個人情報保護法 2026年改正案が衆議院通過-AI 学習 データ利用の場合要配慮個人情報の同意不要

セキュリティニュース

投稿日時: 更新日時:

個人情報保護法 2026年改正案が衆議院通過-AI学習データの同意不要 特例・行政課徴金・生体情報の新規律が柱

2026年5月26日、国会の衆議院本会議において「個人情報の保護に関する法律等の一部を改正する法律案」が、与党(自由民主党・公明党)および野党の日本維新の会・国民民主党などの賛成多数により可決されました。本改正案は2026年4月7日の閣議決定を経て国会に提出されており、参議院での審議を経て現国会会期中に成立する見通しです。

公布から2年以内、すなわち2028年までの全面施行が予定されており、AIデータの活用・課徴金制度・生体情報規律・未成年者保護といった幅広い分野で制度が刷新されます。データを活用するすべての企業にとって、猶予期間は決して長くありません。

この記事のサマリー

  • 可決日:2026年5月26日(衆議院本会議)・現国会会期中に成立見通し
  • 施行予定:公布から2年以内(2028年まで)に全面施行
  • 改正の3大背景:①AI開発競争における良質データの確保(高市政権の「AI基本計画」・5年間1兆円投資)、②プラットフォームとの情報非対称性の是正、③「やり得」を許す現行罰則構造の抜本的な見直し
  • 主な改正ポイント(8項目):①統計作成等特例(AI学習目的の同意不要化)、②行政課徴金制度(違反利益相当額の国庫納付)、③特定生体個人情報の新規律(顔認証・DNA・声紋等)、④特定個人アプローチ情報の不適正利用禁止、⑤未成年者データ保護の強化(16歳未満は法定代理人同意)、⑥委託先義務の緩和、⑦漏えい報告の合理化(軽微事案は一括確報)、⑧不正取得・提供罪の処罰範囲拡大
  • 主な問題点・批判:団体訴訟制度(差止請求権)の不採用・統計特例によるプロファイリングへの歯止め不足・生体情報規制の不十分さ・課徴金の「1,000人超・重大違反限定」という抜け穴
  • 国際比較:GDPRの「売上高4%ペナルティ」・米国カリフォルニア州の「AI自動意思決定システム事前通知義務(2026年施行)」と比較して日本の改正は「AI学習段階に極めて寛容・出力段階の規律に課題」という折衷的モデル
  • 今すぐ着手すべき3つの実務対応:①データ資産マッピングと「特定個人アプローチ情報」の特定、②統計作成等特例を活用するためのAIガバナンス契約整備、③課徴金要件を踏まえたインシデントトリアージ体制の構築

目次

なぜ今、個人情報保護法の改正が必要だったのか

①AI開発競争における産業競争力の確保として、2026年2月の総選挙後に発足した高市政権は「AI基本計画」を承認し2026年度から5年間で総額1兆円規模の公的資金をAI技術に投入する方針を掲げています(個人情報保護委員会公式)。

しかし現行法では、AIモデルのトレーニングに必要な公開された要配慮個人情報の収集や個人データの第三者提供に「本人の同意」が原則必要であり、これがデータエンジニアリングの大きな制約となっていました。

②非対称的な取引関係と「不適正利用」の抑止として、巨大プラットフォーム事業者と一般消費者の間には深刻な情報の非対称性が存在し、消費者は「サービスを利用するためには個人データを提供せざるを得ない」状況に置かれています。

メールアドレス・電話番号・デバイス識別子など「直接的な個人識別には至らないものの特定個人へのアプローチを可能にする情報」の悪用も深刻化しており、既存の枠組みを超えた新たな規律の創設が急務でした。

③「やり得」を許容する罰則構造の是正として、現行法では悪意を持って不正なデータ取引を行い巨額の利益を得ても、個人情報保護委員会の是正命令に従って違反を中止すれば過去に得た不当な利益を手元に保持できるという「やり得」の構造が残っていました。

この致命的な弱点を解消するための行政課徴金制度の新設が本改正の核心の一つです。

主要改正ポイント8項目の詳細

①統計作成等特例の創設——AI学習データの同意不要化

最大の実務インパクトを持つ改正です。統計情報の作成およびAIモデルの学習・開発に限定する場合、本人の同意なしに個人データの第三者提供や公開された要配慮個人情報の取得が認められます(Baker McKenzie・Fisher Phillips LLP)。

同意取得プロセスを大幅に省略可能にし、ビッグデータ解析やLLM(大規模言語モデル)の構築速度を加速させる狙いがあります。ただし以下の手続き要件が必須です。提供元企業の名称・統計解析の目的・概要等をウェブサイト等の見やすい場所で事前に公表すること、提供する企業と受け取る企業との間で当該データが「統計作成またはAI学習・分析の目的のみに使用されること」を明確に規定した書面による契約締結が義務化されます。受け取り側の企業が目的外にデータを流用した場合は直接的な法規違反となり課徴金処分の対象となります。

②行政課徴金制度の導入——「やり得」の終焉

不正取得・不適正利用・違法な第三者提供等の重大違反行為によって得た経済的利益に連動した「相当額」を課徴金として国庫に納付させる制度が新設されます(リスク対策.com・個人情報保護委員会)。不正データビジネスに対する決定的な経済的抑止力として機能することが期待されます。

ただし適用要件に重要な限定があります。「悪質かつ被害者数が1,000人超の重大違反」に限定されており、GDPRのような売上高比例の上限設定はありません。セキュリティ管理ミスによる情報漏えい(安全管理措置義務違反)は適用対象外である点は後述の問題点として議論を呼んでいます。

③特定生体個人情報の規律新設

顔特徴データ・DNA・声紋・歩容等の身体的特徴から得られる「特定生体個人情報」について、事前周知の義務化とオプトアウトによる第三者提供の禁止が導入されます。店舗における顔認証決済やセキュリティ管理における運用の見直しが必要となります。本人の利用停止請求権も緩和される方向です。

④特定個人アプローチ情報の不適正利用禁止

住所・架電可能な電話番号・メールアドレス・各種ID等の「特定の個人に対するアプローチを可能にする情報」について、不適正な取得や目的外利用が禁止されます。従来の個人情報の定義を拡張し、アドテックやダイレクトマーケティング事業者に厳格なデータクラス分類と管理を要求します。

⑤未成年者データの保護強化

16歳未満の者を本人とする個人データの取扱いに際し、同意取得や通知の対象を法定代理人(親権者等)とすることが明文化されます。子どもの最善の利益を考慮する責務も新設されており、教育系サービス・アプリ・SNS・ゲーム開発企業等に厳格な年齢確認と保護者同意プロセスの再設計が求められます。

⑥データ処理受託者(委託先)の義務緩和

委託元が適切に監督すること(契約に基づく安全管理措置の徹底・報告義務の設定など)を前提に、受託事業者に対する一部の一般義務が免除されます。クラウド事業者やデータマネジメントアウトソーシング事業者における重複した規制対応コストが軽減されます。

⑦漏えい報告制度の合理化

1名宛ての誤送付など本人の権利利益侵害リスクが極めて低い「軽微な事案」については、都度の報告ではなく一定期間の定期的なまとめ報告(一括確報)が許容されます。一方で、違法な第三者提供については国への報告が義務化されます。企業の軽微なインシデント処理負荷を下げ、中核的なセキュリティ業務への注力を促す狙いがあります。

⑧不正取得・提供罪の処罰範囲拡大

データベース等の不正提供罪等において、従来の「自己若しくは第三者の不正な利益を図る目的」に加え、「他人に損害を加える目的」の行為も処罰対象に追加されます。詐欺等の不正取得に対する直罰規定も新設されます。これにより、組織への嫌がらせやリベンジポルノ等の非経済的動機による個人情報流出行為や、ソーシャルエンジニアリングを用いた窃取への法的追及力が強化されます。

各界からの批判的論点——問題点は何か

①団体訴訟制度(差止請求権)の不採用

参政党などの一部野党や消費者団体は、適格消費者団体が個人に代わって事業者による個人情報の不正利用を差し止める「団体訴訟制度」が法案に盛り込まれなかったことを強く問題視しています(個人情報保護委員会・消費者庁)。情報がデジタル空間に拡散した後では個人の力で差し止めを請求することは事実上不可能です。産業界の「訴訟濫発によるデータ利活用の委縮」への懸念に配慮した形での見送りとなりましたが、消費者保護の観点からは不十分との声が残っています。

②統計作成等特例による「プロファイリング」への歯止め不足

日本弁護士連合会(日弁連)は2026年4月16日付の意見書において強い懸念を表明しています(日弁連公式)。第一に、統計目的で取得されたデータであっても本人の意思に反して取得されたものであれば「利用停止等の請求権」を本人に認めるべきとの主張があります。第二に、作成された統計情報自体がアルゴリズムによる「プロファイリング(属性予測)」に逆照射的に利用され、就職活動・融資審査・住宅契約などにおいて差別的取り扱いを生むリスクが指摘されています。日弁連は特例が適用される統計情報の範囲を法律自体で厳格に定義した上で、作成後の情報の取り扱いに関する明確な規制措置を求めています。

③特定生体個人情報に対する規制の不十分さ

顔特徴データを含む生体データはパスワードのように変更できない「一生不変の身体的識別子」です。日弁連などは生体データを本来「要配慮個人情報」と同等に位置づけるべきであり、単に「周知・公表」を要件とする緩い規制では今後の顔認識カメラ社会におけるプライバシー侵害を防ぎきれないと批判しています。

④課徴金制度の「安全管理措置違反」と「小規模違反」の除外

新設される課徴金制度は「被害者数1,000人超の重大違反」に限定されており、サイバー攻撃や管理ミスによる情報漏えい(安全管理措置義務違反)は全面的に除外されています。セキュリティ投資を怠った企業による大規模な情報漏えい事故に対する行政上の抑止力としては機能しないという片手落ちな側面があります。また名簿業者のように1回の取引規模は小さくとも恒常的に不正取得・転売を繰り返す「被害者1,000人未満の悪質な事業者」が制度の網の目をすり抜ける可能性についても懸念が残ります。

国際比較—日本・EU(GDPR)・米国(カリフォルニア州)の3極構造

今回の改正は、GDPRが象徴する「包括的かつ厳格な権利保護モデル」に歩調を合わせつつも、AI開発支援においては米国的な「柔軟な免除規定」を大胆に取り込んだ極めて戦略的な折衷モデルと分析されます

比較項目 日本(APPI 2026年改正) EU(GDPR) 米国(カリフォルニア州CCPA/CPRA等)
基本的哲学 保護と経済活動のバランス(調和モデル) 基本的人権としてのデータ主権(防御モデル) 消費者権利と商業的自己責任(商業モデル)
金銭的制裁の上限 違反から得た経済的利益相当額(売上高連動型なし) 全世界の年間売上高の最大4%または2,000万ユーロ 故意の違反に対し1件あたり最大$7,988等
AI学習への同意免除 極めて寛容——統計目的・AI学習は同意不要(事前公表と契約必須) 「正当な利益」等を個別評価。プロファイリングに厳格 同意不要枠組みなし。2026年からAI自動意思決定の事前通知・オプトアウト・ロジック開示義務が始動
漏えい報告タイムライン 速報・確報義務あり。軽微な事案は一括確報に緩和 発覚から72時間以内に監督機関へ原則報告 2026年より発見から30暦日以内に消費者へ直接通知、さらに15日以内に州司法長官へ報告
域外移転規制 あり(十分性認定国またはSCC等の契約) 非常に厳格(第44条以下) 特段の域外移転規制なし

日本は「AIトレーニングの法的セーフヘブン」になるか

Kiteworks・Tech Jacks Solutionsの分析によれば、米国カリフォルニア州では2026年1月1日よりAIによる自動意思決定システム(ADMT)に対して「事前通知・オプトアウト権・意思決定ロジックの開示義務」という包括的な透明性要件が施行されています。

これと比較したとき、日本の2026年改正は「AI開発のインプット段階(モデルトレーニング)」を統計作成等特例によって非常に円滑化している一方、「AIのアウトプット段階(デプロイメント・プロファイリングによる個人への評価判断)」における消費者の保護やロジック説明責任については依然として自主的ガバナンス(努力義務)に近いスタンスにとどまっています。このアプローチはAI開発会社にとって日本国内を「AIトレーニングの法的なセーフヘブン」と捉えるインセンティブを与えるものである一方、消費者擁護の観点からはアルゴリズム支配に対する防御措置が不十分であるという二面性を持っています。


2028年全面施行に向けて—企業が今すぐ着手すべき3つの実務対応

対応①:データ資産マッピングと「特定個人アプローチ情報」の特定

自社が保有する情報資産について、何が「個人情報」であり、何が今回の改正で新たに規律対象となる「特定個人アプローチ情報(連絡を可能とする情報)」に分類されるかを正確にマッピングしてください。電話番号・メールアドレス・各種オンライン識別子などを紐づけてパーソナライズ広告やダイレクトアプローチを行うマーケティング部門は、これらの情報取得の経緯(不適正な取得がないか)の確認と、利用停止要請を即座に受け付けられる受付窓口と配信システムの再構築が必要です。

対応②:統計作成等特例を活用するためのAIガバナンス契約の構築

AIモデルの学習や分析を自社で行う、あるいは外部にデータを融通する企業には、特例の恩恵を受けるための法的体制整備が必須です。口頭や緩い覚書での運用は許されず、契約書における特例適用目的の厳格な記述一般への利用目的の詳細な公開プロセスの双方を統合した「AIデータガバナンスポリシー」を確立してください。これを怠ると特例適用の要件を満たしたとみなされず、最悪の場合課徴金の対象となるリスクが生じます。

対応③:課徴金要件を踏まえたインシデントトリアージ体制の構築

重大違反」に即座に反応できるリスク評価チームを法務部門とITセキュリティ部門の横断組織として常設することが求められます。流出件数が1,000人を超えるかどうか、漏えいが単なる過失によるものか・委託先の監督不行届・契約外のデータ流用(不適正利用)という高リスク事案に紐づいているのかを瞬時に識別し、一括確報でよい軽微なケースと速報を打つべき重大違反とを適切にハンドリングする「インシデントトリアージ」の実務的フローを今すぐ準備しておくことが不必要な評判リスクと金銭的制裁を避けるための唯一の防御策です。


FAQ

Q. 中小企業にも統計作成等特例の恩恵は適用されますか? A. 特例の適用に企業規模の要件はありません。ただし事前公表と書面契約という手続き要件を満たす体制の整備が必須です。体制整備のコストと法的リスクを考慮した上で活用を検討してください。

Q. 2028年の施行前に自社データ管理体制を変える必要はありますか? A. 施行前から対応を始めることを強く推奨します。データ資産のマッピング・プライバシーポリシーの改定・委託先管理の見直しは時間がかかるため、2026年中には着手する必要があります。

Q. GDPRが適用される企業は今回の改正で日本法との二重対応が必要ですか? A. 日本はEUと「十分性認定」を維持しているため、GDPR準拠の体制を持つ企業は日本法との親和性が高いといえます。ただし統計作成等特例や生体情報の取り扱いはGDPRよりも緩い日本法独自の規律があるため、日EU双方の要件の最大公約数に合わせた対応が必要です。


参考情報(主要ソース)