IT法レポート(2026年3月~5月版)
近年、テクノロジーの進化や働き方の多様化に伴い、IT業界を取り巻く法規制は目まぐるしく変化しています。
しかし、日々の業務と並行して、これらの最新情報を正確にキャッチアップすることは容易ではありません。
本レポートでは、主にIT企業の皆様向けに、法的トラブルを未然に防ぎ、安心して事業に専念できるよう、重要な関連法の施行・審議状況をいち早く整理して解説します。
なお、本記事は、当事務所で配信している「IT法レポート」(2026年7月2日配信分)の内容を、アーカイブとして再編集したものです。
1 関連法の施行状況
今後施行が予定されている法律及び既に施行された重要な法改正については、別途表形式でまとめています。
以下のページをご覧ください。
IT・スタートアップ関連法の施行状況
2 IT関連法、スタートアップビジネス関連法の施行・審議状況
2.1. セキュリティ
2025年12月に閣議決定されたサイバーセキュリティ戦略では、
- 政府機関等におけるサイバーセキュリティ対策の強化
- 重要インフラ事業者・地方公共団体等におけるサイバーセキュリティ対策の強化
- ベンダー、中小企業等を含めたサプライチェーン全体のサイバーセキュリティ及びレジリエンスの確保
が示されていました。このうち、3.サプライチェーン全体のセキュリティ確保について、進捗があったので、紹介します。
経産省・国家サイバー統括室は、2026年3月にサプライチェーン強化に向けたセキュリティ対策評価制度(SCS評価制度)の制度構築方針と概要を公表しました(SCS評価制度のウェブサイトはこちら)。
SCS評価制度は、取引先・委託先を含む企業のサイバーセキュリティ対策状況を、共通基準により評価・可視化する制度です。サイバー攻撃では、サプライチェーンを構成する中小企業や委託先など、対策が相対的に弱い主体が侵入口となり得るため、発注者が取引先に求める対策水準を示しやすくし、受注者も自社の対策状況を説明しやすくする狙いがあります。
具体的には、企業の対策状況を★の段階で示すことが想定されています。★1・★2はIPAの「SECURITY ACTION」を利用する予定です。★3は、自己評価にセキュリティ専門家の確認・助言を受け、経営層の自己適合宣誓を含む評価結果を事務局(IPA)に提出して登録を受ける仕組み、★4は、これに加えて指定評価機関による第三者評価や必要に応じた技術検証を受ける仕組みです。★5は今後具体化される予定です。
現時点では、法律上当然に取得が義務付けられる制度ではなく、直ちに全企業が認証取得を迫られるものではありません。もっとも、発注者が委託先選定や契約条件に組み込めば、実務上は対応が必要になります。そのため、直近では認証取得そのものよりも、自社・主要委託先の対策状況の棚卸し、契約条項、委託先管理基準、インシデント報告体制の見直しが重要です。
また、高性能AIにより、脆弱性の探索、攻撃コードの作成、フィッシング文面の高度化、侵入後の横展開などが高速化・自動化されるおそれがあるとされ、2026年5月には、政府・業界の対応が具体化しています。まず、国家サイバー統括室が、AI性能の高度化を踏まえたサイバーセキュリティ対策に関する関係省庁会議を開催し、 Project YATA-Shield を示しました。重要インフラ事業者やソフトウェア・ベンダーに対する注意喚起も行われ、AIを悪用した攻撃に備えた脆弱性管理、監視、インシデント対応の強化が求められています。また、金融庁は、AI脅威に対する 金融分野のサイバーセキュリティ対策強化に関する官民連携会議の作業部会を開催し、金融機関、ITベンダー、業界団体、日銀等が連携して対応を検討しています。
2.2. データ
データプライバシー分野では、個人情報保護法の改正案が閣議決定されました(個人情報の保護に関する法律等の一部を改正する法律案要綱)。内容は、個人情報保護委員会から既に示されている「個人情報保護法 いわゆる3年ごと見直しの制度改正方針」(①適正なデータ利活用の推進、②リスクに適切に対応した規律、③不適正利用等の防止、④規律遵守の実効性確保)に沿うものです。ただし、具体化されていない部分も多く、詳細な内容については、今後、個人情報保護委員会規則等で示される見込みです。
2.3. AI
AIについては、AIへの対応がより具体的な形で示されています。
まず、総務省、経済産業省からは従前から存在するガイドラインの改訂版である「AI事業者ガイドライン1.2版」が示されました。変更部分は、AIエージェント、フィジカルAI、RAG、マルチモーダルAI等の進展を踏まえた記載の追加・整理が中心です。ガイドラインの基本構造を大きく変更するものではありませんが、AI利用規程、AI導入審査、ベンダー管理を見直す際の参照資料となります。
また、公正取引委員会は、「生成AIに関する実態調査報告書ver.2.0」(報告書概要)を公表しています。同報告書では、生成AIの現状の把握と分析が行われた上で、独占禁止法上問題となり得る論点も整理されています。
2.4.医療情報
医療分野のデータについては、次世代医療基盤法の下で利活用が進められています。同法では、国が安全管理措置や管理体制を審査して民間事業者を認定し、認定事業者が医療機関等から医療情報を収集し、匿名加工医療情報・仮名加工医療情報として研究者、製薬企業、医療機器メーカー等に提供する仕組みが整備されています。
もっとも、現在の政策議論は、次世代医療基盤法を「単独の認定事業者スキーム」にとどめず、より横断的な医療データ利活用制度へ拡張・再構成する方向に進んでいます。この点について、「医療等情報の利活用の推進に関する検討会」で議論が進められており、2026年1月に「医療等情報の利活用の推進に関する検討会 中間まとめ」が公表されています。同中間まとめでは、医療DXを前提に、医療・介護・健康情報を診療等の一次利用だけでなく、研究開発、創薬、医療機器開発、政策立案等の二次利用にも活用しやすくする方針が示されました。今後は、次世代医療基盤法や公的データベースの仕組みを踏まえつつ、対象データの拡大、データ標準化、情報連携基盤、患者本人の関与、利用審査、不適切利用防止、情報セキュリティ等を含む包括的な制度整備を検討するとされています。
2.5.その他情報関連
消費者契約法関係では、消費者庁の「現代社会における消費者取引の在り方を踏まえた消費者契約法検討会WG」から論点整理が示されました。オンラインサービス、サブスクリプション、デジタル広告、プラットフォーム取引、解約・取消し、表示・説明義務などが取り上げられています。
また、デジタル庁が「属性証明の課題整理に関する有識者会議 報告書」を公表しています。これは、年齢、資格、所属、住所、事業者性などをオンラインでどう証明するかという認証に関する論点の整理で、今後、オンライン契約、未成年者保護、金融・行政手続、プラットフォーム利用、BtoB取引の本人確認・資格確認に影響するものと見込まれます。
2.6. 労働法
厚労省は、2026年4月に「労働条件通知書等の普及促進について」の一部改正を公表しています。同一労働同一賃金関連の省令改正に伴う労働条件通知書様式の改正で、一般労働者、有期雇用、無期転換後、短時間労働者、派遣労働者等の 各様式 が示されています(説明リーフレット)。お使いの労働条件通知書の書式を確認し、雇用契約書、労働条件通知書、就業規則、非正規社員向け説明資料等の整合性を点検する必要があります。
2.7. 会社法、金商法等
法務省は、「会社法制(株式・株主総会等関係)の見直しに関する中間試案」を公表しました。近年の資本市場・株主総会実務の変化を踏まえ、会社法上の株式制度や総会運営を見直すものです。主な論点は、株式交付・自己株式取得・株式併合等の株式関係、バーチャル株主総会や電子提供制度を含む株主総会運営、株主提案権・議決権行使、上場会社における実務負担の合理化などです。
また、金融庁・東証関係では、コーポレートガバナンス・コード改訂に関する有識者会議が開催され、金融庁が「コーポレートガバナンス・コード改訂案」を公表しています。
今回ご紹介したようなIT関連法の施行・審議状況は、ニュースレター形式でお届けしています。
日々の情報収集の効率化に、ぜひお役立てください。
【PHI法律事務所 IT法レポート】配信登録フォーム
(弁護士 安藤 広人)