2025年10月改正点追記:個人情報保護委員会の最新検討状況を反映(2025年改正は検討段階、法案未成立)
【2025年最新版】個人情報保護法の実務完全ガイド|改正対応を表で一発比較
📌 この記事の結論(100字要約)
2024年改正(施行済):個人情報保護法施行規則第7条第3号により、ウェブスキミング対策として個人情報(個人データになる前)も報告対象に拡大。2025年改正:検討中(法案未成立)。同意規制の柔軟化、本人通知義務の緩和等を議論中。施行は2026年~2027年頃を見込む。
目次
改正状況の全体像【2024年・2025年を表で比較】
2025年10月現在、「2025年改正」は個人情報保護委員会で検討中であり、法案は未成立です。本記事の「2025年改正案」は全て検討段階の素案であり、最終的な法案では変更される可能性があります。
| 区分 | 状況 | 対応優先度 | 施行時期 | 主な内容 |
|---|---|---|---|---|
| 🟢 2024年改正 | 施行済み | 最高 | 2024年4月1日 | ウェブスキミング対策(施行規則第7条第3号改正) |
| 🟡 2025年改正案 | 検討中 | 高 | 未確定(法案未成立のため施行時期は不明) | 同意規制の柔軟化、本人通知義務の緩和、委託先規律強化等 |
| 🔵 課徴金制度 | 導入是非を検討中(検討案では「大規模事案(目安:本人数1,000人)」に限定する案等が提示されている) | 中 | 未定 | 制度設計の課題を議論中(2024年12月報告書公表) |
個人情報保護法の基本構造
個人情報保護法とは
個人情報保護法(正式名称:個人情報の保護に関する法律)は、個人情報の適正な取扱いを定めた法律です。2003年5月に制定され、2005年4月から全面施行されました。
個人情報保護法は、以下の3つの目的を掲げています(第1条)。
- 個人の権利利益の保護:個人情報の不適正な取扱いによる個人の権利利益の侵害を防止する
- 個人情報の有用性への配慮:個人情報の有用性に配慮しつつ、適正な取扱いの確保を図る
- 高度情報通信社会の発展:もって個人の権利利益を保護する
個人情報・個人データ・保有個人データの違い
個人情報保護法では、データの状態や管理状況によって、呼び方と適用されるルールが異なります。
| 用語 | 定義 | 該当する情報の例 | 適用されるルール |
|---|---|---|---|
| 個人情報 | 生存する個人に関する情報で、特定の個人を識別できるもの(第2条第1項) | 氏名、生年月日、住所、顔写真、マイナンバー等 | 取得・利用に関する規律 |
| 個人データ | 個人情報データベース等を構成する個人情報(第2条第6項) | 顧客データベース、従業員名簿等 | 安全管理措置、第三者提供の規律 |
| 保有個人データ | 開示・訂正・利用停止等の権限を有する個人データ(第2条第7項)。※令和2年改正により、従来除外されていた「6ヶ月以内に消去する短期保存データ」も保有個人データに含まれることになりました | 顧客データベース、短期保存の問い合わせ履歴等 | 開示請求、訂正請求、利用停止請求への対応義務 |
【緊急】2024年改正の対応必須事項
2024年4月1日施行の改正に未対応の企業は、早急に対応してください。個人データの漏えい等に関する報告義務は法第26条に規定されています。報告や資料提出に虚偽がある場合、検査に応じない場合等は法第182条等により刑事罰が科され得ます。
ウェブスキミング対策関連(個人情報保護法施行規則第7条第3号改正)
改正の背景
近年、ECサイト等に不正プログラムを設置し、ユーザー入力情報を事業者のサーバを介さずに直接窃取する「ウェブスキミング」被害が深刻化しています。従来は「個人データ」になる前の「個人情報」段階での窃取は報告対象外でしたが、被害実態を踏まえ対象を拡大しました。
改正の内容
2024年4月1日施行の個人情報保護法施行規則改正により、「個人情報取扱事業者が取得し、又は取得しようとしている個人情報であって、個人データとして取り扱われることが予定されているもの」を、報告・本人通知の検討対象に含めることが明確化されました(個人情報保護法施行規則第7条第3号)。
具体的には:
- 個人データとして取り扱われることが予定されている個人情報(例:ECサイトの入力フォームに入力された情報で、まだデータベースに格納されていないもの)
- 「不正目的をもって行われたおそれがある行為」による漏えい等が対象(ウェブスキミング等)
プライバシーポリシーへの必要な追記例
【安全管理措置の記載に追加】
当社は、個人データのほか、個人データとして取り扱われることが予定されている
個人情報についても、不正目的をもって行われるおそれがある行為による漏えい等を
防止するため、以下の安全管理措置を講じています:
・ウェブサイトへの不正プログラム設置防止対策
・入力フォームにおけるセキュリティ対策の実施
・定期的なシステム脆弱性点検
・名刺等の物理的な個人情報の適切な管理📋 今月中の必須チェック項目
- ☐ 現在のプライバシーポリシーに上記の安全管理措置が記載されているか
- ☐ 社内の漏洩対応マニュアルが2024年改正に対応しているか
- ☐ 委託先との契約書に新たな安全管理措置が盛り込まれているか
🔗 2024年改正対応の関連記事
【準備推奨】2025年改正案の検討内容
以下は個人情報保護委員会が2025年1月22日に公表した「個人情報保護法 いわゆる3年ごと見直しに係る検討の今後の検討の進め方について(案)」および2024年12月の検討会報告書に基づく検討案です。最終的な法案では内容が変更される可能性があり、確定事項ではありません。
- ①同意規制の柔軟化:個人の権利利益への直接の影響がない場合の取扱い緩和
- ②本人通知義務の緩和:権利利益保護に欠けるおそれが少ない場合の通知義務免除
- ③委託先規律の強化:クラウドサービス等での委託先の適正性確保
- ④課徴金制度の検討:大規模違反事案への金銭的制裁措置の導入可否
1. 同意規制の柔軟化(検討案)
検討内容
個人の権利利益への直接の影響の有無という観点を考慮し、以下に該当する場合には、本人同意を要しないデータ利活用ができると整理することができるかという点が検討されています。
- ①個人データの取扱いの状況等からみて、個人の権利利益への直接の影響がない、又は極めて限定的であると考えられる場合
- ②個人データの取得の状況からみて本人の意思に反しない取扱いを実施すると客観的に認められる場合
プライバシーポリシーへの想定影響
- 利用目的の記載方法の見直し
- 第三者提供時の同意取得条件の明確化
- 統計分析等における個人への影響度の説明追加
記載例(検討案ベース)
| 現行 | 改正案適用想定 |
|---|---|
| 個人データの第三者提供は、原則として本人の同意を得た場合のみ行います | 個人データの第三者提供は、本人の権利利益への直接の影響がない統計分析目的での利用等、法令で認められた場合を除き、原則として本人の同意を得た場合のみ行います |
2. 漏洩等発生時の本人通知義務の緩和(検討案)
検討内容
個人データの漏えい等が発生した場合に、本人への通知が行われなくても本人の権利利益の保護に欠けるおそれが少ない場合においては、本人通知を要しないものと整理できるかという点が検討されています。
現行法では、不正アクセス等で個人データが漏えい等した場合や、1000人を超える本人の個人データを漏えい等した場合などの報告対象事態に当たる場合、本人に通知する義務があります。本人通知は、漏えい等した個人データの性質を問わず、報告対象事態に当たり本人の連絡先を知っている場合には、必ず行わなければなりません。
プライバシーポリシーへの想定影響
- 漏洩時の対応手順の詳細化
- 通知を行わない場合の基準明示
- 代替的な対応措置の説明
3. 委託先事業者に対する規律強化(検討案)
検討内容
DXの進展に伴い、個人データ等の取扱いについて、実質的に第三者に依存するケースが拡大しています。この状況を踏まえ、事業者等からデータ処理等の委託が行われる場合について、委託された個人データ等の取扱いの態様や、その適正性を確保する能力など、個人データ等の適正な取扱いに係る義務の在り方を検討することが提案されています。
プライバシーポリシーへの想定影響
- 委託先の監督体制に関する説明の充実
- クラウドサービス利用時の責任分界点の明確化
- 委託先変更時の通知方法の見直し
🔗 2025年改正準備の関連記事
安全管理措置の実務対応
安全管理措置の4つの要素
個人情報保護法第23条は、個人情報取扱事業者に対して、個人データの安全管理のために必要かつ適切な措置を講じることを義務付けています。具体的には、以下の4つの観点からの措置が求められます。
1. 組織的安全管理措置
組織体制の整備、取扱規程等の策定、取扱状況の記録、点検・監査の実施等を行います。
- 個人情報保護責任者の設置
- 個人情報取扱規程の策定
- 定期的な研修の実施
- 内部監査の実施
2. 人的安全管理措置
従業者に対する教育・訓練、秘密保持契約の締結等を行います。
- 入社時・定期的な研修の実施
- 従業員との秘密保持契約
- アクセス権限の定期的な見直し
3. 物理的安全管理措置
入退室管理、機器・媒体等の盗難防止、書類の適切な保管・廃棄等を行います。
- 個人データ保管区域の立入制限
- 機器・媒体の施錠管理
- 書類のシュレッダー廃棄
4. 技術的安全管理措置
アクセス制御、アクセス者の識別・認証、外部からの不正アクセス防止、情報システムの監視等を行います。
- アクセス権限管理(最小権限の原則)
- ログ管理(アクセスログ、操作ログの記録)
- 暗号化(個人データの暗号化、通信の暗号化)
- 不正アクセス検知システムの導入
違反時のペナルティ(罰則・課徴金)
A. 行政処分
個人情報保護委員会は、個人情報保護法に違反した事業者に対して、以下の行政処分を行う権限を有しています。
| 処分 | 内容 | 根拠条文 |
|---|---|---|
| 指導・助言 | 違反状態の是正を促す行政指導 | 第150条 |
| 勧告 | 違反行為の中止等を求める行政指導 | 第151条 |
| 命令 | 違反行為の中止等を命じる行政処分(従わない場合は刑事罰) | 第152条 |
B. 刑事罰
個人情報保護法違反には、以下の刑事罰が科される可能性があります。令和2年改正により、法定刑や法人罰が大幅に引き上げられました(例:命令違反の法人罰が30万円以下から1億円以下へ)。
| 違反行為 | 個人(行為者) | 法人(両罰規定) | 根拠条文 |
|---|---|---|---|
| 個人情報保護委員会の命令違反 | 1年以下の懲役または100万円以下の罰金 | 1億円以下の罰金 (改正前:30万円以下) |
第178条、第184条 |
| 個人情報データベース等の不正提供・盗用(不正な利益を図る目的) | 1年以下の懲役または50万円以下の罰金 | 1億円以下の罰金 | 第179条、第184条 |
| 個人情報保護委員会への虚偽報告・報告拒否・検査拒否・質問に対する虚偽回答等 | 50万円以下の罰金 | 50万円以下の罰金 | 第182条、第185条 |
| 委員会の職員等の守秘義務違反 | 2年以下の懲役または100万円以下の罰金 | - | 第180条 |
2022年4月施行の令和2年改正により、命令違反の罰金は法人で30万円以下から1億円以下に大幅に引き上げられました。
両罰規定(第184条・第185条):法人の代表者や従業員等が違反行為を行った場合、行為者が罰せられるほか、法人に対しても罰金刑が科されます。
- 個人データの漏えい等に関する報告義務は法第26条に規定されています
- 報告や資料提出に虚偽がある場合、検査に応じない場合等は法第182条等により刑事罰が科され得ます
- 個人情報保護委員会の命令に違反した場合は法第178条、個人情報データベース等の不正提供等は法第179条等に刑罰規定があります
- 詳細はe-Gov法令検索(個人情報保護法 第5章 罰則)および個人情報保護委員会の解説を参照してください
C. 民事責任
損害賠償責任
個人情報の漏えい等により個人に損害が発生した場合、不法行為(民法第709条)または債務不履行(民法第415条)に基づく損害賠償請求を受ける可能性があります。
損害の内容
- 財産的損害:不正利用による金銭被害、クレジットカード不正利用等
- 精神的損害:プライバシー侵害による慰謝料
- 二次被害対策費用:クレジットカード再発行費用、信用情報モニタリング費用等
D. レピュテーションリスク
個人情報保護法違反や漏えい事故は、以下のような深刻なレピュテーションリスクをもたらします。
- 顧客からの信頼喪失
- 取引先からの取引停止
- 採用活動への悪影響
- 株価下落(上場企業の場合)
- メディアでの否定的報道
E. 課徴金制度の検討状況(2025年10月時点)
課徴金制度とは
課徴金は行政処分であり、刑事罰である罰金とは別に科される金銭的制裁です。個人情報保護委員会は、2023年11月から課徴金制度の導入について検討を進めています。
現在の検討状況
- 2024年12月:「個人情報保護法のいわゆる3年ごと見直しに関する検討会報告書」を取りまとめ
- 報告書では、課徴金制度の導入の必要性及び想定される制度設計の在り方や課題についての議論状況を整理
- 重要:報告書は議論の状況をまとめたものであり、同制度の導入の要否及び制度設計の在り方については、報告書の内容を踏まえ、継続して議論していく必要があるとされている
- 法案化の可否や時期は未確定であり、最新の検討状況は個人情報保護委員会の公表資料で逐次確認する必要がある
個人情報保護委員会の検討資料では、課徴金を導入する場合の想定として以下が示されています:
- 対象事案の限定:大規模事案(目安:本人数1,000人程度)に限定する案
- 算定方法:違法提供型では違法により得た財産的利益を基礎とする案
- 適用基準:悪質性・重大性を考慮した適用基準の設定
課徴金制度導入の背景
- 現行法の罰金(法人:最大1億円)では、大企業にとって抑止力が不十分との指摘
- EUのGDPR(一般データ保護規則)は、違反企業に対して「全世界売上高の4%または2,000万ユーロのいずれか高い方」の制裁金を科す制度を採用
- 日本でも実効性のある制裁措置が必要との議論
実務チェックリスト(部門別・ステップ別)
【全社共通】個人情報保護体制の整備
- ☐ 個人情報保護責任者の設置(組織的安全管理措置)
- ☐ 個人情報取扱規程の策定(取得、利用、保管、廃棄のルール)
- ☐ 従業員研修の実施(年1回以上、新入社員研修での必須化)
- ☐ プライバシーポリシーの公表(ウェブサイト、店舗等での掲示)
- ☐ 個人情報管理台帳の整備(どの部署で何の情報を保有しているか)
【法務・コンプライアンス部門】
- ☐ 委託契約書雛形の整備(安全管理措置条項、再委託条項、事故時対応条項)
- ☐ 秘密保持契約書雛形の整備(個人情報の取扱い特則)
- ☐ 個人情報保護法改正の継続的フォロー(個人情報保護委員会のウェブサイト確認)
- ☐ インシデント対応マニュアルの整備(速報・確報の報告手順、本人通知フロー)
- ☐ 開示請求対応マニュアルの整備(本人確認手順、開示方法、手数料)
【人事部門】
- ☐ 従業員個人情報の利用目的の通知(採用時、就業規則等での明示)
- ☐ マイナンバーの厳格管理(アクセス権限の限定、ログ記録、物理的隔離)
- ☐ 健康診断結果等の要配慮個人情報の適正管理(法令に基づく取得の確認)
- ☐ 退職者情報の保存期間・廃棄ルールの明確化
【情報システム部門】
- ☐ アクセス権限管理(最小権限の原則、定期的な権限見直し)
- ☐ ログ管理(アクセスログ、操作ログの記録・定期確認)
- ☐ 暗号化(個人データの暗号化、通信の暗号化)
- ☐ 不正アクセス検知システムの導入(侵入検知、異常検知)
- ☐ バックアップ・復旧体制(データ消失への備え)
🔗 実務対応の関連記事
FAQ(よくある実務質問)
Q1. 2024年改正で何が変わりましたか?
A. 2024年4月施行の改正では、ウェブスキミング対策として個人情報保護法施行規則第7条第3号が改正され、「個人データとして取り扱われることが予定されている個人情報」も漏えい等の報告対象に拡大されました。プライバシーポリシーへの安全管理措置の記載更新が必要です。
Q2. 2025年改正はいつ施行されますか?
A. 2025年10月現在、個人情報保護委員会で検討中であり、法案は未成立です。現時点では施行時期は未確定です。過去のスケジュール(令和2年改正では2019年12月に大綱公表、2020年6月に法案成立、2022年4月施行)を参考にすると数年程度を要する可能性がありますが、具体的な年度は確定情報ではありません。最新情報は個人情報保護委員会の公式サイトで必ず確認してください。
Q3. 委託先が小規模事業者の場合でも、安全管理措置の監督は必要ですか?
A. はい、必要です。個人情報保護法第25条により、委託先の規模に関わらず、個人データを委託する場合は委託先の監督義務があります。ただし、委託先の規模や取り扱うデータの性質に応じて、監督の程度を調整することは可能です。小規模事業者の場合でも、契約書での義務付け、定期的な確認(年1回程度のチェックリスト提出等)は最低限実施してください。
Q4. アクセスログはどのくらいの期間保存すべきですか?
A. 法令上の明確な保存期間の定めはありませんが、実務上は以下を目安としてください。
- 最低限:6ヶ月~1年(不正アクセスの検知・調査に必要な期間。多くのサイバー攻撃の痕跡確認に必要な期間)
- 推奨:1年~3年(インシデント発生時の原因究明、監査対応に備える。過去の不正アクセスとの関連性分析が可能)
- 重要システム:3年以上(基幹系システム、マイナンバー取扱システム等。長期的なセキュリティ分析や法的紛争への対応に備える)
判断根拠:不正アクセス調査の実務では、攻撃の兆候から発覚までに数ヶ月を要するケースが多く、また監査や法的紛争では過去のアクセス履歴の提示が求められることがあるため、上記の期間が一般的に推奨されています。
Q5. 仮名加工情報と匿名加工情報の違いは?
A. 以下の通り、利活用の自由度と安全性のバランスが異なります。
| 項目 | 仮名加工情報 | 匿名加工情報 |
|---|---|---|
| 定義 | 他の情報と照合しない限り特定の個人を識別できない情報 | 特定の個人を識別できず、復元もできない情報 |
| 加工の程度 | 比較的軽度(氏名等の削除、一部置換) | 高度(統計処理、ノイズ追加等) |
| 利用目的の変更 | 一定の範囲で変更可能 | 制限なし |
| 第三者提供 | 原則禁止(ただし一定要件での共同利用等の例外あり) | 可能(公表義務あり) |
| 実務での用途 | 社内での統計分析、マーケティング分析 | 他社への提供、公開データとしての利用 |
Q6. 課徴金制度はいつから導入されますか?
A. 2025年10月現在、導入の是非を含めて継続検討中です。個人情報保護委員会が2024年12月に公表した検討会報告書では、制度設計の課題について議論状況を整理した段階であり、導入時期・金額水準等は未定です。
🔗 FAQ関連の詳細記事
参考情報
公式情報源(最優先参照)
個人情報保護法の実務対応では、必ず以下の一次情報(公式サイト・法令)を直接確認してください。二次情報(解説記事等)のみに依拠すると、最新の改正や解釈変更を見逃すリスクがあります。
個人情報保護委員会の主要資料
- 個人情報保護委員会ウェブサイト
https://www.ppc.go.jp/
法令・ガイドライン、Q&A、パブリックコメント、最新の報道発表等を確認できます - 個人情報保護法 いわゆる3年ごと見直しについて
https://www.ppc.go.jp/personalinfo/3nengotominaoshi/
改正検討状況、検討会資料、報告書(2024年12月取りまとめ)、パブリックコメント結果 - 個人情報の漏えい等の事案が発生した場合の対応について
https://www.ppc.go.jp/personalinfo/legal/leakAction/
報告対象事態の判断基準、速報・確報の様式、報告フォーム、FAQ(2024年改正対応版を含む) - 個人情報の保護に関する法律についてのガイドライン(通則編)
https://www.ppc.go.jp/personalinfo/legal/guidelines_tsusoku/
安全管理措置、委託先監督、保有個人データ等の詳細な運用基準を解説 - 個人情報保護法に関するQ&A
https://www.ppc.go.jp/personalinfo/faq/
実務上の疑問に対する個人情報保護委員会の公式見解
法令データベース
- e-Gov法令検索(個人情報保護法)
https://elaws.e-gov.go.jp/document?lawid=415AC0000000057
最新の法令条文(本則、施行令、施行規則)、罰則規定の正確な条文を確認できます。法改正の施行日・附則も必ず確認してください - 個人情報保護法施行規則
https://elaws.e-gov.go.jp/document?lawid=428M60000002000
報告対象事態の具体的要件(第7条等)を定めた施行規則の最新版
e-Gov法令検索では、最新の施行状況(未施行の条文、経過措置等)を必ず確認してください。特に、令和2年改正・令和4年改正・2024年施行規則改正の附則を確認し、自社の事業への適用時期を正確に把握することが重要です。
業界別ガイドライン
業種によっては、個人情報保護委員会とは別に、監督官庁が業界特有のガイドラインを策定しています。
- 金融分野:金融庁「金融分野における個人情報保護に関するガイドライン」
- 医療・介護分野:厚生労働省「医療・介護関係事業者における個人情報の適切な取扱いのためのガイダンス」
- 電気通信分野:総務省「電気通信事業における個人情報保護に関するガイドライン」
🔗 あわせて読みたい実務記事
免責事項
本記事の内容は、2025年10月時点の以下の情報に基づいて作成されています。
参照した主要な情報源
- 個人情報の保護に関する法律(令和2年改正法、2022年4月施行)
- 個人情報の保護に関する法律施行令・施行規則(2024年4月改正を含む)
- 個人情報保護委員会「個人情報の保護に関する法律についてのガイドライン(通則編)」
- 個人情報保護委員会「個人情報保護法のいわゆる3年ごと見直しに関する検討会報告書」(2024年12月)
- 個人情報保護委員会「個人情報の漏えい等の事案が発生した場合の対応について」
重要な注意事項
- 法令の改正について
法令は随時改正される可能性があります。特に、2025年改正については検討段階であり、最終的な法案内容や施行時期は未確定です。最新の法令・ガイドラインを必ず確認してください。 - 個別事案への適用について
個人情報保護法の適用は、個別具体的な事案の状況により異なります。本記事は一般的な情報提供を目的としており、個別具体的な法律相談に代わるものではありません。 - 専門家への相談について
実際の対応にあたっては、個別具体的な事案については弁護士等の専門家に相談すること、業界特有のガイドラインがある場合はそれも併せて確認することをお勧めします。 - 責任の限定
本記事の内容に基づく行動により生じた損害について、筆者及び関係者は一切の責任を負いません。
最新情報の確認先
本記事の位置づけ:本記事は、法務・コンプライアンス担当者が個人情報保護法の全体像を理解し、実務上の基本的な対応を把握するための参考資料として作成されています。詳細な法的判断や重要な意思決定を行う際は、必ず最新の一次情報(法令、ガイドライン、個人情報保護委員会の公表資料)を確認し、必要に応じて専門家に相談してください。
【2025年最新版】個人情報保護法の実務完全ガイド|改正対応を表で一発比較
最終更新:2025年10月22日|2025年10月改正点追記
🔍 関連ガイドへ進む
この記事と関連度の高い実務ガイドをまとめています。次に読むならこちら。
