TALENTCLOUD
AI情報ブログ一覧へ
8分で読めます

AI開発を後押しする個情法改正 統計特例と課徴金、両方セットで読む

AIニュース法規制AI導入

監修: 寺師 岳見(株式会社タレントクラウド 代表取締役)

個情法改正の緩和(統計特例)と強化(課徴金・特定生体個人情報の利用停止請求権)を並置し、中小企業の実務チェック観点を示した概念図

2026年7月8日、AIの開発を後押しするための「個人情報の保護に関する法律等の一部を改正する法律案」が、参議院の特別委員会で賛成多数で可決されました(朝日新聞)。近く参議院本会議でも採決され、成立する見込みです。

見出しだけを追うと「AI開発のために本人同意なしでデータが渡る」といった、少し尖った書き方に寄りやすいのですが、実際の改正案は 緩和と強化を1本にまとめた抱き合わせ の構造になっています。中小企業の経営者と情シスの立場からは、片方だけを見て判断すると誤解します。この記事では、公式資料(個人情報保護委員会 令和8年4月7日発表)と主要報道をもとに、いま決まりつつある中身と、自社で何を先に見直すべきかを整理します。

参院特別委員会で可決、7月成立見込み まず何が決まりつつあるか

流れを短く並べます。

  • 2026年4月7日: 「個人情報の保護に関する法律等の一部を改正する法律案」が閣議決定、第221回特別国会に提出
  • 2026年5月21日: 衆議院特別委員会で可決。統計特例に付帯決議、新設される罰則にも異論
  • 2026年5月26日: 衆議院本会議で可決
  • 2026年7月8日: 参議院の特別委員会で賛成多数で可決。近く本会議で採決、成立見込み

参院特別委員会では、公明党や立憲民主党などが「要配慮個人情報(病歴・犯歴・思想信条など)を、AI開発を含む統計特例の対象から外す」修正動議を提出しましたが、修正動議は否決され、政府原案が可決されました。X上ではプライバシー団体や医療関係者、専門家からの懸念の声が広がり、可決当日には保団連(全国保険医団体連合会)が抗議声明を出しています。

改正は「緩和と強化」の抱き合わせ 3つの柱を分けて見る

改正案は多岐にわたりますが、この記事では中小企業の実務への影響が特に大きい3点に絞ります。個人情報保護委員会の説明を踏まえ、規制の方向で分けて並べます。

1. 統計作成等のための「同意なし提供」特例 規制緩和の柱

法律上の「統計作成等」(大量の情報を解析して、個人を識別しない傾向・性質などの情報を作る行為)に該当するAI開発などを目的とする場合に限り、事業者が個人データを本人の同意なく第三者に提供できる特例を新設します。要配慮個人情報に関する新設の特例は、次の2つに分かれます。

  • 公開されている要配慮個人情報の取得特例: 統計作成等を目的とする場合に、公開済みの要配慮個人情報を同意なく取得できる
  • 統計作成等目的の提供先への提供特例: 個人データを、統計作成等だけを目的とする提供先に、同意なく提供できる。提供元・提供先や利用内容の公表、書面または電磁的方法による合意、目的外利用や再提供の制限、安全管理措置などの条件付き

今回の改正の目玉であり、社会的な議論もここに集中しています。すべてのAI開発が対象になるわけではなく、あくまで法律上の「統計作成等」に該当するAI開発などが対象です。

2. 課徴金制度の新設 規制強化の柱その1

個人情報の違法な取扱い等によって財産上の利益を得た場合に、個人情報保護委員会が課徴金の納付を命じる制度が新設されます。対象になる違反類型は、第19条(不適正な利用)、第20条第1項(不正な手段による取得)、第27条第1項(第三者提供の制限)への違反、そして統計特例違反の4カテゴリです。ただし、個人情報の取扱いに関する軽微なミスすべてに課徴金が科されるわけではありません。違反によって財産上の利益を得た場合や、多数の本人に影響する大規模・悪質な事案が主な対象です。相当な注意を尽くしていた場合の除外や、自主申告による減額も規定されています。

3. 特定生体個人情報の利用停止請求権 規制強化の柱その2

顔特徴データなど、政令で指定される 特定生体個人情報 について、一定の例外を除き、違法な取扱いがなくても本人が利用停止等を請求できるようになります。本人に気づかれにくい形で取得できる情報を想定した規律で、具体的な対象範囲は政令で定められます。

X上の議論はほぼ1番の統計特例に集中しています。しかし業務観点で影響が広いのは、実は2番の課徴金と3番の特定生体個人情報のほうです。「AIをやらないから関係ない」で片付けられないのは、この2本のせいです。

統計特例は「AI開発しない会社」にも波及する

統計特例には、いくつかの運用上のセーフガードが用意されています。統計作成等を目的とする提供先への同意なし提供では、次のような縛りがかかります。

  • 提供元と提供先の合意や利用内容を 事前に公表 する
  • 書面または電磁的方法による合意
  • 目的外利用と再提供の制限
  • 安全管理措置の整備を義務付ける

つまり「同意なし提供」といっても、無条件ではありません。ただ、それでも要配慮個人情報が同意なく事業者間で動くことに変わりはない点が、批判の中心です。法案本文は一律の匿名化義務を定めていませんが、衆議院の附帯決議では、ほかの情報との照合によって個人を識別できないよう必要な措置を確実に講じることが政府に求められています。具体的な基準は、今後の政令・規則・ガイドラインを確認する必要があります。

そして、この特例は「うちはAI開発をしないから無関係」と切り捨てられません。理由は2つです。

AI開発事業者から統計特例を利用したデータ提供を打診される可能性

すでに大量の個人情報を保有している事業者(顧客管理システム、Webサービス、医療機関、教育機関など)は、AI開発事業者から統計特例を利用したデータ提供を打診される立場になり得ます。特例は提供を可能にする制度であって、企業に提供を義務付ける制度ではありません。それでも、申し出を受けた場合の判断基準・承認プロセス・契約条件を自社で持っておかないと、担当者レベルで曖昧に判断される事故を招きます。

自社データの流れと契約の再確認

通常の業務委託で預けた個人データを、委託先が自由に統計特例へ転用できるわけではありません。今回の改正案では、むしろ委託先が業務範囲を超えて個人データを利用しないための規律も整備されます。ただし、委託・共同利用・第三者提供の区分や、契約上認めている二次利用・AI学習利用の範囲が曖昧な場合は、データの流れを再確認する必要があります。

課徴金制度は既存の個人情報扱いを見直す理由になる

課徴金制度は、AI 特有の話ではありません。既存の個人情報の取扱い違反にも及びます。対象違反の1つ「第27条第1項(第三者提供の制限)」は、これまでも多くの企業が意識してきた条文です。ここに、違反で財産上の利益を得た場合の課徴金という金銭ペナルティが加わります。

これまで個人情報保護法違反への行政対応は、勧告・命令・公表が中心でした。課徴金という形で 金銭的な追加ペナルティ が入ることで、対応の重さが変わります。中小企業の情報システム部門・法務担当としては、次の点を先に洗っておく価値があります。

  • 個人情報の取得ルート(直接取得、業務委託経由、公開情報スクレイピング等)の全体像
  • 第三者提供の実態(業務委託・共同利用・オプトアウト等)の分類の妥当性
  • 目的外利用に該当しかねない業務の有無
  • 既存の同意取得プロセスの範囲と、実際の利用範囲の一致

新たに課徴金制度が導入されるタイミングは、既存の運用の穴を先に潰す機会と重ねて考えるのが実務的です。

特定生体個人情報を業務で扱う可能性がある事業者(顔認証システムなどを利用している場合)は、もう1点、利用停止請求への対応フローの整備が加わります。「違法な取扱いがなくとも本人が請求できる」ため、これまでの「違反があった時に対応する」設計から、「本人からの請求を平時から受ける前提」の設計に組み替える必要があります。ただし、対象範囲は政令で指定されるため、自社が扱うデータが特定生体個人情報に該当するかは、政令・規則の確定後に確認するのが実務的です。

いま経営者と現場でやっておく実務チェック

法案の成立を前提に、経営者と現場で先にやっておくと動きやすいポイントを、優先度が高い順に並べます。

1. 個人情報の取得ルートを棚卸しする

「自社が持っている個人情報は、そもそもどこから、どのような同意ベースで入ってきたか」を、業務別に一覧化します。直接取得・第三者取得・スクレイピング等の経路ごとに、根拠となる同意の範囲と、その適用条文を確認します。

2. 要配慮個人情報を扱っている業務を特定する

病歴・犯歴・思想信条・宗教などが業務上通り得る箇所を洗い出します。医療・介護・人事評価・与信審査・保険・教育などが典型ですが、SNS 由来のデータや外部データ購入経由で紛れているケースもあります。ここが特定できないと、統計特例のリスクは判断できません。

3. AI学習データを外部に提供・購入している経路を再点検する

自社データを AI ベンダーに提供している、あるいは外部データを AI 学習用に購入しているルートがあれば、その契約と実態を再確認します。今回の特例を使う契約に切り替わる可能性がある取引先については、事前公表・目的外利用禁止・安全管理措置のセーフガードが担保されているかを確認しておきます。

4. 課徴金対応の内部ルールと監査プロセスを整える

既存の個人情報取扱規程・従業員教育・監査プロセスに、課徴金対応の観点を追加します。特に第三者提供の判定と、同意取得の範囲確認のプロセスは、監査のしやすさを重視して見直しておくと後で楽です。

5. 特定生体個人情報を扱う場合の利用停止請求フロー

顔認証などを利用している事業者は、自社が扱うデータが特定生体個人情報に該当するかを、政令・規則の確定後に確認します。該当する場合は、本人からの利用停止請求を受け付ける窓口・処理フロー・削除の実行手順を、平時運用として整備します。

いずれも「法案が成立してから慌てて対応する」領域ではありません。個人情報を業務で普段から扱っている会社は、公布と施行までに時間があるうちに、少しずつ棚卸しから始めておくのが現実的です。

さいごに 「AI開発優先」と「個人保護強化」を同時に読む

今回の改正案は、AI 開発を後押しする統計特例と、課徴金・生体情報の保護強化がセットになった構造です。X 上の議論は前者に強く傾いていますが、企業実務の観点からは、後者のほうが対応の実感を持ちやすい部分もあります。

正確な運用ルール(政令・個情委ガイドラインなど)はこれから固まっていく段階です。特に統計特例の「事前公表」の粒度、課徴金の算定基準、利用停止請求の運用の細部は、続報を追う価値があります。監修者の視点でも書いておくと、AI と個人情報の交差は、これから何度も同じような改正論議が繰り返される領域だと思います。今回の改正で「初めて」向き合う会社ほど、まずは自社の個人情報がどこから来てどこへ行くのかの棚卸しから始めるのが、遠回りに見えて一番早いと思います。

法律面の細部判断は、必要に応じて弁護士・専門家への確認をお願いします。

御社のAI導入や活用、私たちが一緒に考えます

記事の内容へのご質問も歓迎です。構想段階のご相談からどうぞ。