【2026年版】個人情報保護法 改正の全貌｜課徴金導入・漏えい報告緩和・SaaS事業者への影響を完全整理

2026 年の 個人情報保護法 改正 は、 課徴金制度の新設 と SaaS 事業者を含む指導対象の拡大 が最大の焦点です。個人情報保護委員会は 2026 年 1 月に制度改正方針を公表し、4 月には改正法案を公表しました。法案が成立すれば、違反で得た利益相当額を徴収する課徴金が導入され、再犯は 1.5 倍、自主申告は 50% 減という仕組みが本格運用されます。一方で漏えい報告は軽微事案で緩和され、AI 学習を含む統計利用は同意なしで可能になる方向です。本記事では 2026 改正の全体像、改正前後の対比、課徴金算定フロー、SaaS 提供事業者が受ける影響、そして 2028 年の施行に向けて いま着手すべきこと を整理します。

過去の 3 年ごと見直しと比べても、 SaaS 事業者の責任範囲が大きく動く改正 です。委託先扱い・契約管理・AI 学習用途の同意取得を曖昧にしたまま放置すると、施行後に契約見直しの再交渉と課徴金リスクの両方を抱える可能性があります。

なお SaaS 事業者として日常的に直面するシャドー IT や情報漏洩リスクの基礎は ./what-is-shadow-it-examples と ./no-code-tools-comparison-and-security でも整理しています。改正対応と合わせて社内の現状把握にお使いください。

2026 年 個人情報保護法 改正の全体像｜課徴金導入と 3 年ごと見直しの結論

個人情報保護法 改正 は 3 年ごとに見直しが行われており、2026 年は前回 2022 年改正から数えて 2 度目の見直し（令和 8 年改正）にあたります。今回の改正は、 課徴金制度の導入 と 本人同意の例外拡大 を一体で議論している点が大きな特徴です。

個人情報保護委員会は 2026 年 1 月 9 日に「制度改正方針」を公表し、4 月 8 日には条文ベースの改正法案を公表しました。日本弁護士連合会も 4 月 16 日に意見書を提出し、 団体請求権の見送り・課徴金の対象範囲・SaaS 事業者の扱い などについて論点提起しています（出典: 日本弁護士連合会 意見書、牛島総合法律事務所 解説）。

改正の柱は次の 4 点に集約されます。

第 1 に、課徴金制度の新設 です。違反により得た経済的利益相当額を徴収し、再犯は 1.5 倍、自主申告は 50% 減という算定式が組み込まれます。 安全管理義務違反による大規模漏えいは課徴金の対象外 で、引き続き刑事罰・行政指導で対応する整理になっています。

第 2 に、漏えい報告義務の整理 です。これまで「1,000 件超」「要配慮個人情報を含む」などで一律に報告対象だったものが、軽微事案では報告対象から外れる方向で議論されています。 EC 通販事業者の漏えい報告は年間 2 万件に達した と報じられており、形骸化を避けつつ大規模事案を厳格化する整理です（出典: 通販通信 ECMO）。

第 3 に、第三者提供・目的外利用の同意例外の追加 です。統計情報の生成のみに利用される場合や、AI 学習用途の一部について、本人同意なしで利用できる範囲が拡張されます。AI 開発を進める SaaS 事業者にとって、データ利活用の自由度が上がるポジティブな改正です。

第 4 に、SaaS 事業者を含む指導要請の対象拡大 です。個人情報を「取り扱っていない」とされてきたクラウドサービス提供事業者にも、個人情報保護委員会が違反停止の要請を行える仕組みが新設されます。これが SaaS 業界にとって最も重い変更点です（詳細は後述）。

つまり 2026 改正は、 「規制強化（課徴金・SaaS 指導）」と「利活用緩和（AI 学習・統計利用）」の両輪 で進んでおり、SaaS 事業者はその両方に同時に備える必要があります。

改正前後の対比表｜何が変わり、何が変わらないか

主要 8 論点について、現行法（2022 改正版）と 2026 改正後の違いを整理しました。 新設・拡大・緩和・維持 の区分で見ると、どこに労力を割くべきかが明確になります。

新設の中心は課徴金と子ども個人情報 です。課徴金は前述のとおり「違反利益剥奪」型で、 GDPR の制裁金（売上の 4%）とは異なる算定方式 を採用しました。一方、子ども個人情報については 16 歳未満の同意要件と法定代理人の関与 が明文化される方向で、教育系・ゲーム系 SaaS は対応が必須です。

拡大の中心は SaaS 事業者の指導対象化 です。これまでは「個人情報を取り扱っていなければ法の対象外」という整理でしたが、改正後は 委員会が違反停止を要請できる対象に含まれる ようになります。例えば多テナント型の SaaS で、ある顧客が個人情報の不適切な取り扱いをしている場合、SaaS 提供側にも委員会から要請が入る可能性があります。マルチテナント SaaS の RLS や監査ログ設計の重要性が一気に上がる場面です。SaaS の DB 分離設計の基礎は ./building-multi-tenant-saas-architecture も参考にしてください。

緩和の中心は漏えい報告と委託先義務 です。委託先が委託元の指示に従って機械的に処理するだけで、自ら取扱方法を決定しないケースについて、 契約管理を満たすことを条件に第 4 章の一般的義務の一部が免除 されます。SaaS 事業者にとっては「実質的な義務軽減」につながる重要なポイントですが、 契約書とログでそれを立証できなければ免除を受けられない 点に注意が必要です。

維持の中心は本人の権利と団体請求 です。当初検討されていた消費者団体による集団的請求権の新設は今回見送りとなり、本人個別の開示・訂正・利用停止請求は現行枠組みのまま手続が明確化される程度に留まりました。

対比表を眺めて気づくのは、 「規制強化と利活用緩和が同じ法律で同時に進む」 という構造です。これは事業者にとって難しいかじ取りで、 コンプラ部門と事業部門が同じ方向を向く全社プロジェクト にしないと、片方だけ進めて片方が抜け落ちる事故が起きやすくなります。

課徴金制度の仕組みと算定フロー｜売上連動・自主申告で 50% 減

2026 改正の目玉である課徴金制度は、 「違反検知 → 利益額算定 → 加減算 → 自主申告判定 → 納付命令」の 5 ステップ で運用される見込みです。

ステップ 1: 違反の検知。 委員会の立入検査、本人からの申告、事業者の自主申告、漏えい報告の 4 経路で違反を把握します。改正後は SaaS 提供事業者も指導要請対象になるため、 「自社は個人情報を保管していないから関係ない」では済まなくなる 点に注意が必要です。

ステップ 2: 経済的利益額の算定。 違反によって得た売上・利益相当額を算定します。具体的な計算式は今後のガイドラインで定まりますが、現状の議論では 違反対象の個人データ件数 × 単価 など、機械的・客観的に算出できる方式が想定されています。委員会が把握する前に違反を是正した場合は、利益額そのものを争う実務も発生する見込みです。

ステップ 3: 再犯加算（×1.5）。 過去 10 年以内に同種違反がある場合、基礎額に 1.5 倍の加重がかかります。継続的・組織的違反（複数の事業部にまたがる漏えい等）も加重対象です。再発防止計画の実効性が問われる仕組みになっています。

ステップ 4: 自主申告 50% 減算。 委員会が把握する前に違反を自主申告すれば、課徴金額が 50% 減額 されます。条件は是正措置の実施と再発防止計画の提出。 「隠して発覚するより、自主申告して半額」 という設計は、内部通報制度の実効性と密接にリンクします。SaaS 内部の監査ログ・通報窓口の整備が、課徴金リスクのヘッジに直結する構造です。

ステップ 5: 納付命令・公表。 委員会が納付命令を発出し、原則として 納付額・違反内容が公表 されます。課徴金の経済的負担に加え、 ブランド毀損・顧客信頼の喪失 という二次被害が大きいため、上場 SaaS にとっては IR 説明責任にまで波及するリスクです。

ここで重要なのは、 課徴金は「違反利益の剥奪」が目的 であり、安全管理義務違反による大規模漏えいは引き続き刑事罰・行政指導の世界に置かれる点です。「漏えいすると即課徴金」という単純化は誤解を招きます。 意図的・継続的な違反による利益取得 が課徴金、 管理不備による事故 は従来どおりの行政対応、という棲み分けで設計されています（出典: TMI 総合法律事務所 解説、BTN コンサルティング）。

SaaS 事業者が受ける 3 つの影響｜委託先扱い・指導対象拡大・契約見直し

2026 改正は、SaaS 提供事業者に 3 つの直接的な影響 をもたらします。それぞれ実務でどう備えるかをセットで整理します。

影響 1: 委託先扱いの整理と契約見直し。 これまで SaaS 事業者は「クラウドサービス契約 FAQ」（Q7-53）で、 委託元の指示下で機械的に処理するだけなら委託先非該当 という整理でした。2026 改正では、 契約管理・監督措置を満たすことを条件に第 4 章の一般的義務を一部免除 する方向で議論されています。これは「義務軽減」と同時に 「契約と監督記録で立証する責任」が SaaS 側に生じる ことを意味します。

具体的には、 DPA（データ処理契約）の整備・監査ログの保管・委託元へのレポーティング の 3 点セットを契約書ベースで標準化する必要があります。すでに B2B 契約を持つ SaaS は 2026 年 Q2 から契約レビューを開始するのが現実的なスケジュールです。

影響 2: 指導要請の対象範囲拡大。 改正後は、 個人情報を「取り扱っていない」場合でも、委員会が違反停止の要請を行える対象 になります。多テナント SaaS で、ある顧客が違反的な取扱いを行っているケースで、SaaS 側に「該当機能の停止」「特定顧客のアクセス制限」などの要請が入る想定です。

これに備えるには、 顧客別の機能制限・データ分離・監査トレース の機能整備が必要になります。アクセス制御の基盤として SSO（シングルサインオン）や IdP 連携の重要度が増します。SSO 導入の実務は ./what-is-single-sign-on-benefits で詳しく解説しています。

影響 3: AI 学習用途の同意取得文言の見直し。 改正で 統計情報生成・AI 学習用途の一部について本人同意なしの利用が可能 になる方向です。これは AI 機能を持つ SaaS にとってポジティブな緩和ですが、 「どこまでが統計化か」「個別識別できる形での AI 学習は含むのか」 は施行令・ガイドラインで詰める論点です。

実務的には、 プライバシーポリシーと利用規約の文言を改正後に更新 することになります。BtoB SaaS では、 エンタープライズ顧客のセキュリティ審査 で AI 学習のオプトアウト機能を求められるケースが急増しており、契約とプロダクト両方で「学習に使う / 使わない」を切り替えられる設計が標準化しつつあります。

3 つの影響に共通するのは、 「設計と契約の両方を新法準拠に合わせ込む全社プロジェクト」 が必要になるという点です。法務部門だけ、開発部門だけ、では対応できない構造になっています。

施行スケジュールと、いま着手すべきチェックリスト

施行までの全体タイムラインと、SaaS 事業者として いま動くべきこと を整理します。

2026 年 1 月: 制度改正方針が公表済み。 課徴金導入・SaaS 指導要請・漏えい報告整理の方針が明らかになりました。SaaS の経営層と法務担当はここで概要を押さえておく必要があります。

2026 年 4 月: 改正法案が国会に提出済み。 条文ベースで具体論が見える状態になりました。BtoB SaaS は契約レビューの準備を、AI SaaS はプライバシーポリシー改定の下書きをこの時期から開始するのが現実的です。

2026 年 Q2: SaaS 提供側の着手タイミング。 委託契約・DPA・プライバシーポリシーの棚卸し、AI 学習用途の同意取得文言の検討、内部通報制度（自主申告 50% 減のための前提）の整備をこの 3 か月で並行で進めます。

2026 年 5〜6 月: 通常国会で成立見込み。 過去の改正もほぼこのタイミングで成立しており、令和 8 年改正も同様の流れと見込まれます。成立後、施行までに 1〜2 年の準備期間が設けられる予定です。

2027 年: 下位規範の整備期間。 施行令・施行規則・ガイドライン・Q&A が順次公表されます。実務的にはこの 1 年で社内規程・契約ひな型・教育教材を整備します。 「2027 年末までに新法準拠の契約・規程を全社展開」 が現実的なゴールです。

2028 年（見込み）: 改正個人情報保護法 施行。 課徴金制度・SaaS 指導要請制度などが本格運用開始。違反は即課徴金リスクに直結する状態になります。

今日から着手すべきチェックリスト 7 項目 をまとめます。

1. 委託契約・DPA の棚卸し: 委託元・委託先の関係、データ処理の範囲、監督記録の取得方法を整理
2. 個人情報の取扱フロー図の更新: 入力 → 保管 → 利用 → 委託 → 廃棄まで、全工程をフロー化
3. AI 学習用途の同意取得文言の準備: プライバシーポリシー・利用規約・社内 AI 利用規程の改定下書き
4. 監査ログの設計レビュー: テナント別・操作別の証跡をどこまで保管しているか、保管期間が法定義務とずれていないか
5. 内部通報制度の整備: 自主申告 50% 減を活かすため、社内で違反を早期に把握する仕組みを設計
6. 顧客への影響説明資料の準備: BtoB SaaS では顧客のセキュリティ審査で改正対応状況を聞かれるため、説明資料を事前に作成
7. 法務・開発・CS の合同プロジェクト化: 各部門が縦割りで動くと抜け漏れが必ず起きるため、PM を立てて横串で進行

特に重要なのは 1（契約）と 4（ログ） で、ここが整っていないと「委託先の義務免除」を立証できず、改正のメリットを享受できないまま規制強化だけを受ける形になります。

よくある質問（FAQ）

Q1. 2026 年 改正個人情報保護法 はいつ施行されますか？ A. 2026 年 5〜6 月に通常国会で成立し、 2028 年頃に施行 される見込みです。前回の改正と同じく、成立から施行まで 1〜2 年の準備期間が設けられます。施行までに施行令・施行規則・ガイドライン・Q&A が順次公表されるため、SaaS 事業者は 2027 年を実務整備の期間と位置付けるのが現実的です。

Q2. 課徴金の上限はいくらですか？ A. 法定上限額は法案に明記される予定ですが、現時点では 違反で得た経済的利益相当額が基礎額 とされ、再犯で 1.5 倍、自主申告で 50% 減という算定方式が固まりつつあります。GDPR の「売上の 4%」とは異なり、 違反利益の剥奪型 である点が特徴です。具体的な金額は施行令で確定する見込みです。

Q3. SaaS 事業者は個人情報を取り扱っていなくても対象ですか？ A. はい、2026 改正後は 「取り扱っていない」ケースでも個人情報保護委員会の指導要請対象 になります。多テナント SaaS でテナントが違反的な取扱いを行っている場合、SaaS 側に機能停止やアクセス制限の要請が入る想定です。委託契約・DPA・監査ログを整備しておくことが対応の前提になります。

Q4. 漏えい報告は緩和されますか？ A. 軽微事案は報告対象から外れる方向で議論されています。一方で 大規模事案は報告義務が厳格化 されており、 「全件報告」から「重要事案重点報告」へのメリハリ化 が今回改正の方向性です。具体的な閾値は施行令で定まる見込みなので、最新の Q&A をフォローしてください。

Q5. AI 学習に個人情報を使えるようになりますか？ A. 統計情報の生成・特定の AI 学習用途は本人同意なしで利用可能 になる方向です。ただし「どこまでが統計化か」「個別識別可能な形での学習を含むのか」は施行令・ガイドラインで具体化される論点です。BtoB SaaS のエンタープライズ顧客はオプトアウト機能を求める傾向が強いため、 学習に使う/使わないをテナント単位で切り替えられる設計 を準備しておくと、契約交渉が円滑になります。

Q6. 子ども個人情報の取扱いはどう変わりますか？ A. 16 歳未満の同意要件と法定代理人の関与 が明文化される方向です。教育系 SaaS・ゲーム系 SaaS・SNS 系 SaaS は、登録時の年齢確認フロー、保護者同意取得フロー、保護者向け開示・訂正請求の窓口を新法準拠で整備する必要があります。米国 COPPA や英国 Children's Code を参考に設計するのが実務的です。

Q7. 2026 改正に向けて SaaS 事業者がやってはいけないことは？ A. (1) 「うちは個人情報を扱っていないから対象外」と判断する こと、(2) 委託契約と監査ログを整備せず、義務免除を口頭で主張する こと、(3) 改正成立後に駆け込みで対応を始める ことです。特に (3) は施行直前の契約再交渉が顧客との関係を悪化させるため、 2026 年 Q2 から段階的に着手 するのが鉄則です。