2026年5月26日、個人情報保護法改正案が衆院本会議で与党と国民民主党などの賛成多数で可決されました。参院の審議を経て、今国会中に成立する見通しです。
改正案の柱は大きく二つ。一つは、国産AI開発を後押しするための規制緩和。もう一つは、個人情報を悪用した業者への課徴金制度の新設です。
「個人情報をもっと自由に使えるようにする」と「悪用には厳しく罰する」という、一見相反するように見える二つの方向性を、一つの法律に盛り込んだ改正です。私たちの生活にどう関わるのか、わかりやすく解説します。
「要配慮個人情報」とは何か——なぜ今まで同意が必要だったのか
今回の改正を理解する上でカギとなるのが、「要配慮個人情報」という概念です。
個人情報の中には、扱いを誤ると差別や偏見につながる恐れがある特にデリケートな情報があります。病歴、犯罪の経歴、人種、信条(宗教・思想)、犯罪被害の事実などがこれにあたり、「要配慮個人情報」と呼ばれています。現行法では、こうした情報の取得には原則として本人の同意が必要とされています。
ところがAI開発の現場では、精度の高いモデルを作るためにインターネット上の膨大な情報を大規模に収集・学習させることが不可欠です。SNSやウェブサイトで公開されている情報の中には要配慮個人情報も含まれており、一人ひとりから同意を取ることは事実上不可能でした。これが国産AIの開発を妨げる障壁の一つになっていたのです。
改正のポイント①——AIのための規制緩和:同意なしに要配慮情報も収集可能に
改正案では、統計作成やAI開発といった「個人が特定されない用途」に限定して、大幅な規制緩和が行われます。
具体的には、次の二点で本人の同意が不要になります。
SNSなどで公開されている情報の収集:交流サイト(SNS)や一般公開されているウェブサイトに掲載された情報については、本人同意なしに収集できるようになります。
企業が保有する情報の他社への提供:企業が自社で保有する個人情報を、統計作成・AI開発目的で他社に提供する場合も、本人同意が不要になります。
対象となる情報には、病歴・犯罪歴のほか、人種・信条なども含まれます。こうした要配慮情報についても、個人が特定されない統計・AI目的であれば活用が認められることになります。
デジタル相は閣議後の記者会見で「AIの開発には多様なデータを取り込むことが必要で、滞るようなことがあっては、わが国の開発・利活用に非常に大きな障害が生じる」と強調しており、AI国際競争での遅れを取り戻す狙いが鮮明です。
規制緩和への懸念——病歴・犯罪歴の「同意なし利用」は本当に大丈夫か?
この規制緩和については、懸念の声も根強くあります。
病歴や犯罪歴は、就職・融資・保険など社会生活のさまざまな場面で不当な差別につながる可能性がある、特に慎重に扱わなければならない情報です。「統計目的・AI目的に限る」という条件はあるものの、その範囲の解釈や運用が適切かどうかについては慎重な検討が必要です。
また、SNSで「公開」している情報であっても、本人が「AI学習に使われる」とは想定していないケースも多いでしょう。「公開した情報なら何に使っても構わない」とする解釈が広がることへの不安も理解できます。
法律上は統計・AI目的に限定されており、違反すれば課徴金の対象にもなりますが、実際の運用がどこまで適切に担保されるか、今後の監視体制が問われます。
改正のポイント②——悪質業者への課徴金制度の新設
もう一方の柱が、課徴金制度の導入です。
課徴金とは、違反によって得た利益を行政が没収する制度で、刑事罰の「罰金」や行政罰の「過料」とは異なります。裁判所の手続きを経ず、個人情報保護委員会が直接命じられる点が特徴です。
課徴金の対象となる要件
- 1,000人分を超える大規模な個人情報を不正に取得・利用した業者
- 違法行為で財産的利益を得ていること
- 相当の注意を怠っていたこと
- 権利・利益の侵害があること
上記を満たした場合、得た利益の相当額を国庫に納付するよう命じられます。
現行法では、違反業者が個人情報保護委員会の勧告・命令を受けても、違反行為をやめさえすれば不正に得た利益を手元に残せていました。つまり「バレなければ儲かる、バレても利益は残る」という抜け穴があったのです。課徴金制度はこの構造を根本から変えます。
なお、安全管理の不備による情報漏えいなど、悪意のない過失によるものは課徴金の対象外とされており、一般企業が通常のセキュリティ対策をとっている限り、過度に恐れる必要はありません。
残された課題——団体訴訟制度は見送り
今回の改正で議論になりながらも見送られたのが、「団体訴訟制度」です。
これは、消費者団体が個人に代わって個人情報の利用差し止めなどを求めることができる制度。欧州のGDPR(一般データ保護規則)などではすでに整備されており、日本でも消費者団体を中心に導入を求める声が上がっていました。
しかし今回の改正案には盛り込まれませんでした。個人が自分の権利を守ろうとする場合、現状では自ら訴訟を起こすしかなく、費用・手間・専門知識の面でハードルが高い状況は変わりません。
消費者・個人の側の権利行使手段の拡充については、今後の継続的な議論に委ねられた形です。
私たちの生活にどう関わるか——わかりやすくまとめると
| 改正内容 | 現行 | 改正後 |
|---|---|---|
| AI・統計目的の個人情報収集 | 要配慮情報は本人同意が必要 | 統計・AI目的なら同意不要 |
| 企業間の情報提供 | 本人同意が原則必要 | 統計・AI目的なら同意不要 |
| 悪質な不正利用への制裁 | 勧告・命令のみ(利益は残る) | 課徴金で利益を没収 |
| 消費者団体による差止請求 | 制度なし | 今回も見送り |
まとめ——保護と活用、二つの顔を持つ改正
今回の個人情報保護法改正は、「規制緩和でAI開発を加速する」と「課徴金で悪用を厳しく抑止する」という二つの方向性を同時に追う改正です。
AI開発競争が激化する国際情勢のなか、日本が遅れをとらないためのデータ基盤整備は確かに必要です。一方で、病歴や犯罪歴といった極めてセンシティブな情報が「同意なし」で流通することへの不安は、法律が整備されても消えるわけではありません。
制度の運用が適切かどうかを市民・消費者の立場から継続的に監視していくことが、これからますます重要になります。参院での審議も含め、今後の動向を引き続き注目していきましょう。
