第1章：漏えい報告2万件突破。個人情報保護法改正の背景とEC事業者が狙われる理由

個人情報保護委員会が公表した令和6年度の年次報告によると、民間事業者による個人データの漏えい等の報告処理件数は19,056件に達しました。前年度の12,120件から約57%の増加であり、過去最多の更新です。

中でもEC事業者が深刻な被害を受けるケースが目立ちます。2025年には大手EC事業者がランサムウェア攻撃を受け、約72万件の顧客情報が流出しました。原因は多要素認証（パスワードに加えてスマートフォンの認証コード等を組み合わせるセキュリティ対策）を適用していない認証情報の窃取でした。また同年、複数の中小EC事業者でペイメントアプリケーションの改ざん被害が相次ぎ、クレジットカード情報を含む1万件超の個人情報が流出する事案も複数発生しています。

特に注意すべきは「委託先経由」の漏えいです。年間2,248件の委託先起因の漏えいのうち、62.8%にあたる1,429件が不正アクセスを原因としています。EC事業者は決済代行、配送、CRM（顧客管理システム）、広告配信など多数の外部サービスを利用しており、自社のセキュリティが万全でも委託先が侵害されれば顧客の個人情報が流出するリスクを常に抱えているのです。

IPA（独立行政法人情報処理推進機構）が発表した「情報セキュリティ10大脅威2026」でも、組織向け脅威の1位に「ランサムウェアによる被害」、2位に「サプライチェーンや委託先を狙った攻撃」がランクインしています。EC事業者にとって委託先管理は経営課題そのものなのです。

(出典：令和6年度年次報告|個人情報保護委員会)
(出典：情報セキュリティ10大脅威 2026|IPA)

第2章：「知らなかった」では済まない。個人情報保護法改正でEC事業者が直面する課徴金と4つのリスク

2026年4月7日、政府は個人情報保護法の改正案を閣議決定しました。この改正の目玉が「課徴金制度」の新設です。従来は行政命令と刑事罰しか手段がなく、違反行為で得た経済的利益は事業者の手元に残る構造でした。改正後はこの構造が根本から変わります。EC事業者が直面するリスクを4つの軸で整理します。

行政リスク：課徴金で「違反が得」の構造が崩壊

課徴金の対象となるのは、不正取得、不適正利用、違法な第三者提供の3類型です。重要な点として、サイバー攻撃による漏えいなど安全管理措置の不備そのものは課徴金の対象ではありません。あくまで「意図的な不正利用・提供」に焦点を当てた制度設計です。算定基準は「違反行為によって得られた財産的利益の相当額」、つまり不当利得の全額です。繰り返し違反には1.5倍の加算が適用されます。なお、対象となるのは1,000人を超える個人情報に関わる違反行為です。例えば顧客リスト1,500件分を同意なく広告会社に50万円で売却した場合、その50万円がそのまま課徴金として徴収される計算になります。

経済リスク：サイト停止と損害賠償の連鎖

漏えいが発覚すればECサイトの一時停止は避けられません。前述の大手EC事業者のランサムウェア被害では物流委託先の業務まで停止し、売上への影響は甚大でした。加えて被害者への損害賠償、セキュリティ調査費用、再発防止策の導入費用が重なります。中小EC事業者にとっては事業存続に関わる事態です。

プラットフォームリスク：出店アカウントの停止

Amazon、楽天市場、Yahoo!ショッピングなどのモール型ECでは、個人情報の取り扱いに関する独自の規約を設けています。漏えい事故を起こした出店者はアカウント停止や出店契約の解除を受ける可能性があります。プラットフォームのルールは法令以上に厳格です。行政処分を受けなくても販路を失うリスクがあることを肝に銘じるべきです。

ブランドリスク：消費者の信頼は一瞬で崩れる

個人情報漏えいに対する消費者の不安は年々高まっています。一度でも漏えい事故を起こせば、消費者の信頼回復には長い時間がかかります。SNSでの拡散によりブランドイメージの毀損は瞬時に広がり、新規顧客の獲得コストが跳ね上がることも覚悟しなければなりません。

(出典：個人情報の保護に関する法律等の一部を改正する法律案について|個人情報保護委員会)

第3章：明日は我が身！個人情報保護法改正にEC事業者が備える委託先管理と3つの体制チェックリスト

改正法の全面施行は2027年から2028年頃が見込まれていますが、体制整備は今から始めるべきです。以下の3つの体制を点検してください。

体制1：委託先との契約を見直す

改正法では委託先に対して「委託業務の範囲を超えた個人データの利用禁止」「安全管理措置の実施」「委託元への漏えい報告」の義務が直接課されます。これまでは委託元の監督義務（現行法第25条）を通じた間接的な規制でしたが、委託先自体に法的義務が明文化される点が大きな変化です。ただし、委託先に課される義務はこの3点に限定されており、利用目的の公表や開示請求対応などの一般的な義務は引き続き委託元が負います。

• ☑ 物流、決済代行、CRM、広告配信など全ての委託先をリストアップしているか
• ☑ 委託契約書に「委託業務の範囲を超えた個人データの利用禁止」が明記されているか
• ☑ 委託先の安全管理措置の実施状況を定期的に確認するフローがあるか
• ☑ 漏えい発生時に委託先から即時報告を受ける体制が契約上担保されているか
• ☑ 委託先のセキュリティ診断結果や認証取得状況を事前に確認しているか

体制2：同意取得と記録を強化する

課徴金の主要な対象行為の一つが「本人同意なき第三者提供」です。EC事業者が広告配信のためにDSP（広告プラットフォーム）やアフィリエイトサービスに顧客データを提供している場合、適切な同意取得とその記録がなければ課徴金の対象となります。

• ☑ 顧客の個人データを第三者に提供している業務フローをすべて把握しているか
• ☑ 同意取得の記録（日時、同意時のプライバシーポリシーのバージョン）を保全しているか
• ☑ プライバシーポリシーに16歳未満の個人情報の取り扱い方針を明記しているか
• ☑ Cookie（クッキー）や広告IDなど「連絡可能個人関連情報」（改正法で新設される概念）の取り扱いを見直しているか

体制3：インシデント対応の規程を整備する

改正法には自主報告による課徴金の減額制度が盛り込まれています。違反行為を自主的に個人情報保護委員会に報告した場合、課徴金が減額されます。つまり、問題を早期に発見し自ら報告できる体制を持つ事業者ほど、経済的なダメージを抑えられる設計になっているのです。

• ☑ 個人情報の漏えいや法令違反を発見した場合の社内エスカレーションフローが明文化されているか
• ☑ 自主報告を行うかどうかの意思決定権限と判断基準が定められているか
• ☑ 漏えい発生時に個人情報保護委員会への報告を速報（おおむね3〜5日以内）と確報（30日以内）の2段階で行う手順が整備されているか
• ☑ 過去1年以内にインシデント対応訓練を実施しているか

(出典：個人情報の保護に関する法律等の一部を改正する法律案 概要|個人情報保護委員会)

まとめ

個人情報保護法の改正により、EC事業者を取り巻く環境は大きく変わります。課徴金制度の導入は「知らなかった」「委託先の問題だ」という言い訳が通用しない時代の到来を意味しています。施行までにはまだ猶予がありますが、委託先契約、同意取得、インシデント対応の3つの体制を今から見直すことが、将来のリスクを最小化する最も確実な方法です。個人情報の適切な管理は、コストではなく顧客からの信頼を勝ち取るための投資なのです。

筆者プロフィール情報
つきみ株式会社　 山本 達巳
https://tsukimi.ne.jp/

静岡市出身、関西学院大学卒。留学をきっかけに輸入雑貨のEC事業を開始し、令和元年に独立。

自社アウトドアブランドの展開を経て、令和6年につきみ株式会社を設立。商品ページ作りや広告運用、SNSなどECに関係する領域を幅広く対応しつつ、商品ブランディング支援を行っている。