プライバシーポリシーを文言だけでなく、データマッピング、同意設計、委託・共同利用、越境移転、Cookie、AI、漏えい等対応まで含む実務統制として点検します。
プラポリを、公開文書と社内統制をつなぐプロジェクトとして整理します。
プラポリを、公開文書と社内統制をつなぐプロジェクトとして整理します。
次の重要ポイントは、プラポリ改訂を単なる文言修正ではなく、データ処理と社内統制の見直しとして捉えるための要点をまとめたものです。初動で見るべき範囲を広げるために重要で、法務、システム、マーケティング、人事、委託先管理が同じ前提で動けるかを読み取れます。
利用目的、第三者提供、委託、共同利用、越境移転、Cookie、権利行使、漏えい等対応を一体で確認し、公開文書と内部運用のずれを小さくすることが中心になります。
この記事は、企業が個人情報保護法改正に対応してプライバシーポリシー、すなわち実務上しばしば「プラポリ」と呼ばれる文書を点検・改訂するための専門的チェックリストです。中心テーマは、個人情報保護法改正対応のプラポリチェックリストを、単なる文言修正表ではなく、企業法務、データガバナンス、セキュリティ、マーケティング、労務、委託先管理、越境移転、AI・データ利活用を横断する実務統制の枠組みとして再構成する点にあります。
プライバシーポリシーは、法律上「必ずこの名称の文書を置かなければならない」という単一の様式ではありません。しかし、個人情報保護法上の「公表」「本人の知り得る状態」「利用目的の通知・公表」「保有個人データに関する事項の周知」「外国にある第三者への提供時の情報提供」等を、本人に分かりやすく一元的に示す文書として、企業実務上きわめて重要です。したがって、プラポリ改訂は、ウェブページの末尾を修正する作業ではなく、データマッピング、利用目的管理、同意取得設計、第三者提供管理、委託先管理、開示等請求対応、漏えい等対応、経営リスク管理を統合するプロジェクトです。
2026年4月7日には、「個人情報の保護に関する法律等の一部を改正する法律案」が閣議決定され、第221回特別国会に提出されました。個人情報保護委員会の公表資料によれば、同法案には、統計情報等の作成に係る本人同意不要化、16歳未満の者の個人情報等に関する規律、顔特徴データ等に関する規律、データ処理等の委託を受けた事業者の義務見直し、漏えい等発生時の本人通知義務の緩和、不適正利用・不正取得に対する規律、オプトアウト制度における提供先確認、命令・罰則・課徴金制度等が含まれます。法案段階の事項は、成立・公布・施行令・規則・ガイドライン・Q&Aの確定を待って最終化する必要がありますが、企業は現時点からプラポリと内部統制の棚卸しを始める必要があります。
プラポリが本人説明、証跡、ガバナンスに果たす役割を確認します。
次の4つの項目は、プラポリが担う実務上の役割を並べて整理したものです。名称やテンプレートだけで判断しないために重要で、各項目が自社の公開文書、問い合わせ対応、監査対応、部門連携のどこに効くかを読み取れます。
利用目的、公表事項、権利行使手続、苦情申出先などを整理し、法定義務の履行を支えます。
本人が取得、利用、提供、保管、削除、権利行使を理解し、必要な選択をしやすくします。
法務、システム、マーケティング、人事、CS、セキュリティ、経営が同じ前提でデータ処理を管理します。
この記事でいう「プラポリ」とは、プライバシーポリシー、個人情報保護方針、個人情報の取扱いについて、個人情報の取扱規程の外部公表部分、Cookieポリシー、採用応募者向け個人情報取扱説明、従業員向け個人情報取扱通知、アプリ向けプライバシーノーティス等を含む広い概念です。
厳密には、個人情報保護法は、すべての事業者に対して「プライバシーポリシー」という表題の文書を作成せよとは定めていない。もっとも、同法および関連政令・規則・個人情報保護委員会ガイドラインは、利用目的の特定・通知・公表、保有個人データに関する事項の本人への周知、安全管理措置の概要、開示等請求手続、苦情申出先、共同利用、外国にある第三者への提供等について、本人に対する説明や公表を求めています。個人情報保護委員会Q&Aも、開示等請求手続について必ずしもホームページ掲載を要しないとしつつ、本人の知り得る状態に置くことや問い合わせ窓口を設けることを説明しています。
したがって、プラポリは、単なる広報文ではなく、次の4つの機能を持つ。
この理解を欠くと、プラポリは「テンプレートの流用」「抽象的な安全管理措置の列挙」「目的の過剰包括化」「共同利用・外国提供・広告連携の記載漏れ」といった典型的な失敗に陥ります。
現行法、ガイドライン、改正法案、業界規制を分けて確認します。
次の整理は、現行法、改正法案、業界・海外法の3層を分けて見るためのものです。確定済みの義務と準備段階の論点を混同しないために重要で、どこを直ちに直し、どこを棚卸しとして先行準備するかを読み取れます。
施行済みの法律、政令、規則、ガイドライン、Q&Aに照らし、未対応箇所を直ちに是正します。
成立・公布・施行令・規則・ガイドラインの確定を待つ事項と、先行して棚卸しできる事項を分けます。
医療、金融、電気通信、労務、マイナンバー、GDPRなど、自社に重なる追加規律を別途確認します。
個人情報保護法は、デジタル社会の進展に伴って個人情報の利用が拡大していることを踏まえ、個人情報の有用性に配慮しつつ個人の権利利益を保護することを目的としています。個人情報保護委員会の通則ガイドラインは、この目的規定を引用したうえで、個人情報取扱事業者等に適用される基本的な解釈を示しています。
プラポリ点検で重要な現行法上の論点は、少なくとも以下です。
個人情報保護委員会は、法令・ガイドライン等のページで、法律、基本方針、政令、規則、通則ガイドライン、外国にある第三者への提供編、第三者提供時の確認・記録義務編、仮名加工情報・匿名加工情報編、Q&A等を公表しています。プラポリの改訂担当者は、条文だけでなく、少なくとも通則ガイドライン、外国提供編、Q&Aを同時に確認すべきです。
2026年4月7日に閣議決定された改正法案は、同日時点で第221回特別国会に提出された法案であり、この記事作成時点では、成立・公布・施行令・規則・ガイドライン・Q&Aの最終内容を確認してから実装前に確認する領域が残ります。内閣法制局の法案情報では、同法案の提出国会、閣法番号、閣議決定日、国会提出日、主管省庁、提出理由が示されています。
このため、プラポリ改訂では、次の3層に分ける必要があります。
次の比較表は、層、内容、プラポリ対応を横並びで整理したものです。対応漏れや判断の違いを早めに見つけるために重要で、左の項目から順に確認することで、自社で優先して見るべき証跡や対応範囲を読み取れます。
| 層 | 内容 | プラポリ対応 |
|---|---|---|
| 現行法対応 | すでに施行済みの個人情報保護法・政令・規則・ガイドライン・Q&A | 直ちに是正対象。未対応は法令違反・当局対応・紛争リスクになり得る。 |
| 法案対応準備 | 2026年改正法案の内容。成立後、施行前に詳細確定予定の事項を含む。 | データ棚卸し、影響範囲把握、プラポリ改訂候補、同意画面・業務手順準備を行います。 |
| 業界・海外法対応 | 医療、金融、電気通信、労務、マイナンバー、GDPR等の追加規律 | 自社業種・対象者・提供地域に応じて別紙または個別通知で補完する。 |
「個人情報保護法改正対応のプラポリチェックリスト」は、この3層を混同しないことが第一条件です。法案段階の事項を既に確定ルールであるかのように記載すると、利用者に誤認を与え、将来の再改訂コストを増やします。他方で、法案の影響が明らかな領域、たとえば16歳未満の本人、顔特徴データ等、統計作成等、委託先義務、不適正利用、不正取得、オプトアウト制度、課徴金等については、内部準備を先送りすべきではありません。
個人情報、個人データ、保有個人データなどの対象範囲を整理します。
「個人情報」とは、生存する個人に関する情報であって、氏名、生年月日その他の記述等により特定の個人を識別できるもの、または個人識別符号が含まれるものをいいます。容易照合性がある情報も含まれます。通則ガイドラインは、法が複数のデータ概念を使い分けており、課される義務が異なるため注意を要すると説明しています。
プラポリ上は、「氏名、住所、電話番号、メールアドレス、アカウントID、購入履歴、問い合わせ内容、本人確認書類情報、決済情報、端末情報、Cookie等」といった項目を列挙するだけでは足りません。実務上は、次の観点でデータを分類します。
「個人データ」は、個人情報データベース等を構成する個人情報です。通則ガイドラインは、個人情報取扱事業者が管理する個人情報データベース等を構成する個人情報を個人データと説明し、外部記録媒体に保存された個人情報や帳票に印字された個人情報の例を示しています。
プラポリでは、第三者提供、外国提供、委託、共同利用、漏えい等報告、安全管理措置など、多くの義務が「個人データ」を単位として問題になる。したがって、単なる「個人情報を取り扱います」という記載だけでは、実際のリスク管理には不十分です。
「保有個人データ」は、個人情報取扱事業者が開示、訂正、追加、削除、利用停止、消去、第三者提供停止に応じる権限を有する個人データであり、一定の除外事由がある。通則ガイドラインは、保有個人データについて本人への周知事項を示しており、事業者の名称・住所・代表者名、全ての保有個人データの利用目的、開示等請求手続、安全管理措置、苦情申出先等を本人の知り得る状態に置く必要があると説明しています。
プラポリで最も漏れやすいのは、保有個人データに関する公表事項です。特に以下は必ず確認します。
要配慮個人情報は、人種、信条、社会的身分、病歴、犯罪の経歴、犯罪被害の事実その他、不当な差別・偏見・不利益が生じないよう特に配慮を要する記述等が含まれる個人情報です。通則ガイドラインは、身体障害、健康診断結果、医師等による指導・診療・調剤、刑事事件・少年保護事件に関する手続等の例を示しています。
プラポリでは、要配慮個人情報を「取得しない」と書きながら、採用応募者の健康情報、従業員の健康診断情報、障害配慮情報、医療・美容・介護サービスの相談内容、本人確認書類に含まれる機微情報、問い合わせ内容に含まれる病歴等を実際には取得しているケースがある。これは重大な整合性リスクです。
個人関連情報とは、生存する個人に関する情報であって、個人情報、仮名加工情報、匿名加工情報のいずれにも該当しないものをいいます。通則ガイドラインは、個人に関する情報のうち、氏名等により特定個人を識別できるものは個人情報であり、個人関連情報には該当しないと説明します。統計情報は、特定の個人との対応関係が排斥されている限り、個人関連情報にも該当しないとされる。
Cookie、広告ID、閲覧履歴、購買傾向、端末識別子、位置情報の一部等は、文脈によって個人情報、個人関連情報、あるいはその他の情報として扱いが変わります。広告配信や分析ツールを利用する事業者は、「当社はCookieを利用します」という抽象的説明にとどまらず、提供先で個人データとして取得される可能性、同意取得・確認義務、オプトアウト方法、外部送信規律との関係を検討する必要があります。
仮名加工情報は、他の情報と照合しない限り特定の個人を識別できないように個人情報を加工して得られる個人に関する情報です。匿名加工情報は、特定の個人を識別できず、かつ元の個人情報を復元できないようにした個人に関する情報です。通則ガイドラインは、これらについて別途「仮名加工情報・匿名加工情報ガイドライン」を参照するよう示しています。
プラポリでは、「匿名化」「統計化」「仮名化」という言葉を安易に使いません。特に、社内では個人と照合できるIDを残しているのに「匿名化データ」と説明する、外部提供先では再識別可能であるのに「匿名データ」と説明する、といった記載は危険です。
データ処理の実態から、公開文書・同意画面・契約・運用証跡へ落とし込みます。
次の判断の流れは、プラポリ改訂を進める順番を示しています。公開文書だけを先に直すと実態とずれるため重要で、上から順にデータ棚卸し、法的分類、本人への説明、契約・システム、承認公開へ進むことを読み取れます。
取得項目、取得経路、利用目的、保管場所、提供先を洗い出します。
個人情報、個人データ、保有個人データ、要配慮個人情報、個人関連情報などに分けます。
公表、通知、同意、個別説明、アプリ内表示のどれで対応するかを決めます。
版管理、社内教育、問い合わせ対応と併せて公開します。
契約、システム仕様、委託先管理、同意画面を見直します。
プラポリの起点は、文章ではなくデータマッピングです。最低限、次の一覧表を作成します。
次の比較表は、項目、確認内容を横並びで整理したものです。対応漏れや判断の違いを早めに見つけるために重要で、左の項目から順に確認することで、自社で優先して見るべき証跡や対応範囲を読み取れます。
| 項目 | 確認内容 |
|---|---|
| サービス・業務 | EC、SaaS、店舗、採用、人事、問い合わせ、広告、アプリ、API連携など |
| 取得する情報 | 氏名、連絡先、決済情報、行動履歴、端末情報、画像、音声、健康情報など |
| 取得方法 | 本人入力、契約書、ログ、自動収集、第三者提供、公開情報、委託先取得など |
| 利用目的 | 契約履行、本人確認、決済、配送、サポート、広告、分析、AI開発、防犯など |
| 法的分類 | 個人情報、個人データ、保有個人データ、要配慮個人情報、個人関連情報など |
| 提供・共有 | 委託、共同利用、第三者提供、外国提供、広告連携、グループ会社共有など |
| 保存・削除 | 保存期間、削除条件、法定保存、バックアップ、退会後の扱いなど |
| 権利行使対応 | 開示、訂正、利用停止、削除、第三者提供停止、本人確認方法など |
| 安全管理 | アクセス制御、ログ、暗号化、委託先監督、教育、インシデント対応など |
| 根拠資料 | 契約、規程、システム仕様、委託契約、DPA、同意ログ、監査証跡など |
この棚卸しが不十分なままプラポリを更新すると、現場のデータ処理と公開文書が乖離します。乖離は、本人からの問い合わせ、漏えい等発生時、当局照会、M&Aデューデリジェンス、委託先監査、顧客監査で露呈しやすくなります。
プラポリ実務で多い誤解は、「プラポリに書いてあるから何でもできる」という考え方です。個人情報保護法上、利用目的の公表が求められる場面、直接書面取得時に利用目的を明示する場面、本人同意が必要な場面、本人同意があっても不適正利用が問題になる場面は異なる。
たとえば、本人から申込フォームで個人情報を取得する場合、直接書面等による取得として、原則としてあらかじめ利用目的を明示しなければならない。通則ガイドラインは、ユーザー入力画面への打ち込み等の電磁的記録により直接本人から取得する場合も、あらかじめ利用目的を明示する必要があると説明しています。
一方、第三者提供、外国にある第三者への提供、要配慮個人情報の取得、個人関連情報の第三者提供などでは、同意や確認、情報提供、記録作成が別途問題になる。プラポリへの記載は、それらの要件を自動的に充足するものではありません。
専門家向けに詳細な条文対応をすると、一般利用者には理解できない文書になる。他方、一般利用者向けに簡潔にしすぎると、法定事項が欠ける。実務上は、以下の二層構造が有効です。
アプリ、SaaS、BtoCサービスでは、重要事項を取得画面・同意画面・設定画面・FAQにも配置します。プラポリ本文に埋め込むだけでは、実際に本人が認識できるとは限りません。
主要15領域を、本文、個別通知、同意画面、社内規程、契約、システム、証跡で点検します。
次の一覧は、プラポリ点検で外しやすい主要領域をまとめたものです。担当部門ごとに確認範囲が分散しやすいため重要で、どの領域を本文、個別通知、同意画面、社内規程、契約、システム仕様、運用証跡で支えるかを読み取れます。
版管理、承認、事業者情報、苦情・開示等請求窓口を確認します。
統制取得する情報と目的の対応、目的外利用、同意が必要な処理を確認します。
本文第三者提供、委託、共同利用、越境移転を分けて確認します。
重点広告連携、個人関連情報、AI利用、統計作成、漏えい等対応を確認します。
新領域以下は、企業法務・プライバシー実務で用いることを想定した詳細チェックリストです。各項目について、「プラポリ本文」「個別通知」「同意UI」「社内規程」「委託契約」「システム仕様」「運用証跡」のいずれで対応するかを決める。
次の比較表は、No.、チェック項目、確認すべき証跡、優先度を横並びで整理したものです。対応漏れや判断の違いを早めに見つけるために重要で、左の項目から順に確認することで、自社で優先して見るべき証跡や対応範囲を読み取れます。
| No. | チェック項目 | 確認すべき証跡 | 優先度 |
|---|---|---|---|
| 1 | プラポリの適用範囲が、サービス、アプリ、ウェブサイト、店舗、採用、従業員情報、法人顧客担当者情報を適切に区別しているか | 対象サービス一覧、業務一覧、別紙構成 | 高 |
| 2 | 最終改定日、改定履歴、施行日、旧版保管が管理されているか | 版管理台帳、Git、文書管理システム | 高 |
| 3 | 改定時の社内承認者が明確か | 稟議、法務承認、セキュリティ承認 | 高 |
| 4 | 個人情報保護法、ガイドライン、Q&A、業界規制、海外法の更新監視者がいるか | 法令モニタリング記録 | 高 |
| 5 | プラポリ、利用規約、Cookieポリシー、同意文言、入力フォーム、FAQの整合性を確認しているか | 文言突合表 | 高 |
| 6 | 2026年改正法案への対応予定項目が「法案段階」として管理されているか | 改正対応ロードマップ | 中 |
次の比較表は、No.、チェック項目、実務上の注意、優先度を横並びで整理したものです。対応漏れや判断の違いを早めに見つけるために重要で、左の項目から順に確認することで、自社で優先して見るべき証跡や対応範囲を読み取れます。
| No. | チェック項目 | 実務上の注意 | 優先度 |
|---|---|---|---|
| 7 | 事業者の正式名称を記載しているか | 商号変更、合併、持株会社化後の不一致に注意 | 高 |
| 8 | 住所を記載しているか | バーチャルオフィス、登記住所、営業所住所の使い分けに注意 | 高 |
| 9 | 法人代表者名を記載しているか | 保有個人データ公表事項として漏れやすい | 高 |
| 10 | 個人情報に関する問い合わせ窓口を記載しているか | メール、フォーム、郵送、電話対応範囲を明確化 | 高 |
| 11 | 苦情申出先を記載しているか | 問い合わせ窓口と苦情窓口を兼ねる場合も明記 | 高 |
| 12 | 認定個人情報保護団体の対象事業者の場合、その団体名・申出先を記載しているか | 加盟状況の棚卸しが必要 | 中 |
次の比較表は、No.、チェック項目、実務上の注意、優先度を横並びで整理したものです。対応漏れや判断の違いを早めに見つけるために重要で、左の項目から順に確認することで、自社で優先して見るべき証跡や対応範囲を読み取れます。
| No. | チェック項目 | 実務上の注意 | 優先度 |
|---|---|---|---|
| 13 | 本人から直接取得する情報を列挙しているか | 申込、会員登録、問い合わせ、採用、契約書など | 高 |
| 14 | サービス利用に伴い自動取得する情報を記載しているか | IPアドレス、端末情報、ログ、Cookie、広告ID、位置情報など | 高 |
| 15 | 第三者から取得する情報を記載しているか | 決済、配送、紹介、公開情報、広告連携、信用調査など | 高 |
| 16 | 要配慮個人情報の取得有無を実態に合わせて記載しているか | 健康情報、障害配慮情報、医療相談等 | 高 |
| 17 | 画像・音声・生体情報・顔特徴データ等の取得有無を確認しているか | 防犯カメラ、本人確認、顔認証、音声解析 | 高 |
| 18 | 採用応募者、従業員、退職者、役員、取引先担当者の情報を別建てで整理しているか | BtoCプラポリだけでは不足しやすい | 中 |
次の比較表は、No.、チェック項目、実務上の注意、優先度を横並びで整理したものです。対応漏れや判断の違いを早めに見つけるために重要で、左の項目から順に確認することで、自社で優先して見るべき証跡や対応範囲を読み取れます。
| No. | チェック項目 | 実務上の注意 | 優先度 |
|---|---|---|---|
| 19 | 利用目的ができる限り特定されているか | 「当社サービス向上のため」だけでは不十分な場合がある | 高 |
| 20 | 取得項目ごと、または処理目的ごとに利用目的を対応付けているか | データマッピングと連動させる | 高 |
| 21 | 直接書面等による取得時に、取得前に利用目的を明示しているか | 入力フォーム送信前のリンク・表示が重要 | 高 |
| 22 | マーケティング、広告配信、分析、レコメンド、AI利用の目的が明確か | 「分析」だけでなく本人への影響を説明する | 高 |
| 23 | 採用、人事、労務、健康管理の利用目的を別に定めているか | 従業員向け通知・就業規則・社内規程と整合 | 高 |
| 24 | 利用目的の変更時に、変更前目的との関連性を確認し、通知・公表手続を定めているか | 目的変更履歴を残す | 高 |
次の比較表は、No.、チェック項目、実務上の注意、優先度を横並びで整理したものです。対応漏れや判断の違いを早めに見つけるために重要で、左の項目から順に確認することで、自社で優先して見るべき証跡や対応範囲を読み取れます。
| No. | チェック項目 | 実務上の注意 | 優先度 |
|---|---|---|---|
| 25 | 全ての保有個人データの利用目的を本人の知り得る状態に置いているか | 一部データだけの利用目的では不足 | 高 |
| 26 | 利用目的通知、開示、訂正、追加、削除、利用停止、消去、第三者提供停止の手続を記載しているか | フォーム、郵送、本人確認、代理人確認 | 高 |
| 27 | 手数料を定める場合、その額と支払方法を記載しているか | 実際の徴収運用と一致させる | 中 |
| 28 | 安全管理措置の概要を記載しているか | 「法令に基づき適切に管理」だけでは不十分 | 高 |
| 29 | 安全管理上支障がある詳細を非公開にする線引きを定めているか | 概要と非公開情報を分ける | 中 |
| 30 | 開示等請求に応じない場合の根拠・通知方法を運用化しているか | 拒否理由のテンプレートを整備 | 中 |
通則ガイドラインは、安全管理措置について、単に「ガイドラインに沿って安全管理措置を実施している」と掲載または回答するだけでは適切ではないと説明しています。プラポリには、組織的、人的、物理的、技術的安全管理措置の概要、外部委託先管理、アクセス制御、教育、ログ管理等を、セキュリティを損なわない粒度で記載することが望ましい。
次の比較表は、No.、チェック項目、実務上の注意、優先度を横並びで整理したものです。対応漏れや判断の違いを早めに見つけるために重要で、左の項目から順に確認することで、自社で優先して見るべき証跡や対応範囲を読み取れます。
| No. | チェック項目 | 実務上の注意 | 優先度 |
|---|---|---|---|
| 31 | 個人データを第三者に提供する場面を全て洗い出しているか | 決済、配送、広告、紹介、グループ会社、外部API | 高 |
| 32 | 委託、事業承継、共同利用と第三者提供を区別しているか | 委託を第三者提供と誤記しない | 高 |
| 33 | 本人同意に基づく第三者提供では、提供先、目的、項目、方法を説明しているか | 同意ログの保存も必要 | 高 |
| 34 | 法令に基づく提供、生命身体財産保護、公衆衛生、行政協力等の例外を過度に広く書いていないか | 条文例外を濫用しない | 中 |
| 35 | オプトアウトによる第三者提供を行う場合、届出・本人通知・公表・提供停止手続を確認しているか | 要配慮個人情報等はオプトアウト不可 | 高 |
| 36 | 第三者提供記録、第三者からの提供受領時の確認・記録を作成・保存しているか | 契約書代替、一括記録、保存期間 | 高 |
委託は、利用目的の達成に必要な範囲で個人データの取扱いを委託する場合であり、法上、一定の要件のもとで第三者提供に該当しない扱いを受ける。しかし、委託先監督義務は残ります。通則ガイドラインは、委託先は委託された業務の範囲内でのみ本人との関係で提供主体と一体として扱われ、委託業務以外に個人データを取り扱うことはできないと説明しています。
次の比較表は、No.、チェック項目、実務上の注意、優先度を横並びで整理したものです。対応漏れや判断の違いを早めに見つけるために重要で、左の項目から順に確認することで、自社で優先して見るべき証跡や対応範囲を読み取れます。
| No. | チェック項目 | 実務上の注意 | 優先度 |
|---|---|---|---|
| 37 | 委託先一覧を整備しているか | クラウド、SaaS、配送、決済、コールセンター、分析業者 | 高 |
| 38 | 委託する業務範囲と個人データ項目を特定しているか | 「業務委託先に提供」だけでは不明確 | 高 |
| 39 | 委託契約に安全管理、再委託、漏えい時通知、監査、返却・削除を定めているか | 契約条項とプラポリの整合性 | 高 |
| 40 | 委託先が外国にある場合、外国提供規制との関係を検討しているか | 委託でも外国提供編の確認が必要になる場合がある | 高 |
| 41 | 2026年改正法案の委託先義務見直しの影響を棚卸ししているか | データ処理等の委託を受ける側も対象 | 中 |
共同利用は、グループ会社、フランチャイズ、共同研究、共同サービス提供などで利用されるが、記載が曖昧になりやすい。通則ガイドラインは、共同利用について、共同利用する旨、共同利用される個人データの項目、共同利用者の範囲、利用目的、管理責任者の氏名または名称・住所・法人代表者名を、提供に当たりあらかじめ本人に通知し、または本人が容易に知り得る状態に置く必要があると説明しています。
次の比較表は、No.、チェック項目、実務上の注意、優先度を横並びで整理したものです。対応漏れや判断の違いを早めに見つけるために重要で、左の項目から順に確認することで、自社で優先して見るべき証跡や対応範囲を読み取れます。
| No. | チェック項目 | 実務上の注意 | 優先度 |
|---|---|---|---|
| 42 | 共同利用をする旨を明記しているか | 単なる「グループ会社と共有」では不足 | 高 |
| 43 | 共同利用される個人データの項目を明記しているか | 氏名、連絡先、購買履歴、相談履歴等 | 高 |
| 44 | 共同利用者の範囲が本人に判断可能な程度に明確か | 「関連会社等」は不明確になりやすい | 高 |
| 45 | 共同利用者の利用目的を全て示しているか | 項目ごとに目的が異なる場合は区別 | 高 |
| 46 | 管理責任者の名称・住所・代表者名を記載しているか | 法改正後の代表者名記載漏れに注意 | 高 |
| 47 | 共同利用の範囲が本人の通常予期し得る範囲か確認しているか | 既取得データの後付け共同利用は慎重に | 高 |
外国にある第三者への個人データ提供は、国内第三者提供とは別に検討する必要があります。外国提供編ガイドラインは、外国にある第三者に個人データを提供する場合、一定の場合を除き、あらかじめ外国にある第三者への提供を認める旨の本人同意が必要であり、同意取得時には、外国の個人情報保護制度、当該第三者が講ずる保護措置、その他本人に参考となる情報を提供しなければならないと説明しています。
次の比較表は、No.、チェック項目、実務上の注意、優先度を横並びで整理したものです。対応漏れや判断の違いを早めに見つけるために重要で、左の項目から順に確認することで、自社で優先して見るべき証跡や対応範囲を読み取れます。
| No. | チェック項目 | 実務上の注意 | 優先度 |
|---|---|---|---|
| 48 | 外国にある第三者への提供の有無を確認しているか | 海外親会社、海外SaaS、海外委託先、グローバルCRM | 高 |
| 49 | 提供先国・地域を把握しているか | データセンター所在地だけでなくアクセス可能国も確認 | 高 |
| 50 | 本人同意が必要な提供か、相当措置体制か、例外事由かを整理しているか | 類型ごとの根拠資料を保存 | 高 |
| 51 | 本人同意時の情報提供が適切か | 外国制度、第三者の措置、参考情報 | 高 |
| 52 | 相当措置に基づく提供では、継続的実施確保措置と本人への情報提供体制があるか | 契約、社内規程、監査、問い合わせ対応 | 高 |
| 53 | 外国クラウド利用について、提供該当性・委託・アクセス権限を検討しているか | 契約・技術仕様と合わせて判断 | 高 |
次の比較表は、No.、チェック項目、実務上の注意、優先度を横並びで整理したものです。対応漏れや判断の違いを早めに見つけるために重要で、左の項目から順に確認することで、自社で優先して見るべき証跡や対応範囲を読み取れます。
| No. | チェック項目 | 実務上の注意 | 優先度 |
|---|---|---|---|
| 54 | Cookie、広告ID、端末情報、閲覧履歴、行動履歴を取得しているか | 自社が意識せずタグで取得している場合が多い | 高 |
| 55 | 取得目的を明確にしているか | 必須Cookie、分析、広告、レコメンドを区別 | 高 |
| 56 | 第三者に送信される情報、送信先、利用目的を把握しているか | 外部送信規律・広告規制との関係も確認 | 高 |
| 57 | 提供先で個人データとして取得される可能性がある個人関連情報の提供を確認しているか | 同意確認・記録義務が問題になる | 高 |
| 58 | オプトアウト方法、同意管理、Cookie設定画面が実装されているか | UIとプラポリ本文を一致させる | 中 |
| 59 | 広告配信停止と個人データ削除の違いを説明しているか | ユーザー誤解を防ぐ | 中 |
次の比較表は、No.、チェック項目、実務上の注意、優先度を横並びで整理したものです。対応漏れや判断の違いを早めに見つけるために重要で、左の項目から順に確認することで、自社で優先して見るべき証跡や対応範囲を読み取れます。
| No. | チェック項目 | 実務上の注意 | 優先度 |
|---|---|---|---|
| 60 | 開示等請求の対象を説明しているか | 保有個人データ、第三者提供記録等 | 高 |
| 61 | 請求方法を分かりやすく記載しているか | フォーム、郵送、メール、本人確認書類 | 高 |
| 62 | 代理人請求に対応しているか | 法定代理人、任意代理人、委任状、本人確認 | 高 |
| 63 | 回答期限・回答方法を社内で定めているか | 法定上の「遅滞なく」と実務SLAを接続 | 高 |
| 64 | 手数料の有無・額を明示しているか | 実費・定額・無料のいずれかを決める | 中 |
| 65 | 利用停止・消去・第三者提供停止の判断基準を整備しているか | 不適正利用、不正取得、目的外利用、過剰保有など | 高 |
| 66 | 請求対応ログを保存しているか | 監査・紛争対応に必要 | 中 |
現行法上、報告対象事態が発生した場合、個人情報保護委員会への速報・確報および本人通知が問題となります。通則ガイドラインは、報告対象事態として、要配慮個人情報を含む個人データの漏えい等、財産的被害のおそれがある個人データの漏えい等、不正目的によるおそれがある漏えい等、本人の数が千人を超える漏えい等を示しています。また、速報の目安は事態を知った時点から概ね3〜5日以内、確報は原則30日以内、不正目的によるおそれがある事態は60日以内と説明されています。
次の比較表は、No.、チェック項目、実務上の注意、優先度を横並びで整理したものです。対応漏れや判断の違いを早めに見つけるために重要で、左の項目から順に確認することで、自社で優先して見るべき証跡や対応範囲を読み取れます。
| No. | チェック項目 | 実務上の注意 | 優先度 |
|---|---|---|---|
| 67 | 漏えい等対応手順があるか | 検知、封じ込め、調査、報告、通知、公表、再発防止 | 高 |
| 68 | 報告対象事態の判断基準を社内で共有しているか | 要配慮、財産被害、不正目的、千人超 | 高 |
| 69 | 委託先からの通知義務を契約に定めているか | 委託元・委託先双方の報告義務を整理 | 高 |
| 70 | 本人通知の内容・方法・代替措置を定めているか | メール、郵送、公表、問い合わせ窓口 | 高 |
| 71 | プラポリに漏えい等時の連絡・問い合わせ方法を記載しているか | 詳細手順は内部規程でもよい | 中 |
| 72 | 2026年改正法案の本人通知義務緩和の影響を注視しているか | 施行後の規則・ガイドラインで確定 | 中 |
2026年改正法案の概要資料では、16歳未満の者が本人の場合、同意取得や通知等について当該本人の法定代理人を対象とすることを明文化し、利用停止等請求の要件を緩和するとともに、未成年者の個人情報等の取扱いについて本人の最善の利益を優先して考慮すべき責務規定を設けることが示されています。
次の比較表は、No.、チェック項目、実務上の注意、優先度を横並びで整理したものです。対応漏れや判断の違いを早めに見つけるために重要で、左の項目から順に確認することで、自社で優先して見るべき証跡や対応範囲を読み取れます。
| No. | チェック項目 | 実務上の注意 | 優先度 |
|---|---|---|---|
| 73 | 16歳未満の利用者を想定しているか | 教育、ゲーム、SNS、EC、医療、美容、スポーツ等 | 高 |
| 74 | 年齢確認・保護者同意の方法を設計しているか | 形式的チェックボックスだけで足りるか検討 | 高 |
| 75 | こども向け説明を別途用意しているか | 平易な表現、アイコン、FAQ | 中 |
| 76 | 広告・プロファイリング・レコメンドに未成年者データを用いるか確認しているか | 本人の最善の利益の観点 | 高 |
| 77 | 法案成立後の規則・ガイドライン更新を反映する体制があるか | 施行前プロジェクト化 | 中 |
2026年改正法案の概要資料では、顔特徴データ等について、取扱いに関する一定事項の周知義務、利用停止等請求の要件緩和、オプトアウト制度に基づく第三者提供の禁止が示されています。
次の比較表は、No.、チェック項目、実務上の注意、優先度を横並びで整理したものです。対応漏れや判断の違いを早めに見つけるために重要で、左の項目から順に確認することで、自社で優先して見るべき証跡や対応範囲を読み取れます。
| No. | チェック項目 | 実務上の注意 | 優先度 |
|---|---|---|---|
| 78 | 顔認証、顔特徴量、指紋、静脈、虹彩、声紋等を取得・利用しているか | 本人確認、防犯、勤怠、入退室、決済など | 高 |
| 79 | 単なる写真・動画と、生体認証用特徴データを区別しているか | システム仕様の確認が必要 | 高 |
| 80 | 取得目的、利用範囲、保存期間、削除方法を説明しているか | 目的外利用リスクが高い | 高 |
| 81 | 第三者提供・共同利用・委託の有無を確認しているか | 顔認証ベンダー、クラウド解析、警備会社等 | 高 |
| 82 | 利用停止等請求に応じる技術的手段があるか | 削除・無効化・識別停止の実装 | 高 |
2026年改正法案の概要資料では、個人データ等の第三者提供および公開されている要配慮個人情報の取得について、統計情報等の作成にのみ利用される場合は本人同意を不要とすること、統計作成等と整理できるAI開発等を含むことが示されています。
ただし、これは「AIなら何でも同意不要」という意味ではありません。プラポリ上は、次の観点で慎重に整理します。
次の比較表は、No.、チェック項目、実務上の注意、優先度を横並びで整理したものです。対応漏れや判断の違いを早めに見つけるために重要で、左の項目から順に確認することで、自社で優先して見るべき証跡や対応範囲を読み取れます。
| No. | チェック項目 | 実務上の注意 | 優先度 |
|---|---|---|---|
| 83 | AI開発・機械学習・分析に個人データを使うか | 自社開発、外部AI、生成AI、モデル改善 | 高 |
| 84 | 利用目的が統計作成等に限定されるか | 個別本人への働きかけ・判定・広告とは区別 | 高 |
| 85 | モデル学習後に個人を識別・再現できない設計か | 技術的・契約的管理が必要 | 高 |
| 86 | 外部AI事業者への提供が委託、第三者提供、外国提供のいずれかを整理しているか | API利用規約、再学習利用の有無 | 高 |
| 87 | 個人関連情報、公開情報、要配慮個人情報の扱いを別に検討しているか | スクレイピング・公開情報利用は特に注意 | 高 |
| 88 | 法案成立後の詳細ルールを反映するための暫定条項・改訂計画があるか | 早期の断定的記載を避ける | 中 |
2026年改正法案の主要論点を、確定前提と準備項目に分けて捉えます。
改正法案では、統計情報等の作成にのみ利用される場合の同意不要化、本人の意思に反しないため本人の権利利益を害しないことが明らかな取扱いについての同意不要化、生命等の保護・公衆衛生の向上等における同意取得困難性要件の緩和、学術研究機関等に医療提供目的の機関または団体が含まれることの明示が示されています。
プラポリ対応としては、以下が論点となります。
改正法案では、16歳未満の者、顔特徴データ等、委託を受けた事業者、漏えい等本人通知義務の緩和が示されています。
プラポリ対応としては、以下が重要です。
改正法案では、個人情報ではないが特定の個人に対する働きかけが可能となる情報について、不適正利用および不正取得を禁止すること、オプトアウト制度について提供先の身元および利用目的の確認を義務化することが示されています。
プラポリ対応としては、広告ID、Cookie、端末ID、ハッシュ化メールアドレス、顧客ID、セグメント情報、購買傾向、位置情報等について、「個人情報ではないから自由に扱える」という整理を改める必要があります。本人への働きかけ、広告配信、勧誘、スコアリング、リターゲティング、DM送付、詐欺的利用への転用可能性がある情報は、個人情報該当性だけでなく、不適正利用・不正取得リスクから管理します。
改正法案では、命令要件の見直し、違反行為を補助等する第三者への要請根拠、個人情報データベース等の不正提供等に係る罰則強化、詐欺行為等による不正取得への罰則、重大な違反行為により個人の権利利益が侵害された場合等の課徴金制度が示されています。
これは、プラポリを「炎上防止文書」から「経営リスク統制文書」へ引き上げる。取締役、監査役、内部監査、CISO、CPO、法務責任者は、プラポリの虚偽・不備が、当局対応、課徴金、刑事罰、契約解除、顧客監査不合格、上場審査・M&Aへの悪影響につながり得ることを理解すべきです。
よくある記載漏れや抽象化しすぎた表現を、修正方針とともに確認します。
不備例 ― 「当社事業のため」「サービス向上のため」「マーケティング等のため」。 修正方針 ― 契約履行、本人確認、決済、配送、問い合わせ対応、保守、品質改善、広告配信、統計分析、不正利用防止、法令対応など、本人が具体的に理解できる粒度に分けます。
不備例 ― 取得項目を大量に列挙し、利用目的を一括で記載します。 修正方針 ― 主要な取得項目ごとに利用目的を対応付けます。特に位置情報、生体情報、健康情報、広告ID、閲覧履歴、採用応募情報は別枠にします。
不備例 ― 「当社は個人情報を適切に管理します」。 修正方針 ― 組織的安全管理措置、人的安全管理措置、物理的安全管理措置、技術的安全管理措置、委託先管理、外的環境把握を、セキュリティ上支障のない範囲で記載します。
不備例 ― 「グループ会社で共同利用します」。 修正方針 ― 共同利用する旨、共同利用項目、共同利用者の範囲、利用目的、管理責任者の名称・住所・代表者名を記載します。
不備例 ― 海外SaaS、海外クラウド、海外親会社、海外開発拠点を利用しているのに、外国提供の記載がない。 修正方針 ― 提供先国、提供類型、本人同意、相当措置、委託契約、継続的実施確保措置、本人への情報提供体制を確認します。
不備例 ― Cookieポリシーはマーケティング部門が作り、プラポリは法務部門が作り、両者が整合しない。 修正方針 ― タグ一覧、送信先、送信情報、利用目的、同意管理、オプトアウト、広告プラットフォーム契約を一元管理します。
不備例 ― 顧客向けプラポリしかなく、採用応募者・従業員向けの利用目的や権利行使手続がない。 修正方針 ― 採用応募者向け通知、従業員向け個人情報取扱通知、健康情報取扱規程、労務管理システムの委託先管理を別途整備します。
法務、セキュリティ、マーケティング、人事、経営の分担を整理します。
次の比較表は、部門・専門職、主な役割を横並びで整理したものです。対応漏れや判断の違いを早めに見つけるために重要で、左の項目から順に確認することで、自社で優先して見るべき証跡や対応範囲を読み取れます。
| 部門・専門職 | 主な役割 |
|---|---|
| 法務担当・企業内弁護士 | 法令解釈、利用目的・第三者提供・外国提供・同意文言・契約整合性の確認 |
| 外部弁護士 | 改正法対応、当局対応、紛争対応、M&A・海外案件・特殊データ処理のレビュー |
| 個人情報保護・プライバシー担当 | データマッピング、プラポリ運用、本人請求対応、PPCガイドライン更新監視 |
| コンプライアンス担当 | 社内規程、研修、内部通報、違反予防、経営報告 |
| 情報セキュリティ担当 | 安全管理措置、アクセス制御、ログ管理、暗号化、インシデント対応 |
| 情報システム・プロダクト担当 | 取得画面、同意UI、削除機能、権利行使機能、委託先・SaaS管理 |
| マーケティング担当 | Cookie、広告ID、外部送信、メール配信、プロファイリングの棚卸し |
| 人事・労務担当、社会保険労務士 | 採用・従業員・健康情報・労務管理情報の取扱い整備 |
| 内部監査担当 | プラポリと実態の整合性監査、委託先監査、証跡確認 |
| 経営者・取締役 | 重要リスク承認、予算、人員、重大インシデント対応、説明責任 |
| 公認会計士・税理士・M&A担当 | M&A、IPO、内部統制、デューデリジェンスでの個人情報リスク評価 |
| 弁理士・知財法務担当 | データ、AI、ライセンス、共同研究、営業秘密との接点確認 |
プラポリ改訂は、法務だけの仕事ではありません。法務が文言を作っても、システムが削除機能を持たず、マーケティングがタグを把握せず、委託契約が古く、CSが本人請求に対応できなければ、実効性はない。
90日で進める場合の段階、成果物、承認、公開後対応を確認します。
次の時系列は、90日でプラポリ改訂を進める標準的な順番を表します。関係部門の作業を前後させると証跡不足が起きやすいため重要で、週数の進行に沿って、現状把握から公開後教育までの依存関係を読み取れます。
既存文書、データ処理経路、委託先、共同利用、Cookie、採用・従業員情報を棚卸しします。
現行法、改正法案、業界規制、海外法の観点から不足を洗い出します。
プラポリ本文、個別通知、同意画面、委託契約、社内規程をそろえます。
承認、旧版保管、問い合わせ対応、社内教育、監査証跡を整えます。
実務でそのまま使える詳細な点検項目を確認します。
以下は、そのまま社内チェックシートとして利用できる形式です。
【個人情報保護法改正対応のプラポリチェックリスト】
1. 基本情報
□ 会社名、住所、代表者名が最新です。
□ 問い合わせ窓口、苦情申出先が明記されています。
□ 認定個人情報保護団体の対象事業者の場合、団体名と申出先を記載しています。
□ 最終改定日、適用日、旧版管理がある。
2. 対象範囲
□ 対象サービス・ウェブサイト・アプリ・店舗・採用・従業員情報を整理しています。
□ 別ポリシーがある場合、相互参照が明確です。
□ 法人顧客担当者情報、取引先情報も対象に含めるか判断しています。
3. 取得情報
□ 本人から直接取得する情報を列挙しています。
□ 自動取得情報を列挙しています。
□ 第三者から取得する情報を列挙しています。
□ 要配慮個人情報の取得有無を実態に合わせている。
□ 生体情報・顔特徴データ等の有無を確認しています。
□ Cookie、広告ID、閲覧履歴、位置情報の有無を確認しています。
4. 利用目的
□ 利用目的が具体的です。
□ 取得項目と利用目的の対応がある。
□ 直接書面等による取得時に、取得前に利用目的を明示しています。
□ 広告、分析、AI、統計、レコメンドの目的が明確です。
□ 採用・従業員情報の利用目的を別途整理しています。
□ 利用目的変更時の手続がある。
5. 保有個人データ
□ 全ての保有個人データの利用目的を本人の知り得る状態に置いている。
□ 開示等請求手続を記載しています。
□ 手数料を定める場合、額と支払方法を記載しています。
□ 安全管理措置の概要を記載しています。
□ 苦情申出先を記載しています。
6. 第三者提供・共同利用・委託
□ 第三者提供の有無を洗い出しています。
□ 委託、事業承継、共同利用と第三者提供を区別しています。
□ 共同利用の5要素を記載しています。
□ オプトアウト提供の届出・公表・提供停止手続を確認しています。
□ 第三者提供記録・受領記録の作成保存がある。
□ 委託契約に安全管理、再委託、漏えい時通知、削除・返却、監査がある。
7. 外国提供
□ 外国にある第三者への提供の有無を確認しています。
□ 提供先国・地域、提供先、提供目的、提供項目を整理しています。
□ 本人同意、相当措置、例外事由のいずれかを整理しています。
□ 同意取得時の情報提供がある。
□ 相当措置の継続的実施確保と本人への情報提供体制がある。
8. Cookie・広告・個人関連情報
□ 外部送信先と送信情報を把握しています。
□ 分析・広告・レコメンド目的を区別しています。
□ 提供先で個人データとなる個人関連情報の提供を確認しています。
□ 同意管理、オプトアウト、設定画面を実装しています。
9. 未成年者・生体情報・AI
□ 16歳未満の利用者の有無を確認しています。
□ 保護者同意・年齢確認・こども向け説明を設計しています。
□ 顔特徴データ等の取扱いを確認しています。
□ AI開発・統計作成・分析利用を棚卸ししています。
□ 法案成立後の再レビュー予定を登録しています。
10. 漏えい等・運用
□ 漏えい等対応手順がある。
□ 報告対象事態の判断基準を共有しています。
□ 委託先からの通知体制がある。
□ 本人通知・公表・問い合わせ窓口対応のテンプレートがある。
□ 社内研修、監査、改定モニタリングがある。
中小企業が先に見るべき高優先領域を整理します。
次の重要ポイントは、中小企業が限られた時間で優先すべき確認範囲をまとめたものです。すべてを同時に精緻化できない場合の初動判断に重要で、まず利用目的、取得項目、委託、漏えい等対応、問い合わせ窓口から整えることを読み取れます。
テンプレートを整えるだけでは足りません。サービス、採用、従業員、広告、委託先、クラウド利用の実態と公開文書が一致しているかを先に確認します。
中小企業では、全項目を一度に完璧に整備することが難しい場合がある。その場合でも、以下の順序で対応します。
小規模事業者にとっても、「テンプレートを貼る」ことは最短ルートではありません。むしろ、扱うデータが少ないからこそ、自社の実態に合わせた短く正確なプラポリを作るべきです。
専門家レビューが必要になりやすい高リスク類型を確認します。
次のいずれかに該当する場合、プラポリ改訂だけでなく、弁護士、情報セキュリティ専門家、プライバシーコンサルタント、社労士、会計士、税理士、弁理士等の関与を検討します。
プラポリ本文をどの順番で構成するかを確認します。
実務上、以下の構成が使いやすい。
すべての企業がこの全項目を本文に置く必要はない。自社で扱わないデータ処理については、無理に書かない。ただし、扱っているのに書かないことは避ける。
プラポリ改訂を継続的なデータガバナンスとして運用する視点をまとめます。
個人情報保護法改正対応のプラポリチェックリストは、文章の校正表ではありません。企業がどのような個人情報を取得し、何のために利用し、誰に提供し、どこで保管し、どのように安全管理し、本人の権利行使にどう応じ、漏えい等にどう対応し、法改正にどう追随するかを検証するための統合統制表です。
2026年改正法案は、データ利活用の柔軟化と、こども・生体情報・不適正利用・実効性確保に関する規律強化を同時に進める方向を示しています。これにより、企業のプラポリは、従来の「個人情報の取扱いについて」という静的文書から、データ処理の透明性と説明責任を支える動的なガバナンス文書へ変化します。
企業法務、プライバシー担当、情報セキュリティ、マーケティング、人事、内部監査、経営は、プラポリを単独で見直すのではなく、データマッピング、同意管理、委託先管理、外国提供管理、権利行使対応、インシデント対応、改正法モニタリングを一体として整備すべきです。そのための最初の実務ツールが、この記事のチェックリストです。