統計データ作成サービスと個人情報保護法~現行法下の委託構成と令和8年改正法案の統計作成等特例~(個人情報保護法ニュース)
2026/05/07
平素より大変お世話になっております。
近時、複数事業者のデータを集約して市場動向や利用実態を可視化する統計データ作成サービスの利用が、業種を問わず広がっております。AI開発のための学習データ生成、業界統計レポートの作成、マーケティング・リサーチ、政策分析等、その用途も多岐にわたります。
これらのサービスでは、利用企業(データ提供元)が外部の処理事業者(統計データ作成サービス事業者)にデータを提供する局面が必ず生じますが、ここに個人情報保護法上の論点が集中します。本ニュースレターでは、現行法下での実装上の留意点と、令和8年4月7日閣議決定の改正法案[1]で新設される「統計作成等」関連特例の活用可能性について、条文に即して整理いたしました。新規企画のリーガルチェック、既存サービスの設計見直しの一助となれば幸いです。
令和8年5月7日
弁護士法人三宅法律事務所
| *本ニュースレターに関するご質問・ご相談がありましたら、下記にご連絡ください。 弁護士法人三宅法律事務所 弁護士 渡邉雅之(執筆者) TEL 03-5288-1021 FAX 03-5288-1025 Email: m-watanabe@miyake.gr.jp |
統計データ作成サービスと個人情報保護法~現行法下の委託構成と令和8年改正法案の統計作成等特例~(個人情報保護法ニュース)
統計データ作成サービスと個人情報保護法
― 現行法下の委託構成と令和8年改正法案の統計作成等特例 ―
| 【目次】 1 はじめに――統計データ作成サービスの典型構造と検討課題 2 提供データの個人データ性――法第2条第1項の容易照合性と「提供元基準」 3 第三者提供該当性と本人同意原則(法第27条第1項) 4 現行法下の委託構成①――法第27条第5項第1号と業務範囲限定 5 現行法下の委託構成②――独自利用禁止と委託先規律(法第25条) 6 現行法下の委託構成③――複数委託元データの混合・名寄せ規律(FAQ Q7-37・Q7-43) 7 本人単位の突合と統計上の合算――両者の法的区別 8 成果物の引渡先への提供――統計情報限定と少数セル問題 9 委託先監督義務の履行――契約・仕様書・運用での具体化 10 令和8年改正法案――統計作成等概念の創設(第2条第13項) 11 統計作成等目的の第三者提供特例(第31条の3)の構造と限界 12 関連条文――要配慮個人情報の取扱い(現行法・改正法案) 13 改正法案下でも許容されにくい処理類型 14 委託先への直接規律(第40条の2)と契約実務への影響 15 現行法対応と改正法対応の二段構え 16 結論――実装のための判断軸 |
1 はじめに――統計データ作成サービスの典型構造と検討課題
統計データ作成サービスは、その名称や提供形態は多様であるが、典型的には次の三層構造を採る。第一層は、自社のサービス・取引・利用者に係るデータを保有するデータ提供元(事業会社、業界団体構成員、研究機関等)である。第二層は、提供を受けたデータを集計・分析・統計処理するサービス事業者(データ分析会社、AI開発会社、統計処理事業者等)である。第三層は、サービス事業者の処理結果を成果物として受領する成果物利用者(提供元自身、業界団体、調査依頼者、第三者購入者等)である。第一層と第三層は重なる場合(提供元自身が成果物を受領する場合)と分離する場合(業界横断統計、第三者向けレポート販売等)の両方がある。
このような構造は、求人プラットフォーム、決済・金融、不動産、医療・ヘルスケア、流通・小売、シェアリングエコノミー、広告・マーケティング、AI学習データ提供等、幅広い業種で活用されている。サービス事業者の側から見れば、複数の提供元から集めたデータを処理して付加価値を生み出すビジネスモデルであり、提供元の側から見れば、自社単独では作成困難な分析・統計を外部リソースで実現する手段である。
こうした構造に係る個人情報の保護に関する法律(以下「法」という。条文は特記なき限り改正法案による改正後の条文を、現行法を引用する場合は明示する。)上の検討課題は、各段階に独立して存在する。すなわち、①提供元からサービス事業者への提供は法第27条第1項の第三者提供に該当するか、当該提供を本人同意なく実施するための法的根拠は何か、②サービス事業者における処理は委託業務の範囲(法第27条第5項第1号)をどのように画されるか、複数提供元のデータをどのように取り扱うべきか、③成果物利用者が受領するデータは個人データか統計情報か、出力段階における再識別リスクをどう統制するか、④改正法案で新設される統計作成等特例(第2条第13項、第31条の3)は、これらの課題にどう作用するか、である。これらの課題は、いずれも一体不可分のように見えて、それぞれ独立に検討する必要があり、混合して議論すると結論を誤る危険がある。
2 提供データの個人データ性――法第2条第1項の容易照合性と「提供元基準」
統計データ作成サービスの設計検討において、しばしば「氏名等の直接識別情報を除外して提供するから個人情報には該当しない」「マスキング済みデータであるから第三者提供にはあたらない」との整理が見受けられる。しかし、このような整理は、個人情報保護法における個人データ性の判断構造を正確に踏まえていない。
法第2条第1項第1号は、個人情報の定義として、「当該情報に含まれる氏名、生年月日その他の記述等(…)により特定の個人を識別することができるもの(他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。)」と規定する。すなわち、個人情報該当性は、①当該情報自体に含まれる識別子による単独識別可能性に加え、②他の情報との容易照合性による識別可能性の双方を含む概念であり、後者の容易照合性は事業者ごとに相対的に判断される。
この「提供元基準」の考え方は、個人情報保護委員会の令和元年12月13日付け「個人情報保護法 いわゆる3年ごと見直し制度改正大綱」[2]25頁において、明示的に確認されている。同大綱は次のように述べる。「個人情報保護法は、それぞれの個人情報取扱事業者が個人情報を適切に取り扱うことを求めている。このため、外部に提供する際、提供する部分単独では個人情報を成していなくても、当該情報の提供元である事業者において『他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなる』場合には、提供元に対して、個人情報としての管理の下で適切に提供することを求めている」とし、その理論的根拠については、「これは、提供先で個人情報として認識できないとしても、個人情報を取得した事業者に、一義的に、本人の権利利益を保護する義務を課すという基本的発想から、提供元において、上記のような情報についても個人情報として扱うことを求めるものである(一般に『提供元基準』と呼ばれている。)」と説明する。
この「提供元基準」の下では、統計データ作成サービスの場面においても、提供元事業者の側で、自社が保有する元データ(会員ID、取引履歴、利用履歴等)と提供データを容易に照合し得る関係が認められる場合には、たとえ提供データから氏名・住所・連絡先等の直接識別子を除外していても、提供元にとって当該データは個人データに該当することとなる。提供元事業者は通常、自社のサービス基盤を保有しているため、属性情報(年代・性別・地域・業種等)と取引情報(応募・利用・取引額等)の組合せを、自社内の元データと容易に突合できる関係にあるのが一般的である。したがって、提供元からサービス事業者への提供は、原則として個人データの第三者提供として法的に整理せざるを得ない。
なお、提供先であるサービス事業者の側で当該データから個人を識別できないとしても、これはサービス事業者にとっての個人データ性の評価に過ぎず、提供元の提供行為を第三者提供から除外する根拠とはならない。提供元基準の下では、法第27条が規律する第三者提供の評価は、あくまで提供元の保有情報を基礎に行われる。本ニュースレターの出発点は、マスキング済みデータであっても提供元基準により個人データの第三者提供にあたり得るという前提に置く必要があり、この点を曖昧にしたまま設計を進めることは、後段の論点全体の前提を崩す結果となる。
3 第三者提供該当性と本人同意原則(法第27条第1項)
提供元からサービス事業者への提供が個人データの第三者提供にあたる以上、法第27条第1項の規律により、原則として本人の同意が必要となる。同項は、「個人情報取扱事業者は、次に掲げる場合を除くほか、あらかじめ本人の同意を得ないで、個人データを第三者に提供してはならない」と規定し、続いて法令に基づく場合等の例外を列挙する。統計データ作成サービスの場面において、これらの一般例外(同項各号)が直接適用される場面は限定的であり、原則として本人同意の取得が要件となる。
しかし、統計データ作成サービスの対象となる利用者数は、サービスによっては数十万人から数千万人に及ぶことも珍しくなく、事後的に全本人から同意を取得するという運用は、現実的には成立しない。同意取得を要する設計を採用した場合、同意取得済み本人のデータのみが対象となるため、サンプルバイアスが生じ、統計の代表性も毀損される。
そのため、本人同意なく統計データ作成サービスを実装するための法的根拠としては、(i)法第27条第5項各号の例外(委託、事業承継、共同利用)の活用、(ii)改正法施行後における統計作成等目的の第三者提供特例(改正法案第31条の3)の活用、のいずれかを選択する必要がある。
このうち、共同利用構成(法第27条第5項第3号)は、利用目的、共同利用者の範囲、利用する者の利用目的、当該個人データの管理について責任を有する者の氏名又は名称等を、あらかじめ本人に通知し、又は本人が容易に知り得る状態に置くことが要件とされる。統計データ作成サービスの場合、提供元の範囲が事後的に変動し得ること、各社の利用目的を事前に統一的に確定することが難しいこと、管理責任者の指定が現実的でないこと等から、共同利用構成は適合しにくい。事業承継構成(同項第2号)は、本件のような協働構造には類型的にあてはまらない。
したがって、現行法下における現実的な選択肢は、提供元からサービス事業者への提供を委託に伴う提供(法第27条第5項第1号)として整理する委託構成であり、改正法施行後における選択肢として、これに加えて統計作成等目的の第三者提供特例(改正法案第31条の3)が登場することとなる。本ニュースレターでは、まず現行法下の委託構成を詳細に検討し、続いて改正法案の特例について論じる。
4 現行法下の委託構成①――法第27条第5項第1号と業務範囲限定
法第27条第5項第1号は、第三者提供の制限の例外として、「個人情報取扱事業者が利用目的の達成に必要な範囲内において個人データの取扱いの全部又は一部を委託することに伴って当該個人データが提供される場合」を、第三者提供から除外している(同項柱書「次に掲げる場合における当該個人データの提供を受ける者は、…第三者に該当しないものとする」)。統計データ作成サービスにおいては、提供元がサービス事業者に対し、提供データを用いた集計・統計データ作成業務を委託する関係を構築することにより、本人同意を経ずに提供する余地を確保することができる。これが現行法下の標準的な構成である。
ただし、委託構成は、契約名義や形式的合意の問題ではなく、実態としての委託関係の存否で評価される。法第27条第5項第1号にいう「委託」とは、契約の名称を問わず、本人から見て当該個人データの取扱主体に変動がない関係、すなわち、委託元が取扱方法を決定し、受託者がこれに従って処理を実施する関係を指す。委託構成が成立するためには、第一に、提供データの取扱方法を決定する権限が委託元(提供元)にあること、第二に、サービス事業者の処理が委託元の業務執行を補助する関係にとどまること、第三に、サービス事業者が独自の事業目的で受領データを利用しないこと、が実態として満たされている必要がある。これらの要素のいずれかが欠ける場合、形式上委託契約が締結されていても、実態としては第三者提供と評価され、本人同意の欠缺により法第27条第1項違反と判断される危険がある。
「個人情報の保護に関する法律についてのガイドライン」に関するQ&A(以下「FAQ」という。) Q7-38は、「委託を受けた者は、委託された業務の範囲内でのみ、本人の同意を得ることなく個人データを取り扱うことができ」るとしている。統計データ作成サービスの場面では、サービス事業者の役割を「統計データ作成・集計処理業務」として明確に画定し、契約・処理仕様書において、提供データ項目、処理内容、出力物の範囲を具体的に特定することが必要である。「データ分析」「市場調査支援」といった抽象的な業務範囲指定は、後の解釈論争を招くため避けるべきである。
5 現行法下の委託構成②――独自利用禁止と委託先規律(法第25条)
委託構成の成立を左右する最大の論点は、サービス事業者による受領データの自社目的利用の有無である。サービス事業者は、典型的にはデータ分析・統計処理を業とする事業者であり、自社の事業基盤として、データベース、分析モデル、AIモデル、業界知見を蓄積している。受領データを当該事業基盤に取り込んで利用することは、事業者として合理的な行動であるが、委託構成の観点からは致命的な問題を生じさせ得る。
具体的に問題となり得る独自利用としては、(i)自社の営業活動のためのリード生成、(ii)既存又は新規サービス(マーケティング支援、需要予測、レコメンデーション等)の開発、(iii)AIモデル・分析モデルの学習データへの転用、(iv)他のクライアント案件への流用、(v)自社の独自データベースとの統合・蓄積、(vi)業界レポート・調査資料への二次利用、が挙げられる。これらは、いずれも委託契約の本来目的(提供元・成果物利用者向けの統計データ作成)から逸脱し、サービス事業者自身の利益のための取扱いとなる。
個人情報保護委員会のFAQ Q7-37は、「委託先が、委託された業務以外に、自社のために当該個人データを取り扱うことは、委託の趣旨に反するものであり、委託元との関係では当該個人データの目的外利用」に該当し、「委託元との関係で第三者提供」となるとしている。委託の枠を超える取扱いと評価された場合、当該部分は第三者提供として扱われ、本人同意の欠缺により違法となる。
加えて、委託元である提供元は、法第25条に基づき、「その取扱いを委託された個人データの安全管理が図られるよう、委託を受けた者に対する必要かつ適切な監督を行わなければならない」(委託先監督義務)。同条の解釈として、ガイドライン(通則編)は、(a)適切な委託先の選定、(b)委託契約の締結、(c)委託先における個人データ取扱状況の把握、の三点を求めている。複数提供元が参加するスキームにおいて、運営主体(業界団体、コンソーシアム事務局等)がサービス事業者を一括選定するケースが多いが、これは各提供元の法第25条に基づく監督義務を免除しない。
統計データ作成サービスの実装に当たっては、契約書において、(i)受領データの利用目的を委託業務の範囲に厳格に限定すること、(ii)独自利用の禁止を具体的かつ網羅的に列挙すること(営業利用、サービス開発、AI学習、他案件転用、独自DB構築等を例示)、(iii)独自利用が発覚した場合の損害賠償、契約解除、データ削除義務、報告義務を定めること、が不可欠である。単なる「秘密保持義務」「目的外利用禁止」といった抽象的条項では、後述する改正法案下では一層不十分となる。
6 現行法下の委託構成③――複数委託元データの混合・名寄せ規律(FAQ Q7-37・Q7-43)
統計データ作成サービスに特有の論点として、サービス事業者が複数の提供元から同時にデータを受領するという構造的特殊性がある。委託構成を採用する場合、各提供元はそれぞれ別個の委託元であり、サービス事業者が受領する複数社のデータは、それぞれ独立した委託契約に基づく独立した取扱いの対象である。すなわち、サービス事業者の内部において、複数社のデータを区別なく一つのデータベースに蓄積し、共通の処理パイプラインで一律に取り扱う設計は、各委託元との委託関係の枠を越える取扱いとして問題視される蓋然性が高い。
個人情報保護委員会のFAQ Q7-37は、複数の委託元から取得した個人データを区別せずに混合して取り扱うことは、各委託元との関係において、委託された業務の範囲を超える取扱いに該当し得るとの立場をとっている。本件においても、サービス事業者の内部処理環境は、提供元ごとに分離(テナント分離、アクセス権限分離、処理パイプライン分離)し、各社別に集計値を作成したうえで、最終段階において統計値レベルで合算するというアプローチを採るべきである。個票レベルでの混合は、現行法下では避けるのが原則である。
さらに重要なのが、本人単位の突合(名寄せ)の規律である。例えば、同一利用者がA社・B社・C社の各サービスをどのように横断的に利用しているか、個人別の利用頻度・取引額がサービス横断でどのような分布を示すかといった分析は、市場分析として価値があり得る一方、本人を識別したうえで複数社のデータを統合する処理にほかならない。
個人情報保護委員会のFAQ Q7-43は、複数の委託元から受領した個人データについて、「本人ごとに突合することはできない」と明示している。統計データ作成サービスの委託構成においても、サービス事業者が提供元各社の許可を得て本人単位での突合を行うことは、委託の枠組みを超えた処理として評価される蓋然性が高い。本人単位の横断分析を実装するためには、委託構成とは別個に、本人同意の取得その他の法的根拠を整える必要がある。これは、現行法下では事実上実装困難な処理類型であると整理すべきである。
7 本人単位の突合と統計上の合算――両者の法的区別
もっとも、本人単位の突合と統計上の合算とは、法的に明確に区別されるべき別概念である。前掲FAQ Q7-43は、本人単位の突合を行わない限り、サンプル数を増やす目的で複数委託元のデータを用いて一つの統計情報を作成することは許容され得るとの立場を示している。すなわち、各社のデータをそれぞれ独立に集計し、得られた集計値を統計値レベルで合算・加重平均する処理は、本人単位の同一性判定を伴わない限り、委託の枠内で許容される余地がある。
両者の区別を実装に落とし込むと、概ね次のような設計となる。第一段階として、サービス事業者は各提供元のデータを各社別環境で独立に集計し、属性別(地域・職種・年代等)の集計値を作成する。第二段階として、集計値レベルにおいて各社分を合算し、加重平均、構成比、中央値等の統計処理を行う。第三段階として、成果物利用者には個票・本人単位データを一切引き渡さず、最終的な統計値のみを引き渡す。この設計であれば、本人単位での同一性判定を伴わず、市場全体の傾向を示す統計情報のみが生成されるため、現行法下のFAQの整理と整合する。
ここで重要なのは、「本人単位の突合をしていない」ことを、設計上のみならず、運用・記録の両面で立証可能にしておくことである。具体的には、(i)各社別の処理パイプラインがアクセス制御により分離されていること、(ii)処理スクリプト・処理ログにおいて本人識別子の突合処理が組み込まれていないこと、(iii)成果物として生成される統計値が個人に逆算され得ない粒度であること、を契約・仕様書・監査記録において確認可能な状態に保つことが求められる。
なお、統計情報自体は、特定の個人との対応関係が排斥されている限り、「個人に関する情報」(法第2条第1項柱書)に該当せず、したがって個人情報・個人データにも個人関連情報にも該当しない。この点は現行法・改正法案を通じて変わらない解釈であり、統計値合算後の統計情報の取扱いは、個人情報保護法の規律対象外となる(ただし、後述する少数セル問題による再識別リスクは別論である)。
8 成果物の引渡先への提供――統計情報限定と少数セル問題
統計データ作成サービスにおいて、サービス事業者から成果物利用者へ引き渡されるデータの法的位置付けについても、慎重な整理が必要である。
成果物利用者が、個票や本人単位データ、又は容易照合性により個人を識別し得るデータを受領する設計を採ると、提供元から成果物利用者への提供が改めて法第27条第1項の第三者提供として独立に評価されることとなり、委託構成の経済が崩れる。成果物利用者が提供元各社の委託先となる構成も理論的にはあり得るが、業界団体・調査依頼者・第三者購入者等としての立場上、各社からの委託先監督(法第25条)を実質的に受ける関係を構築することは、組織のガバナンス構造上現実的でないことが多い。
したがって、成果物利用者が受領すべきデータは、原則として、個人データ性を失った統計情報に限定するのが妥当である。この場合、成果物利用者と提供元・サービス事業者との関係は、個人データの提供関係ではなく、統計情報の受領関係として整理され、法第27条の規律は及ばない。実装上は、契約・運用の両面で、成果物利用者に引き渡す対象を統計情報に限定する旨を明確化し、個票や本人単位データが成果物利用者側に流入しない設計(例えば、サービス事業者環境への成果物利用者のアクセス権限を付与しない、ファイル授受時の項目チェックを行う等)を確立する必要がある。
ただし、統計情報として整理される場合であっても、集計の粒度が細かすぎる場合には、特定の個人、店舗又は企業が事実上推知され得る点に注意を要する(少数セル問題)。具体的には、エリア(市区町村単位)、業種(小分類)、年代、性別、月単位の時間軸といった軸を細かく掛け合わせると、ごく少数のサンプルしか含まれないセルが生じ、当該セルから個人や少数事業者の情報が逆算される危険がある。再識別が可能となる粒度の出力物は、形式上「統計情報」と称していても、実質的には個人情報・個人データとして規律を受け得る。出力前の安全性確保策として、(i)最小セルサイズの基準設定(例:一定数未満のセルは公表しない・上位セルへ統合する)、(ii)外部公開情報との照合可能性の事前確認、(iii)特定企業・店舗ランキングの回避、(iv)極端値(外れ値)の取扱いルール、(v)法務・プライバシーチェックのプロセス組込み、を実装すべきである。
9 委託先監督義務の履行――契約・仕様書・運用での具体化
委託構成を採用する場合、提供元はサービス事業者に対する委託先監督義務(法第25条)を負う。この義務は、契約による義務付け、必要かつ適切な措置の実施、定期的な状況把握という三層構造を有しており、その全体について各提供元が独立に責任を負う。複数提供元が参加するスキームにおいて、運営主体がサービス事業者を一括選定するケースが多いが、これは各提供元の委託先監督義務を免除しない。各提供元は、自社が委託元として、自社の判断で監督義務の履行体制を整える必要がある。
提供元が整備すべき要素は、概ね以下のとおりである。第一に、サービス事業者との委託契約(または提供元・成果物利用者・サービス事業者の三者契約)。第二に、処理仕様書(提供データ項目・処理内容・出力物・処理環境の明確化)。第三に、安全管理措置(法第23条が定める技術的・組織的・物理的・人的措置)の合意と確認。第四に、再委託の事前同意・制限ルール。第五に、委託終了時の削除・返却ルールと削除証明書の徴求。第六に、漏えい等発生時の報告フロー(法第26条第1項に基づく委員会への報告及び同条第2項に基づく本人通知の連絡)。第七に、委託元による監査・報告徴求権限。第八に、独自利用禁止の具体化と違反時の措置。
特に重要なのが、元データの削除時期の明確化である。統計情報の生成完了後、サービス事業者環境から元データを速やかに削除する旨を契約で明記し、運用上もその履行を確認する仕組み(削除証明書、削除ログの徴求等)を設けることが、長期的な再利用リスクを遮断するうえで不可欠である。サービス事業者の側に元データが長期間残存する設計は、後の独自利用、漏えい、第三者からの開示請求等の各場面でリスクを生じさせる。
実務上、運営主体が用意する標準契約書をそのまま採用し、各提供元が独自の監督要件を加えないケースが見受けられるが、これは委託元としての主体性を放棄する整理であり、後の検査・苦情対応・訴訟対応で説明可能性を欠く結果となりかねない。標準契約書はあくまで出発点とし、各社の取扱データの性質、安全管理措置のレベル、リスク許容度に応じて、個別に契約条件を確認・補強する姿勢が求められる。
10 令和8年改正法案――統計作成等概念の創設(第2条第13項)
改正法案は、適正なデータ利活用と本人保護の調和を目的として、複数の新概念・新制度を導入するものであり、統計データ作成サービスにとって最も重要な意義を有するのが、統計作成等という新概念の創設(改正法案第2条第13項)である。
改正法案第2条第13項は、「統計作成等」を、「統計の作成その他の方法により、大量の情報から、その情報を構成する要素に係る情報を抽出し、分類、比較その他の解析を行って、当該大量の情報の傾向又は性質に係る情報を作成する行為(個人に関する情報であるものを除くものとし、個人の権利利益を害するおそれが少ないものとして委員会規則で定めるものに限る。)」と定義する。
すなわち、①対象は個人ではなく集団であること、②目的は集団の全体的傾向又は性質の把握であること、③処理は分類・比較・解析等の統計的操作であること、④成果物は集団に係る統計情報であって個人に関する判断を伴わないこと、⑤個人の権利利益侵害のおそれが少ないものに限定されること、の5段階で絞り込む構造となっている。
従来、個人情報保護法上、「統計情報」は明示的な定義を欠いており、「特定の個人との対応関係が排斥されている限り個人情報に該当しない」という解釈論を通じて、間接的に取り扱われてきた。改正法案は、この統計情報生成のプロセス自体を「統計作成等」として正面から法定し、当該プロセスのために行われるデータ取扱いについて、特例的な規律ルートを設ける構造を採る。これは、AI開発、市場分析、業界統計、政策評価、医療・公衆衛生統計、マーケティング・リサーチ等、データ利活用の正当な需要に対応するための新しい法的インフラと位置付けられる。
改正法案第2条第13項の重要なポイントは、括弧書による限定にある。第一に、「個人に関する情報であるものを除く」という限定により、個人別スコアリング、個人別推薦、特定個人向けの判断結果のような出力は、そのままでは統計作成等には該当しない。第二に、「委員会規則で定めるもの」という限定により、最終的な範囲は委員会規則に委ねられており、条文だけで無制限に広く読める概念ではない。すなわち、政策的にAI開発の円滑化が強く意識されている一方、条文上は、個人への再接続を予定しない利用が中心であり、本人再識別、本人再接続、個人別判断を伴う処理は、この概念から外れる。
統計データ作成サービスの大半は、市場全体・利用者全体の傾向把握を目的とし、個人を特定して何らかの判断・処分・差別化を行うものではないため、統計作成等概念に親和的であり、本制度の主要な活用場面の一つとなり得る。
11 統計作成等目的の第三者提供特例(第31条の3)の構造と限界
改正法案は、統計作成等目的の場合における第三者提供の本人同意要件について、特例を設ける。これが、改正法案第31条の3である。同条は、これまで法第27条第5項各号の例外(委託、事業承継、共同利用)に並ぶ第四の本人同意例外として、新たに「統計作成等目的の第三者提供」を加えるものと位置付けられる。以下、項ごとに内容を整理する。
(1) 第31条の3第1項――特例提供の許容
同条第1項は、概ね、「個人情報取扱事業者は、第27条第1項の規定にかかわらず、第三者が統計作成等を行う目的で個人データの取扱いの全部又は一部を行う必要がある場合には、当該第三者が当該個人データを当該目的の達成に必要な範囲を超えて取り扱わないこと、その他個人の権利利益を害するおそれが少ないものとして委員会規則で定める基準に適合する場合に限り、当該第三者に対し、当該個人データを提供することができる」との趣旨の規定を置くものとして整理されている。
第1項のポイントは、(i)「第27条第1項の規定にかかわらず」とすることで、本人同意原則の例外として位置付けられること、(ii)提供先である第三者が統計作成等(改正法案第2条第13項)を行うことが要件であること、(iii)当該第三者が当該データを目的達成に必要な範囲を超えて取り扱わないことが、特例の構造上の前提として明示されること、(iv)詳細な適合基準は委員会規則に委ねられること、にある。すなわち、特例の射程は、提供先の取扱目的が統計作成等に限定されるか否かにより一義的に決まる。提供元の側で「統計作成等のために提供する」と表示しても、提供先が実際には個人別分析やAIスコアリング等に転用していれば、特例の効果は否定される。
(2) 第31条の3第2項――事前公表義務
同条第2項は、提供元に対し、特例による提供を行う場合の事前公表義務を課す方向である。具体的には、(i)提供元の氏名又は名称、住所及び法人にあっては代表者の氏名、(ii)提供先の氏名又は名称、(iii)提供を受ける個人データの項目、(iv)提供方法、(v)当該第三者が行おうとする統計作成等の内容、(vi)その他委員会規則で定める事項を、あらかじめ本人が容易に知り得る状態に置くことが求められる。
この公表義務は、現行法の委託構成(法第27条第5項第1号)には存在しない要素であり、特例利用時の独自負担となる。実務上は、提供元のプライバシーポリシーや専用ページ等に、提供先名・データ項目・統計作成等の内容を個別具体的に記載することが必要となる。「業務委託先に提供する場合があります」という抽象的記載では足りない。提供先が複数ある場合、提供データ項目が変動する場合、統計作成等の内容が更新される場合等にも、その都度公表内容を更新する必要が生じる。
(3) 第31条の3第3項――提供元・提供先の合意義務
同条第3項は、提供元と提供先との間で、(i)提供される個人データの項目、(ii)取扱方法、(iii)統計作成等の内容、(iv)目的外利用禁止、(v)再提供禁止、(vi)安全管理措置、(vii)その他委員会規則で定める事項を、書面又は電磁的記録により合意することを要件とする方向である。
口頭合意や黙示的合意では足りず、書面性が求められる点が特徴である。実務上は、提供契約・データ提供合意書・処理仕様書等の形で、これらの事項を網羅的に定める必要がある。委託契約とは別の契約類型として、「統計作成等目的提供契約」のひな型整備が、改正法施行に向けた事業者の実務課題となる。
(4) 第31条の3第4項――継続的公表義務
同条第4項は、特例による提供後も、第2項の公表事項を継続的に公表することを求める方向である。すなわち、提供時点での一回限りの公表では足りず、提供関係が継続する間、公表状態を維持する必要がある。提供先・提供データ項目・統計作成等の内容に変動が生じた場合には、公表内容を更新する義務も含まれる。
この継続公表義務は、運用面で相応の負担となる。プライバシーポリシーや専用ページの定期的な見直し、提供先の追加・終了に伴う更新フロー、変更管理の責任部署の指定等、組織的な実装が必要となる。
(5) 第31条の3第5項――提供先における目的外利用禁止・再提供禁止
同条第5項は、特例により提供を受けた提供先に対し、(i)当該個人データを統計作成等の目的以外に利用してはならないこと(目的外利用禁止)、(ii)当該個人データを第三者に再提供してはならないこと(再提供禁止)を課す方向である。これらは、提供先自身に対する直接の法令上の義務として位置付けられる。
提供先が義務違反を犯した場合、改正法案第147条以下による措置命令、改正法案第148条の3以下による課徴金納付命令の対象ともなり得る。提供元との契約違反にとどまらず、行政執行の対象となる点で、提供先のコンプライアンス負担は重い。
(6) 委託構成との比較――「第三者提供」となることの意味
特例提供は、その法的構成上、第三者提供である(同条第1項が「第27条第1項の規定にかかわらず」と規定し、本人同意例外として整理する構造)。これは、現行法の委託構成(法第27条第5項第1号)が「第三者に該当しないものとする」という形で第三者提供から除外する構造とは、根本的に異なる。
この違いから、特例提供では、提供元による委託先監督義務(法第25条)が課されないというメリットが生じる。委託構成では、提供元は委託先に対して、適切な選定、契約締結、取扱状況把握という三層の監督義務を負い、複数提供元が参加するスキームでは、各提供元がそれぞれ独立に監督義務を履行する必要があった。特例提供では、この監督義務が外れる。提供先(サービス事業者)は、もはや提供元の手足としての委託先ではなく、独立した主体として個人データを取り扱う第三者となるためである。提供元・提供先双方にとって、契約・運用設計の自由度が増す側面がある。
(7) ただし、メリットは限定的――特例提供の負担総量
もっとも、特例提供のメリットを過大評価すべきではない。委託構成と比較した場合、特例提供では、①事前公表義務(改正法案第31条の3第2項)、②書面合意義務(同条第3項)、③継続公表義務(同条第4項)、④提供先の目的外利用禁止・再提供禁止(同条第5項)、という4つの追加義務が課される。これらは、いずれも委託構成には存在しない要素であり、相応の運用負担を伴う。
すなわち、特例提供は「委託先監督義務(法第25条)が外れる代わりに、公表義務・合意義務・継続義務等が新設される」という負担の付替えの構造に近い。負担の総量で見れば、委託構成と比較して、特例提供が必ずしも軽いとは言い切れない。むしろ、複数提供元が参加するスキームで、運営事務局が各提供元に共通の公表文・合意書テンプレートを提供できる場合には、特例提供の負担分散が機能するが、提供元が独立に意思決定するスキームでは、各提供元が個別に公表・合意を整備する必要があり、運用負担が増える可能性もある。
委託構成と特例提供のいずれを採用するかは、(a)提供元の数と独立性、(b)公表文・合意書テンプレートの整備コスト、(c)処理内容(個別委託に親和的か、統合処理に親和的か)、(d)成果物の利用形態、を踏まえた比較考量の対象となる。「改正法施行後は当然に特例提供に切り替える」という単純な発想は、必ずしも合理的ではない。
(8) 特例提供と統計作成等概念の限界
加えて、特例提供は、改正法案第2条第13項の統計作成等概念の射程内でしか機能しない。同項括弧書により、(i)成果物が「個人に関する情報」となる処理(個人別スコアリング、個人別レコメンド等)、(ii)「個人の権利利益を害するおそれが少ない」とは言えない処理(少数セルによる推知可能性、本人不利益のリスクが高い処理等)は、特例提供の対象とはならない。「特例提供だから自由」ではなく、「特例提供であっても、統計作成等の枠内でのみ可能」という制約が、根底に存在することを忘れてはならない。
12 関連条文――要配慮個人情報の取扱い(現行法・改正法案)
統計データ作成サービスにおいて、要配慮個人情報(法第2条第3項。人種、信条、社会的身分、病歴、犯罪の経歴等)が含まれる場面もあり得る。例えば、医療・ヘルスケア統計、雇用差別の実態把握、犯罪統計、社会調査、SNS解析サービス等の場面である。要配慮個人情報の取扱いについては、現行法と改正法案、委託構成と第三者提供構成(改正法案第31条の3の特例提供)とで、規律の対比を整理しておく必要がある。
(1) 現行法・委託構成――他の個人データと同じ扱い
現行法下において、要配慮個人情報を含む個人データを、委託構成(法第27条第5項第1号)に基づきサービス事業者に提供する場合、要配慮個人情報であることを理由とする追加的な要件は課されない。すなわち、提供元が要配慮個人情報を取得する段階では、法第20条第2項により本人同意の取得が原則必要となるが、いったん適法に取得した要配慮個人情報を、その後、自社の利用目的の範囲内で委託先に提供することは、他の個人データの提供と同じ規律で行うことができる。委託先監督義務(法第25条)の履行、安全管理措置(法第23条)の合意、独自利用禁止等の規律は、他の個人データと同様に適用されるが、要配慮個人情報であることを理由とする上乗せ要件は存在しない。
したがって、現行法の委託構成を採用する限りにおいては、要配慮個人情報を含む統計データ作成サービスの実装は、他の個人データを含むサービスと同じ枠組みで設計することができる。これは、現行法委託構成の実務上の利便性の一つである。
(2) 改正法案・委託構成――現行法と基本的に同じ
改正法案下においても、委託構成を採用する場合の要配慮個人情報の取扱いについて、特段の上乗せ規律は新設されない方向である。改正法案第40条の2により委託先自身に対する直接規律が新設されるが、これは要配慮個人情報に固有の規律ではなく、委託先に対する一般的規律である。したがって、改正法施行後も、委託構成を採用する限りにおいては、要配慮個人情報を含む統計データ作成サービスの実装負担は、他の個人データを含むサービスと比較して大きく増加しない。
(3) 改正法案・第三者提供構成(特例提供)――公表義務等の負担増
これに対し、改正法案第31条の3の特例提供を利用する場合には、要配慮個人情報を含む処理について、公表義務等の負担が委託構成より重くなる方向である。前述のとおり、特例提供では、①事前公表義務(同条第2項)、②書面合意義務(同条第3項)、③継続公表義務(同条第4項)、④提供先の目的外利用禁止・再提供禁止(同条第5項)が課されるが、これらの要件の運用において、要配慮個人情報を含む場合には、より精緻な対応が求められる可能性がある(具体的要件は委員会規則による)。
加えて、改正法案第30条の2は、公開要配慮個人情報の取得特例を新設する。同条第1項は、概ね、「個人情報取扱事業者は、統計作成等を行うことを目的として、又は第31条の3の規定により第三者に提供することを目的として、現に公開されている要配慮個人情報を取り扱う必要がある場合において、あらかじめ、その氏名又は名称、取得した要配慮個人情報を用いて行おうとする統計作成等の内容又は同条の規定により提供することを目的とする旨その他必要事項を公表しているときは、第20条第2項の規定にかかわらず、本人の同意を得ないで、当該要配慮個人情報を取得することができる」との趣旨の規定を置く方向である。
通常、要配慮個人情報の取得は、法第20条第2項により本人同意が原則必要であるが、(i)統計作成等目的、又は改正法案第31条の3の提供目的であり、(ii)対象が現に公開されている要配慮個人情報であり、(iii)事業者名・統計作成等の内容等を事前公表している場合に限り、同意取得を不要とする取得特例ルートが新設される。サービス事業者が公開情報(公表された求人情報、公開SNSデータ、公開政府統計、公開医療データセット等)を素材として要配慮個人情報を取得する場面では、この取得特例の活用余地が生じる。
ただし、改正法案第30条の2は、(i)取得対象が現に公開されているものに限定され、私的領域の要配慮個人情報には及ばないこと、(ii)取得目的が統計作成等又は第31条の3提供目的に限定されること、(iii)事前公表義務を伴うこと、に留意を要する。
(4) 整理――要配慮個人情報を含むサービス設計の選択軸
以上を整理すると、要配慮個人情報を含む統計データ作成サービスの設計選択は、概ね次のように整理できる。
まず、提供元が既に取得済みの要配慮個人情報を委託する場合、現行法・改正法案のいずれにおいても、委託構成を選ぶ方が要配慮個人情報固有の追加負担が少ない。要配慮個人情報を含むサービスにおける委託構成の優位性は、改正法施行後も維持される。
これに対し、特例提供(改正法案第31条の3)を選ぶ場合、要配慮個人情報を含むことを理由として、公表内容・合意内容がより詳細となり、運用負担が増す可能性がある。
サービス事業者が公開情報から要配慮個人情報を新たに取得する場合には、改正法案第30条の2の取得特例の活用が現実的な選択肢となるが、事前公表義務を伴うため、公表体制の整備が前提となる。
要配慮個人情報を含むサービスにおいては、これらの選択肢を比較考量したうえで、最も負担の軽い構成を選択することが求められる。
13 改正法案下でも許容されにくい処理類型
改正法案第31条の3は、集団の傾向把握のための制度であり、個人単位の分析を自由化するものではない。改正法案第2条第13項括弧書が、統計作成等から「個人に関する情報であるもの」を除外していることからも明らかである。改正法案下においても、許容されにくい処理類型として、以下のものが想定される。
(1)本人単位の処理
同一利用者の複数サービス横断利用状況の名寄せ、個人別の利用頻度・取引頻度の分析、個人別の信用度・評価スコアの作成、利用者別ポータビリティ評価といった処理は、対象が個人であり、目的が個人に関する情報の生成である以上、改正法案第2条第13項の「統計作成等」概念から外れる。これらは、特例の射程外と整理されるべきである。
(2)サービス事業者の独自データとの本人単位の突合
サービス事業者が自社で保有する他のデータベース(独自分析モデル、他クライアント由来のデータベース、外部購入データ等)と受領データを本人単位で突合する処理は、サービス事業者の独自事業のための取扱いとなり、改正法案第31条の3が要件とする「目的外利用禁止」に抵触する。
(3)少数セルにより個人・店舗・企業の推知が可能となる粒度での集計・公表
形式上は統計情報であっても、実質的に個人を識別し得る粒度の出力物は、改正法案第2条第13項の「個人に関する情報であるものを除く」という要件、及び「個人の権利利益を害するおそれが少ない」という要件のいずれにも反する。
(4)サービス事業者のAI学習・サービス改善目的での再利用
受領データをサービス事業者のAIモデル学習データに転用すること、受領データから得られた統計値をサービス事業者の自社サービス改善に利用することは、いずれも統計作成等以外の目的での利用にあたり、改正法案第31条の3の目的限定要件・目的外利用禁止要件に抵触する。
(5)特例利用に伴う公表義務(提供元・提供先の名称、統計作成等の内容等の事前・継続的公表)を欠く運用
形式上特例に乗せていても、公表義務の履行を欠く場合には、特例の効果を享受できず、本人同意の欠缺により法第27条第1項違反として違法と評価される。
統計データ作成サービスを改正法特例に基づき設計する場合であっても、現行法下の委託構成で確認した個人単位処理の禁止、少数セル対策、独自利用禁止、削除義務といった規律は、引き続き維持される必要がある。改正法は規律を緩和するというより、規律のルートを追加するものとして理解すべきである。
14 委託先への直接規律(第40条の2)と契約実務への影響
改正法案は、委託先に関する規律も強化する。現行法上、委託先に対する義務付けは、主として委託元の義務(法第25条の委託先監督義務、法第23条の安全管理措置義務)を通じて間接的に及ぶ構造であったが、改正法案では、委託先自身に対する直接の取扱制限規律が新設される方向である(改正法案第40条の2)。
改正法案第40条の2は、概ね、「個人データの取扱いの全部又は一部の委託を受けた個人情報取扱事業者は、委託をした個人情報取扱事業者から委託された業務を遂行するために必要な範囲を超えて、当該個人データを取り扱ってはならない」との趣旨の規定を置く方向である。これにより、委託先であるサービス事業者は、委託元との契約上の義務に加えて、法令上の直接義務として、委託業務範囲外の取扱いを禁止されることとなる。
この改正は、統計データ作成サービスにとって直接の影響を有する。すなわち、現行法下の委託構成においても、サービス事業者の独自利用禁止は委託契約上の義務として組み込むべきであるが、改正法施行後は、これがサービス事業者自身の法令上の直接義務となるため、契約上の規律と法令上の規律が二層で重畳的に機能することとなる。サービス事業者の側でも、自社の取扱いが改正法案第40条の2違反となる可能性を直接負担することとなり、コンプライアンス体制の整備が求められる。委託元にとっては、契約違反を主張する場合に加えて、委員会への申告・通報等を通じて行政執行を求めるルートも実効化することとなる。
実務上、契約書・処理仕様書において、(i)何のデータを、(ii)どの環境で、(iii)誰がアクセスし、(iv)どの範囲で処理し、(v)いつまで保有し、(vi)いつ削除するか、を定性的・定量的に明記することが、より重要となる。抽象的な「目的外利用禁止」「秘密保持義務」では、改正法下では、委託元・委託先のいずれの観点からも不十分である。統計データ作成サービスを利用する事業者は、改正法施行を見据え、現時点から契約ひな型・処理仕様書ひな型の見直しを進めるべきである。
加えて、改正法案は、再委託に関する規律、安全管理措置の具体化、漏えい時の対応等についても、規律の精緻化が想定される。さらに、違反時には、改正法案第147条以下による措置命令、改正法案第148条の3以下による課徴金納付命令の対象ともなり得る。複数の提供元と単一のサービス事業者が長期的な処理関係を持つ場面では、これらの精緻化された規律の遵守体制を、関係者間で標準化することが望ましい。
15 現行法対応と改正法対応の二段構え
統計データ作成サービスの制度設計は、改正法の施行時期に応じた二段構えで考えるのが現実的である。
改正法案は、附則第1条本文により、原則として「公布の日から起算して2年を超えない範囲内において政令で定める日」に施行されることとされている(※筆者は令和10年(2028年)4月1日に施行するものと予想する。)。罰則関係の一部は公布の日から6か月で先行施行されるが(附則第1条第3号)、本ニュースレターで論じた改正法案第2条第13項(統計作成等定義)、第30条の2(公開要配慮個人情報の取得特例)、第31条の3(統計作成等目的の第三者提供特例)、第40条の2(委託先直接規律)等は、本体施行を待つこととなる。したがって、令和8年中又は令和9年初頭に新規取組みを開始する場合、施行時点では現行法の規律によらざるを得ない。
このため、初回サービス開始を直近に予定する案件については、まず現行法ベースの委託構成(法第27条第5項第1号)を前提に設計するのが安全である。すなわち、提供元からサービス事業者への提供を委託に伴う提供として整理し、サービス事業者は各社別に管理・処理し、本人単位の突合を行わず(FAQ Q7-43)、独自利用を禁止し(FAQ Q7-37)、各社別集計値を統計値レベルで合算し、成果物利用者には統計情報のみを引き渡し、出力前に少数セル等の再識別リスクを確認する設計である。法第25条に基づく委託先監督義務の履行体制も、現行法ベースで構築する。
これと並行して、改正法施行後の継続運用における改正法案第31条の3への移行可能性を見据え、契約・処理仕様書・公表文・運用ルールを、特例利用に必要な要素(目的限定、提供元・提供先の事前公表、書面合意、継続公表、目的外利用禁止、再提供制限)と整合的な形で構築しておくことが望ましい。さらに、改正法案第40条の2によりサービス事業者自身が法令上の直接義務を負うこととなるため、契約条項の見直しもこの時点で行うこととなる。これにより、施行時に大幅な再設計を要せず、円滑に移行することが可能となる。具体的には、(i)契約書ひな型に、改正法施行を停止条件とする統計作成等特例関連条項を予め盛り込む、(ii)公表文書のフォーマットに、改正法案第31条の3利用時の追加記載項目を予め用意する、(iii)処理仕様書において、各社別処理から統合処理への移行可能性を明記する、といった準備が考えられる。
「初回は現行法(法第27条第5項第1号の委託構成)、定期運用は改正法(改正法案第31条の3の特例)」という二段構えは、統計データ作成サービスのように長期的な継続を予定する取組みにおいて、最も現実的かつ持続可能な制度設計であると考えられる。
16 結論――実装のための判断軸
統計データ作成サービスは、AI開発、市場分析、業界統計、政策評価、マーケティング・リサーチ等の幅広い分野で有益な取組みであり、その実装は法的にも十分に可能である。ただし、提供データから氏名等の直接識別子を除外したとしても、提供元基準(令和元年12月13日付け制度改正大綱25頁参照)の下では、提供元の側で法第2条第1項第1号括弧書の容易照合性が認められる限り、個人データの第三者提供(法第27条第1項)として整理せざるを得ない場面が想定される以上、本人同意なく実装するための法的根拠の選択が、本サービスの中核的論点となる。
現行法下では、(i)法第27条第5項第1号に基づきサービス事業者への統計データ作成委託として整理し、(ii)各社別管理を徹底し、(iii)本人単位の突合を禁止し(FAQ Q7-43)、(iv)サービス事業者の独自利用を禁止し(FAQ Q7-37)、(v)各社別集計値を統計値レベルで合算し、(vi)成果物利用者には統計情報のみを引き渡し、(vii)出力前に少数セル等の再識別リスクを確認し、(viii)法第25条に基づく委託先監督義務を履行する設計が、最も安全かつ説明可能性の高いルートである。これらの要素は、いずれも個人情報保護委員会のFAQの整理と整合し、実務上も検査・苦情対応の場面で説明可能性を確保しやすい。
改正法施行後は、改正法案第2条第13項の統計作成等概念の下、改正法案第31条の3に基づく統計作成等目的の第三者提供特例の活用が新たな選択肢となる。さらに、公開要配慮個人情報を含む処理については、改正法案第30条の2の取得特例が並走する。ただし、これは規律の緩和ではなく、規律ルートの追加として理解すべきである。改正法案第31条の3の活用には、目的限定、事前・継続的公表、書面合意、目的外利用禁止、再提供制限の遵守が必要であり、自由化ではない。委託先監督義務(法第25条)が外れるメリットはあるものの、公表義務・合意義務・継続義務等が新設されるため、負担総量で見れば必ずしも委託構成より軽いとは言い切れない。委託構成と特例提供のいずれを採用するかは、提供元の数と独立性、テンプレート整備コスト、処理内容の親和性、成果物の利用形態を踏まえた比較考量の対象となる。改正法案第40条の2による委託先への直接規律により、サービス事業者自身も法令上の直接義務を負うこととなり、契約・処理仕様書・運用の各面で、より精緻な実装が求められる。違反時には、改正法案第147条以下の措置命令、改正法案第148条の3以下の課徴金納付命令の対象ともなり得る。
実務上は、初回サービスを現行法(法第27条第5項第1号)ベースで実装し、定期運用において改正法(改正法案第31条の3の特例)への移行可能性を検討する二段構え設計が、最も現実的かつ持続可能な解である。新規企画の検討、既存サービスの設計見直し、契約ひな型の整備等の場面で、本ニュースレターをご活用いただければ幸いである。なお、本ニュースレターは令和8年4月7日閣議決定法案を踏まえた分析であり、今後の国会審議、政令・委員会規則・ガイドライン等により具体的要件・運用は変動し得る点、ご留意されたい。
以上
[1] 『「個人情報の保護に関する法律等の一部を改正する法律案」の閣議決定について(令和8年4月7日)』(https://www.ppc.go.jp/news/press/2026/260407/)
[2] https://www.ppc.go.jp/files/pdf/seidokaiseitaiko.pdf
