YouTubeUP「名前が漏れてなくても漏えい?漏えい対応はどこまで緩和されるのか? 漏えい元基準・容易照合性から読む個人情報保護法2026年改正弁護士解説|本人の権利利益を害しないことが明らかである場合の同意不要規定も」

おしごと活動報告

本記事では、個人情報保護法2026年改正のうち、「漏えい等対応の見直し」と「限定的な同意不要事由の新設」を取り上げる。特に、漏えい等時の本人通知義務は一定の場合に緩和される見込みであり、インシデント対応が一部緩和される方向である。
企業・自治体の担当者にとっては、どのケースで本人通知が必要かの線引きと、当局報告との関係整理が重要となる。また、同意不要事由は、現時点で判明している情報のみからの予想では、実務影響が限定的である可能性が高い。

動画による全体解説

個人情報保護法2026年改正の全体像

規制緩和と規制強化の二軸

2026年改正は大きく以下の二軸で構成される。

  • 規制緩和
    • 漏えい等時の本人通知義務の見直し
    • 同意不要事由の追加 などなど
  • 規制強化
    • (本記事以外で解説)

漏えい対応と容易照合性:現行法の厳格さ

個人データ漏えい等の判断基準

現行法では、一般的な感覚よりも広く「漏えい」が認定される。ポイントは次のとおりである。

  • 漏えい情報単体で個人が特定できなくても対象
  • 漏えい元におけるデータの状況で判断される
  • 「容易照合性」があれば個人データに該当する

具体例:IDと購入履歴のみの漏えい

以下のケースでも個人データ漏えいと評価されうる。

  • サービスID(外部非公開の内部番号)
  • 購入履歴

名称・住所がなくとも、漏えい元でIDと個人が紐付いており、容易照合性が認められることが多い。

図で理解しよう:分割管理されたデータ

典型的なシステム構成:

  • 左表:ID+氏名
  • 右表:ID+受診日(または利用履歴)
漏えい範囲法的評価
左表のみ個人データ漏えい
左表+右表個人データ漏えい
右表のみ個人データ漏えい(容易照合性あり)

重要点は、右表のみであっても漏えい元で容易照合可であれば漏えいに該当することである。そして極めて重要な点は、「容易」照合性という名前ではあるものの、実務上は「困難」でなければ容易照合性は肯定される傾向が強い

1件の漏えいでも当局報告&本人通知が必要か

要配慮個人情報であれば、2026年改正前は1件の漏えいでも対応(当局報告&本人通知)が必要となる。

要配慮でなければ、1件の漏えいの場合、対応が必要な場合も必要でない場合も有る。対応が必要となるか否かは、委員会規則7条(以下の表の通り)を確認する。

1要配慮個人情報が含まれる個人データ(高度な暗号化その他の個人の権利利益を保護するために必要な措置を講じたものを除く。以下この条及び次条第 1 項において同じ。)の漏えい、滅失若しくは毀損(以下この条及び次条第 1 項において「漏えい等」という。)が発生し、又は発生したおそれがある事態
2不正に利用されることにより財産的被害が生じるおそれがある個人データの漏えい等が発生し、又は発生したおそれがある事態
3不正の目的をもって行われたおそれがある当該個人情報取扱事業者に対する行為による個人データ(当該個人情報取扱事業者が取得し、又は取得しようとしている個人情報であって、個人データとして取り扱われることが予定されているものを含む。)の漏えい等が発生し、又は発生したおそれがある事態
4個人データに係る本人の数が千人を超える漏えい等が発生し、又は発生したおそれがある事態

本人通知義務の課題と2026年改正の方向

現行法の課題

現行制度では以下の問題が指摘される。

  • 実質的リスクが低いケースでも通知義務が発生
  • 本人が理解困難な通知内容
  • 不必要な不安や不信感の発生

例:
「IDと受診日が漏えいしました」と通知されても、本当にそれだけかと疑心暗鬼を招く可能性も考え得る。

2026年改正:本人通知義務の緩和

改正の方向性:

  • 一定の場合に本人通知義務を緩和
  • ただし当局報告は引き続き必要の可能性高い
  • 具体的基準は今後明確化予定

実務上の影響:

  • 基準が二層化(本人通知・当局報告)
  • インシデント判断フローの見直しが必要

同意不要事由の新設:限定的な規制緩和

改正

以下の要件を満たす場合、本人同意が不要となる。

  • 本人との間の契約の履行のために必要やむを得ないことが明らかである場合
  • その他当該個人データの取得の状況から見て
  • 本人の意思に反しないため本人の権利利益を害しないことが明らかである場合として
  • 委員会規則で定める場合

典型例

1. 旅行予約(ポータルサイト経由)

  • ポータル → ホテルへの情報提供
  • 法人格が別のため法的には第三者提供に該当
  • しかし、本人の合理的期待に反しない

2. 海外送金

  • 送金元銀行 → 送金先銀行
  • 法人格が別のため法的には第三者提供
  • しかし本人の意思と合致

実務評価:影響は限定的

本改正についての実務的評価は以下のとおりである。

  • 適用範囲が極めて限定的となると予想
  • 「明らか要件」によりハードルが高い
  • 多くのケースでは既に次で対応済み
    • 利用規約による同意
    • 黙示の同意

結論として、データ活用を大きく促進する類型ではない

GDPRとの比較

EUのGDPRでは、同意以外の適法化根拠が体系化されている(6条1項)。

代表例:

  • 契約
    • データ主体が契約当事者となっている契約の履行のために取扱いが必要となる場合、又は、契約締結の前に、データ主体の要求に際して手段を講ずるために取扱いが必要となる場合。
  • 法的義務の遵守
    • 管理者が服する法的義務を遵守するために取扱いが必要となる場合。
  • 正当な利益
    • 管理者によって、又は、第三者によって求められる正当な利益の目的のために取扱いが必要となる場合。ただし、その利益よりも、個人データの保護を求めるデータ主体の利益並びに基本的な権利及び自由のほうが優先する場合、特に、そのデータ主体が子どもである場合を除く。

今回の改正は、この考え方に一部近づくものである。ただし、日本法は元々取扱いの包括的な適法化根拠を定める体系ではなく、取得・利用・第三者提供規制というような取扱いフェーズごとの適法化根拠を定める体系であり、そもそもの体系に差異がある

実務対応の要点

企業・自治体は以下の対応を検討すべきである。

インシデント対応体制

  • 通知要否基準の見直し・規程などの社内文書改訂
  • 容易照合性の判断再確認
  • 当局報告フローの再設計・規程などの社内文書改訂

データ取扱い

  • 第三者提供の実態洗い出し
  • 第三者提供根拠の再点検

動画による詳細解説

***タイムライン***
00:00 オープニング/テーマ紹介
01:12 漏えいなのに緩和で大丈夫?
02:50 名前がなくても漏えいになるケース
04:01 2026年改正前解釈のポイント:漏えい元基準・容易照合性
06:39 IDと受診日の漏えいでも個人データの漏えいに
09:37 ただし当局報告は別論点
10:25 2つ目のテーマ:本人同意不要(本人の意思に反せず、権利利益を害しないことが明らかな場合)
12:16 本人同意不要の具体例
14:51 実務上は限定的な緩和ではないか
16:28 GDPRとの比較

Q&A

Q1. IDのみの漏えいでも報告義務はあるか

2026年改正前はありえた。漏えい元で個人と結び付く場合、容易照合性により個人データとなる。
2026年改正によって、この場合報告義務がなくなるように予想される。但し、委員会規則やガイドラインを待たなければ確定しないため、あくまで予想である。

Q2. 本人通知は必ず不要になるのか

必ず不要になるとはいいきれない。2026年改正後も、個人情報保護法26条・委員会規則・ガイドラインを参照した個別判断が必要である。

Q3. 本人の権利利益を害しないことが明らかであるとして同意不要な場合は広くなるか

現時点で公開されている情報からは、本人の権利利益を害しないことが明らかであるとして同意不要となる場合はとても狭いのではないかと予想される。

Q4. 当局報告も不要になるのか

現時点では不要とならないものと予想される。本人通知とは別だからである。もっとも当局報告も法改正とは別の文脈で以下の合理化が予定されている(令和8年1月個人情報保護委員会事務局「個人情報保護法 いわゆる3年ごと見直しについて」13頁)。

サイバー攻撃対処能力強化法に基づく報告義務施行に併せて、共通様式(ランサムウェア等)により報告が行われる場合の窓口を一元化する方向でNCO(国家サイバー統括室)の下で所要の調整が進められるとのことである。

また、体制・手順に係る認定個人情報保護団体などの第三者の確認を受けること等を前提として、

  • 一定の範囲で速報を免除することを可能とする。
  • 漏えいした個人データに係る本人の数が1名である誤交付・誤送付のようなケースについては、委員会への報告のうち確報を、一定期間ごとに取りまとめた上で行うことを許容する。

まとめ

本改正は、インシデント時の本人通知義務緩和とはいえ、現行制度でやや過度とも評価されうるルールの見直しである。

  • 本人通知義務は緩和されるが、当局報告は概ね維持の可能性
  • 同意不要事由は限定的で、実務影響は小さい可能性

なお、本人通知義務が緩和される場合は、漏えい元基準性によるやや過度とも評価されうるルールの見直しだけとは限らず、委員会規則・ガイドラインを待つ必要がある。継続的ウォッチが必要。

これまでのインシデント対応とは異なる対応が必要となるため、企業・自治体・独法・各省においてはインシデント対応の見直しが必要である。

以下、令和8年1月個人情報保護委員会事務局「個人情報保護法 いわゆる3年ごと見直しについて」より抜粋

執筆者プロフィール
弁護士 水町雅子(第二東京弁護士会、宮内・水町IT法律事務所所属)

SE(ITシステム開発)、コンサルティング等をシンクタンクにて行った後、弁護士登録。内閣官房・特定個人情報保護委員会にてマイナンバーの制度設計、ガイドライン作成、PIA制度化等を行う。
個人情報・ITに関して、首相官邸パーソナルデータに関する検討会参考人、内閣府「マイナンバーの利活用拡大のための検討タスクフォース」委員、こども家庭庁「こどもデータ連携の取組に関する検討会」委員、厚生労働省ITシステム等技術審査委員、東京都東京デジタルサービス会議構成員、東京都足立区情報公開・個人情報保護審議会委員、つくば市プライバシー影響評価制度検討懇話会委員、総務省・経産省・AMED実証事業等の支援等、実績豊富。
マイナンバー、個人情報、AI、医療情報、IT法務、企業法務、行政法務等に対応。書籍・論文執筆・講演のほか、日本経済新聞、朝日新聞、読売新聞、雑誌、TV等メディアコメント多数。

タイトルとURLをコピーしました