IDKオリジナル連載 SCS評価制度 連載記事|第5回
サプライチェーン・セキュリティ対策評価制度(SCS評価制度)
個人情報保護法が改正へ。
AI活用・課徴金・委託先管理─SCS評価制度と合わせて押さえるべきポイント
[2026.04.10]
| 【速報】2026年4月7日、政府は個人情報保護法の改正案を閣議決定しました。 AI開発向けの規制緩和と、違反事業者への課徴金制度導入が両輪となった改正です。 SCS評価制度とあわせて、販売店様に関係する重要ポイントを整理します。 |
1.今回の改正の全体像-「緩和」と「強化」の同時進行
個人情報保護法は「3年ごと見直し」の規定があり、今回はAI技術の急速な進展を受けた大幅な制度改正となりました。
改正の方向性は一言でいえば「AI・統計目的では使いやすく、悪質な利用には課徴金で厳しく」です。
| 改正の柱 | 方向性 | 主な内容 |
| 【1】 AI・統計活用の促進 | 規制緩和 | 本人同意なしでの個人データ利用を一部解禁 |
| 【2】 未成年・顔データ保護 | 規制強化 | 16歳未満の保護強化・顔特徴データの規制 |
| 【3】 委託先管理の強化 | 規制強化 | 委託先(再委託先)の義務明確化 |
| 【4】 課徴金制度の導入 | 規制強化 | 義違反行為で得た利益相当額を課徴金として徴収 |
施行時期は「公布の日から2年以内」の予定です。
改正案は現在国会審議中であり、成立・公布後から施行までの準備期間が設けられます。
2.AI活用と個人情報:何が変わるのか
■本人同意なしで使えるケースが拡大
現行法では、個人情報を第三者に提供したり、病歴・犯罪歴などの「要配慮個人情報」を取得する際には、原則として本人の同意が必要でした。
改正案では、以下のケースで本人同意が不要になります。
● 統計情報の作成にのみ利用される場合
(AIの学習用データとして個人が特定されない形での利用を含む)
(AIの学習用データとして個人が特定されない形での利用を含む)
● 取得の状況からみて本人の意思に反しないことが明らかな場合
● 生命・公衆衛生の向上等のために取り扱う場合
(同意取得困難性の要件緩和)
(同意取得困難性の要件緩和)
これにより、AI開発に必要な大量のデータ収集が従来より容易になります。
国産AIの開発力強化が主要な政策目的です。
■販売店様・中小企業の皆様への影響
AI活用の規制緩和は、主に大手IT企業・AI開発企業に直接影響する話です。
ただし、販売店や中小企業にとっても以下の影響が考えられます。
● 顧客データを使ったAIマーケティングツールの導入がしやすくなる可能性
● クラウドサービスや業務SaaSがAI機能を標準搭載する流れが加速する
● 自社でのAI活用を検討する際の法的ハードルが若干低下する
3.課徴金制度の導入-違反は「得」にならなくなる
今回の改正で特に注目すべきは「課徴金制度」の新設です。
現行法では違反事業者が勧告や命令を受けても、不正で得た利益を保持できてしまうという問題がありました。
| 【課徴金の概要】 ・個人データが1,000人超の大規模な個人情報を不正取得・利用した事業者が対象 ・違反行為によって得た財産的利益等に相当する額が課徴金として課される ・不適正利用の禁止違反、不正取得、違法な第三者提供などが対象 |
課徴金は「違反して得た利益の相当額」が基準のため、大量データを不正に扱うほど課徴金も大きくなります。罰則の強化により、データの不正売買や無断利用に対する抑止力が格段に高まります。
販売店が顧客データを扱う際も、管理体制の不備が課徴金リスクにつながりうることを意識する必要があります。
4.委託先管理の強化-SCS評価制度との接続点
今回の改正で販売店に最も直結するのが「委託先管理」の強化です。
データ処理等の委託を受けた事業者(受託者・再委託先)について、委託された個人データの適正な取り扱いに係る義務が明確化・強化されます。
■個人情報保護法の委託先管理 × SCS評価制度の関係
ここにSCS評価制度との重要な接続点があります。
SCS評価制度は「サプライチェーン全体のセキュリティ対策の可視化」を目的とし、委託先企業のセキュリティ対策状況を発注元が確認する仕組みです。
個人情報保護法改正の「委託先管理強化」は、まさに同じ方向を向いた規制です。
| 観点 | 個人情報保護法(改正案) | SCS評価制度(★3・★4) |
| 目的 | 個人データの適正取扱い確保 | サプライチェーンのセキュリティ底上げ |
| 委託先への要求 | 適正取扱い義務の明確化 | ★3/★4への対応を発注元が要請可能 |
| 再委託先の管理 | 委託先が再委託先を管理する義務 | ★4では重要な再委託先の状況把握が必要 |
| 違反時の影響 | 課徴金・罰則(改正後) | 取引条件化による取引継続リスク |
つまり、個人情報保護法の委託先管理義務を果たすためにも、SCS評価制度への対応は有効な手段となります。
「SCS★3を取得している」という事実が、委託先管理体制の証跡として機能するケースが今後増えていくことが予想されます。
5.顔特徴データ・未成年者保護の強化
販売店がカメラ・監視システムや来店者管理ツールを扱う場合、以下の点が重要になります。
● 顔特徴データの取り扱いに関する事項の周知義務化
● 顔特徴データのオプトアウト(第三者提供)が禁止
● 16歳未満の個人情報については法定代理人への同意取得・通知が明文化
顔認証機能付きのカメラや入退室管理システムを顧客に提案する際は、これらの規制強化を踏まえた製品説明・提案書の見直しが必要になります。6.販売店として今から準備すべきこと
改正法の施行は「公布から2年以内」と規定されており、国会通過・成立後から1~2年の準備期間が設けられます。
ただし、以下の対応は今から着手しておくことが得策です。
● 顧客から取得している個人データの棚卸し
(どのデータを・どの目的で保有しているか)
(どのデータを・どの目的で保有しているか)
● 業務委託先・SaaSベンダーとの契約に個人データ取扱いの
責任分界が明記されているか確認
責任分界が明記されているか確認
● 顔認証カメラや来店者データを扱うシステムの提案フローの見直し
● SCS評価制度への対応準備(★3取得)を通じた委託先管理体制の整備
| 個人情報保護法の改正とSCS評価制度は「バラバラの話」ではありません。 どちらも「委託先・取引先のデータ管理をきちんと行う」という同じ方向を向いた制度です。 SCS★3への対応を進めることは、個人情報保護法の委託先管理義務を果たす上でも有効な基盤整備になります。 石渡電気では両制度への対応をあわせてご支援できますので、お気軽にご相談ください。 |
石渡電気が一緒に準備します
石渡電気では、販売店様がSCS評価制度に関する顧客対応力を早期に身につけられるよう、制度情報の提供・勉強会・製品提案サポートを継続的に行っていきます。
制度は動き始めています。「顧客から聞かれてから考える」では遅いかもしれません。今この時期に情報を蓄え、提案の準備を整えた販売店が、これからの競争で先行優位を得ることになります。
ご不明な点・ご相談は石渡電気までお気軽にお問い合わせください。
