個人情報保護委員会(個情委)は個人情報保護法の制度改正の方針を公表した。特定の個人に影響しない統計などの作成と整理ができるAI(人工知能)の開発で個人データ活用を促す一方、新たに課徴金制度を導入する。ただし企業など事業者が安全管理措置の義務を怠って大規模な個人データの漏洩が起きた場合は課徴金制度の対象外とする。適格消費者団体による差し止め請求・被害回復制度も見送る。
個人情報保護法には3年ごとに海外の動向やITの進展、新たなビジネスの状況を勘案して見直す「3年ごと見直し」と呼ばれる規定がある。政府は2025年6月にAI技術の進展を踏まえて個人データの活用を促す法制度の整備と個人情報保護法改正を同時並行で進める方針を打ち出した。これに合わせて個情委は2026年1月9日の記者向け説明会で制度改正の方針を公表し、1月23日召集の通常国会に法改正案の提出を目指すとした。実際の国会審議入りは3月以降になりそうだ。
リスクに応じた規律に転換
個人情報保護法改正案の大きな柱の1つは、特定の個人に影響しないデータ活用をしやすくする「同意規制の見直し」である。従来の個人情報保護法は個人データを第三者提供する場合、一律に「同意を得れば問題ない」といった制度設計だった。データの対象になる本人への影響やリスクなどに応じた規律に転換する。
AI開発や医療分野などで特定の個人との対応関係がない統計分析の結果のみを利用する「統計特例」の場合、複数の事業者が個人データを第三者提供してもデータの対象者となる本人の同意を不要にする。インターネット上に公表されている要配慮個人情報をWebスクレイピングによって取得する場合も、AI開発といった統計情報などの作成にしか使わない場合は同意不要にする。
取得の状況からみて本人の意思に反しないためプライバシーを侵害するおそれがない場合も事業者の負担を軽減する。例えば宿泊施設の予約サイトの運営者などが顧客の予約を取り次ぐ契約履行のため、⼊⼒された個⼈データを宿泊施設に提供する際、同意を得る必要はなくなる。
金融機関が顧客の依頼を受けて海外送金する場合も顧客の個人データを越境移転する際の同意が不要になる。個人データの漏洩報告も国家サイバー統括室(NCO)と窓口の一本化に向けて調整する。
公衆衛生や生命などの保護のために個人データを取得しやすくする⽅針も盛り込んだ。現行法は公衆衛⽣や⽣命などの保護のために個人情報を取り扱える例外規定として「本人の同意を得ることが困難であるとき」などを定めている。改正案ではこれに加えて、「本人の同意を得ないことについて相当の理由があるとき」という例外規定も設けて医療関係者らの負担軽減を図る。
「出口規制」に転換して課徴金制度など導入
法改正案のもう1つの柱は、課徴金制度の導入などによるデータ利用の「入り口規制」から「出口規制」への転換だ。新たな課徴金制度は、事業者に対して違法行為で利益を得ようとする安易な経済的要因に負けてしまう事業者への抑止効果を狙うものだ。
現行の個人情報保護法は違反事業者が勧告や命令などを受けても経済的利得を保持できてしまっている。またデータの対象となる本人が民事上の請求をするのもハードルが高かった。このため違反した事業者が利益を上げたとしても、個情委がさかのぼって没収できるようにする。
課徴金制度の対象は、事業者などが必要な注意を怠って個人のプライバシーの侵害や侵害される具体的なおそれが生じた大規模事案だ。違法行為や不当な差別的取り扱いを行うことが想定される第三者提供のほか、第三者のための利用を禁じた不適正利用の禁止違反、不正取得、違法な第三者提供などが対象になる。
統計特例によって複数事業者の個人データを集めて統計分析を行う場合も、統計作成の目的以外での利用や統計特例に依拠しない第三者提供を課徴金制度の対象にする。統計特例では事前に提供元と提供先の両社間の合意や統計作成などの内容といった一定事項を公表させて第三者が検証できるようにする。
その上で課徴金の対象になる違法行為については絞り込んだ。個情委は経済団体や消費者団体、専門家らによる意見交換を踏まえて、2025年3月に「制度的課題に対する考え方」で示していた内容から減らした。
