改正個人情報保護法が成立 AI開発なら「本人同意なし」でデータ提供――企業のセキュリティ実務はどう変わるか

2026年7月10日、個人情報保護法の一部を改正する法律が参議院本会議で可決・成立した。最大の焦点は、AI(人工知能)の開発や統計の作成を目的とする場合に限り、本人の同意を得ずに個人データを取得・第三者提供できる特例が新設された点だ。対象には病歴や犯罪歴、人種、信条といった機微性の高い「要配慮個人情報」まで含まれる。データ活用を後押しする規制緩和と、課徴金という新たな制裁による事後規制の強化が同時に盛り込まれた今回の改正は、情報を預かるすべての企業に対応を迫るものになる。

何が変わったのか――「同意」の壁が一部下がる

現行の個人情報保護法は、取得時に示した利用目的を超えた個人データの利用や、本人の同意を得ない第三者提供を原則として禁じてきた。とりわけ病歴・犯罪歴・人種・信条などの要配慮個人情報は、取得の段階から本人同意を必須とする厳格な扱いが求められてきた。

今回の改正は、この原則に例外を設ける。統計の作成やAIの開発など、特定の個人を識別しない形での利用にとどまる場合には、本人の同意なしに個人データを取得・提供できるようにする。報道によれば、松本剛明デジタル相は成立に先立ち、対応の遅れがAI開発の障害になりかねないとの認識を示していたとされ、AI分野の国際競争を意識した緩和であることがうかがえる。

もっとも、緩和は無条件ではない。専門家の解説によると、特例の適用には「データから特定の個人を識別できない形で利用すること」と「本人の権利利益を侵害するおそれがないこと」の双方を満たす必要があるとされる。裏を返せば、特定個人のプロファイリングや、再識別が可能な形でのデータ保持は引き続き同意が必要になるとみられる。

規制緩和と一体の「課徴金」――事後の制裁を厳しく

改正のもう一つの柱が、課徴金制度の新設である。これまで個人情報保護法の執行手段は、個人情報保護委員会による行政指導・命令と、命令違反に対する刑事罰が中心で、違反によって得た経済的利得そのものを剥奪する仕組みは存在しなかった。

新制度では、1,000人を超える個人データに関する不正取得・不正利用などの違反について、違反行為で得た利得に相当する額を個人情報保護委員会が課すことができるようになるとされる。事前の規制を緩める代わりに、事後の制裁を強めることで「違反した方が得」という状況を防ぐ狙いだ。あわせて、重大な違反を繰り返す事業者への刑事罰の強化や、法人により重い罰金を科す法人重課も導入される見通しと報じられている。

一方で、この改正には反対も根強い。報道によると、立憲民主党や公明党などは、機微な情報が本人の同意なく利用されることへの懸念が払拭しきれていないとして反対に回った。プライバシー保護と利活用のバランスをめぐる議論は、施行後も続くことになりそうだ。

施行までの猶予は「原則2年以内」

改正法は公布後、原則として2年以内に施行される見通しとされる。数値基準や適用範囲の細部は、今後の政令・規則や個人情報保護委員会のガイドラインで具体化される部分が多く、企業は確定を待つのではなく、早い段階から準備を進める必要がある。

企業のセキュリティ担当者が押さえるべき論点

今回の改正は、単なる「データを使いやすくする法律」ではない。緩和と厳罰化がセットである以上、社内の情報管理体制そのものが問われることになる。

第一に、保有する個人データの棚卸しである。どのデータを、どの目的で、どの程度まで個人を識別できる状態で扱っているのか。AIの学習やデータ分析に用いているデータが、匿名・統計処理を経て「識別不能」の水準に達しているのかを、改めて検証する必要がある。特例の適用を受けられるかどうかは、この匿名化・非識別化の実装の質に左右される。

第二に、課徴金という新たなリスクの評価だ。1,000人を超える個人データを扱う企業にとって、漏えいや不正利用が発覚した際の金銭的インパクトは従来より大きくなる。取得経路の適法性、第三者提供先の管理、外部から購入したデータの素性など、データの「入口」と「出口」を点検しておくことが、そのままリスク低減につながる。

第三に、インシデント対応と本人対応の再設計である。事後規制が強まるということは、いざ漏えいが起きたときの初動、個人情報保護委員会への報告、本人への通知やオプトアウトの受付といった一連の対応が、これまで以上に企業の責任として重くのしかかることを意味する。緩和で広がる利活用の自由と、厳罰化で増す説明責任は表裏一体だと捉えるべきだろう。

この改正が情報セキュリティの現場に迫るもの

AIの実装が当たり前になりつつある今、「使えるデータが増える」ことは多くの企業にとって前向きな変化だ。しかし同時に、機微な情報が本人の知らないところで流通し得る制度へと踏み込んだことは、漏えいや目的外利用が起きたときの被害の質を変える。要配慮個人情報が扱われる場面が広がるほど、その保護の失敗がもたらす影響も深刻になる。

規制緩和を「守りを緩めてよい」という合図と受け取れば、課徴金という現実的なペナルティが待つ。逆に、緩和された自由を活かしつつ、匿名化・アクセス管理・監査といった技術と運用の両面で守りを固められる企業だけが、AI時代のデータ活用を安全に進められる。今回の改正は、データガバナンスの成熟度がそのまま企業のリスクとして跳ね返る時代の到来を示している。

出典・参考リンク