個人情報保護法の改正で中小企業は何をすべき?2022年施行の義務と2026年改正案を横浜の弁護士が解説
個人情報保護法の改正で中小企業は何をすべき?2022年施行の義務と2026年改正案のポイントを横浜の弁護士が解説
「個人情報保護法は大企業が守るものであって、うちのような小さな会社にはあまり関係がない」——そう考えていらっしゃる経営者の方は少なくありません。しかし実際には、顧客名簿や従業員情報を扱う以上、会社の規模にかかわらずこの法律の対象になります。近年は法改正のたびに事業者の義務が増えており、2026年4月には新たな改正法案が閣議決定されました。違反した場合のリスクも年々大きくなっています。
この記事では、法務担当者のいない中小企業や個人経営の事業者の方に向けて、現在求められている個人情報保護法上の義務と、検討が進む2026年改正案のポイント、そして今すぐ取り組んでおくべき実務対応を、わかりやすく解説します。
「うちは小さい会社だから関係ない」は通用しない
かつての個人情報保護法には「取り扱う個人情報が5,000件以下の事業者は対象外」という基準が存在しました。しかし、この基準は2017年の改正で撤廃されています。現在は、個人情報をデータベース化して事業に利用している事業者であれば、取り扱う件数や売上規模を問わず、原則としてすべて「個人情報取扱事業者」として法の適用を受けると解されています。
個人情報とは、氏名・住所・生年月日・顔写真・メールアドレスなど、特定の個人を識別できる情報を指します。顧客リスト、取引先の担当者情報、従業員の人事記録、ネットショップの会員データ——これらはいずれも個人情報にあたります。つまり、ほとんどすべての事業者が何らかの形で個人情報を保有しており、適切な管理義務を負っているということになります。
2022年施行の改正で中小企業に課された主な義務
2022年(令和4年)4月に全面施行された改正によって、中小企業にも影響の大きい義務がいくつか加わりました。代表的なものを整理します。
| 項目 | 内容 |
|---|---|
| 漏えい等の報告・通知義務 | 一定の個人データの漏えい・滅失・毀損が生じた場合、個人情報保護委員会への報告と本人への通知が義務化されました。 |
| 利用停止・消去請求への対応 | 本人からの利用停止・消去等の請求に応じなければならない場面が拡大されました。 |
| 開示請求のデジタル対応 | 本人が保有個人データの開示方法(電磁的記録の提供など)を指定できるようになりました。 |
| 罰則の強化 | 委員会の命令違反や虚偽報告などに対する法定刑・法人への罰金額が引き上げられました。 |
| 外国事業者への域外適用 | 日本国内の個人を対象に事業を行う外国事業者にも報告義務等が及ぶこととされました。 |
とりわけ実務上の影響が大きいのが、次に説明する「漏えい等の報告・通知義務」です。これは事故が起きてから慌てて対応すると期限に間に合わないおそれがあるため、平時からの備えが欠かせません。
漏えい等が起きたときの「報告・通知義務」——期限と対象
個人データの漏えい等のうち、一定の類型に該当する場合には、個人情報保護委員会への報告と、漏えいの対象となった本人への通知が義務付けられていると解されています。報告・通知の対象となる主な類型は次のとおりです。
- 要配慮個人情報(病歴・障害・犯罪歴など)が含まれる漏えい
- 財産的被害が生じるおそれがある漏えい(クレジットカード番号など)
- 不正の目的をもって行われたおそれがある漏えい(不正アクセス・内部者による持ち出しなど)
- 1,000人を超える本人に係る漏えい
報告には期限があります。事案を把握した後、まず「速報」を速やかに(概ね3日から5日以内とされています)行い、その後30日以内(不正アクセス等、不正の目的によるおそれがある場合は60日以内)に「確報」を行う取扱いとされています。サイバー攻撃や従業員のメール誤送信など、中小企業でも起こりうる事故が対象になり得る点に注意が必要です。期限の管理を誤ると、それ自体が委員会の指導・勧告の対象となる可能性があります。
2026年改正案で何が変わる?——課徴金・こども・統計特例
個人情報保護委員会は3年ごとの見直しに基づき検討を進め、2026年4月7日に「個人情報の保護に関する法律等の一部を改正する法律案」が閣議決定されました。本稿執筆時点では国会で審議されている段階ですが、中小企業にも関係しうる主な改正のポイントを押さえておきましょう。
課徴金制度の導入
改正案では、個人情報の違法な取扱い等によって財産上の利益を得た悪質な事業者に対し、個人情報保護委員会が課徴金の納付を命じることができる制度の導入が盛り込まれています。これまで違反に対する制裁は是正命令とその違反に対する罰則が中心でしたが、経済的な制裁の枠組みが新たに加わる方向です。大量の個人データを不正に利用するような悪質事案を実効的に抑止することが狙いとされています。
こどもの個人情報の保護強化
子ども向けのサービスを提供する事業者などを念頭に、こどもの個人情報の保護を強化する方向での見直しが検討されています。年少者を顧客とする事業を営む場合は、今後の制度設計の動向を注視しておく必要があります。
漏えい通知の合理化とAI・統計特例
一方で、本人への通知を行わなくても権利利益の保護に欠けるおそれが少ない場合について、通知義務を緩和する例外を設けるなど、実務負担を合理化する方向の見直しも含まれています。また、AI開発などで統計的な分析結果のみを利用する一定の場合に、本人同意なしでの個人データの取扱いを認める「統計特例」の創設も議論されています。データ利活用を後押しする内容と、執行を強化する内容の両面がある改正だと整理できます。
中小企業が今すぐ取り組むべき実務対応
法改正への対応というと身構えてしまいがちですが、まずは基本的な管理体制を整えることが出発点になります。次のような点を順に確認してみてください。
- 個人情報の棚卸し:自社がどのような個人情報を、どこに、どのような目的で保有しているかを一覧化する。
- 利用目的の特定・公表:利用目的をできる限り特定し、プライバシーポリシー等で公表・通知する。
- 安全管理措置の整備:アクセス権限の設定、パスワード管理、データの持ち出しルールなど、組織的・人的・技術的・物理的な安全管理措置を講じる。
- 委託先の監督:名簿管理やシステム運用を外部に委託している場合、委託先を適切に監督する。
- 漏えい時の対応フローの策定:事故発生時に誰が・いつ・どこへ報告するかを事前に決めておく。
- 従業員教育:メールの誤送信や書類の紛失といった人的ミスを防ぐための社内研修を行う。
これらはいずれも特別な設備投資を必要とするものではなく、社内のルールづくりと運用で対応できる部分が大半です。逆に言えば、ルールが整備されていない状態で事故が起きると、報告期限への対応や本人対応で大きな混乱を招くおそれがあります。
まとめ:個人情報の管理体制は専門家への相談を
個人情報保護法は、事業規模を問わずすべての事業者に関わる法律であり、改正のたびに義務と責任が重くなっています。2026年改正案では課徴金制度の導入など執行を強化する内容も含まれており、「知らなかった」では済まされない場面が増えていくと考えられます。
もっとも、自社にどこまでの対応が求められるのか、プライバシーポリシーや委託契約の内容が十分かといった判断は、業種や取り扱うデータの性質によって変わります。判断に迷う場合は、早めに弁護士などの専門家に相談し、自社の実態に合った管理体制を整えておくことが、結果的にトラブルの予防とコスト削減につながります。横浜で事業を営む中小企業の経営者の方も、安心して事業を続けるための一歩として、専門家の活用をご検討ください。
個人情報の管理体制・プライバシーポリシーの整備は横浜のタングラム法律事務所へ
タングラム法律事務所では、企業法務(契約書レビュー・労務・法改正対応等)について、中小企業・個人経営の事業者向けに豊富な実績を有しております。個人情報保護法への対応や社内規程の整備についても、貴社の事業実態に即してサポートいたします。
法律相談の予約はこちら※本記事は一般的な法律情報の提供を目的としており、個別の法律相談ではありません。具体的な案件については弁護士にご相談ください。
