2024年度年次報告および公表されたGDPR執行事例より
| 指標 | 数値 | 出所・備考 |
|---|---|---|
| 日本の漏えい等報告(2024年度) | 2万1,007件(前年度比58%増) | 民間部門は1万9,056件 |
| GDPR最大制裁金(Meta・2023年) | 12億ユーロ(約1,800億円) | アイルランド当局・過去最大 |
| GDPR制裁(Amazon・2021年) | 7億4,600万ユーロ | ルクセンブルク当局 |
| GDPR制裁(Google・2019年) | 5,000万ユーロ | フランスCNIL |
| GDPR上限の基準 | 全世界売上高の最大4% | または2,000万ユーロの高い方 |
実務への示唆──マーケターがいま点検すべき3つの接点
第一に、データの「提供先」だ。課徴金の対象類型は第三者提供の不適正さに集中している。広告配信やデータクリーンルーム、外部ベンダーとのデータ連携において、提供先が同意の範囲内で適法に使うかを、契約と運用の両面で確認できる状態にしておく必要がある。
第二に、「取得経路」の正当性である。不正取得が対象に含まれる以上、リードや会員データの入手元、同意取得の文言、取得時の説明が後から検証できるかが問われる。特に外部リストの購入やパートナー経由のデータ流入は、経路の透明性を担保しにくく、いざというときに適法性を説明できない弱点になりやすい。
第三に、子どもと生体データへの目配りだ。改正案には16歳未満の個人情報取得に保護者同意を求める方向や、顔特徴データなど生体情報の取扱い規律の強化も含まれる。若年層向けキャンペーンや顔認識を使う店頭施策は、同意の取り方や公表事項を前提から見直す価値があり、いまから設計に織り込んでおきたい論点だ。
そして横断的に効くのが、リニエンシーを意識した社内体制だ。違反の早期発見と自主報告が50%減額につながる以上、データ取引の記録、同意ログ、提供先の管理台帳を整え、異常を早く拾える仕組みを持つこと自体が、リスクとコストの両面で合理的な投資になる。
まとめと展望──「コンプラ部門の話」では済まなくなる
今回の改正は、個人データの不適正な扱いに初めて行政の金銭的制裁を結びつけた点で、日本のデータ規制の質を一段引き上げる。対象は悪質な5類型に絞られ、単純な漏えい事故は外れるとはいえ、利得連動という設計は「割に合わない違反」を制度として可視化した。
マーケティングは、データの取得・連携・提供を日々動かす現場だ。課徴金の境界線である提供先・取得経路・本人の権利利益は、まさにマーケターの意思決定が触れる領域に重なる。法務やセキュリティだけの論点として切り離せる時代は終わりつつあり、施策設計の段階から規律を織り込む姿勢が問われ始めている。
施行までには、なお法案審議とガイドライン整備の過程が残る。本稿で示した条件や数値は審議で変わり得るため、確定情報は個情委の一次資料で随時確認したい。それでも方向性は明確で、準備を前倒しした企業ほど、規制を制約ではなく信頼の差別化に転じられる。
課徴金は単なる脅しではなく、データを真っ当に扱う事業者の競争環境を整える装置でもある。2026年の改正を、自社のデータガバナンスを棚卸しする好機と捉えられるかどうか。その判断の差が、これから数年のマーケティングの巧拙と顧客からの信頼に、静かに、しかし確実に表れてくる。
実務で確認するチェックリスト
- 広告配信・データ連携の提供先が、同意範囲内で適法にデータを利用しているかを契約と運用で確認する
- リード・会員データの取得経路と同意取得の文言が、後から検証できる形で記録されているか点検する
- 外部リスト購入やパートナー経由のデータ流入について、経路の正当性と適法性を改めて確認する
- 16歳未満を対象とする施策で、保護者同意を前提とした取得フローへ見直す余地がないか検討する
- 顔認識・生体データを用いる施策の同意設計と公表事項を、改正案の規律強化に照らして再点検する
- 同意ログ・データ取引記録・提供先管理台帳を整備し、異常を早期に検知できる体制を整える
- 自主報告による50%減額(リニエンシー)を踏まえ、違反発見時の社内エスカレーション手順を確認する
よくある質問
課徴金はどんな違反でも科されるのですか。
いいえ。改正案では悪質な5類型(違法・差別目的の第三者提供、第三者の求めに応じた不適正利用、不正取得、同意なき第三者提供など)が対象で、安全管理措置を怠った単純な大規模漏えいは課徴金の対象外とされています。意図的・利得目的の不適正利用が照準です。
課徴金の金額はどう決まりますか。
対象行為で得た経済的利得に相当する額が基準です。定額の罰金ではなく利得連動型である点が特徴で、過去に課徴金歴がある場合は1.5倍に加重、違反を自主報告した場合は50%減額(リニエンシー)が盛り込まれています。
適用される条件はありますか。
影響を受けた本人の数が1,000人を超えること、個人の権利利益を害する程度が大きいこと、事業者が防止のための相当の注意を怠ったこと、といった条件が課される見込みです。一定規模かつ悪質という二重のフィルターで対象が絞られます。
いつから施行されますか。
改正法律案は2026年4月7日に閣議決定され国会に提出されました。施行は公布から2年を超えない範囲で政令により定められる予定で、実務上は2028年頃の運用開始が見込まれています。最終的な内容は法案審議で確定します。
GDPRの制裁金とは何が違いますか。
GDPRは全世界売上高の最大4%(または2,000万ユーロの高い方)を上限とする売上連動型で、Meta社には12億ユーロ(約1,800億円)が科された例があります。日本の課徴金は違反で得た利得に連動する設計で、思想も金額感も異なりますが、データの不適正利用にコストを伴わせる潮流は共通です。