弁護士の平井です。
昨今では、様々なサービスにおいてAIが活用されていることもあり、AIを利用する場合の個人情報の取り扱いに関するご相談を受けることも多くなっています。
さて、今回は、AI活用にも資する円滑なデータ連携を促進することなどを目的として、2026年4月7日に閣議決定された個人情報保護法(以下「法」といいます。)の改正案(詳細はこちら)について、主な改正ポイントを解説したいと思います。
1. 改正趣旨
デジタル技術の急速な進展に伴い、個人情報を含むデータの利活用に対する需要が高まっている一方で、個人情報の違法な取扱いにより個人の権利利益が侵害されるリスクも高まっていることを踏まえ、個人の権利利益の適切な保護を図るとともに、AI活用にも資する円滑なデータ連携を促進することを目的として、2026年4月7日に、「個人情報の保護に関する法律等の一部を改正する法律案」が閣議決定されました。
改正の概要は以下のとおりです。詳細については「個人情報保護法等の一部を改正する法律案について」をご参照ください。
2.適正なデータ利活用の推進
(1) 統計情報等の作成時における本人の同意取得の撤廃
現行規定では、個人データ[1]の第三者への提供(法第27条第1項)や信仰・病歴・犯罪歴などの差別につながり得る情報(要配慮個人情報)の取得(法第20条第2項)については、例外規定に該当する場合を除き、本人の同意が必要となっています。
そのため、現行規定によると、生成AIサービスを利用するにあたって事業者が個人データを入力する場合、本人の同意を得ていない場合には、事業者から生成AIサービスの提供事業者への個人データの取り扱いの委託(法第27条第1項第5号)と整理せざるを得ない場面がありましたが、個人データの取り扱いの委託として整理する場合は、委託先である生成AIサービスの提供事業者は、委託された業務の目的の範囲内でのみ利用することができるため、生成AIのモデルの学習には利用できないという実務上の問題がありました。
もっとも、昨今は、AI開発等、統計情報等の作成のために複数の事業者が持つデータを共有し横断的に解析するニーズが高まっており、他方で、特定の個人との対応関係が排斥された統計情報等の作成や利用はこれによって個人の権利利益を侵害するおそれが少ないといえます。
そこで、今回の改正では、統計情報等の作成にのみ利用されることが担保されている場合には、本人の同意を得なくても、個人データの第三者への提供が可能となりました。この統計情報等の作成にはAI開発等も含まれるとされています。
これにより、個人情報保護法との関係では、本人の同意がなくても、生成AIのモデルの学習に利用される場合でも、それが統計情報等の作成を目的としたものといえれば、生成AIサービスを利用するにあたって事業者が個人データを入力できるようになります。もっとも、実務上は、どのような場合であれば統計情報等の作成といえるかといった対象範囲の画定が重要になると考えます。
また、今回の改正で、併せて、統計情報等の作成にのみ利用されることが担保されている場合には、本人の同意を得なくても、公開されている要配慮個人情報の取得も可能となりました。これにより、生成AIモデルの学習用のデータをWeb上でクローリングにより収集する場合に、公開されている要配慮個人情報の取得についての本人の同意をどのように取得するのかという問題は解消されることになります。
【出典】『個人情報保護法等の一部を改正する法律案について』(個人情報保護委員会)6頁
なお、「統計情報等の作成」にのみ利用されることを担保するための規律としては、以下のようなものが想定されています。
- 一定の事項の公表(氏名・名称(取得者〔要配慮個人情報取得〕/提供元・提供先〔第三者提供〕)、行おうとする「統計情報等の作成等」の内容等)
- 「統計情報等の作成」のみを目的とした提供である旨の書面による提供元・提供先間の合意〔第三者提供〕
- 取得者及び提供先は目的外の利用及び第三者提供が禁止される〔要配慮個人情報取得、第三者提供〕等
(2) 第三者提供・要配慮個人情報取得の際の本人同意取得要件の緩和
上記(1)のとおり、現行規定では、個人データの第三者への提供や要配慮個人情報の取得については、例外規定に該当する場合を除き、本人の同意が必要となっています。
もっとも、個人データや要配慮個人情報の取得状況からみて本人の意思に反しないため本人の権利利益を害しない場合や本人の同意を得ないことについて相当な理由がある場合には、事業者や本人の同意取得手続に係る負担を軽減する必要性を踏まえて、本人の同意取得要件が今回の改正で緩和されました。
① 取得の状況からみて本人の意思に反しないため本人の権利利益を害しないことが明らかな場合の取扱い
例えば、以下のような事例における個人データの第三者提供は、契約の履行のために不可欠なものであり、本人の意思に反しないため本人の権利利益を害しないことが明らかであるといえます。
今回の改正では、このように、取得の状況からみて本人の意思に反しないため本人の権利利益を害しないことが明らかである場合には、個人データの第三者提供や要配慮個人情報の取得において、本人からの同意取得が不要であることが明記されました。
【出典】『個人情報保護法等の一部を改正する法律案について』(個人情報保護委員会)7頁
② 生命等の保護又は公衆衛生の向上等のために個人情報を取り扱う場合における同意取得困難性要件
現行規定では、個人データの第三者提供や要配慮個人情報の取得時における本人同意取得の例外として、生命・身体・財産の保護のために必要がある場合(生命身体財産例外)又は公衆衛生の向上・児童の健全な育成の推進のために特に必要がある場合(公衆衛生等例外)には本人同意が不要となり得ますが、いずれの場合も「本人の同意を得ることが困難であるとき」という要件を満たす必要があります。
今回の改正では、「本人の同意を得ることが困難であるとき」のみならず、「その他本人の同意を得ないことについて相当の理由があるとき」についても、本人からの同意取得が不要であることが明記されました。「その他本人の同意を得ないことについて相当の理由があるとき」については、本人のプライバシー等の侵害を防止するために必要かつ適切な措置(氏名等の削除、提供先との守秘義務契約の締結等)が講じられているため、当該本人の権利利益が不当に侵害されるおそれがない場合等が想定されています。
3.リスクに適切に対応した規律
(1) 16歳未満の子供の個人情報の取扱いに関する規律
現行規定では、子供の個人情報の取扱い等に関する事業者の義務については明記されておりませんが、子供は、心身が発達段階にあるためその判断能力が不十分であり、個人情報の不適切な取扱いに伴う悪影響を受けやすいことから、今回の改正では、この点が明記されることになりました。
具体的には、改正法では、年齢基準を16歳未満としたうえで、例えば、個人データの第三者提供の際の本人の同意については、本人が16歳未満の子供である場合には、当該子供の同意を得られればよいということではなく、法定代理人(親権者)の同意を得ることが必要となります。
【出典】『個人情報保護法等の一部を改正する法律案について』(個人情報保護委員会)10頁
(2) 顔特徴データ等に関する規律
生体データのうち顔特徴データ等[2]は、防犯カメラ等があらゆるところに設置されている現代社会においては、本人が関知しないうちに容易にかつ大量に入手可能であり、不変性も高く、特定の個人を識別する効果が半永久的に継続することから、その取扱いが本人のプライバシー等の侵害につながる可能性があります。例えば、防犯カメラ等の計測機器を複数の地点に設置して顔特徴データ等を入手し、これを名寄せに用いることで、本人が関知し得ないまま行動を追跡することも可能です。
そこで、改正法では、顔特徴データ等を取り扱う事業者に対して、その取扱いに関する一定の事項の周知を義務付け、本人からの利用停止等請求の要件を緩和するとともに、オプトアウト制度に基づく第三者提供が禁止されることになりました。
【出典】『個人情報保護法等の一部を改正する法律案について』(個人情報保護委員会)11頁
(3) 個人データの取扱いの委託先の義務
現行規定では、個人データの取扱いの全部又は一部を委託する場合は、委託元は、その取扱いを委託された個人データの安全管理が図られるよう、委託先に対する必要かつ適切な監督を行わなければならないとされていますが(法第25条)、委託先の義務については特段明記されていませんでした。
今回の改正法では、委託先は取扱いを委託された個人データ等を、当該委託を受けた業務の遂行に必要な範囲を超えて取り扱ってはならない旨が委託先の義務として明文化されました。
このように、委託先への規律強化を図る一方で、委託先自らは取扱いの方法を決定しないケース(委託先が委託元から指示された方法で機械的に個人データ等を取り扱うのみの場合)においては、委託契約において取扱いの方法として個人情報保護委員会規則で定める事項等が定められている場合であって、かつその取扱いが委託業務遂行に必要な範囲内において契約の定めに従って行われる場合には、個人情報保護法上の個人情報取扱事業者としての義務の一部が適用されないことになり、委託の実態に合わせた規律の調整が図られることになりました。これにより、業務委託契約の見直しについても検討が必要となります。
また、今回の改正法を受けて、いわゆる「クラウド例外」[3]との関係についても整理しておく必要があると考えます。
(4) 漏えい等の際の本人通知義務の緩和
現行法では、個人データの漏えい等の一定の事態が発生した場合には、個人情報保護委員会への報告が義務付けられています(法第26条第1項)。そして、当該報告が必要な場合には、本人への通知が困難な場合を除き、一律に本人への通知が義務付けられています(法第26条第2項)。
改正法では、個人データの漏えい等が発生した場合でも、本人の権利利益の保護に欠けるおそれが少ない場合には、本人への通知義務を緩和し、代替措置による対応が認められることになりました。本人の権利利益の保護に欠けるおそれが少ない場合については、サービス利用者の社内識別子(ID)等、漏えいした情報の取得者において、それ単体ではおよそ意味を持たない情報のみが漏えいした場合などが想定されています。
4.不適正利用等防止
(1) 特定の個人に対する働きかけが可能となる個人関連情報に関する規律
現行規定では、提供元では個人が特定可能な個人データに該当しないものの、提供先において個人データとなることが想定される個人関連情報[4]の第三者提供について、本人同意が得られていることなどの確認が提供元に義務付けられています(法第31条)。裏を返せば、提供先において個人データとして取得されることが想定されていなければ、法的な規制は及ばないことになります。
もっとも、特定の個人に対して何らかの連絡を行うことができる記述等(電話番号、住所、メールアドレス、Cookie ID等)が含まれる情報については、個人情報に該当しない場合であっても、当該個人への連絡を通じて当該個人のプライバシー、財産権等の侵害が発生し得るといえます。
そこで、改正法では、上記の記述等が含まれる個人関連情報[5]について、個人の権利利益の侵害につながる蓋然性の高い行為類型である不適正利用及び不正取得に限って、個人情報と同様の規律(これらの行為の禁止)が規定されることになりました。
【出典】『個人情報保護法等の一部を改正する法律案について』(個人情報保護委員会)14頁
(2) オプトアウト制度に関する規律
近年、オプトアウト届出事業者である名簿屋が、悪質な名簿屋に名簿を提供する事案(いわゆる闇名簿問題)が深刻化しています。
そこで、改正法では、オプトアウト制度に基づくオプトアウト届出事業者による個人データの第三者提供時における、当該第三者(提供先)の身元(氏名又は名称、住所、代表者氏名)及び利用目的の確認が義務付けられることになりました。
5.規律遵守の実効性確保のための規律
(1) 勧告・命令等の要件等の緩和
今回の改正法では、個人情報取扱事業者に対する命令を発出できる要件として、個人の重大な権利利益が既に侵害されている場合(現行法)に加え、個人の権利利益の侵害が切迫している場合も追加されました。
また、勧告・命令の内容として、違反行為の中止その他違反を是正するために必要な措置 (現行法)に加え、本人に対する違反行為に係る事実の通知又は公表その他の本人の権利利益の保護のために必要な措置も追加されました。
加えて、違反事業者に対して命令を発出した場合における、違反行為に関与する第三者(クラウドサービス事業者、サーバのホスティング事業者、検索サービス提供事業者など)に対する任意の要請についても、改正法で追記されました。
(2) 悪質事案に対応するための刑事罰
今回の改正法で、個人情報データベース等の不正提供等罪・保有個人情報の不正提供等罪(法第179条、第180条)について、「不正な利益を図る目的」の提供行為に加えて、「損害を加える目的」での提供行為も対象に追加されました。また新たに、詐欺行為や不正アクセス等により個人情報を不正取得した場合について、罰則規定が新設されました。
そして、既存の罰則規定の法定刑についても引き上げが行われました。
(3) 課徴金
現行法上、違反事業者は勧告・命令等を受けた後に違反行為を中止すれば、違反行為から得た経済的利得をそのまま保持することが可能であり、また、現行法の直罰規定は、違反行為を抑止する観点からは必ずしも十分でないとする指摘もあることから、今回の改正法で、課徴金制度が導入されました。
【出典】『個人情報保護法等の一部を改正する法律案について』(個人情報保護委員会)18頁
6.まとめ
以上、2026年4月7日に閣議決定された個人情報保護法の改正内容について、簡単に概観いたしました。
今回の改正を受けて、サービス領域としては、例えば、顔認証や映像分析等を行うサービスや子供向け又は16歳未満の利用者が想定されるサービスについては、プライバシーポリシーだけでなく、サービスフローについても見直しの必要性について検討した方がよいと考えます。また、生成AIサービスの提供事業者を含めて第三者への個人データの提供を行っている事業者についても、改正法との関係で、自社における個人情報の取扱いが個人情報保護法との関係でどのように整理されるのか、加えて、当該整理を踏まえてプライバシーポリシーの改定や契約書の修正の要否等についても検討する必要があると考えます。
個人情報保護法は、多くの企業でも対応が必要となる法律になりますので、今後も施行令・規則、Q&A、ガイドラインが順次公表されますので、具体的な実務対応について検討していく必要があります。
個人情報保護法に関する対応等、弊所でのサポートが必要な場合やご不明な点があればお気軽にご連絡ください!
【脚注】
[1] 個人情報保護法では、「個人情報」と「個人データ」という概念を使い分けていますが、両者の違いについては、私の以前のブログをご参照ください。
[2] 具体的な内容については、顔の骨格及び皮膚の色並びに目、鼻、口その他の顔の部位の位置及び形状から抽出した特徴情報を、本人を識別すること目的とした装置やソフトウェアにより、本人を識別することができるようにしたものとすることが想定されています。
[3] 「クラウド例外」とは、クラウドサービス契約のように外部の事業者を活用している場合に、クラウドサービス提供事業者が個人データを取り扱わないこととなっている場合には、クラウドサービスを利用している個人情報取扱事業者は、個人データを「提供」したことにはならないという整理のことです。詳細については、個人情報保護委員会Q&A 7-53及びQ&A 7-54をご参照ください。
[4] 電話番号、メールアドレス(氏名がアドレスに含まれないもの)、Cookie ID等に紐付いた、ある個人に関する情報は、他の情報と容易に照合することに より特定の個人を識別することができるような場合を除き、「個人情報」に該当しません。これらの情報は、「個人関連情報」とされています(法第2条第7項)。
[5] 特定の個人の所在地(住居、勤務先等)、電話番号、メールアドレス、Cookie ID 等の記述等(これを利用して特定の個人に対して連絡を行うことができるものに限る。)が含まれる個人関連情報等を規律の対象とすることが想定されています。
AZXでは資金調達を希望する起業家に、投資家をご紹介しております!
▼Series AZXとは▼
エイジックスが新たに取り組みを始めた、資金調達を希望する起業家に、投資家を無料でご紹介するプログラムです。
詳細はこちら → https://www.azx.co.jp/series-azx