一般社団法人MyDataJapan
東京都港区南青山3丁目1番36号青山丸竹ビル6

一般社団法人MyDataJapanは、個人情報保護法改正法案(2026年)について、下記の通り意見を述べます。

目次

  • 1. はじめに
  • 2. 統計等の特例
  • 3.子供の個人情報
  • 4.生体情報の保護
  • 5.委託規制の見直し
  • 6.連絡可能個人関連情報
  • 7.課徴金
  • 8.団体訴訟

1. はじめに

 本改正は、保護と利活用の双方にわたる多くの新しい制度を導入する大改正であり、これまで懸案となっていた課徴金の導入や生体情報の保護を盛り込んだ点で高く評価できるものである。もっとも、本改正には、課題や留意点も多く存在する。これらについては、下位法令やガイドラインによって手当てし、または今後の立法的課題として認識されるべきものである。

2.統計等の特例

(1)
 現行法では、目的外利用、要配慮個人情報の取得、個人データ・個人関連情報の第三者提供、にはいずれも原則として本人の同意が必要とされる。改正法が導入する本特例は、統計やそれと同視できるようなAI開発にのみ利用することが決まっていれば、権利利益の侵害のおそれが低いことからこれらの同意を不要とするというものである。AI開発の今後の重要性に配慮した改正であり、本人同意を不要とする特例の対象となる「統計作成等」については、「作成する行為のうち、個人の権利利益を害するおそれが少ないものとして個人情報保護委員会規則で定めるもの」に限定されている(2条13項)。
 この制度の円滑な運用を実現するために、もっとも重要なことは、適切かつ安全な内容を委員会規則に規定することである。(本来は規則に委ねることはできず、法律で規定すべきものもあるが、ここでは特に区別せずに検討する。)

(2)
 まず、「統計」については、公的統計と同程度の安全性があるもの、すなわち秘匿処理により個人が識別されないことが物理的に明確であるもの(再識別リスクが十分低いもの)とすべきである。

(3)
 次に、「統計作成等」に含まれるとされる「統計作成等であると整理できるAI開発等」(「個人情報保護法いわゆる3年ごと見直しの制度改正方針」(以下「制度改正方針」)2頁)については、そもそも基盤モデルの学習プロセスは、匿名化プロセスではないことに留意すべきであり、個人情報を学習用データとするAIが個人情報を出力してしまうことは十分にありうることである。統計と同等の安全性を確保するためには、後述のとおり、学習用データ自体の匿名化が不可欠というべきである。

(4)
 本特例の運用における最大のリスクは、①統計等作成者※が個人情報の第三者提供を受けまたは要配慮個人情報を自ら取得して、②これらを集積した大きな情報(特に1人の本人について多面的・大量な情報)が蓄積され、③これが統計化されずに又は統計化される前に、漏えい又は目的外利用・第三者提供されることである。改正法案もこれに備えて、統計等作成者に対して目的外利用禁止・第三者提供禁止の義務を課すこととしている(第30条ノ2第4項、第9項、第30条ノ2第10項、第11項)。
 しかしながら、統計等作成者として手を挙げることのできる事業者に関する制限は特になく(後述の海外の事業者を除く)、小規模事業者でも統計等作成者となることができる。つまり、統計等作成者が法令順守を重視する事業者である保証はなく、これらの義務(及び義務違反に対する課徴金等)の抑止力はおよそ万全なものとはいいがたい。そこで、もっとも合理的なリスク回避の方策は、統計等作成者の下に「生データが揃う」状況を避けることである。これを実現するために、提供の場合は提供元での適切な匿名化(仮名化等)※※、取得の場合は取得直後の適切な匿名化(仮名化等)※※を本特例適用の条件とすることが考えられる。適切に設計された学習用データの識別子削除・抽象化・仮名加工相当措置は、多くの場合、AI開発の目的を大きく損なわずにリスクを低減し得る。
 なお、第三者提供に関しては、本特例の適用対象となる提供データの中心は①データベース化されたもの(構造化データ)であり、これについては匿名化の労力やコストは大きなものではない。また、②データベース化されていないもの(要配慮個人情報)や③データベース化されたものとそうでないもの(非構造化データ)のハイブリッドデータ(電子カルテ等)も本特例の適用対象となりうるが、これらの場合は、構造化された部分のみの匿名化で足りるとすることも現実的な解決策であろう。

※ 正式には、要配慮個人情報の取得の場面では、「特例要配慮個人情報取得者」(第30条ノ2第2項)、第三者提供を受ける場面では、「特例個人情報受領者」(第30条ノ2第6項)であるが、ここでは、どちらも統計等作成者とよぶ。

※※ 具体的には、①氏名、個人識別符号、メールアドレス、電話番号の削除または置き換え及び②詳細な住所の抽象化等が想定される。

(5)
 改正法は、本特例の安全な運用のために、統計等作成者やデータの提供元がその氏名又は名称、統計作成等の内容等の委員会規則で定める事項を公表することを義務付けている(30条ノ2第1項、第5項)。前記のとおり、改正法は、統計等作成者に対して目的外利用禁止や第三者提供禁止の義務を課しているが、重要なことは、統計等作成者が実際にそのような義務を順守し、同時に収集したデータについての適切な安全管理措置を講じる能力・リソースがあるかどうかである。法令上の義務があったとしても、それを守る能力・リソースがない事業者が本特例を利用して大量のデータを収集することは危険である※。公表事項の意義は、まさにこの点(能力・リソースがあること)を外部に明確に示すことにあると考えられる。
 そのような観点から、委員会規則で定める公表事項は、統計等作成者の統計等作成にかかる組織体制、統計等作成に関して統計等作成者が遵守する内部ルール、統計等の作成に関して知見を有する人員、作成する統計等の安全性に係る事項、などを網羅すべきであり、公表事項から、統計等作成者のガバナンスにかかる能力・リソースがある程度推測できるような工夫がなされるべきである。また、統計等作成者に対するデータの提供元は、これらの情報を見たうえで、統計等作成者として適切なガバナンスを有していると合理的に判断し得る場合に初めてデータ提供をするよう義務付けられるべきである。

※ この点、次世代医療基盤法は、国の認定を受けた事業者が医療機関等から医療情報を収集し、匿名加工または仮名加工を行って研究機関等に提供する仕組みとなっており、本特例のような統計等作成者の能力・リソースの問題に配慮できている。本特例は、機微な医療情報等も対象にするものであるから、本来は次世代医療基盤法と同等の配慮がなされるべきであり、仮に認定制が難しいとしてもせめて届出制を採るべきではないか。

(6)
 提供元のガバナンスとして、提供に先立ってオプトアウトの機会を提供することが考えられる。特に提供元が非公開の要配慮個人情報を提供する場合については、受容性が低いことは明らかであり、オプトアウトの機会提供を義務とすべきである。

(7)
 本特例は海外事業者も統計等作成者となり得るものである。海外事業者のうち、第三者提供を受ける統計等作成者(特例個人情報受領者)については、海外事業者は、EU及び英国等、個人情報保護委員会規則・告示により我が国と同等水準の制度を有すると整理される外国にある事業者または基準適合体制整備事業者に限定されているが(第30条ノ2第5項)、公開された要配慮個人情報を取得する統計等作成者(特例要配慮個人情報取得者)については、そのような限定はない。基準適合体制整備事業者は、個人情報保護法が定める事業者の義務を遵守するために必要な体制を整備している者であって、そのような事業者でない者については、本人同意のない要配慮個人情報の取得と取扱いを認めるべきではない。公開された要配慮個人情報を取得する統計等作成者についても、基準適合体制整備事業者に限り、本特例の対象とすべきである。

(8)
 本特例により、特定の属性とネガティブな結果を結びつける推論が多数生成される可能性があることにも留意すべきである。たとえば、「①深夜にコンビニを利用し、②特定のサイトを毎日閲覧し、③週3日以上深夜2時以降に飲酒する人は支払遅延率が高い」のようなものである。このような顕著とはいえず本人にも自覚されにくい行動特性や属性を有する人を多少なりとも不利益・差別的にあつかうことは、結果的に大きな権利利益の侵害のおそれをもたらすこととなる。したがって、本特例により作成した統計結果を個人に当てはめることは、本人が自らの利益のために利用する場合や、本人の明示的関与・コントロールの下で利用する場合を除き禁止すべきである。確かに一定の統計的な推論を個人に当てはめることは日常的に行われている。たとえば、①30代の未婚女性で②料理に関する動画をよく見る人は旅行好きであるという推論に基づいて、あてはまる人に対して旅行の広告を出すことはごく普通に行われている。しかしながら、本特例によって本人の同意なく収集される膨大なデータに基づいてAIが生成する様々な推論については、本人の不利益になりうるものが多く含まれるおそれがあり、複数の属性・特性からなる非伝統的な被差別集団を大量に作り出す可能性がある。現行法は、不利益プロファイリング・差別的プロファイリングに対する規制が不十分であり、これに関する議論すら十分に進んでいない。このような状況の下ではいったん本特例による推論の個人へのあてはめを禁止しておくことに合理性がある。

3.子供の個人情報

(1)
 本改正が、子供の個人情報について、子供の特性に応じた取扱いを求めることとしたのは、誠に適切である。また、未成年者について、本人の最善の利益を優先して考慮すべき旨の責務規定を設けたこと(58条ノ3)も高く評価される。もっとも、以下の2点に注意を要する。

(2)
 16歳未満について、利用停止請求権を拡大し、原則これに応じることとしたのは適切である(35条9項)。しかしながら、請求を拒絶しうる例外事由が依然として多いというべきである。子供の保護、特にその可塑性に注目すれば、例外事由は子供の保有個人データを保有する事業者の事業支障に限定すべきであり、取得時の正当性・適法性等を例外事由とすべきではない。具体的には、法定代理人の同意を得て当該保有個人データを取得した場合(同項1号)、取得時において一定の主体により公開されていたものである場合(同項9号)、法定代理人が当該本人の営業を許可していた場合であって、事業者が当該営業に関して当該保有個人データを取得したとき(同項10号)、本人が16歳以上であることを信じさせるために詐術を用いていた場合(同項11号)については、例外事由とする合理性が明らかではないというべきである。

(3)
 年齢確認および法定代理人の資格確認の方法については、今後の議論によりガイドライン等で明確にされると考えるが、その際には、確認目的に照らして必要最小限の情報のみを取得・利用することが重要である。特に、年齢確認については、「16歳未満であるか」「一定年齢以上であるか」といった属性の確認で足りる場合が多く、氏名、住所、生年月日、本人確認書類の写し等の取得を当然の前提とすべきではない。年齢確認の名の下に過度な本人確認を求めることは、子供の個人情報をかえって広範に収集・蓄積する結果となり、本改正の趣旨に反するおそれがある。
 また、法定代理人の資格確認についても、親子関係その他の家族関係に関する詳細な情報を常に収集するのではなく、当該手続に必要な代理権限の有無を確認するために必要な範囲に限定すべきである。年齢属性のみを示す属性証明、法定代理人であることのみを示す資格証明、必要な属性だけを提示できるデジタルウォレット、ゼロ知識証明等のプライバシー保護技術の活用を含め、過度な情報収集を避ける仕組みをガイドライン等で明確化すべきである。

4.生体情報の保護

 生体情報のうち、本人が関知しないうちに容易に入手可能であり、一意性と不変性が高く特定の個人を識別する機能が永続的に認められるものについては、プライバシー侵害につながるおそれの高い情報である。またこのような生体情報を大量に収集するカメラ等のセンサーの機能も向上している。この点に着目して生体情報に対する特別の保護規定を導入したことは、適時適切な改正と評価できる。

 新たな保護の対象となる特定生体個人情報として、当面は、顔特徴データを政令で規定することが想定されるが、同じく本人が関知しないうちに容易に入手可能であり、一意性、不変性が相当程度高い声紋や歩容についても、特定生体個人情報とすることが検討されるべきである。また、DNA情報及び指紋についても、残置物から取得可能であることに加え、指紋については高解像度画像等を通じた取得可能性も指摘されているため、取得容易性、本人到達性、一意性・不変性の観点から、特定生体個人情報への追加を検討すべきである。

5.委託規制の見直し

 個人データ等の取扱いについて、①実質的に第三者(委託先を含む)に依存するケースが拡大しており、②委託元による委託先の監督等が十分に機能せず、委託先が委託された業務の範囲を超えて独自に個人データ等を利用する事案が生じている、という現状に関する問題意識は的確なものである。これを理由として、委託先に対して、委託を受けた業務の遂行に必要な範囲を超えて取り扱ってはならない法的義務を課すこと(30条ノ3)にも合理性がある。
 しかしながら、委託先が委託元から指示された方法で機械的に個人データ等を取り扱うのみの場合等一定の場合(以下「想定条件」という)に法第4章第2節から第4節までの義務を適用除外としたこと(58条ノ2)は疑問である。確かに、これらの事業者の義務の多くは委託先には関係がない。たとえば、想定条件の下では、委託先独自で第三者提供をすることはなく、開示等請求等への対応は委託元がやるであろう。しかしながら、適正利用義務(19条)と適正取得義務(20条1項)の適用が除外されるのは問題である。前記問題意識のとおり、委託元より委託先の方が取扱いに関するノウハウや情報を持っているのが現状であり、それには法令に関する情報も含まれている。委託元から①適正利用義務違反の疑いがある取扱いや②適正取得義務違反の疑いがある取得の委託の話が持ち掛けられた際に、委託先もこれらの義務違反に連座するのであれば、委託先は、違法の可能性を委託元に説明して委託元に思いとどまらせる説得を行う強い動機をもつであろう。しかしながら、委託先自身が法的責任を負わないのであれば、そのまま受けてしまうことも経済合理性に適うこととなり、委託元の違法のおそれがある不適正取扱いが実行されてしまうおそれがある。委託先が取扱いの実態、取得方法、利用目的、技術的手段について委託元より実質的に優位な知見を有するのであれば、むしろ適正利用義務及び適正取得義務の適用を一律に除外すべきではない。

6.連絡可能個人関連情報

(1)
 連絡可能個人関連情報については、従前から、リクナビ事件やケンブリッジアナリティカ事件といった個人関連情報の悪用・不適正な取扱いによる重大事件が生じており、これに対して適正利用義務(19条)および適正取得義務(20条1項)を課そうとする改正法の提案は、適切なものである。しかしながら、以下の問題が存在する。

(2)
 郵便が配達可能な住所(たとえば〇丁目〇番地〇号)が含まれるものが連絡可能個人関連情報とされるが(2条8項1号)、一人暮らしの場合、「どこそこの家にお住まいの人」は特定の個人を識別する情報であり、このような郵便が配達可能な住所は、個人関連情報ではなく個人情報と解すべきである(もっとも従来より、このような住所は単体では個人情報ではないとする整理もあった)。
 また、このこととの関係で、仮名加工情報と匿名加工情報に関する準用規定も問題である(42条4項、46条ノ2)。これは、住所等連絡先の含まれる仮名加工情報と匿名加工情報に連絡可能個人関連情報に関する適正利用義務と適正取得義務を準用するという行き届いた準用規定であるものの、他方で、郵便が配達可能な住所等については、いわゆる1号加工(規則31条1号、規則34条1号)によって削除または置き換えがなされているはずである。にもかかわらず、郵便が配達可能な住所を含む仮名加工情報と匿名加工情報に関する準用規定を設けることは、住所についての削除または置き換えを全くしないでそのまま残す加工方法も許容されるという誤解を招くものである。
 これらの問題が生じるのは、結局のところ、従来より個人情報の範囲を過度に狭く限定し、住所や電話番号、メールアドレス、cookie、広告IDといった情報を単体では個人情報ではないものとしてきたことに起因する。これらは現代のデータ流通環境において本人到達性・追跡可能性を有するものであり、連絡可能個人関連情報は、個人情報として整理し、適正利用義務と適正取得義務以外の個人情報に関する義務全般についても適用対象とすることを早急に検討すべきである。

(3)
 改正法によりcookieに紐づく情報は、連絡可能個人関連情報と整理され(2条8項4号)、適正利用義務(31条ノ2第1項)、適正取得義務(同条第2項)の対象とされた。前記(2)のような根本的な問題をいったん措くとすれば、方向性としては、適切な改正提案である。このこととの関係で、透明性に欠ける外部送信は適正取得義務違反であることをガイドラインに明記すべきである。個人情報保護委員会は2018年10月に、米国メタ社(当時はフェイスブックインク)に対して行政指導を行っているが、これは、フェイスブックの利用者が、ソーシャルプラグインである「いいね!」ボタンが設置されたウェブサイトを閲覧した場合、当該ボタンを押さなくともユーザーID、アクセスしているサイト等の情報がフェイスブックインクに自動で送信されていることを理由とするものであった。「いいね!」ボタンによる外部送信は、フェイスブックインクが利用者の登録情報を有していることから個人情報の取得であり、その取得の態様が透明性を欠くものであったため、適正取得義務違反の恐れがあるものとして行政指導を受けたものと考えられる。当時は、一般の広告事業者等による外部送信による情報の取得は、フェイスブックインクによる取得とは異なり、個人情報の取得ではなかったため、適正取得義務違反が問題とならなかったが、改正法によりcookieに紐づく情報が連絡可能個人関連情報として整理されたことにより、外部送信によるcookieに紐づく情報の取得は、透明性を欠く場合には、連絡可能個人関連情報の適正取得義務違反となるはずである。

(4)
 (3)と同様に、リクナビやケンブリッジアナリティカのようにcookieに紐づくウェブの閲覧履歴等を利用して、本人にとって不利益な情報(内定辞退率)のプロファイリングやマインドハッキング(人心操作)に対する脆弱性のプロファイリングを行うことは、連絡可能個人関連情報の適正利用義務違反にあたりうることをガイドラインに明記すべきである。

7.課徴金

(1)
 課徴金の導入は長らく懸案の課題であった。令和2年改正法の検討時には、 「制度改正大綱」において、「我が国の法体系、執行の実績と効果、国内外事業者の実態、国際的な動向を踏まえつつ、引き続き検討を行っていく」とされ、その法案審議においては、参議院の内閣委員会における附帯決議で、「違反行為に対する規制の実効性を十分に確保するため、課徴金制度の導入については、我が国他法令における立法事例や国際的な動向も踏まえつつ引き続き検討を行うこと」とされていた。これを実現した本改正は高く評価されるべきである。しかしながら以下のような重大な問題が存在する。

(2)
 まず、対象義務の範囲が狭すぎる点である。特に要配慮個人情報の取得制限(20条2項)と目的外利用(18条1項)を対象外にするのは問題である。これらについての義務違反は、重大な権利利益の侵害を生じる可能性のあるものである。また、2025年3月の「個人情報保護法の制度的課題に対する考え方について」の際には入っていたものが、本年1月の制度改正方針の段階で外れており、対象外となった経緯も不透明である。
 なお、安全管理措置義務がすべて対象外となっていることも問題である。特に統計等の特例に関して統計等作成者の下に集められた加工前の情報(2.(4)参照)に関する安全管理措置義務(第30条ノ2第14条)が課徴金の対象外となっているのは統計等の特例の制度の安全性に関する疑問を生じさせるものである。

(3)
 次に、適正利用義務違反の行為類型が、①違法行為や不当な差別的取扱いを行うおそれのある第三者への個人情報提供と(168条ノ3第1項1号)②そのような第三者の求めに応じて行う個人情報の利用(同2号)に限定されている点は不合理である。不適正利用には当然「単独犯」の類型もあるはずであり、第三者が関与する場合と「単独犯」では、その悪質性や権利利益の侵害のおそれに類型的な差異があるとは考え難い。第三者の関与を課徴金適用の要件とすることは不適当である。

(4)
 最後に、課徴金の額の算定方法が、違法行為によって得られた額に相当する額になっているため(148条ノ3第1項)、課徴金に本来期待される抑止力がない点も大きな問題である。違法利得相当額を基本とする算定では、発覚可能性が100%でないことを前提とすると、期待値上、違法行為を十分に抑止できないおそれがある。仮に違法行為が発覚し、課徴金の対象となった場合であっても、得られた額を吐き出せば済むのであれば、違法行為を思いとどまらせる効果は極めて低いというべきである。このことは違法行為を抑止して権利利益の侵害を防ぐという点で問題であるが、同時に、違法行為で収益を上げようとするブラックな事業者と、行為の適法性に留意しつつ事業展開を行うまっとうな事業者との間の公正競争の観点からも問題である。

8.団体訴訟

 団体訴訟については、制度改正方針において、「関係するステークホルダーとの相互の協力関係等の状況、「個人の権利利益を保護すること」を目的とする個人情報保護法と消費者団体訴訟制度との関係の整理等の課題があることを踏まえ、今回の見直しにおいては制度的な導入については見送ることとする」とされた(制度改正方針3頁)。しかしながら、行政法の研究者等が参加した「個人情報保護法のいわゆる3年ごと見直しに関する検討会」の報告書では、特に導入に関する理論的な問題は指摘されておらず、むしろ以下のように述べられていた。「委員会の体制面や人的資源等にも限界はあり、必ずしも全ての違反行為に迅速かつ網羅的に対応できるとは限らない。こうした既存の本人の権利行使による対応や委員会の権限行使による対応の限界を踏まえると、個人情報の違法な取扱いが行われている場合に、適切に権利救済を受ける手段を多様化し、より確実に救済を受けられる環境を整えていくことは重要であると考えられる」(同報告書30頁)

「確実に救済を受けられる環境を整えていくこと」の重要性は、ここに記載されたとおりであり、団体訴訟の導入は立法的課題であることが改めて確認されるべきである。

以上