「規制強化」と「利活用緩和」が同居する異例の改正
2026年4月7日、「個人情報の保護に関する法律等の一部を改正する法律案」が閣議決定された。個人情報保護委員会の発表によれば、本法案は今通常国会で審議されている。改正の論点は多岐にわたるが、マーケティングに関わる実務者が押さえるべきは大きく2つ——売上ベースの課徴金制度の新設と、統計作成等を目的とする提供への本人同意の不要化だ。前者は規制強化、後者は利活用緩和。方向の異なる2つの大改正が同じ法案に同居していることが、今回の改正の本質を読み解く鍵になる。
個人情報保護委員会の資料とTMI総合法律事務所の解説を整理すると、課徴金の対象行為は「不適正利用の禁止違反」「不正取得」「第三者提供制限違反」「統計特例違反」の4類型に絞り込まれており、相当の注意を怠った主観的要素、個人の権利利益の実質的侵害、本人数1,000人以上の大規模事案、といった要件で発動が絞られる。とはいえ、課徴金額は違反行為に関わる業務の売上高をベースに算出される見込みで、これまでの日経新聞の報道が指摘するように、リスク量の桁が一段変わる。
「Cookie廃止と関係ない」と思っているマーケターほど危ない
ここで誤解されがちなのが、「うちはCookieも個人情報として扱っているわけではないし、本人特定もしていない」という主張だ。今回の改正で論点に上がっている「連絡可能個人関連情報」という新類型は、まさにこの曖昧な領域を狙い撃ちしている。日経クロステックの解説記事によれば、新類型の追加によって企業が現行プロセスのどこを再点検すべきか、実務上の混乱が予想されている。
背景にあるのは、Cookie ID等を用いた特定個人への働きかけ——いわゆる行動ターゲティング広告の前提となる仕組み——が、不適正利用や不正取得の射程に入る可能性が議論されていることだ。「自社では氏名は持っていない」式の弁明は、実際の運用との突合せでひっくり返される可能性がある。
一方で、AI・統計利用は明確に追い風
もう一つの軸である利活用緩和は、ある種マーケターには朗報だ。インターネットプライバシー研究所の整理によれば、統計作成その他の用途で第三者に個人データを提供する際の本人同意が不要化される。これはCDP・データクリーンルーム・AI学習データセットの構築実務に直接効く。これまで「同意の取得が壁になって出来なかった」分析や共同利用が、要件さえ満たせば前進できるようになる。
ただし、ここにも罠がある。統計目的の提供と称してターゲティングに転用する行為は、新設される「統計特例違反」として課徴金の対象になる。利活用緩和は無条件ではなく、目的と利用範囲を厳格にロックする運用とセットでしか機能しない。ここを甘く見ると、緩和を取りに行ったつもりが課徴金リスクを呼び込むことになる。
施行は2028年春——だが今期中にやるべきことは4つ
施行は公布から2年以内とされ、現実的には2028年春になる見込みだ。「まだ2年ある」と読むか「もう2年しかない」と読むかは事業規模による。マーケティング部門として今期中に着手しておくべきは次の4論点である。
ひとつ、現行のターゲティング広告・MA運用・第三者提供のフローを棚卸しし、「連絡可能個人関連情報」に該当しうるデータ取得経路を可視化する。ふたつ、統計目的利用と本人特定可能なターゲティングの境界を、データの物理的な分離(クリーンルーム化、識別子の不可逆化等)で担保できるアーキテクチャに移行する。みっつ、契約書・プライバシーポリシー・同意取得文言を、新類型に対応した雛形へ更新する準備に入る。よっつ、課徴金リスクの試算——もし大規模事案として認定された場合、自社の関連業務売上高に対してどの程度の制裁金が発生し得るか——を経営層と共有しておく。
「規制対応」のラベルが付くと現場の優先度が下がりがちだが、今回の改正はマーケティング活動の自由度を上下に振る両方の力を含んでいる。守りだけ、攻めだけのどちらか一方の構えで対応すると、確実に取りこぼす。