新着法令情報

【労務】個人情報保護法ガイダンス政令の公布

2026/01/08

2025年12月31日、政府は、個人情報保護法の一部条項および施行措置を詳細に規定する政令第356/2025/ND-CP号（以下「政令356」）を公布した。本政令は、2023年7月より施行されていた政令第13/2023/ND-CP号（以下「政令13」）に代わる形で2026年1月1日から施行された。
本政令における主なポイントは以下のとおりである。

1. 個人情報保護に関する人員および部門要件の明確化
政令356第13条では、組織が個人情報保護担当人員を指名する場合、または個人情報保護部門を設置する場合、正式な書面により実施し、当該人員または部門の機能、職務、権限および責任を明確に定めることが求められている。

本政令により、個人情報保護担当人員に求められる最低要件として、以下の事項が具体的に定められた。
・ 短期大学卒業以上の学歴を有する。
・ 卒業後、法務、情報技術、サイバーセキュリティ、データセキュリティ、リスク管理、コンプライアンス管理、人事管理または人事組織のいずれかの分野において、少なくとも2年以上の実務経験を有する。
・ 個人情報保護に関する法令知識および専門的技能について、研修・教育を受けた。

企業が個人情報保護部門を設置する場合には、当該部門に所属する人員も上記の要件を満たすことが前提となる。あわせて、企業は、個人情報保護担当人員との間で秘密保持契約を締結し、業務遂行の過程において個人情報保護に関する知識および技能の教育・研修を実施する責任を負う。これらは、政令13には規定されていなかった新たな内容である。

2. 一部義務について選択的な実施を認める規定
政令356第41条では、中小企業およびスタートアップ企業について、個人情報保護法の施行日（2026年1月1日）から5年間、一部の義務について実施するか否かを選択できる制度が設けられた。

選択対象となる義務は以下のとおりである。
・ 個人情報処理影響評価書の作成および提出
・ 個人情報処理影響評価書および個人情報越境移転影響評価書の更新
・ 個人情報保護担当人員の指名、または個人情報保護部門の設置
個人事業主および零細企業については、これらの義務は適用されない。

一方で、以下のいずれかに該当する企業・組織については、本制度の対象外とされている。
・ 個人情報処理サービスを提供している場合
・ センシティブ個人情報 を直接処理している場合（例：健康診断証明、生体認証データ等）
・ 累積的に、10万人以上の情報主体の個人情報を処理している場合
このため、企業は自社の個人情報処理活動を整理したうえで、第41条に基づく選択制度の適用可否を判断することが求められる。

3. 個人情報処理影響評価および越境移転影響評価に関するフォームの更新
政令356では、政令13に基づき公安省が公表していた従来のフォームに代わり、以下の新たなフォームが制定された。
・フォーム01a：組織に対する個人情報越境移転影響評価書提出通知
・フォーム02a：組織に対する個人情報処理影響評価書提出通知
・フォーム03a：組織に対する影響評価書更新通知
・フォーム08：個人情報保護規定違反通知
・フォーム09：個人情報越境移転影響評価報告書
・フォーム10：個人情報処理影響評価報告書
政令13に基づき評価書の作成・提出を行っていない企業、または既存書類に更新事項がある企業については、政令356に基づく新フォームでの対応が必要である。

参考文献：
・政令第356/2025/ND-CP号
・2025年個人情報保護法