はじめに — 個人情報保護法の3年ごと見直しとは
個人情報の保護に関する法律(以下「個人情報保護法」)の附則12条は、施行後3年ごとに法律の施行状況を検討し、必要に応じて見直しを行うことを定めています。2022年の改正法全面施行から3年を迎える2025年〜2026年にかけて、個人情報保護委員会(PPC)は精力的な検討作業を進め、2026年1月に改正方針案を公表しました。
今回の見直しは、従来の個人の権利保護の強化という方向性に加え、AI開発・利活用の推進という新たな政策課題が正面から取り上げられた点で、これまでの見直しとは大きく性格が異なります。政府が掲げる「日本をAI開発で最も簡単な国にする」という政策目標が、個人情報保護法制にも直接影響を与える形となっています。
改正の主要論点
1. AI学習データに関する同意要件の緩和
現行の個人情報保護法27条1項は、個人データを第三者に提供する場合に原則として本人の同意を要求しています。この規定がAI開発における大規模データセットの構築を困難にしているとの指摘が、産業界から強くなされてきました。
改正方針案では、以下の方向性が示されています。
| 項目 | 現行法 | 改正方針案 |
|---|---|---|
| AI学習目的の第三者提供 | 本人同意が原則必要(27条1項) | 一定の条件下で同意不要とする例外規定の新設 |
| 統計情報への加工 | 匿名加工情報(2条6項)として加工すれば提供可能 | AI学習目的の「中間的な加工」類型の検討 |
| 利用目的の特定 | 具体的な利用目的の特定が必要(17条1項) | AI学習・開発目的の包括的な利用目的記載の許容 |
特に注目すべきは、完全な匿名加工情報(個人の再識別が不可能な水準まで加工したもの)に至らない「中間的な加工」段階のデータについても、一定の安全管理措置の下でAI学習に利用できる枠組みが検討されている点です。
2. 要配慮個人情報の取得規制の見直し
現行法20条2項は、要配慮個人情報(人種、信条、病歴、犯罪歴等)の取得について、原則として本人の同意を必要としています。しかし、インターネット上で公開されている情報(ニュース記事、SNS投稿、公的記録等)に含まれる要配慮個人情報をAIが学習データとして取得する場合にも逐一同意が必要かという問題が指摘されています。
改正方針案では、公開されている要配慮個人情報の取得について本人同意を不要とする方向が示されています。これは国際的にも注目される変更であり、GDPRにおいても「明らかに本人が公開した個人データ」は処理の法的根拠に関して特別の扱いを受ける(GDPR9条2項(e))ことと整合的です。
ただし、以下の制限が検討されています。
- 取得後の利用目的に不当な差別や偏見を助長するおそれがないこと
- 取得したデータの安全管理措置(漏えい防止等)を講じること
- 本人から利用停止請求があった場合の対応義務
3. 越境データ移転規制の見直し
現行法28条は、外国にある第三者への個人データの提供について、本人同意を原則として要求しつつ、(1)個人情報保護委員会が認めた国、(2)基準適合体制を整備した事業者への提供については同意不要としています。
改正方針案では、以下の見直しが検討されています。
| 項目 | 現行法 | 改正方針案 |
|---|---|---|
| 移転先の情報提供 | 移転先の国名・制度の情報提供義務(28条3項) | 情報提供義務の簡素化・標準化 |
| 基準適合体制 | APEC CBPRシステム等の認定基準 | 国際的な相互認証枠組みの拡大 |
| AI開発目的の越境移転 | 一般的な越境移転規制が適用 | AI学習目的の特例的な移転許容の検討 |
AI開発においてはグローバルなデータセットの利用が不可欠であり、越境データ移転規制の過度な厳格化はAI開発拠点としての日本の競争力を損なうとの認識が背景にあります。
4. 課徴金制度の導入検討
現行法では、個人情報保護法違反に対する制裁は行政上の命令(法148条)と刑事罰(法173条以下)に限られています。しかし、命令違反に対する罰金額(法人の場合1億円以下)は、大規模なデータ侵害を起こした巨大IT企業に対する抑止力として不十分との指摘があります。
改正方針案では、課徴金制度の導入が検討されています。
- 対象行為: 個人情報保護委員会の命令違反、大規模な個人データ漏えい等
- 算定方法: 違反行為に関連する売上高の一定割合(具体的な料率は今後検討)
- 減免制度: 自主申告・早期是正措置を講じた場合の減額
これはGDPRの制裁金(全世界年間売上高の最大4%)を意識した制度設計であり、日本の個人情報保護法のエンフォースメントを大幅に強化するものです。
GDPRとの十分性認定への影響
EUは2019年1月に日本の個人情報保護法制について十分性認定を付与し、EU・日本間での個人データの自由な移転が可能となっています。この認定は定期的に見直されるため、今回の改正が十分性認定に影響を与える可能性があります。
維持に有利な要素
- 課徴金制度の導入はGDPR型のエンフォースメントに近づくため、肯定的に評価される可能性が高い
- 越境データ移転規制の国際的な相互認証枠組みの拡大もEUの方向性と整合的
リスク要因
- 同意要件の大幅な緩和は、GDPRのデータ主体の権利保護の理念と緊張関係にある
- 要配慮個人情報の取得規制緩和は、GDPRの特別カテゴリーデータ(9条)の厳格な保護とのバランスが問題
- 「日本をAI開発で最も簡単な国に」という政策目標自体が、EU側から保護水準の引き下げと受け取られるリスク
欧州委員会は十分性認定の見直しにおいて、改正後の法制度全体が「本質的に同等の保護水準」を維持しているかを審査します。同意要件の緩和がAI開発に限定された合理的な範囲にとどまるか、それとも保護水準の全般的な低下と評価されるかが、十分性認定維持の鍵となります。
今後のスケジュールと実務対応
| 時期 | 予定 |
|---|---|
| 2026年1月 | 改正方針案の公表(完了) |
| 2026年前半 | パブリックコメント・意見募集 |
| 2026年後半〜2027年 | 改正法案の国会提出 |
| 2027年〜2028年 | 改正法の成立・公布(見込み) |
| 公布後1〜2年 | 施行(政令で定める日) |
企業が今から準備すべき事項
- プライバシーポリシーの見直し: AI学習目的でのデータ利用について、利用目的への追記を検討
- データインベントリの整備: 保有する個人データのうち、AI学習に利用可能なデータの洗い出し
- 越境移転の現状把握: 海外のAI開発パートナーへのデータ提供状況の確認
- 課徴金リスクの評価: 現行法の遵守状況の総点検(課徴金導入に備えて)
- GDPR十分性認定への影響分析: EU域内からのデータ移転に依存する業務の特定
まとめ
2026年の個人情報保護法3年ごと見直しは、AI開発促進と個人の権利保護のバランスという現代的課題に正面から取り組むものです。同意要件の緩和や要配慮個人情報の規制見直しはAI産業にとって歓迎すべき方向性である一方、課徴金制度の導入は法令遵守の重要性を一層高めます。
特にAI関連事業者にとっては、改正の方向性を踏まえた先行的なコンプライアンス体制の構築が重要です。改正法の成立前であっても、個人情報保護委員会のガイドラインや改正方針案に沿った対応を進めることで、法改正後のスムーズな移行が可能となります。
---
*法律のミカタ編集部 | 2026年4月29日公開*
