TOPICS

トピックス・法律情報

令和8年改正個人情報保護法案 国会審議状況のご報告(個人情報保護法ニュース No.19)

2026/07/07

個人情報保護法ニュース No.19

令和8年改正個人情報保護法案 国会審議状況のご報告

― 衆議院・参議院 特別委員会における主な論点と政府答弁・附帯決議 ―

令和8年4月7日に閣議決定・国会提出された「個人情報の保護に関する法律等の一部を改正する法律案」[1](以下「改正法案」といいます。)は、衆議院の地域活性化・こども政策・デジタル社会形成に関する特別委員会、及び参議院のデジタル社会の形成及び人工知能の活用等に関する特別委員会において審議されました。改正法案は、いわゆる3年ごと見直し(令和2年改正法附則第10条)を踏まえ、個人情報保護法のほか番号法・次世代医療基盤法にも及ぶ大型改正であり、その審議は、データ利活用の促進と権利利益保護の両立をめぐって、多岐にわたる論点を含むものとなりました。

審議の最大の焦点は、統計作成等(改正法案第2条第13項)を目的とする場合に、本人同意なく――氏名・住所を含む病歴等の要配慮個人情報までも――取得・第三者提供を可能とする特例(改正法案第30条の2・第31条の3等)の是非でした。本ニュースレターでは、両院の特別委員会審議で議論となった主な論点と政府答弁を整理し、あわせて衆議院で付された附帯決議(14項目)の要点をご報告いたします。今後の委員会規則・ガイドライン整備を見据えた実務対応の一助となれば幸いです。

令和8年7月

弁護士法人三宅法律事務所

*本ニュースレターに関するご質問・ご相談がありましたら、下記にご連絡ください。 弁護士法人三宅法律事務所 弁護士 渡邉雅之(執筆者) TEL 03-5288-1021 FAX 03-5288-1025 Email: m-watanabe@miyake.gr.jp

ニュースレターのPDFファイルは下記(↓)

令和8年改正個人情報保護法案 国会審議状況のご報告― 衆議院・参議院 特別委員会における主な論点と政府答弁・附帯決議 ―

令和8年改正個人情報保護法案 国会審議状況のご報告

衆議院・参議院 特別委員会における主な論点と政府答弁・附帯決議 ―

【目次】 1 審議の経過――両院特別委員会の審議日程と採決 2 最大の争点――統計作成等特例(第2条第13項、第30条の2、第31条の3) 3 氏名等の削除は「提供元」か「提供先」か――「必要がある場合」要件の意義 4 要配慮個人情報のPETs化・削除の方向性――ガイドライン・委員会規則での議論 5 OpenAIに対する注意喚起(令和5年6月2日)との同一方向性 6 医療情報をめぐる攻防――次世代医療基盤法との関係と医師の守秘義務 7 AI学習・再識別リスクとPETs――「AI学習は匿名化ではない」 8 特定生体個人情報(顔特徴データ)とこども(16歳未満)の個人情報 9 課徴金制度の「スモールスタート」と団体訴訟――第148条の3以下 10 外国事業者・越境移転・経済安全保障をめぐる論点 11 衆議院の附帯決議(14項目)の要点 12 実務への示唆――委員会規則・ガイドライン整備を見据えた対応

1 審議の経過――両院特別委員会の審議日程と採決

改正法案の両院特別委員会における審議経過の概要は、次のとおりである。衆議院においては、令和8年5月12日の政府質疑で、統計作成等特例の射程(公開されていない氏名入り病歴等の要配慮個人情報を本人同意なく取得・提供できるか)が正面から問われ、政府がこれを認める答弁を行った。同月14日の参考人質疑を経て、同月21日に討論・採決が行われ、両案は起立多数で可決された。あわせて、個人情報保護法案に対し、自由民主党・中道改革連合・日本維新の会・国民民主党・チームみらいの5派共同提案による附帯決議(14項目)が付された。

各会派の立場は、衆議院における審議・討論・採決を通じて、概ね次のように整理される。

・自由民主党・日本維新の会・国民民主党・チームみらい(衆議院)――データ利活用の推進に理解を示しつつ、規則・ガイドラインの整備や執行の実効性を求める立場から、両案に賛成(あわせて附帯決議14項目の共同提案に加わった)。

・中道改革連合(衆議院)――統計作成等特例による要配慮個人情報(特に医療情報)の本人同意なし提供に強い懸念を示す慎重な立場から、討論では、デジタル行政推進法等改正案には賛成する一方、個人情報保護法案には反対の立場を表明した。

・参政党(衆議院)――デジタル主権・経済安全保障の観点から、両案に反対の立場を表明した。

参議院においては、令和8年6月17日に趣旨説明の後、大臣・政府参考人に対する質疑が開始され、同月19日の参考人質疑(統計作成等特例・医療データ・プロファイリング等)を経て、同月24日に採決前質疑が行われた。参議院においても、統計作成等特例・課徴金・次世代医療基盤法との関係・プロファイリング等が集中的に審議され、与党会派がデータ利活用の意義と執行体制の整備を重視する立場から、野党会派が要配慮個人情報の保護・課徴金の実効性・プロファイリング規制の観点から、それぞれ質疑を行った。統計作成等特例と医療情報の扱いが、両院を通じて審議の中心となった。(2026年7月7日現在、参議院で審議中)

2 最大の争点――統計作成等特例(第2条第13項、第30条の2、第31条の3)

改正法案は、統計作成等(第2条第13項)を、大量の情報からその構成要素に係る情報を抽出し、分類・比較その他の解析を行って、当該大量の情報の傾向又は性質に係る情報を作成する行為(個人に関する情報であるものを除き、権利利益を害するおそれが少ないものとして委員会規則で定めるものに限る)と定義する。制度改正方針では、これに「統計作成等であると整理できるAI開発等を含む」とされている。

委員(衆議院・中道改革連合)からは、公開されていない病歴等の要配慮個人情報が、氏名・住所を伴った「生データ」のまま、本人同意なく国・自治体・民間企業・個人事業主に提供され得るのではないか、との強い懸念が示された。これに対し政府は、統計作成等の目的での利用に限り、要配慮個人情報であっても本人同意なく取得・第三者提供の対象となり得ること(第30条の2・第31条の3)、行政機関への提供も対象となることを認めた。

もっとも政府は、特例が適用されるのは、特定の個人との対応関係が排斥された統計情報等の作成にのみ利用される場合に限られ、個人ごとのスコアリングや個人向け広告・営業への転用は、定義上「統計作成等」に含まれない(第2条第13項括弧書)と説明した。名称が「統計」「AI学習」であっても、出力が個人に戻る処理は特例の枠外となる、との整理である。

特例は、大きく分けて、公開要配慮個人情報の取得特例(第30条の2)と、統計作成等目的の第三者提供特例(第30条の2第5項・第31条の3)から成る。いずれについても、目的限定に加えて、提供元・提供先の名称、統計作成等の内容等の事前・継続的な公表、目的外利用の禁止、再提供の制限、書面による合意等が要件とされ、これらを欠く運用は特例の効果を享受できず、本人同意の欠缺により第27条第1項違反となり得る。特例は「使える代わりに条件と責任が課される」高透明・高拘束型の利活用ルートであり、規律の緩和ではなく規律ルートの追加として理解すべきである。

3 氏名等の削除は「提供元」か「提供先」か――「必要がある場合」要件の意義

慎重な立場の委員(衆議院・中道改革連合)は、病歴等については提供の前に氏名・住所を削除すべきであると繰り返し求めた。政府(担当大臣)は、構造化されたデータであれば削除は容易であるが、非構造化データも多く、提供元(医療機関等)に一律の事前削除を課すことは負担が大きいとして、事前の仮名化・削除を一律の要件とはしない、と答弁した。

その一方で政府は、提供先が「AI開発等の目的で取り扱う必要がある場合」に限って提供できることを要件とし、統計作成等の内容に照らして氏名等が明らかに不要で容易に削除できるにもかかわらず漫然と提供する場合は、この要件を満たさず違法となる、と説明した。したがって、提供元にも、明らかに不要な項目を削除すべきことが法律上求められると解されるとされ、詳細はガイドラインで示すとされた。提供先については、不要なデータ項目を随時削除するために必要な措置を委員会規則で求める方針が示された。実務上は、この「必要がある場合」要件が、明らかに不要な氏名等の削除を提供元・提供先双方に求める歯止めとして機能する点に留意を要する。

4 要配慮個人情報のPETs化・削除の方向性――ガイドライン・委員会規則での議論

(1) PETs(プライバシー強化技術)とは

PETs(Privacy Enhancing Technologies。プライバシー強化技術)とは、個人情報をそのまま保持・開示することなく、データの分析・学習・統計処理を可能にするための技術の総称である。単一の技術を指すものではなく、複数の技術群からなる概念であり、参議院の参考人質疑等でも、統計作成等特例の安全性を確保する手段として具体的に言及された。両院の審議で言及された主なPETsは、次のとおりである。

第一に、差分プライバシーは、データに意図的にノイズ(誤差)を加えることにより、個々人を特定できないようにしつつ、全体としての傾向・統計値は把握できるようにする技術である。第二に、秘密計算(秘匿計算)は、データを暗号化したまま計算・分析を行い、元データを復元することなく結果のみを得る技術である。第三に、連合学習(フェデレーテッド・ラーニング)は、データを各事業者・各機関の内部に置いたまま、モデルのみを学習・更新することにより、生データを外部に出さずにAI開発を可能とする技術である。第四に、合成データは、実データの統計的な性質を模した架空のデータを生成し、実在の本人の情報を直接用いないようにする技術である。このほか、AIによるマスキング・フィルタリング(入力・出力時に個人情報や機微情報を検知して遮断する技術)や、アンラーニング(AIが学習した不要なデータを事後的に「忘れさせる」技術)等も、PETsに含まれる。

PETsの要点は、「データを使うこと」と「個人を守ること」を両立させるための技術的なガードレールである点にある。とりわけ、これらの技術を単独で用いるのではなく、①提供前(氏名・住所等の削除、匿名加工・仮名化)、②学習時(差分プライバシー、秘密計算、連合学習)、③出力時(AIによる個人情報のフィルタリング)、④事後対応(アンラーニング、再識別リスクの検証)といった各段階で重畳的に組み合わせて用いることが、再識別・漏えいリスクの低減にとって重要であると指摘されている。統計作成等特例により要配慮個人情報を取り扱う場面では、こうしたPETsの組合せによる多層的な保護が、安全管理措置及び「復元されることを防止するために必要かつ適切な措置」の中核となることが想定される。

(2) 審議に現れたPETs化・削除の方向性

両院の審議を通じて、政府は、統計作成等特例に基づき要配慮個人情報(病歴、犯罪歴、信条等)を取り扱う場合について、一律の事前削除・仮名化を法律上の要件とはしないとしつつも、委員会規則・ガイドラインのレベルでは、要配慮個人情報を提供・学習に用いる前に、削除・仮名化・匿名化その他のプライバシー強化技術(PETs)による処理を行う方向で運用を具体化する意向を繰り返し示した。この方向性は、審議の随所に現れており、実務上とりわけ重要である。特に、委員(衆議院・自由民主党)は、医療分野を始めとする分野別ガイドラインの策定、提供元でのデータ整理・提供先での不要データ削除、PETsの導入推奨といった上乗せ措置を提案し、慎重な立場の委員(衆議院・中道改革連合)は、医療情報・病歴について氏名等を除去した仮名化を原則とすべきこと、及び差分プライバシー・秘密計算・連合学習等のPETsの社会実装を求めた。

  • 政府は、統計作成等の内容に照らして氏名等が明らかに不要で容易に削除できるにもかかわらず漫然と提供する場合は、提供先が「AI開発等の目的で取り扱う必要がある場合」に限って提供できるという要件(第31条の3関係)を満たさず違法となると説明した。すなわち、要配慮個人情報については、明らかに不要な項目を提供前に削除すべきことが、法律上の「必要がある場合」要件の解釈として求められることとなる。詳細はガイドラインで明示するとされた。
  • 政府は、提供先において、不要なデータ項目を随時削除するために必要な措置を委員会規則で求める方針を示した。漏えいした場合のリスクが高い要配慮個人情報については、より慎重な取扱いが求められるとされ、差分プライバシー・秘密計算・連合学習・合成データ・マスキング・アンラーニング等のPETsを、安全管理措置及び「復元されることを防止するために必要かつ適切な措置」の一環として位置付ける方向が示唆された。政府は「我が国はPETsの技術水準が高い」とし、個人情報保護委員会において有効性・導入方法を調査し、事業者への導入を促す方策を検討すると答弁した。
  • 衆議院の附帯決議は、統計作成等につき、他の情報と照合して特定の個人を識別することができないようにするための措置を確実に講ずること(第3項)、及び要配慮個人情報について十分な安全管理措置及び委託先監督の徹底(第4項)を求め、あわせてPETsの活用に係る適切なインセンティブの検討(第6項)を求めている。これらは、要配慮個人情報を「生データ」のまま用いるのではなく、削除・仮名化・PETsによる処理を前提とする運用を、ガイドライン・委員会規則の整備を通じて実現すべきことを、立法府として要請したものと理解される。

以上を要するに、法律の条文上は一律の事前削除・仮名化を要件としないものの、要配慮個人情報については、実務上、提供前の削除・仮名化又はPETsによる処理を行う方向で、ガイドライン・委員会規則が整備される見込みである。統計作成等特例を要配慮個人情報に用いる企業は、この方向性を先取りし、生データのまま取り扱わない設計を前提に準備することが望ましい。

5 OpenAIに対する注意喚起(令和5年6月2日)との同一方向性

前記4で述べた「要配慮個人情報を学習・提供の前に削除・仮名化・PETs処理する」という方向性は、実は今回の改正で突如現れたものではなく、個人情報保護委員会が令和5年6月2日に公表したOpenAIに対する注意喚起[2]同一の方向を向いている。同注意喚起は、生成AIの機械学習における要配慮個人情報の取扱いについて、法第147条に基づき、次の対応を求めたものである。

(1) OpenAI注意喚起の内容(要旨)

同注意喚起は、あらかじめ本人の同意を得ないで要配慮個人情報を取得しないこと(法第20条第2項各号の場合を除く)を前提に、機械学習のための情報収集に関して、①収集する情報に要配慮個人情報が含まれないよう必要な取組を行うこと、②収集後できる限り即時に、含まれ得る要配慮個人情報をできる限り減少させる措置を講ずること、③なお含まれていることが発覚した場合には、できる限り即時に、かつ学習用データセットに加工する前に、当該要配慮個人情報を削除する又は特定の個人を識別できないようにするための措置を講ずること、④本人又は委員会等から特定のサイト・第三者からの収集をしないよう要請・指示があった場合には正当な理由がない限り従うこと、を求めた。あわせて、利用者が機械学習に利用されないことを選択して入力した要配慮個人情報を正当な理由なく取り扱わないこと、及び利用目的を日本語で通知・公表することを求めている。

(2) 今回改正の運用方向との一致

このうち、特に③――学習用データセットに加工する前に、要配慮個人情報を削除し又は特定の個人を識別できないようにする措置を講ずる――という要請は、今回の統計作成等特例における運用方向、すなわち「要配慮個人情報は、提供・学習の前に削除・仮名化・PETsで処理する」という方向と、まさに軌を一にする。委員会は、令和5年の時点で既に、生成AIの学習過程に入る前段階での要配慮個人情報の除去・非識別化を求めており、今回の改正は、これを統計作成等特例(AI開発を含む)の文脈で、より一般的な制度として組み込むものと位置付けることができる。

したがって、統計作成等特例を用いてAI開発・統計処理を行う事業者は、令和5年のOpenAI注意喚起で示された「学習前の要配慮個人情報の削除・非識別化」という委員会の一貫した姿勢を踏まえ、改正法の下でも、要配慮個人情報を生データのまま学習・提供に供しない設計を採ることが、委員会の運用方針と整合的である。逆に、要配慮個人情報を除去・非識別化しないまま学習・提供に用いる運用は、注意喚起の趣旨にも、改正法の「必要がある場合」要件・安全管理措置の趣旨にも反し、法第147条に基づく指導・注意喚起や、課徴金納付命令(第148条の3以下)の対象となるリスクを負う。

6 医療情報をめぐる攻防――次世代医療基盤法との関係と医師の守秘義務

(1) 次世代医療基盤法との「逆転現象」

慎重な立場の委員(衆議院・中道改革連合)からは、次世代医療基盤法では認定事業者に限って医療データの取扱いが認められるのに対し、本特例では非認定の一般事業者でも要配慮個人情報を取得しAI開発に利用できることとなり、特別法より一般法の方が緩やかになる「逆転現象」ではないか、との批判が示された。政府は、個人情報保護法は分野横断の一般法であり、本特例は統計作成等に限った同意不要の特例である点で、次世代医療基盤法とは目的が異なると説明した。特例に認定制を持ち込めば入口規制となり、利活用促進という制度趣旨が損なわれる、との立場である。

(2) 医師の守秘義務との関係(厚生労働省答弁)

元救急医である担当大臣は、膵がん画像の経過観察等を例に「氏名は不要であり、明らかに不要なものは事前削除を求める」と述べた。守秘義務との関係につき、慎重な立場の委員(衆議院・中道改革連合)の質疑に対し、厚生労働省(政務官)は、統計特例に基づく第三者提供であっても、直ちに医師の守秘義務違反の違法性が阻却されるわけではなく、行為の相当性等を総合考慮して違法性阻却の有無が判断されると答弁した。その際、本法案が定める各要件(公表、目的外利用・第三者提供の禁止、安全管理措置、書面合意等)に従った提供であることが、相当性を肯定する一要素となる、とされた。医療機関からの提供は、なお個別に相当性の判断を要する点に留意が必要である。

7 AI学習・再識別リスクとPETs――「AI学習は匿名化ではない」

衆参両院の参考人質疑では、保護に慎重な立場の参考人から、「基盤モデルの学習は匿名化のプロセスではない」との指摘がなされた。学習用データが個人情報であれば、学習によりモデルが自動的に個人情報でなくなるわけではなく、基盤モデルからの復元やメンバーシップ推論攻撃のリスクが残る、というものである。これに対し政府は、統計作成等特例では、大量の個人情報を「個人に関する情報に当たらない状態」まで加工することが求められ、仮名加工情報・匿名加工情報よりさらに一般化されるとして、再識別・漏えいのリスクは極めて低いと答弁した。委員会規則で復元防止措置を求め、統計情報等への不正な復元行為は現行法上の不正取得に該当するとした。

この点、前記4・5で述べた要配慮個人情報の削除・非識別化の方向性を踏まえると、「AI学習は匿名化ではない」という指摘は、学習前の段階でこそPETs・削除・非識別化による対処が必要であることを示すものといえる。差分プライバシー・秘密計算・連合学習等のPETsについて、政府は「我が国は高い技術水準にある」とし、個人情報保護委員会において有効性・導入方法を調査し、事業者への導入を促す方策を検討すると述べた。附帯決議でも、PETsの活用に係る適切なインセンティブの検討が求められている。

8 特定生体個人情報(顔特徴データ)とこども(16歳未満)の個人情報

(1) 特定生体個人情報(顔特徴データ)

顔特徴データについて、改正法案は、一定事項の周知義務、違法行為の有無を問わない利用停止等請求(第35条第7項・第8項)、オプトアウトによる第三者提供の適用除外(第27条第2項)を導入する。カメラ設置施設の入口等への掲示を委員会規則で求める方針が示された。委員(衆議院・中道改革連合)からは、利用停止請求のために本人の顔データと事業者保有データの照合が必要となる「パラドックス」が指摘され、政府は消去のための一時的な把握であり他目的利用は禁止されると答弁した(参議院でも同旨の指摘がなされた)。捜査・安全保障に係る周知義務・請求の例外も設けられる。

(2) こども(16歳未満)の個人情報

16歳未満の者について、利用停止等請求の要件緩和(第35条第9項・第10項)、法定代理人への読替え(第40条の2)、最善の利益を優先する責務規定(第58条の3)が設けられる。16歳未満とした理由として、民事訴訟法の証人宣誓年齢やGDPRの基準、現行ガイドラインとの整合が挙げられた。審議では、保護に慎重な立場の委員(衆議院・中道改革連合、参議院・国民民主党等)から、親の所得と学業成績等を結び付けるプロファイリングによる差別的利用や、DV・虐待事案で加害親が法定代理人として同意し得る問題が論じられ、政府は、違法な差別を誘発するAIの開発・利用は現行法の不適正利用の禁止で捕捉され得ると説明した。

9 課徴金制度の「スモールスタート」と団体訴訟――第148条の3以下

個人情報保護法で初めて導入される課徴金制度(第148条の3~第148条の17)につき、両院の委員(中道改革連合等の野党会派)は「額が低く、対象も狭い」と批判した。政府は、初めての導入ゆえ「スモールスタート」にならざるを得ないとし、附則第14条の3年ごと見直しを通じて水準・対象要件を検証するとした。対象は、不適正利用・不正取得・違法な第三者提供・統計作成等特例の目的外利用等の類型に絞られ、「1,000人超」・「権利利益侵害」等で限定される。統計作成等特例の違反も課徴金の対象となる。

もっとも、課徴金の対象行為に安全管理措置義務違反(第23条)が含まれていない点については、参議院の審議において、日本共産党の会派から特に強い不満が示された。すなわち、漏えい等の重大な結果は、多くの場合、安全管理措置の不備から生ずるものであり、これを課徴金の対象から外すことは、制度の抑止力を大きく損なうのではないか、との批判である。あわせて、目的外利用や要配慮個人情報の不正取得が対象から外れている点も、対象が狭きに失するとの指摘がなされた。これに対し政府は、安全管理措置義務違反には、意図的・悪質な行為から過失的な違反まで様々な態様があり、その全てを一律に課徴金の対象とすることは、事業者に与える不利益の程度に照らして相当でないこと、また、削減されたコスト等を基礎とする課徴金額の算定が困難であること等を理由として、今回は対象を絞り込んだと説明した。もっとも、政府は、この点も附則第14条の3年ごと見直しの検証対象となり得ることを認めており、今後の見直しにおける主要な論点となることが見込まれる。

海外事業者への執行については、領事送達により納付命令書を送達し、国内財産があれば民事執行法等により執行するが、国内に財産がない場合は執行上のハードルが高いことも率直に認められた。また、団体による差止請求・被害回復制度は今回見送られ、既存の消費者団体制度との法的整理を継続するとされた。

課徴金の成立要件との関係で、政府は、事業者が課徴金対象行為を防止するために「相当の注意」を怠ったことが要件となる旨を説明し、その判断は事業規模・情報の性質・取扱方法等に応じて個別に行われ、考え方をガイドライン等で示すとした。実務上は、要配慮個人情報を統計作成等特例に用いる場合に、前記4・5で述べた削除・仮名化・PETsによる処理を含む安全管理措置を講じ、「相当の注意」を尽くしたことを事後に説明できる記録・体制を整備しておくことが、課徴金リスクの管理上、重要となる。

10 外国事業者・越境移転・経済安全保障をめぐる論点

外国事業者も認定事業者・特例の利用主体となり得るが、日本の法令を遵守できる体制(基準適合体制)の整備が前提とされる。委員(衆議院・国民民主党、参議院・参政党等)からは、外国情報機関とつながる事業者の参入や「デジタル植民地」化への懸念、外国代理人登録法(日本版FARA)の要否が問われた。とりわけ参政党は、デジタル主権・経済安全保障の観点から両案に反対の立場を採った。政府は、越境移転規律は本特例で緩和されないこと、安全管理措置の遵守・関係省庁や外国当局との連携により野放図な海外流出を防ぐこと、公益を害する場合等には国等データを提供しないことを説明した。相互主義に基づく提供制限は現段階では想定しないとされた。

11 衆議院の附帯決議(14項目)の要点

衆議院で付された附帯決議の要点は、次のとおりである(抜粋・要約)。

第1項・第2項規則等制定時の意見聴取と、政策決定過程の透明性・予見可能性の確保。GDPR等との整合に留意しつつ、AI研究・事業活動が過度に萎縮しないよう配慮すること。
第3項統計作成等につき、他情報照合による識別防止措置の確実な実施、概念の狭隘化の防止、公表を本人が容易に知り得る状態に置くこと、個人情報保護委員会による状況把握・情報公表。
第4項統計作成等目的の要配慮個人情報について、十分な安全管理措置及び委託先監督の徹底。
第5項・第6項高精度プロファイリング規制の在り方の継続検討。PETs活用への適切なインセンティブの検討。
第7項「本人の意思に反しないことが明らか」な場合の同意不要特例につき、恣意的判断・濫用の防止と、規則における範囲・判断基準の明記。
第8項・第9項こどもの最善の利益の最優先考慮と教育・保育現場への周知。特定生体個人情報の周知の実効性確保と、機器周辺への掲示の徹底。
第10項・第11項漏えい時通知の代替措置の規則での明確化。オプトアウト届出事業者の監視・監督と、いわゆる闇名簿等の重大違反への緊急命令・課徴金の躊躇なき発出。
第12項・第13項課徴金運用の透明性確保と実効的抑止。団体による差止請求・被害回復制度の導入に向けた検討の継続。
第14項個人情報保護委員会の人員・予算の更なる充実。

12 実務への示唆――委員会規則・ガイドライン整備を見据えた対応

以上を踏まえた実務対応の要点は、次のとおりである。

  • 統計作成等特例の利用可否は、出力が「個人に戻るか否か」で線引きされる。名称が「統計」「AI学習」であっても、個人向け営業・与信・選別への転用は特例の枠外であり、課徴金の対象となり得る。
  • 要配慮個人情報を統計作成等特例に用いる場合は、生データのまま取り扱わず、提供・学習の前に削除・仮名化又はPETsによる処理を行う設計を前提とすべきである。前記4・5のとおり、これはガイドライン・委員会規則で整備が見込まれる方向であり、かつ令和5年のOpenAI注意喚起以来の委員会の一貫した姿勢とも整合する。要配慮個人情報については、「必要がある場合」要件を踏まえた不要項目の削除、提供元・提供先の役割分担、書面合意、公表事項の整備を、委員会規則・ガイドラインの内容を注視しつつ準備することが望ましい。
  • 課徴金の導入により、個人情報の取扱いは経営リスクとして管理する必要があり、違反時に「相当の注意」を尽くしたことを示せる内部統制・記録・委託先監督の体制整備が鍵となる。第四に、施行は段階的(公布後6か月の先行施行部分と、最大2年以内の本体施行部分)であるため、委員会規則・ガイドラインの整備状況を先取りした準備が、実務対応の要となる。

なお、本ニュースレターは、両院の特別委員会審議の概要を報告するものであり、一般的な情報提供を目的としています。個別の事案への対応については、別途ご相談ください。委員会規則・ガイドライン等は今後整備される予定であり、成立後の公布・施行スケジュールや最新の情報を適宜ご確認ください。

以上


[1]『「個人情報の保護に関する法律等の一部を改正する法律案」の閣議決定について(令和8年4月7日)』(https://www.ppc.go.jp/news/press/2026/260407/)。両院の審議経過・会議録は各議院のウェブサイトを参照。

[2]個人情報保護委員会「OpenAIに対する注意喚起の概要」(令和5年6月2日)。法第147条に基づき、OpenAI, L.L.C.及びOpenAI OpCo, LLCに対し、機械学習のための情報収集に関して、学習用データセットに加工する前に要配慮個人情報を削除し又は特定の個人を識別できないようにする措置等を求めたもの。

ACCESS 所在地
M&Pインベストメント・コンプライアンス株式会社
弁護士法人 三宅法律事務所  MIYAKE & PARTNERS

大阪事務所 OSAKA OFFICE

〒541-0042
大阪市中央区今橋3丁目3番13号
ニッセイ淀屋橋イースト16階
FAX
06-6202-5089

東京事務所 TOKYO OFFICE

〒100-0006
東京都千代田区有楽町1丁目7番1号
有楽町電気ビルヂング北館9階
FAX
03-5288-1025