2σ Guide

個人情報保護法改正対応の
プラポリチェックリスト

プライバシーポリシーを文言だけでなく、データマッピング、同意設計、委託・共同利用、越境移転、Cookie、AI、漏えい等対応まで含む実務統制として点検します。

15領域 チェック対象
90日 標準プロジェクト
2026年 改正法案の確認軸
本ページは株式会社Dプロフェッションズ(医師/医療機関/弁護士/弁護士法人ではありません)が運営しています。
一般的な情報提供を目的としており医療上の助言や法律相談等を行うものではありません。
広告(PR)を掲載しています。広告は編集内容や推奨を意味しません。
Video

個人情報保護法改正対応の プラポリチェックリスト

プラポリを、公開文書と社内統制をつなぐプロジェクトとして整理します。

動画を読み込み中…
2σ GUIDE ・ VIDEO
個人情報保護法改正対応の プラポリチェックリスト
プラポリを、公開文書と社内統制をつなぐプロジェクトとして整理します。
動画の文字起こし(全文テキスト)

2σ GUIDE ・ VIDEO

  • 個人情報保護法改正対応の プラポリチェックリスト
  • プラポリを、公開文書と社内統制をつなぐプロジェクトとして整理します。

POINT 1

  • 個人情報保護法改正対応のプラポリチェックリストの全体像
  • プラポリを、公開文書と社内統制をつなぐプロジェクトとして整理します。
  • プラポリ改訂は統制整備の入口です
  • 初動で見るべき範囲を広げるために重要で、法務、システム、マーケティング、人事、委託先管理が同じ前提で動けるかを読み取れます。

POINT 2

  • 個人情報保護法改正対応で押さえるプラポリの役割
  • プラポリが本人説明、証跡、ガバナンスに果たす役割を確認します。
  • 法令遵守
  • 本人関与
  • 説明責任

POINT 3

  • 個人情報保護法改正対応の出発点 ― 現行法と改正法案を分ける
  • 現行法対応
  • 施行済みの法律、政令、規則、ガイドライン、Q&Aに照らし、未対応箇所を直ちに是正します。
  • 改正法案対応
  • 成立・公布・施行令・規則・ガイドラインの確定を待つ事項と、先行して棚卸しできる事項を分けます。

POINT 4

  • プラポリチェックリストで先に確認する対象データの定義
  • 個人情報、個人データ、保有個人データなどの対象範囲を整理します。
  • 3 保有個人データ
  • 4 要配慮個人情報
  • 6 仮名加工情報・匿名加工情報

POINT 5

  • 個人情報保護法改正対応のプラポリ改訂はデータ処理から始める
  • 1. データ棚卸し:取得項目、取得経路、利用目的、保管場所、提供先を洗い出します。
  • 2. 法的分類:個人情報、個人データ、保有個人データ、要配慮個人情報、個人関連情報などに分けます。
  • 3. 説明方法の選択:公表、通知、同意、個別説明、アプリ内表示のどれで対応するかを決めます。
  • 4. 承認・公開:版管理、社内教育、問い合わせ対応と併せて公開します。
  • 5. 内部統制を修正:契約、システム仕様、委託先管理、同意画面を見直します。

POINT 6

  • 個人情報保護法改正対応のプラポリチェックリスト全体版
  • 主要15領域を、本文、個別通知、同意画面、社内規程、契約、システム、証跡で点検します。
  • 1 ガバナンス・版管理
  • 2 事業者情報・窓口
  • 3 取得する個人情報の項目

POINT 7

  • 2026年改正法案がプラポリ実務に与える影響
  • 2026年改正法案の主要論点を、確定前提と準備項目に分けて捉えます。
  • 1 適正なデータ利活用の推進
  • 2 リスクに適切に対応した規律
  • 3 不適正利用等の防止

POINT 8

  • プラポリチェックリストで見つかる不備と修正方針
  • よくある記載漏れや抽象化しすぎた表現を、修正方針とともに確認します。
  • 1 「利用目的」が包括的すぎる
  • 2 取得項目と利用目的の対応がない
  • 3 安全管理措置が抽象的すぎる

まとめ

  • 個人情報保護法改正対応の プラポリチェックリスト
  • 個人情報保護法改正対応のプラポリチェックリストの全体像:プラポリを、公開文書と社内統制をつなぐプロジェクトとして整理します。
  • 個人情報保護法改正対応で押さえるプラポリの役割:プラポリが本人説明、証跡、ガバナンスに果たす役割を確認します。
  • 個人情報保護法改正対応の出発点 ― 現行法と改正法案を分ける:現行法、ガイドライン、改正法案、業界規制を分けて確認します。
  • 本動画は一般的な情報提供であり、法律上の助言ではありません。記載の数値・金額・期間は目安です。個別事情で結論は変わります。
Overview

個人情報保護法改正対応のプラポリチェックリストの全体像

プラポリを、公開文書と社内統制をつなぐプロジェクトとして整理します。

次の重要ポイントは、プラポリ改訂を単なる文言修正ではなく、データ処理と社内統制の見直しとして捉えるための要点をまとめたものです。初動で見るべき範囲を広げるために重要で、法務、システム、マーケティング、人事、委託先管理が同じ前提で動けるかを読み取れます。

プラポリ改訂は統制整備の入口です

利用目的、第三者提供、委託、共同利用、越境移転、Cookie、権利行使、漏えい等対応を一体で確認し、公開文書と内部運用のずれを小さくすることが中心になります。

この記事は、企業が個人情報保護法改正に対応してプライバシーポリシー、すなわち実務上しばしば「プラポリ」と呼ばれる文書を点検・改訂するための専門的チェックリストです。中心テーマは、個人情報保護法改正対応のプラポリチェックリストを、単なる文言修正表ではなく、企業法務、データガバナンス、セキュリティ、マーケティング、労務、委託先管理、越境移転、AI・データ利活用を横断する実務統制の枠組みとして再構成する点にあります。

プライバシーポリシーは、法律上「必ずこの名称の文書を置かなければならない」という単一の様式ではありません。しかし、個人情報保護法上の「公表」「本人の知り得る状態」「利用目的の通知・公表」「保有個人データに関する事項の周知」「外国にある第三者への提供時の情報提供」等を、本人に分かりやすく一元的に示す文書として、企業実務上きわめて重要です。したがって、プラポリ改訂は、ウェブページの末尾を修正する作業ではなく、データマッピング、利用目的管理、同意取得設計、第三者提供管理、委託先管理、開示等請求対応、漏えい等対応、経営リスク管理を統合するプロジェクトです。

2026年4月7日には、「個人情報の保護に関する法律等の一部を改正する法律案」が閣議決定され、第221回特別国会に提出されました。個人情報保護委員会の公表資料によれば、同法案には、統計情報等の作成に係る本人同意不要化、16歳未満の者の個人情報等に関する規律、顔特徴データ等に関する規律、データ処理等の委託を受けた事業者の義務見直し、漏えい等発生時の本人通知義務の緩和、不適正利用・不正取得に対する規律、オプトアウト制度における提供先確認、命令・罰則・課徴金制度等が含まれます。法案段階の事項は、成立・公布・施行令・規則・ガイドライン・Q&Aの確定を待って最終化する必要がありますが、企業は現時点からプラポリと内部統制の棚卸しを始める必要があります。

Section 01

個人情報保護法改正対応で押さえるプラポリの役割

プラポリが本人説明、証跡、ガバナンスに果たす役割を確認します。

次の4つの項目は、プラポリが担う実務上の役割を並べて整理したものです。名称やテンプレートだけで判断しないために重要で、各項目が自社の公開文書、問い合わせ対応、監査対応、部門連携のどこに効くかを読み取れます。

Compliance

法令遵守

利用目的、公表事項、権利行使手続、苦情申出先などを整理し、法定義務の履行を支えます。

Control

本人関与

本人が取得、利用、提供、保管、削除、権利行使を理解し、必要な選択をしやすくします。

Evidence

説明責任

監査、当局対応、紛争対応、委託先審査、M&A確認で、自社の説明を支える証跡になります。

Governance

共通言語

法務、システム、マーケティング、人事、CS、セキュリティ、経営が同じ前提でデータ処理を管理します。

この記事でいう「プラポリ」とは、プライバシーポリシー、個人情報保護方針、個人情報の取扱いについて、個人情報の取扱規程の外部公表部分、Cookieポリシー、採用応募者向け個人情報取扱説明、従業員向け個人情報取扱通知、アプリ向けプライバシーノーティス等を含む広い概念です。

厳密には、個人情報保護法は、すべての事業者に対して「プライバシーポリシー」という表題の文書を作成せよとは定めていない。もっとも、同法および関連政令・規則・個人情報保護委員会ガイドラインは、利用目的の特定・通知・公表、保有個人データに関する事項の本人への周知、安全管理措置の概要、開示等請求手続、苦情申出先、共同利用、外国にある第三者への提供等について、本人に対する説明や公表を求めています。個人情報保護委員会Q&Aも、開示等請求手続について必ずしもホームページ掲載を要しないとしつつ、本人の知り得る状態に置くことや問い合わせ窓口を設けることを説明しています。

したがって、プラポリは、単なる広報文ではなく、次の4つの機能を持つ。

  1. 法令遵守機能 ― 利用目的、公表事項、権利行使手続、苦情申出先等を整理し、法定義務の履行を支える。
  2. 本人関与機能 ― 本人が自らの情報の取得・利用・提供・保管・削除・権利行使を理解し、選択できるようにする。
  3. 証跡機能 ― 監査、当局対応、紛争対応、M&Aデューデリジェンス、委託先審査において、自社の説明責任を示します。
  4. ガバナンス機能 ― 法務、システム、マーケティング、人事、CS、セキュリティ、経営が共通言語でデータ処理を管理します。

この理解を欠くと、プラポリは「テンプレートの流用」「抽象的な安全管理措置の列挙」「目的の過剰包括化」「共同利用・外国提供・広告連携の記載漏れ」といった典型的な失敗に陥ります。

Section 02

個人情報保護法改正対応の出発点 ― 現行法と改正法案を分ける

現行法、ガイドライン、改正法案、業界規制を分けて確認します。

次の整理は、現行法、改正法案、業界・海外法の3層を分けて見るためのものです。確定済みの義務と準備段階の論点を混同しないために重要で、どこを直ちに直し、どこを棚卸しとして先行準備するかを読み取れます。

現行法対応

施行済みの法律、政令、規則、ガイドライン、Q&Aに照らし、未対応箇所を直ちに是正します。

改正法案対応

成立・公布・施行令・規則・ガイドラインの確定を待つ事項と、先行して棚卸しできる事項を分けます。

業界・海外法対応

医療、金融、電気通信、労務、マイナンバー、GDPRなど、自社に重なる追加規律を別途確認します。

1 現行法の基本構造

個人情報保護法は、デジタル社会の進展に伴って個人情報の利用が拡大していることを踏まえ、個人情報の有用性に配慮しつつ個人の権利利益を保護することを目的としています。個人情報保護委員会の通則ガイドラインは、この目的規定を引用したうえで、個人情報取扱事業者等に適用される基本的な解釈を示しています。

プラポリ点検で重要な現行法上の論点は、少なくとも以下です。

  • 個人情報、個人データ、保有個人データ、要配慮個人情報、個人関連情報、仮名加工情報、匿名加工情報の区別
  • 利用目的の特定、目的外利用の制限、取得時の通知・公表・明示
  • 適正取得、要配慮個人情報の取得、第三者提供、外国にある第三者への提供
  • 委託、事業承継、共同利用が第三者提供規制上どのように扱われるか
  • 安全管理措置、従業者監督、委託先監督
  • 漏えい等発生時の報告・本人通知
  • 保有個人データに関する公表事項、開示・訂正・利用停止等請求への対応
  • 個人関連情報の第三者提供、Cookie・広告ID・閲覧履歴等の扱い
  • 匿名加工情報・仮名加工情報を使う場合の別建て規律

個人情報保護委員会は、法令・ガイドライン等のページで、法律、基本方針、政令、規則、通則ガイドライン、外国にある第三者への提供編、第三者提供時の確認・記録義務編、仮名加工情報・匿名加工情報編、Q&A等を公表しています。プラポリの改訂担当者は、条文だけでなく、少なくとも通則ガイドライン、外国提供編、Q&Aを同時に確認すべきです。

2 改正法案は「施行済みルール」と「準備すべき将来ルール」に分ける

2026年4月7日に閣議決定された改正法案は、同日時点で第221回特別国会に提出された法案であり、この記事作成時点では、成立・公布・施行令・規則・ガイドライン・Q&Aの最終内容を確認してから実装前に確認する領域が残ります。内閣法制局の法案情報では、同法案の提出国会、閣法番号、閣議決定日、国会提出日、主管省庁、提出理由が示されています。

このため、プラポリ改訂では、次の3層に分ける必要があります。

次の比較表は、層、内容、プラポリ対応を横並びで整理したものです。対応漏れや判断の違いを早めに見つけるために重要で、左の項目から順に確認することで、自社で優先して見るべき証跡や対応範囲を読み取れます。

内容プラポリ対応
現行法対応すでに施行済みの個人情報保護法・政令・規則・ガイドライン・Q&A直ちに是正対象。未対応は法令違反・当局対応・紛争リスクになり得る。
法案対応準備2026年改正法案の内容。成立後、施行前に詳細確定予定の事項を含む。データ棚卸し、影響範囲把握、プラポリ改訂候補、同意画面・業務手順準備を行います。
業界・海外法対応医療、金融、電気通信、労務、マイナンバー、GDPR等の追加規律自社業種・対象者・提供地域に応じて別紙または個別通知で補完する。

「個人情報保護法改正対応のプラポリチェックリスト」は、この3層を混同しないことが第一条件です。法案段階の事項を既に確定ルールであるかのように記載すると、利用者に誤認を与え、将来の再改訂コストを増やします。他方で、法案の影響が明らかな領域、たとえば16歳未満の本人、顔特徴データ等、統計作成等、委託先義務、不適正利用、不正取得、オプトアウト制度、課徴金等については、内部準備を先送りすべきではありません。

Section 03

プラポリチェックリストで先に確認する対象データの定義

個人情報、個人データ、保有個人データなどの対象範囲を整理します。

1 個人情報

「個人情報」とは、生存する個人に関する情報であって、氏名、生年月日その他の記述等により特定の個人を識別できるもの、または個人識別符号が含まれるものをいいます。容易照合性がある情報も含まれます。通則ガイドラインは、法が複数のデータ概念を使い分けており、課される義務が異なるため注意を要すると説明しています。

プラポリ上は、「氏名、住所、電話番号、メールアドレス、アカウントID、購入履歴、問い合わせ内容、本人確認書類情報、決済情報、端末情報、Cookie等」といった項目を列挙するだけでは足りません。実務上は、次の観点でデータを分類します。

  • 本人から直接取得する情報
  • 取引・利用に伴って自動生成される情報
  • 第三者から提供を受ける情報
  • 外部サービス、広告プラットフォーム、決済事業者、配送事業者等と連携する情報
  • 人事・採用・従業員管理で取得する情報
  • 防犯カメラ、入退館ログ、位置情報、アクセスログ等の物理・デジタル監視情報
  • AI分析、スコアリング、レコメンド、プロファイリング、統計作成に用いられる情報

2 個人データ

「個人データ」は、個人情報データベース等を構成する個人情報です。通則ガイドラインは、個人情報取扱事業者が管理する個人情報データベース等を構成する個人情報を個人データと説明し、外部記録媒体に保存された個人情報や帳票に印字された個人情報の例を示しています。

プラポリでは、第三者提供、外国提供、委託、共同利用、漏えい等報告、安全管理措置など、多くの義務が「個人データ」を単位として問題になる。したがって、単なる「個人情報を取り扱います」という記載だけでは、実際のリスク管理には不十分です。

3 保有個人データ

「保有個人データ」は、個人情報取扱事業者が開示、訂正、追加、削除、利用停止、消去、第三者提供停止に応じる権限を有する個人データであり、一定の除外事由がある。通則ガイドラインは、保有個人データについて本人への周知事項を示しており、事業者の名称・住所・代表者名、全ての保有個人データの利用目的、開示等請求手続、安全管理措置、苦情申出先等を本人の知り得る状態に置く必要があると説明しています。

プラポリで最も漏れやすいのは、保有個人データに関する公表事項です。特に以下は必ず確認します。

  • 会社名だけでなく、住所および法人代表者名を記載しているか
  • 全ての保有個人データの利用目的を示しているか
  • 開示、訂正、利用停止、第三者提供停止等の請求手続を記載しているか
  • 手数料を定める場合、その額を示しているか
  • 安全管理措置の概要が記載されているか
  • 苦情申出先が分かるか
  • 認定個人情報保護団体の対象事業者の場合、その団体名と苦情解決申出先を記載しているか

4 要配慮個人情報

要配慮個人情報は、人種、信条、社会的身分、病歴、犯罪の経歴、犯罪被害の事実その他、不当な差別・偏見・不利益が生じないよう特に配慮を要する記述等が含まれる個人情報です。通則ガイドラインは、身体障害、健康診断結果、医師等による指導・診療・調剤、刑事事件・少年保護事件に関する手続等の例を示しています。

プラポリでは、要配慮個人情報を「取得しない」と書きながら、採用応募者の健康情報、従業員の健康診断情報、障害配慮情報、医療・美容・介護サービスの相談内容、本人確認書類に含まれる機微情報、問い合わせ内容に含まれる病歴等を実際には取得しているケースがある。これは重大な整合性リスクです。

5 個人関連情報

個人関連情報とは、生存する個人に関する情報であって、個人情報、仮名加工情報、匿名加工情報のいずれにも該当しないものをいいます。通則ガイドラインは、個人に関する情報のうち、氏名等により特定個人を識別できるものは個人情報であり、個人関連情報には該当しないと説明します。統計情報は、特定の個人との対応関係が排斥されている限り、個人関連情報にも該当しないとされる。

Cookie、広告ID、閲覧履歴、購買傾向、端末識別子、位置情報の一部等は、文脈によって個人情報、個人関連情報、あるいはその他の情報として扱いが変わります。広告配信や分析ツールを利用する事業者は、「当社はCookieを利用します」という抽象的説明にとどまらず、提供先で個人データとして取得される可能性、同意取得・確認義務、オプトアウト方法、外部送信規律との関係を検討する必要があります。

6 仮名加工情報・匿名加工情報

仮名加工情報は、他の情報と照合しない限り特定の個人を識別できないように個人情報を加工して得られる個人に関する情報です。匿名加工情報は、特定の個人を識別できず、かつ元の個人情報を復元できないようにした個人に関する情報です。通則ガイドラインは、これらについて別途「仮名加工情報・匿名加工情報ガイドライン」を参照するよう示しています。

プラポリでは、「匿名化」「統計化」「仮名化」という言葉を安易に使いません。特に、社内では個人と照合できるIDを残しているのに「匿名化データ」と説明する、外部提供先では再識別可能であるのに「匿名データ」と説明する、といった記載は危険です。

Section 04

個人情報保護法改正対応のプラポリ改訂はデータ処理から始める

データ処理の実態から、公開文書・同意画面・契約・運用証跡へ落とし込みます。

次の判断の流れは、プラポリ改訂を進める順番を示しています。公開文書だけを先に直すと実態とずれるため重要で、上から順にデータ棚卸し、法的分類、本人への説明、契約・システム、承認公開へ進むことを読み取れます。

プラポリ改訂の進め方

データ棚卸し

取得項目、取得経路、利用目的、保管場所、提供先を洗い出します。

法的分類

個人情報、個人データ、保有個人データ、要配慮個人情報、個人関連情報などに分けます。

説明方法の選択

公表、通知、同意、個別説明、アプリ内表示のどれで対応するかを決めます。

整合あり
承認・公開

版管理、社内教育、問い合わせ対応と併せて公開します。

整合なし
内部統制を修正

契約、システム仕様、委託先管理、同意画面を見直します。

1 データマッピングを先に行う

プラポリの起点は、文章ではなくデータマッピングです。最低限、次の一覧表を作成します。

次の比較表は、項目、確認内容を横並びで整理したものです。対応漏れや判断の違いを早めに見つけるために重要で、左の項目から順に確認することで、自社で優先して見るべき証跡や対応範囲を読み取れます。

項目確認内容
サービス・業務EC、SaaS、店舗、採用、人事、問い合わせ、広告、アプリ、API連携など
取得する情報氏名、連絡先、決済情報、行動履歴、端末情報、画像、音声、健康情報など
取得方法本人入力、契約書、ログ、自動収集、第三者提供、公開情報、委託先取得など
利用目的契約履行、本人確認、決済、配送、サポート、広告、分析、AI開発、防犯など
法的分類個人情報、個人データ、保有個人データ、要配慮個人情報、個人関連情報など
提供・共有委託、共同利用、第三者提供、外国提供、広告連携、グループ会社共有など
保存・削除保存期間、削除条件、法定保存、バックアップ、退会後の扱いなど
権利行使対応開示、訂正、利用停止、削除、第三者提供停止、本人確認方法など
安全管理アクセス制御、ログ、暗号化、委託先監督、教育、インシデント対応など
根拠資料契約、規程、システム仕様、委託契約、DPA、同意ログ、監査証跡など

この棚卸しが不十分なままプラポリを更新すると、現場のデータ処理と公開文書が乖離します。乖離は、本人からの問い合わせ、漏えい等発生時、当局照会、M&Aデューデリジェンス、委託先監査、顧客監査で露呈しやすくなります。

2 「公表すればよい」と「同意が必要」を分ける

プラポリ実務で多い誤解は、「プラポリに書いてあるから何でもできる」という考え方です。個人情報保護法上、利用目的の公表が求められる場面、直接書面取得時に利用目的を明示する場面、本人同意が必要な場面、本人同意があっても不適正利用が問題になる場面は異なる。

たとえば、本人から申込フォームで個人情報を取得する場合、直接書面等による取得として、原則としてあらかじめ利用目的を明示しなければならない。通則ガイドラインは、ユーザー入力画面への打ち込み等の電磁的記録により直接本人から取得する場合も、あらかじめ利用目的を明示する必要があると説明しています。

一方、第三者提供、外国にある第三者への提供、要配慮個人情報の取得、個人関連情報の第三者提供などでは、同意や確認、情報提供、記録作成が別途問題になる。プラポリへの記載は、それらの要件を自動的に充足するものではありません。

3 「分かりやすさ」と「法的十分性」は両立させる

専門家向けに詳細な条文対応をすると、一般利用者には理解できない文書になる。他方、一般利用者向けに簡潔にしすぎると、法定事項が欠ける。実務上は、以下の二層構造が有効です。

  • 概要版 ― 取得する情報、利用目的、第三者提供、Cookie、問い合わせ先、権利行使方法を平易に説明します。
  • 詳細版 ― 法定公表事項、共同利用、外国提供、安全管理措置、個人関連情報、採用・従業員情報、改定履歴等を網羅します。

アプリ、SaaS、BtoCサービスでは、重要事項を取得画面・同意画面・設定画面・FAQにも配置します。プラポリ本文に埋め込むだけでは、実際に本人が認識できるとは限りません。

Section 05

個人情報保護法改正対応のプラポリチェックリスト全体版

主要15領域を、本文、個別通知、同意画面、社内規程、契約、システム、証跡で点検します。

次の一覧は、プラポリ点検で外しやすい主要領域をまとめたものです。担当部門ごとに確認範囲が分散しやすいため重要で、どの領域を本文、個別通知、同意画面、社内規程、契約、システム仕様、運用証跡で支えるかを読み取れます。

ガバナンス・窓口

版管理、承認、事業者情報、苦情・開示等請求窓口を確認します。

統制

取得項目・利用目的

取得する情報と目的の対応、目的外利用、同意が必要な処理を確認します。

本文

提供・委託・共同利用

第三者提供、委託、共同利用、越境移転を分けて確認します。

重点

Cookie・AI・漏えい等

広告連携、個人関連情報、AI利用、統計作成、漏えい等対応を確認します。

新領域

以下は、企業法務・プライバシー実務で用いることを想定した詳細チェックリストです。各項目について、「プラポリ本文」「個別通知」「同意UI」「社内規程」「委託契約」「システム仕様」「運用証跡」のいずれで対応するかを決める。

1 ガバナンス・版管理

次の比較表は、No.、チェック項目、確認すべき証跡、優先度を横並びで整理したものです。対応漏れや判断の違いを早めに見つけるために重要で、左の項目から順に確認することで、自社で優先して見るべき証跡や対応範囲を読み取れます。

No.チェック項目確認すべき証跡優先度
1プラポリの適用範囲が、サービス、アプリ、ウェブサイト、店舗、採用、従業員情報、法人顧客担当者情報を適切に区別しているか対象サービス一覧、業務一覧、別紙構成
2最終改定日、改定履歴、施行日、旧版保管が管理されているか版管理台帳、Git、文書管理システム
3改定時の社内承認者が明確か稟議、法務承認、セキュリティ承認
4個人情報保護法、ガイドライン、Q&A、業界規制、海外法の更新監視者がいるか法令モニタリング記録
5プラポリ、利用規約、Cookieポリシー、同意文言、入力フォーム、FAQの整合性を確認しているか文言突合表
62026年改正法案への対応予定項目が「法案段階」として管理されているか改正対応ロードマップ

2 事業者情報・窓口

次の比較表は、No.、チェック項目、実務上の注意、優先度を横並びで整理したものです。対応漏れや判断の違いを早めに見つけるために重要で、左の項目から順に確認することで、自社で優先して見るべき証跡や対応範囲を読み取れます。

No.チェック項目実務上の注意優先度
7事業者の正式名称を記載しているか商号変更、合併、持株会社化後の不一致に注意
8住所を記載しているかバーチャルオフィス、登記住所、営業所住所の使い分けに注意
9法人代表者名を記載しているか保有個人データ公表事項として漏れやすい
10個人情報に関する問い合わせ窓口を記載しているかメール、フォーム、郵送、電話対応範囲を明確化
11苦情申出先を記載しているか問い合わせ窓口と苦情窓口を兼ねる場合も明記
12認定個人情報保護団体の対象事業者の場合、その団体名・申出先を記載しているか加盟状況の棚卸しが必要

3 取得する個人情報の項目

次の比較表は、No.、チェック項目、実務上の注意、優先度を横並びで整理したものです。対応漏れや判断の違いを早めに見つけるために重要で、左の項目から順に確認することで、自社で優先して見るべき証跡や対応範囲を読み取れます。

No.チェック項目実務上の注意優先度
13本人から直接取得する情報を列挙しているか申込、会員登録、問い合わせ、採用、契約書など
14サービス利用に伴い自動取得する情報を記載しているかIPアドレス、端末情報、ログ、Cookie、広告ID、位置情報など
15第三者から取得する情報を記載しているか決済、配送、紹介、公開情報、広告連携、信用調査など
16要配慮個人情報の取得有無を実態に合わせて記載しているか健康情報、障害配慮情報、医療相談等
17画像・音声・生体情報・顔特徴データ等の取得有無を確認しているか防犯カメラ、本人確認、顔認証、音声解析
18採用応募者、従業員、退職者、役員、取引先担当者の情報を別建てで整理しているかBtoCプラポリだけでは不足しやすい

4 利用目的

次の比較表は、No.、チェック項目、実務上の注意、優先度を横並びで整理したものです。対応漏れや判断の違いを早めに見つけるために重要で、左の項目から順に確認することで、自社で優先して見るべき証跡や対応範囲を読み取れます。

No.チェック項目実務上の注意優先度
19利用目的ができる限り特定されているか「当社サービス向上のため」だけでは不十分な場合がある
20取得項目ごと、または処理目的ごとに利用目的を対応付けているかデータマッピングと連動させる
21直接書面等による取得時に、取得前に利用目的を明示しているか入力フォーム送信前のリンク・表示が重要
22マーケティング、広告配信、分析、レコメンド、AI利用の目的が明確か「分析」だけでなく本人への影響を説明する
23採用、人事、労務、健康管理の利用目的を別に定めているか従業員向け通知・就業規則・社内規程と整合
24利用目的の変更時に、変更前目的との関連性を確認し、通知・公表手続を定めているか目的変更履歴を残す

5 保有個人データに関する公表事項

次の比較表は、No.、チェック項目、実務上の注意、優先度を横並びで整理したものです。対応漏れや判断の違いを早めに見つけるために重要で、左の項目から順に確認することで、自社で優先して見るべき証跡や対応範囲を読み取れます。

No.チェック項目実務上の注意優先度
25全ての保有個人データの利用目的を本人の知り得る状態に置いているか一部データだけの利用目的では不足
26利用目的通知、開示、訂正、追加、削除、利用停止、消去、第三者提供停止の手続を記載しているかフォーム、郵送、本人確認、代理人確認
27手数料を定める場合、その額と支払方法を記載しているか実際の徴収運用と一致させる
28安全管理措置の概要を記載しているか「法令に基づき適切に管理」だけでは不十分
29安全管理上支障がある詳細を非公開にする線引きを定めているか概要と非公開情報を分ける
30開示等請求に応じない場合の根拠・通知方法を運用化しているか拒否理由のテンプレートを整備

通則ガイドラインは、安全管理措置について、単に「ガイドラインに沿って安全管理措置を実施している」と掲載または回答するだけでは適切ではないと説明しています。プラポリには、組織的、人的、物理的、技術的安全管理措置の概要、外部委託先管理、アクセス制御、教育、ログ管理等を、セキュリティを損なわない粒度で記載することが望ましい。

6 第三者提供

次の比較表は、No.、チェック項目、実務上の注意、優先度を横並びで整理したものです。対応漏れや判断の違いを早めに見つけるために重要で、左の項目から順に確認することで、自社で優先して見るべき証跡や対応範囲を読み取れます。

No.チェック項目実務上の注意優先度
31個人データを第三者に提供する場面を全て洗い出しているか決済、配送、広告、紹介、グループ会社、外部API
32委託、事業承継、共同利用と第三者提供を区別しているか委託を第三者提供と誤記しない
33本人同意に基づく第三者提供では、提供先、目的、項目、方法を説明しているか同意ログの保存も必要
34法令に基づく提供、生命身体財産保護、公衆衛生、行政協力等の例外を過度に広く書いていないか条文例外を濫用しない
35オプトアウトによる第三者提供を行う場合、届出・本人通知・公表・提供停止手続を確認しているか要配慮個人情報等はオプトアウト不可
36第三者提供記録、第三者からの提供受領時の確認・記録を作成・保存しているか契約書代替、一括記録、保存期間

7 委託

委託は、利用目的の達成に必要な範囲で個人データの取扱いを委託する場合であり、法上、一定の要件のもとで第三者提供に該当しない扱いを受ける。しかし、委託先監督義務は残ります。通則ガイドラインは、委託先は委託された業務の範囲内でのみ本人との関係で提供主体と一体として扱われ、委託業務以外に個人データを取り扱うことはできないと説明しています。

次の比較表は、No.、チェック項目、実務上の注意、優先度を横並びで整理したものです。対応漏れや判断の違いを早めに見つけるために重要で、左の項目から順に確認することで、自社で優先して見るべき証跡や対応範囲を読み取れます。

No.チェック項目実務上の注意優先度
37委託先一覧を整備しているかクラウド、SaaS、配送、決済、コールセンター、分析業者
38委託する業務範囲と個人データ項目を特定しているか「業務委託先に提供」だけでは不明確
39委託契約に安全管理、再委託、漏えい時通知、監査、返却・削除を定めているか契約条項とプラポリの整合性
40委託先が外国にある場合、外国提供規制との関係を検討しているか委託でも外国提供編の確認が必要になる場合がある
412026年改正法案の委託先義務見直しの影響を棚卸ししているかデータ処理等の委託を受ける側も対象

8 共同利用

共同利用は、グループ会社、フランチャイズ、共同研究、共同サービス提供などで利用されるが、記載が曖昧になりやすい。通則ガイドラインは、共同利用について、共同利用する旨、共同利用される個人データの項目、共同利用者の範囲、利用目的、管理責任者の氏名または名称・住所・法人代表者名を、提供に当たりあらかじめ本人に通知し、または本人が容易に知り得る状態に置く必要があると説明しています。

次の比較表は、No.、チェック項目、実務上の注意、優先度を横並びで整理したものです。対応漏れや判断の違いを早めに見つけるために重要で、左の項目から順に確認することで、自社で優先して見るべき証跡や対応範囲を読み取れます。

No.チェック項目実務上の注意優先度
42共同利用をする旨を明記しているか単なる「グループ会社と共有」では不足
43共同利用される個人データの項目を明記しているか氏名、連絡先、購買履歴、相談履歴等
44共同利用者の範囲が本人に判断可能な程度に明確か「関連会社等」は不明確になりやすい
45共同利用者の利用目的を全て示しているか項目ごとに目的が異なる場合は区別
46管理責任者の名称・住所・代表者名を記載しているか法改正後の代表者名記載漏れに注意
47共同利用の範囲が本人の通常予期し得る範囲か確認しているか既取得データの後付け共同利用は慎重に

9 外国にある第三者への提供

外国にある第三者への個人データ提供は、国内第三者提供とは別に検討する必要があります。外国提供編ガイドラインは、外国にある第三者に個人データを提供する場合、一定の場合を除き、あらかじめ外国にある第三者への提供を認める旨の本人同意が必要であり、同意取得時には、外国の個人情報保護制度、当該第三者が講ずる保護措置、その他本人に参考となる情報を提供しなければならないと説明しています。

次の比較表は、No.、チェック項目、実務上の注意、優先度を横並びで整理したものです。対応漏れや判断の違いを早めに見つけるために重要で、左の項目から順に確認することで、自社で優先して見るべき証跡や対応範囲を読み取れます。

No.チェック項目実務上の注意優先度
48外国にある第三者への提供の有無を確認しているか海外親会社、海外SaaS、海外委託先、グローバルCRM
49提供先国・地域を把握しているかデータセンター所在地だけでなくアクセス可能国も確認
50本人同意が必要な提供か、相当措置体制か、例外事由かを整理しているか類型ごとの根拠資料を保存
51本人同意時の情報提供が適切か外国制度、第三者の措置、参考情報
52相当措置に基づく提供では、継続的実施確保措置と本人への情報提供体制があるか契約、社内規程、監査、問い合わせ対応
53外国クラウド利用について、提供該当性・委託・アクセス権限を検討しているか契約・技術仕様と合わせて判断

10 Cookie、広告、個人関連情報

次の比較表は、No.、チェック項目、実務上の注意、優先度を横並びで整理したものです。対応漏れや判断の違いを早めに見つけるために重要で、左の項目から順に確認することで、自社で優先して見るべき証跡や対応範囲を読み取れます。

No.チェック項目実務上の注意優先度
54Cookie、広告ID、端末情報、閲覧履歴、行動履歴を取得しているか自社が意識せずタグで取得している場合が多い
55取得目的を明確にしているか必須Cookie、分析、広告、レコメンドを区別
56第三者に送信される情報、送信先、利用目的を把握しているか外部送信規律・広告規制との関係も確認
57提供先で個人データとして取得される可能性がある個人関連情報の提供を確認しているか同意確認・記録義務が問題になる
58オプトアウト方法、同意管理、Cookie設定画面が実装されているかUIとプラポリ本文を一致させる
59広告配信停止と個人データ削除の違いを説明しているかユーザー誤解を防ぐ

11 権利行使対応

次の比較表は、No.、チェック項目、実務上の注意、優先度を横並びで整理したものです。対応漏れや判断の違いを早めに見つけるために重要で、左の項目から順に確認することで、自社で優先して見るべき証跡や対応範囲を読み取れます。

No.チェック項目実務上の注意優先度
60開示等請求の対象を説明しているか保有個人データ、第三者提供記録等
61請求方法を分かりやすく記載しているかフォーム、郵送、メール、本人確認書類
62代理人請求に対応しているか法定代理人、任意代理人、委任状、本人確認
63回答期限・回答方法を社内で定めているか法定上の「遅滞なく」と実務SLAを接続
64手数料の有無・額を明示しているか実費・定額・無料のいずれかを決める
65利用停止・消去・第三者提供停止の判断基準を整備しているか不適正利用、不正取得、目的外利用、過剰保有など
66請求対応ログを保存しているか監査・紛争対応に必要

12 漏えい等対応

現行法上、報告対象事態が発生した場合、個人情報保護委員会への速報・確報および本人通知が問題となります。通則ガイドラインは、報告対象事態として、要配慮個人情報を含む個人データの漏えい等、財産的被害のおそれがある個人データの漏えい等、不正目的によるおそれがある漏えい等、本人の数が千人を超える漏えい等を示しています。また、速報の目安は事態を知った時点から概ね3〜5日以内、確報は原則30日以内、不正目的によるおそれがある事態は60日以内と説明されています。

次の比較表は、No.、チェック項目、実務上の注意、優先度を横並びで整理したものです。対応漏れや判断の違いを早めに見つけるために重要で、左の項目から順に確認することで、自社で優先して見るべき証跡や対応範囲を読み取れます。

No.チェック項目実務上の注意優先度
67漏えい等対応手順があるか検知、封じ込め、調査、報告、通知、公表、再発防止
68報告対象事態の判断基準を社内で共有しているか要配慮、財産被害、不正目的、千人超
69委託先からの通知義務を契約に定めているか委託元・委託先双方の報告義務を整理
70本人通知の内容・方法・代替措置を定めているかメール、郵送、公表、問い合わせ窓口
71プラポリに漏えい等時の連絡・問い合わせ方法を記載しているか詳細手順は内部規程でもよい
722026年改正法案の本人通知義務緩和の影響を注視しているか施行後の規則・ガイドラインで確定

13 未成年者・こどもの個人情報

2026年改正法案の概要資料では、16歳未満の者が本人の場合、同意取得や通知等について当該本人の法定代理人を対象とすることを明文化し、利用停止等請求の要件を緩和するとともに、未成年者の個人情報等の取扱いについて本人の最善の利益を優先して考慮すべき責務規定を設けることが示されています。

次の比較表は、No.、チェック項目、実務上の注意、優先度を横並びで整理したものです。対応漏れや判断の違いを早めに見つけるために重要で、左の項目から順に確認することで、自社で優先して見るべき証跡や対応範囲を読み取れます。

No.チェック項目実務上の注意優先度
7316歳未満の利用者を想定しているか教育、ゲーム、SNS、EC、医療、美容、スポーツ等
74年齢確認・保護者同意の方法を設計しているか形式的チェックボックスだけで足りるか検討
75こども向け説明を別途用意しているか平易な表現、アイコン、FAQ
76広告・プロファイリング・レコメンドに未成年者データを用いるか確認しているか本人の最善の利益の観点
77法案成立後の規則・ガイドライン更新を反映する体制があるか施行前プロジェクト化

14 生体情報・顔特徴データ等

2026年改正法案の概要資料では、顔特徴データ等について、取扱いに関する一定事項の周知義務、利用停止等請求の要件緩和、オプトアウト制度に基づく第三者提供の禁止が示されています。

次の比較表は、No.、チェック項目、実務上の注意、優先度を横並びで整理したものです。対応漏れや判断の違いを早めに見つけるために重要で、左の項目から順に確認することで、自社で優先して見るべき証跡や対応範囲を読み取れます。

No.チェック項目実務上の注意優先度
78顔認証、顔特徴量、指紋、静脈、虹彩、声紋等を取得・利用しているか本人確認、防犯、勤怠、入退室、決済など
79単なる写真・動画と、生体認証用特徴データを区別しているかシステム仕様の確認が必要
80取得目的、利用範囲、保存期間、削除方法を説明しているか目的外利用リスクが高い
81第三者提供・共同利用・委託の有無を確認しているか顔認証ベンダー、クラウド解析、警備会社等
82利用停止等請求に応じる技術的手段があるか削除・無効化・識別停止の実装

15 AI・統計作成・データ利活用

2026年改正法案の概要資料では、個人データ等の第三者提供および公開されている要配慮個人情報の取得について、統計情報等の作成にのみ利用される場合は本人同意を不要とすること、統計作成等と整理できるAI開発等を含むことが示されています。

ただし、これは「AIなら何でも同意不要」という意味ではありません。プラポリ上は、次の観点で慎重に整理します。

次の比較表は、No.、チェック項目、実務上の注意、優先度を横並びで整理したものです。対応漏れや判断の違いを早めに見つけるために重要で、左の項目から順に確認することで、自社で優先して見るべき証跡や対応範囲を読み取れます。

No.チェック項目実務上の注意優先度
83AI開発・機械学習・分析に個人データを使うか自社開発、外部AI、生成AI、モデル改善
84利用目的が統計作成等に限定されるか個別本人への働きかけ・判定・広告とは区別
85モデル学習後に個人を識別・再現できない設計か技術的・契約的管理が必要
86外部AI事業者への提供が委託、第三者提供、外国提供のいずれかを整理しているかAPI利用規約、再学習利用の有無
87個人関連情報、公開情報、要配慮個人情報の扱いを別に検討しているかスクレイピング・公開情報利用は特に注意
88法案成立後の詳細ルールを反映するための暫定条項・改訂計画があるか早期の断定的記載を避ける
Section 06

2026年改正法案がプラポリ実務に与える影響

2026年改正法案の主要論点を、確定前提と準備項目に分けて捉えます。

1 適正なデータ利活用の推進

改正法案では、統計情報等の作成にのみ利用される場合の同意不要化、本人の意思に反しないため本人の権利利益を害しないことが明らかな取扱いについての同意不要化、生命等の保護・公衆衛生の向上等における同意取得困難性要件の緩和、学術研究機関等に医療提供目的の機関または団体が含まれることの明示が示されています。

プラポリ対応としては、以下が論点となります。

  • 統計作成等を目的とするデータ処理と、個別本人に影響を与える処理を分けます。
  • 「AI開発」「分析」「研究開発」等の利用目的を抽象的にまとめず、本人に影響するかを説明します。
  • 公開情報や要配慮個人情報を使う場合、取得根拠と利用限定を確認します。
  • 医療、ヘルスケア、介護、教育、こども関連サービスでは、業界別規制・倫理指針・研究規程も同時に見る。

2 リスクに適切に対応した規律

改正法案では、16歳未満の者、顔特徴データ等、委託を受けた事業者、漏えい等本人通知義務の緩和が示されています。

プラポリ対応としては、以下が重要です。

  • 未成年者を対象とするサービスでは、年齢確認、保護者同意、こども向け説明、広告・プロファイリング制限を設計します。
  • 生体情報を用いるサービスでは、目的、周知事項、削除・利用停止の仕組みを整備します。
  • 委託先にデータ処理を任せる企業だけでなく、データ処理を受託する企業も、自社プラポリ・DPA・サービス説明を見直す。
  • 漏えい等本人通知の緩和は、施行後の詳細ルールを待つべきであり、現時点で通知体制を弱める理由にはならない。

3 不適正利用等の防止

改正法案では、個人情報ではないが特定の個人に対する働きかけが可能となる情報について、不適正利用および不正取得を禁止すること、オプトアウト制度について提供先の身元および利用目的の確認を義務化することが示されています。

プラポリ対応としては、広告ID、Cookie、端末ID、ハッシュ化メールアドレス、顧客ID、セグメント情報、購買傾向、位置情報等について、「個人情報ではないから自由に扱える」という整理を改める必要があります。本人への働きかけ、広告配信、勧誘、スコアリング、リターゲティング、DM送付、詐欺的利用への転用可能性がある情報は、個人情報該当性だけでなく、不適正利用・不正取得リスクから管理します。

4 実効性確保 ― 命令、第三者への要請、罰則、課徴金

改正法案では、命令要件の見直し、違反行為を補助等する第三者への要請根拠、個人情報データベース等の不正提供等に係る罰則強化、詐欺行為等による不正取得への罰則、重大な違反行為により個人の権利利益が侵害された場合等の課徴金制度が示されています。

これは、プラポリを「炎上防止文書」から「経営リスク統制文書」へ引き上げる。取締役、監査役、内部監査、CISO、CPO、法務責任者は、プラポリの虚偽・不備が、当局対応、課徴金、刑事罰、契約解除、顧客監査不合格、上場審査・M&Aへの悪影響につながり得ることを理解すべきです。

Section 07

プラポリチェックリストで見つかる不備と修正方針

よくある記載漏れや抽象化しすぎた表現を、修正方針とともに確認します。

1 「利用目的」が包括的すぎる

不備例 ― 「当社事業のため」「サービス向上のため」「マーケティング等のため」。 修正方針 ― 契約履行、本人確認、決済、配送、問い合わせ対応、保守、品質改善、広告配信、統計分析、不正利用防止、法令対応など、本人が具体的に理解できる粒度に分けます。

2 取得項目と利用目的の対応がない

不備例 ― 取得項目を大量に列挙し、利用目的を一括で記載します。 修正方針 ― 主要な取得項目ごとに利用目的を対応付けます。特に位置情報、生体情報、健康情報、広告ID、閲覧履歴、採用応募情報は別枠にします。

3 安全管理措置が抽象的すぎる

不備例 ― 「当社は個人情報を適切に管理します」。 修正方針 ― 組織的安全管理措置、人的安全管理措置、物理的安全管理措置、技術的安全管理措置、委託先管理、外的環境把握を、セキュリティ上支障のない範囲で記載します。

4 共同利用の要件を満たしていない

不備例 ― 「グループ会社で共同利用します」。 修正方針 ― 共同利用する旨、共同利用項目、共同利用者の範囲、利用目的、管理責任者の名称・住所・代表者名を記載します。

5 外国提供を見落としている

不備例 ― 海外SaaS、海外クラウド、海外親会社、海外開発拠点を利用しているのに、外国提供の記載がない。 修正方針 ― 提供先国、提供類型、本人同意、相当措置、委託契約、継続的実施確保措置、本人への情報提供体制を確認します。

6 Cookie・広告連携が別世界になっている

不備例 ― Cookieポリシーはマーケティング部門が作り、プラポリは法務部門が作り、両者が整合しない。 修正方針 ― タグ一覧、送信先、送信情報、利用目的、同意管理、オプトアウト、広告プラットフォーム契約を一元管理します。

7 採用・従業員情報を忘れている

不備例 ― 顧客向けプラポリしかなく、採用応募者・従業員向けの利用目的や権利行使手続がない。 修正方針 ― 採用応募者向け通知、従業員向け個人情報取扱通知、健康情報取扱規程、労務管理システムの委託先管理を別途整備します。

Section 08

個人情報保護法改正対応を進める部門別分担

法務、セキュリティ、マーケティング、人事、経営の分担を整理します。

次の比較表は、部門・専門職、主な役割を横並びで整理したものです。対応漏れや判断の違いを早めに見つけるために重要で、左の項目から順に確認することで、自社で優先して見るべき証跡や対応範囲を読み取れます。

部門・専門職主な役割
法務担当・企業内弁護士法令解釈、利用目的・第三者提供・外国提供・同意文言・契約整合性の確認
外部弁護士改正法対応、当局対応、紛争対応、M&A・海外案件・特殊データ処理のレビュー
個人情報保護・プライバシー担当データマッピング、プラポリ運用、本人請求対応、PPCガイドライン更新監視
コンプライアンス担当社内規程、研修、内部通報、違反予防、経営報告
情報セキュリティ担当安全管理措置、アクセス制御、ログ管理、暗号化、インシデント対応
情報システム・プロダクト担当取得画面、同意UI、削除機能、権利行使機能、委託先・SaaS管理
マーケティング担当Cookie、広告ID、外部送信、メール配信、プロファイリングの棚卸し
人事・労務担当、社会保険労務士採用・従業員・健康情報・労務管理情報の取扱い整備
内部監査担当プラポリと実態の整合性監査、委託先監査、証跡確認
経営者・取締役重要リスク承認、予算、人員、重大インシデント対応、説明責任
公認会計士・税理士・M&A担当M&A、IPO、内部統制、デューデリジェンスでの個人情報リスク評価
弁理士・知財法務担当データ、AI、ライセンス、共同研究、営業秘密との接点確認

プラポリ改訂は、法務だけの仕事ではありません。法務が文言を作っても、システムが削除機能を持たず、マーケティングがタグを把握せず、委託契約が古く、CSが本人請求に対応できなければ、実効性はない。

Section 09

個人情報保護法改正対応のプラポリ改訂を90日で進める手順

90日で進める場合の段階、成果物、承認、公開後対応を確認します。

次の時系列は、90日でプラポリ改訂を進める標準的な順番を表します。関係部門の作業を前後させると証跡不足が起きやすいため重要で、週数の進行に沿って、現状把握から公開後教育までの依存関係を読み取れます。

1〜3週

現状把握

既存文書、データ処理経路、委託先、共同利用、Cookie、採用・従業員情報を棚卸しします。

4〜6週

分類とギャップ分析

現行法、改正法案、業界規制、海外法の観点から不足を洗い出します。

7〜10週

文書・画面・契約の改訂

プラポリ本文、個別通知、同意画面、委託契約、社内規程をそろえます。

11〜13週

承認・公開・教育

承認、旧版保管、問い合わせ対応、社内教育、監査証跡を整えます。

第1段階 ― 現状把握(1〜3週)

  • 対象サービス・業務の一覧化
  • 取得データ・利用目的・提供先・委託先・保存期間の棚卸し
  • 現行プラポリ、利用規約、Cookieポリシー、採用通知、従業員通知の収集
  • 2026年改正法案の影響がある処理の仮特定

第2段階 ― 法的分類とギャップ分析(4〜6週)

  • 個人情報、個人データ、保有個人データ、要配慮個人情報、個人関連情報等の分類
  • 利用目的の特定性レビュー
  • 第三者提供、共同利用、委託、外国提供、個人関連情報提供の分類
  • 安全管理措置・開示等請求・漏えい等対応の運用確認
  • 不備の優先順位付け

第3段階 ― 文書・UI・契約の改訂(7〜10週)

  • プラポリ本文、Cookieポリシー、採用・従業員向け通知の改訂
  • 同意画面、入力フォーム、設定画面、FAQの修正
  • 委託契約、DPA、共同利用合意、海外移転関連文書の改訂
  • 社内規程、本人請求手順、インシデント対応手順の更新

第4段階 ― 承認・公開・教育(11〜13週)

  • 法務、セキュリティ、事業部、経営承認
  • 公開日・施行日・旧版保管
  • 従業員研修、CS向けFAQ、インシデント訓練
  • 改正法成立後の再レビュー予定登録
Section 10

個人情報保護法改正対応で使う詳細チェックシート

実務でそのまま使える詳細な点検項目を確認します。

以下は、そのまま社内チェックシートとして利用できる形式です。

【個人情報保護法改正対応のプラポリチェックリスト】

1. 基本情報
□ 会社名、住所、代表者名が最新です。
□ 問い合わせ窓口、苦情申出先が明記されています。
□ 認定個人情報保護団体の対象事業者の場合、団体名と申出先を記載しています。
□ 最終改定日、適用日、旧版管理がある。

2. 対象範囲
□ 対象サービス・ウェブサイト・アプリ・店舗・採用・従業員情報を整理しています。
□ 別ポリシーがある場合、相互参照が明確です。
□ 法人顧客担当者情報、取引先情報も対象に含めるか判断しています。

3. 取得情報
□ 本人から直接取得する情報を列挙しています。
□ 自動取得情報を列挙しています。
□ 第三者から取得する情報を列挙しています。
□ 要配慮個人情報の取得有無を実態に合わせている。
□ 生体情報・顔特徴データ等の有無を確認しています。
□ Cookie、広告ID、閲覧履歴、位置情報の有無を確認しています。

4. 利用目的
□ 利用目的が具体的です。
□ 取得項目と利用目的の対応がある。
□ 直接書面等による取得時に、取得前に利用目的を明示しています。
□ 広告、分析、AI、統計、レコメンドの目的が明確です。
□ 採用・従業員情報の利用目的を別途整理しています。
□ 利用目的変更時の手続がある。

5. 保有個人データ
□ 全ての保有個人データの利用目的を本人の知り得る状態に置いている。
□ 開示等請求手続を記載しています。
□ 手数料を定める場合、額と支払方法を記載しています。
□ 安全管理措置の概要を記載しています。
□ 苦情申出先を記載しています。

6. 第三者提供・共同利用・委託
□ 第三者提供の有無を洗い出しています。
□ 委託、事業承継、共同利用と第三者提供を区別しています。
□ 共同利用の5要素を記載しています。
□ オプトアウト提供の届出・公表・提供停止手続を確認しています。
□ 第三者提供記録・受領記録の作成保存がある。
□ 委託契約に安全管理、再委託、漏えい時通知、削除・返却、監査がある。

7. 外国提供
□ 外国にある第三者への提供の有無を確認しています。
□ 提供先国・地域、提供先、提供目的、提供項目を整理しています。
□ 本人同意、相当措置、例外事由のいずれかを整理しています。
□ 同意取得時の情報提供がある。
□ 相当措置の継続的実施確保と本人への情報提供体制がある。

8. Cookie・広告・個人関連情報
□ 外部送信先と送信情報を把握しています。
□ 分析・広告・レコメンド目的を区別しています。
□ 提供先で個人データとなる個人関連情報の提供を確認しています。
□ 同意管理、オプトアウト、設定画面を実装しています。

9. 未成年者・生体情報・AI
□ 16歳未満の利用者の有無を確認しています。
□ 保護者同意・年齢確認・こども向け説明を設計しています。
□ 顔特徴データ等の取扱いを確認しています。
□ AI開発・統計作成・分析利用を棚卸ししています。
□ 法案成立後の再レビュー予定を登録しています。

10. 漏えい等・運用
□ 漏えい等対応手順がある。
□ 報告対象事態の判断基準を共有しています。
□ 委託先からの通知体制がある。
□ 本人通知・公表・問い合わせ窓口対応のテンプレートがある。
□ 社内研修、監査、改定モニタリングがある。
Section 11

中小企業が優先するプラポリチェックリスト項目

中小企業が先に見るべき高優先領域を整理します。

次の重要ポイントは、中小企業が限られた時間で優先すべき確認範囲をまとめたものです。すべてを同時に精緻化できない場合の初動判断に重要で、まず利用目的、取得項目、委託、漏えい等対応、問い合わせ窓口から整えることを読み取れます。

小さく始める場合も、実態との一致が最優先です

テンプレートを整えるだけでは足りません。サービス、採用、従業員、広告、委託先、クラウド利用の実態と公開文書が一致しているかを先に確認します。

中小企業では、全項目を一度に完璧に整備することが難しい場合がある。その場合でも、以下の順序で対応します。

  1. 会社情報、利用目的、問い合わせ窓口、開示等請求手続、安全管理措置の概要を整備します。
  2. 取得データと利用目的の棚卸しを行い、実態とプラポリの不一致をなくす。
  3. 委託先、クラウド、広告ツール、決済・配送事業者を一覧化する。
  4. 外国提供、Cookie・広告、要配慮個人情報、生体情報、未成年者データがある場合は優先的に専門家レビューを受ける。
  5. 漏えい等対応手順と連絡網を作る。
  6. 2026年改正法案の施行に向け、年1回以上の見直しを予定化する。

小規模事業者にとっても、「テンプレートを貼る」ことは最短ルートではありません。むしろ、扱うデータが少ないからこそ、自社の実態に合わせた短く正確なプラポリを作るべきです。

Section 12

専門家レビューが必要なプラポリ高リスク類型

専門家レビューが必要になりやすい高リスク類型を確認します。

次のいずれかに該当する場合、プラポリ改訂だけでなく、弁護士、情報セキュリティ専門家、プライバシーコンサルタント、社労士、会計士、税理士、弁理士等の関与を検討します。

  • 医療、ヘルスケア、介護、薬機法関連サービス
  • 金融、保険、決済、信用スコアリング
  • こども、教育、学校、未成年者向けサービス
  • 顔認証、指紋認証、音声解析、行動解析、位置情報サービス
  • AI開発、生成AI、プロファイリング、レコメンド、広告配信
  • 海外親会社・海外子会社・海外クラウド・グローバルCRM利用
  • 大量の個人データを扱うSaaS、プラットフォーム、マーケットプレイス
  • M&A、事業譲渡、会社分割、グループ再編
  • 漏えい等が発生した、または発生のおそれがある
  • 当局照会、顧客監査、上場審査、デューデリジェンスを受ける
Section 13

個人情報保護法改正対応後のプラポリ本文構成

プラポリ本文をどの順番で構成するかを確認します。

実務上、以下の構成が使いやすい。

  1. 基本方針
  2. 適用範囲
  3. 取得する情報
  4. 利用目的
  5. 第三者提供
  6. 委託
  7. 共同利用
  8. 外国にある第三者への提供
  9. Cookie、広告ID、アクセス解析、外部送信
  10. 安全管理措置
  11. 保有個人データに関する事項
  12. 開示等請求手続
  13. 未成年者の個人情報
  14. 生体情報・顔特徴データ等を取り扱う場合の事項
  15. AI、統計作成、分析利用に関する事項
  16. 採用応募者・従業員情報の取扱い
  17. 漏えい等発生時の対応
  18. 問い合わせ・苦情申出先
  19. 改定手続
  20. 制定日・改定日

すべての企業がこの全項目を本文に置く必要はない。自社で扱わないデータ処理については、無理に書かない。ただし、扱っているのに書かないことは避ける。

Section 14

個人情報保護法改正対応のプラポリチェックリストの結論

プラポリ改訂を継続的なデータガバナンスとして運用する視点をまとめます。

個人情報保護法改正対応のプラポリチェックリストは、文章の校正表ではありません。企業がどのような個人情報を取得し、何のために利用し、誰に提供し、どこで保管し、どのように安全管理し、本人の権利行使にどう応じ、漏えい等にどう対応し、法改正にどう追随するかを検証するための統合統制表です。

2026年改正法案は、データ利活用の柔軟化と、こども・生体情報・不適正利用・実効性確保に関する規律強化を同時に進める方向を示しています。これにより、企業のプラポリは、従来の「個人情報の取扱いについて」という静的文書から、データ処理の透明性と説明責任を支える動的なガバナンス文書へ変化します。

企業法務、プライバシー担当、情報セキュリティ、マーケティング、人事、内部監査、経営は、プラポリを単独で見直すのではなく、データマッピング、同意管理、委託先管理、外国提供管理、権利行使対応、インシデント対応、改正法モニタリングを一体として整備すべきです。そのための最初の実務ツールが、この記事のチェックリストです。

Reference

この記事の参考情報源

公的資料・ガイドライン

  • 個人情報保護委員会「法令・ガイドライン等」
  • 個人情報保護委員会「個人情報の保護に関する法律についてのガイドライン(通則編)」
  • 個人情報保護委員会「個人情報の保護に関する法律についてのガイドライン(外国にある第三者への提供編)」
  • 個人情報保護委員会「『個人情報の保護に関する法律についてのガイドライン』に関するQ&A」
  • 個人情報保護委員会「『個人情報の保護に関する法律等の一部を改正する法律案』の閣議決定について(令和8年4月7日)」
  • 個人情報保護委員会「個人情報の保護に関する法律等の一部を改正する法律案(概要)」
  • 内閣法制局「個人情報の保護に関する法律等の一部を改正する法律案」
  • e-Gov法令検索「個人情報の保護に関する法律」