現行の「個人情報保護法」などの法令に基づき、企業は個人情報を処理する際、告知義務の履行、本人からの同意の取得、及び個人情報保護に関するコンプライアンス監査や影響評価を行う必要がある。しかし、データ量が少ない企業にとって、これらの義務を履行するためのコンプライアンスコストと、個人情報漏洩のリスクとの間には見合いが合いない。

行政効率の向上と企業のコンプライアンスコストの削減を図るため、国家インターネット情報弁公室は2026年4月3日、「小規模個人情報取扱者における個人情報保護の簡素化措置に関する規定（意見募集稿）」（以下、「規定」という）を公表し、社会から広く意見を募集した。現在、意見募集期間は終了しており、正式な規定は後日公布される予定である。

規定は計22条からなり、主に以下の側面から、小規模個人情報取扱者（処理する個人情報の数が10万人未満）の情報処理規則を簡素化している。

一、一部の状況における告知義務の簡素化

■統一された個人情報処理規則への同意：工業団地、産業基地、商業施設内で、同一のオフライン業務を展開する小規模個人情報取扱者は、管理単位が統一して策定した個人情報処理規則に同意すれば、独自の規則を個別に策定する必要がなくなる（第5条）。

■オンラインプラットフォームの情報処理規則の遵守：オンラインプラットフォームのみに依存して情報を処理し、かつ個人情報を外部と共有しない小規模処理者は、プラットフォームの規則を遵守することを宣言すれば、規則を策定する必要がなく、告知義務も履行する必要がない。さらに、この種の処理者は、プラットフォームが既に完了しているコンプライアンス監査及び影響評価を直接利用することもできる（第8条）。例えば、天猫（Tmall）や京東（JD.com）などのプラットフォームに出店する事業者は、関連条件を満たせば、告知義務を履行する必要がない。

二、同意の簡素化

規定に基づき、個人が製品又はサービスを取得するために自ら必要な情報を提供し、かつ処理者が告知義務を履行している場合、処理者は個人情報処理規則に従って当該情報を処理することができる（第7条）。また、個人が自ら協力して顔画像、生体サンプル等のセンシティブな個人情報を提供した場合、企業は告知された目的に従って当該センシティブな個人情報を処理することができる（第10条第2項）。

三、個人情報保護コンプライアンス監査及び影響評価の簡素化（第14条～第15条）

現在、企業が個人情報保護コンプライアンス監査及び影響評価を行う際には、「データセキュリティ技術 個人情報保護コンプライアンス監査要件」及び「情報セキュリティ技術 個人情報セキュリティ影響評価ガイドライン」の規定をそれぞれ遵守する必要があり、プロセスは比較的複雑である。これに対し、規定は小規模な個人情報処理者向けに簡略化された「コンプライアンス監査自己点検表」及び「影響評価表」を提供し、監査プロセスを大幅に簡素化するとともに、評価の難易度とコンプライアンスコストを低減した。

四、行政処分の緩和

■処罰しない場合を明確化（第19条）：

① 違法行為が軽微であり、速やかに是正され、危害の結果をもたらしていない場合。

② 初めての違法行為であり、危害の結果が軽微で、速やかに是正された場合。

■処罰の軽減又は免除の対象となる事由の明確化（第20条）：

① 当事者が自らの違法行為によって生じた危害の結果を自主的に排除又は軽減した場合。

② 当事者は当局がまだ把握していない違法行為を自主的に供述した場合、又は当局の違法行為の調査・処理に協力し、功績があった場合。

③ 個人情報セキュリティインシデントが発生した際、当事者が速やかに影響を受けた個人に通知し、有効な是正措置を講じ、かつ自主的に当局に報告した場合。