改正案の概要 ― 2026年4月8日閣議決定
2026年4月8日、政府は個人情報の保護に関する法律(個人情報保護法)の改正案を閣議決定しました。今回の改正は、3年ごとの見直し規定(附則第10条)に基づく大規模改正であり、AI・ビッグデータ時代に対応したデータ利活用の促進と違反行為への抑止力強化の2つを柱としています。
松本剛明デジタル大臣は閣議決定後の会見で、「対応の遅れはAI開発に大きな障害を生む」と述べ、今国会での成立を目指す考えを示しました。
改正案の主な内容は以下の4点です。
- AI学習・統計目的のデータ利用における同意要件の緩和
- 課徴金制度の新設
- 刑事罰の強化(法人重課を含む)
- 個人の権利保護の拡充
以下、それぞれのポイントを詳しく解説します。
---
AI学習・統計目的のデータ利用 ― 同意不要の新ルール
改正の背景
現行法では、個人データを本人の同意なく第三者に提供したり、取得時の利用目的を超えて利用したりすることが原則として禁止されています。しかし、AI開発においては大量のデータを学習に使う必要があり、一人ひとりから個別に同意を取得することが事実上不可能なケースが増えていました。
欧州のGDPR(一般データ保護規則)では「正当な利益」に基づく処理が認められており、米国でも生成AI向けのデータ利用に関するガイドラインが整備されつつあります。日本がこのまま厳格な同意要件を維持すれば、AI開発の国際競争力が低下するという危機感が背景にありました。
緩和の条件と制限
改正案では、以下の2つの条件を同時に満たす場合に限り、本人の同意(オプトイン)なしでの個人データの利用が認められます。
| 条件 | 具体的な内容 |
|---|---|
| 個人の識別不能 | データから特定の個人を識別できない形で利用すること(統計情報への変換、匿名加工情報としての利用など) |
| 権利利益の非侵害 | 利用により本人の権利利益が侵害されるおそれがないこと |
つまり、個人を特定できる形でのAI学習は引き続き同意が必要です。緩和されるのは、統計処理、匿名加工データとしてのAIモデル学習、学術研究目的の利用などに限定されます。
対象となるユースケース
- 匿名化された購買データを用いたレコメンドエンジンの学習
- 大量のテキストデータを用いた大規模言語モデル(LLM)の事前学習
- 医療データの統計分析による疫学研究
- 匿名化された位置情報データに基づく都市計画シミュレーション
対象とならないケース(引き続き同意が必要)
- 特定個人のプロファイリングに使用する場合
- 個人を再識別可能な形でデータを保持する場合
- センシティブ情報(病歴、犯罪歴、人種等)を含むデータの利用
---
課徴金制度の導入 ― 「違反は割に合わない」仕組みへ
制度の概要
改正案の最大の目玉の一つが、課徴金制度の新設です。これまで個人情報保護法では、個人情報保護委員会による行政指導・命令と、命令違反に対する刑事罰が主な執行手段でしたが、経済的利得を直接剥奪する仕組みがなかったため、「違反してでも利益を得た方が得」という状況を防げませんでした。
対象と金額
| 項目 | 内容 |
|---|---|
| 対象行為 | 個人データの不正取得・不正利用(違法な第三者提供を含む) |
| 対象規模 | 1,000人以上の個人データに関する違反 |
| 課徴金額 | 違反行為により得た利得相当額(売上や利益ではなく「不当に得た経済的利益」) |
| 賦課主体 | 個人情報保護委員会 |
手続きの流れ
- 個人情報保護委員会が違反事実を認定
- 事業者に弁明の機会を付与(行政手続法の適用)
- 課徴金の金額を算定し、納付命令を発出
- 事業者は不服がある場合、取消訴訟を提起可能
独占禁止法との比較
独占禁止法の課徴金制度(売上高の一定割合を賦課)とは異なり、個人情報保護法の課徴金は利得相当額を基準とします。これは、個人データの「売上高」を算定しにくいケースが多いため、より柔軟な算定基準が採用されたものです。
---
罰則強化 ― 重大な違反を繰り返す事業者への対応
改正のポイント
改正案では、以下の点で刑事罰が強化されます。
- 個人情報保護委員会の命令に違反した場合の法定刑引き上げ
- 重大な違反を繰り返す事業者に対する法人重課の導入(法人に対して個人よりも重い罰金を科す)
- 不正な利益を目的とした個人情報の提供・盗用に対する罰則の厳格化
改正前後の比較表
| 項目 | 改正前 | 改正後 |
|---|---|---|
| AI学習・統計目的のデータ利用 | 原則として本人の同意(オプトイン)が必要 | 個人識別不能かつ権利非侵害であれば同意不要 |
| 経済的制裁 | 行政命令・刑事罰のみ(課徴金なし) | 課徴金制度を新設(利得相当額を賦課) |
| 課徴金の対象規模 | ―(制度なし) | 1,000人以上の個人データに関する違反 |
| 法人に対する罰則 | 個人と同額の罰金 | 法人重課(個人より重い罰金) |
| 反復違反への対応 | 一般的な刑事罰 | 加重処罰規定の導入 |
| 利用停止請求権 | 目的外利用・不正取得の場合のみ | 要件を拡充し、より広い範囲で行使可能 |
法人重課は、近年のカルテル規制や金融商品取引法における法人罰金の引き上げと同様の流れであり、「会社として違反を防ぐ体制を整えるインセンティブ」を高める狙いがあります。
---
企業が今すぐやるべき対応 ― 実務チェックリスト
改正法は今国会で成立すれば、公布から1〜2年以内に施行される見通しです。施行日を待たず、以下の対応を早期に開始することが重要です。
1. データ利用目的の棚卸し
自社が保有する個人データについて、どのデータをどの目的で利用しているかを棚卸ししてください。特に以下の点を確認します。
- AI開発・機械学習に使用しているデータはあるか
- そのデータは匿名加工済みか、それとも個人を識別可能な状態か
- プライバシーポリシーに記載された利用目的と実際の利用が一致しているか
2. 同意取得プロセスの見直し
緩和規定の適用を受けるためには、匿名加工情報の作成基準を満たす必要があります。現行の匿名加工情報ガイドラインを再確認し、自社の匿名化プロセスが十分かどうかを検証してください。
3. 課徴金リスクの評価
1,000人以上の個人データを扱っている企業は、課徴金制度の対象となり得ます。以下をチェックしてください。
- 個人データの取得経路は適法か(同意の有無、利用規約の記載など)
- 第三者提供を行っている場合、提供先の管理体制は十分か
- データブローカーから購入したデータはないか
4. 社内規程・研修の更新
改正法に対応した個人情報取扱規程の改訂と、従業員向け研修の実施を計画してください。特に、AI開発部門やマーケティング部門など、大量の個人データを扱う部署への教育が重要です。
5. インシデント対応体制の強化
課徴金制度の導入により、漏えい事案の影響が従来よりも大きくなります。インシデント発生時の初動対応フロー、個人情報保護委員会への報告体制、本人通知の手順を再点検してください。
---
個人の権利はどう守られるか
利用停止請求権の拡充
改正案では、本人が事業者に対して個人データの利用停止・消去を請求できる権利の範囲が拡大されます。現行法では目的外利用や不正取得の場合に限定されていますが、改正後は本人が利用停止を求める正当な理由がある場合にも行使可能となります。
個人情報保護委員会の機能強化
個人情報保護委員会の立入検査権限の強化や人員体制の拡充も盛り込まれています。これにより、法執行の実効性が高まり、違反行為の早期発見・是正が期待されます。
オプトアウト手続きの整備
AI学習目的のデータ利用が同意不要となる一方で、本人が自分のデータをAI学習に使わないよう求めるオプトアウト手続きを事業者が整備する義務が設けられます。事業者は、利用者に対してわかりやすい形でオプトアウトの方法を提示しなければなりません。
---
国際的な潮流との比較
今回の改正は、EUのAI規則(AI Act)や米国各州のプライバシー法との整合性も意識されています。
- EU:GDPRの「正当な利益」条項でAI学習データの利用を一定条件下で認めつつ、AI Actで高リスクAIに厳格な規制を課す二層構造
- 米国:連邦レベルの包括的プライバシー法は未成立だが、カリフォルニア州CCPA/CPRAが「自動意思決定からのオプトアウト権」を規定
- 日本(改正後):匿名加工・統計目的に限定して同意不要とし、課徴金で違反抑止を図るアプローチ
日本の改正案は、EUほど規制的ではなく、米国ほど自由放任でもない中間的なアプローチと評価できます。
---
まとめ
2026年4月8日に閣議決定された個人情報保護法改正案は、AI時代のデータ利活用と個人の権利保護のバランスを再定義する重要な法改正です。
企業にとっては、AI開発やデータ分析の幅が広がる一方で、課徴金制度の導入によりコンプライアンスの重要性がこれまで以上に高まります。改正法の施行に備え、データガバナンス体制の整備、プライバシーポリシーの見直し、社内教育の強化を早急に進めることが求められます。
個人の立場からは、オプトアウト権の行使方法を理解し、自分のデータがどのように利用されているかに関心を持つことが重要です。
法改正の詳細は今後の国会審議で確定するため、最新情報を継続的にフォローすることをお勧めします。個人情報の取扱いやAI開発におけるデータ利用について不明な点がありましたら、専門の弁護士にご相談ください。
