弁護士ドットコム ニュース
  1. 弁護士ドットコム
  2. 民事・その他
  3. 病歴や犯罪歴もAI開発に利用可能へ…改正個人情報保護法「統計特例」は本当に危険なのか? 板倉陽一郎弁護士が語る本当の課題

Googleトップニュースでフォロー

フォローの仕方はこちら
Add as a preferred source on Google
病歴や犯罪歴もAI開発に利用可能へ…改正個人情報保護法「統計特例」は本当に危険なのか? 板倉陽一郎弁護士が語る本当の課題
写真はイメージ(Ystudio / PIXTA)

病歴や犯罪歴もAI開発に利用可能へ…改正個人情報保護法「統計特例」は本当に危険なのか? 板倉陽一郎弁護士が語る本当の課題

病気や犯罪歴などのセンシティブな個人情報も、AI開発や統計作成を目的とする場合、本人の同意なしで取得・利用できる場面が広がる──。

そんな内容を盛り込んだ改正個人情報保護法が7月10日、参院本会議で可決、成立した。

報道によると、改正法は、国産AIの開発を後押しする規制緩和と、違反業者への罰則強化を柱としているという。

改正法では、「統計作成等」(AI開発や統計作成など)を目的とする場合に限り、SNSなどで公開されている情報について、本人の同意を得ずに取得・他の事業者へ提供できる特例が新設された。

一方で、大規模な個人情報を不正取得・利用した事業者に対しては、得た利益の相当額の納付を命じる「課徴金制度」も導入された。

「自分の情報はどこまで利用されるのか」「プライバシーは守られるのか」と不安を抱く人も少なくない。

今回の改正をどう評価すべきなのか。個人情報保護法にくわしい板倉陽一郎弁護士にポイントと課題を聞いた。

●改正法案の前提議論でヒアリングに応じた

そもそも私は、近年ではPETs(プライバシー強化技術)と呼ばれる、秘密分散などの秘密計算を含む、個人データを安全に取り扱うための技術に適切なインセンティブを付与すべきという議論に長年携わってきた立場です。[1][2]

プライバシーテック協会[3]のアドバイザーもつとめており、今回の改正法案(「個人情報の保護に関する法律等の一部を改正する法律案」(第221回国会閣法54号)、以下「法案」)の前提の議論でも2度にわたりヒアリングに応じました。[4][5]

そのため、私は完全に中立な立場とも、まったくの部外者ともいえません。その点を踏まえて、改正法、特に「統計特例」(改正後2条13項、30条の2、31条の3、20条2項8号)の問題点について解説します。

●「統計特例」で何が変わるのか

まず、「統計特例」が可能にすることは大きく2つあります。

1つは、Webサイトのクローリングです(改正後30条の2第1項から第4項。以下、31条の3における条項は省略)。

もう1つは、名寄せによる統計の作成です(改正後30条の2第5項から第13項)。

この2つは、それぞれ対応しようとしている現行法の規制が異なります。

前者は、Webサイトをクローリングすると、必然的に要配慮個人情報の取得規制(「あらかじめ本人の同意を得ないで、要配慮個人情報を取得してはならない」=20条2項)に違反することに対応するものです。

病歴や犯罪歴などを含む要配慮個人情報(2条3項)は、本人の同意なしに取得すると違法ですが、本人や報道機関が公開している場合には、例外になります(20条2項7号)。

しかし、たとえば、友人がSNSで「◯◯は今日風邪で休んでいた」と投稿した場合、その情報を本人の同意なく取得すると違法となります。

生成AIの学習のためにWebサイト全体をクローリングする際に、このような情報だけを完全に除外することは、いくらAIが発達しても困難です。

そのため、主として、生成AIの学習を適法におこなえるよう、要配慮個人情報の取得について新たな例外を設けようというのが、この制度です。

ちなみに、同様の問題は著作権法との関係でも生じますが、こちらは主に同法30条の4(非享受利用)によってすでに対応されています[6]。

つまり、個人情報保護法におけるクローリングへの対応は、著作権法の考え方と歩調を合わせたものといえます。

なお、要配慮個人情報については、取得に本人同意が必要であり、オプトアウトによる第三者提供は禁止(27条2項)されていますが、通常の第三者提供には上乗せ規制はありません。

行政機関についても、個人情報ファイルの事前通知事項、個人情報ファイル簿の公表事項に、要配慮個人情報の有無が含まれている(74条1項6号、75条1項)はありますが、それ以外の特別な取扱いに上乗せ規制はありません。

● 実は、AI開発の多くは現在法でも可能だった

後者(名寄せによる統計の作成)については、現行法でも「統計データへの加工を行うこと自体を利用目的とする必要はありません」とされています[7]。

そのため、事業者が単独でおこなう限り、統計作成は(AIが含まれるかという論点はあるものの)、本人への公表すら不要です。

完成した統計情報や学習済みAIモデルは、個人情報の前提である「個人に関する情報」に該当しない限り、個人情報保護法の規制対象外であるため、他社へ提供することも可能です[8]。

つまり、現行法でも、事業者が単独で統計やAIを作成し、それを他の事業者へ提供して追加分析や再学習をさせたりすることもできます。

●複数の事業者が名寄せによる統計やAI学習データの作成は不可

ここでできないのは、複数の事業者が本人を名寄せして統計やAIの学習データを作ることということになります。

特に統計では、名寄せをおこなわないと、A社での本人Xと、B社での本人Xは別の人として扱われますので、名寄せしたうえで正確な統計を作成したいというニーズがあります。

ここで対応すべきは、個人データの第三者提供規制(27条1項)ということになります。

なお、安全管理措置(セキュリティの義務)については、統計特例の場面は、個人データのみならず個人情報にも義務を課しています(改正後30条の2第14項)。

データベース化されていなくても安全管理措置義務が掛かるということです。

●「統計特例」は氏名や内容の公表を義務付け

このように統計特例は、主として、「統計作成等」を目的としたクローリングと、名寄せによる統計の作成を可能とします。

そして、これらをおこなう事業者に対して、「統計作成等」以外の目的での利用を禁止する他、(1)氏名または名称、(2)統計作成等の内容等の公表を義務付け、提供を伴う場合には、提供元・提供先の双方における、(1)(2)等の公表、(3)提供元における提供先事業者の公表、(4)統計作成等目的による制限を両者間の書面等による合意(契約)によりおこなうことを義務付けています。

これらの違反は、新たに導入される課徴金納付命令の対象にもなります(改正後148条の3第1項4号5号)。

●データ悪用のリスクは本当か?

さて、統計特例の問題点はどこにあるのでしょうか。

すでに、国会での審議を含め、さまざまな議論がなされていますが、その中には必ずしも当を得ないと思われるものも含まれていますので、順に検討しましょう。

まず、「データの流出や悪用のリスク」[9]という最もシンプルな(あまり具体性はない)議論があります。

しかし、統計特例の公表事項を遵守しつつ、わざわざ「悪用」するというのは合理的でしょうか。

事業者は、悪用する場合、法令などそもそも無視します。

大手保険会社は、保険代理店において個人データの分別管理をせず共有し、保険代理店への出向者を通じて、親元の保険会社にシンプルに個人データを盗み出していました[10]。

法律は単純に無視です。わざわざ、課徴金納付命令のリスクをおかしてまで統計特例を「利用して」(提供先として公表されて)悪用する、というのは想定しがたいものがあります。

●「流出リスクが上がる」の議論には疑義あり

「流出」についてはどうでしょうか。

統計特例の場面では、個人データに至らない個人情報にも安全管理措置が掛かります。統計特例を利用しようとする事業者は、通常よりも厳重な安全管理措置が求められます。

また、前述のとおり、統計特例の違反には課徴金納付命令のリスクがあり、組織的安全管理措置や人的安全管理措置のコストも上がります。

これらを加味して統計特例を用いようとする事業者において、一般に流出リスクが上がる、という議論には疑義があります。

●「プロファイリング規制がない」批判は誤解に基づく

次に、統計特例を用いて作成される統計やAIを心配し、「プロファイリングへの規制がない」とする批判があります[11]。

これは、複数の誤解のうえになされている批判ではないかと思います。

第一に、統計やAIに個人情報・個人データをあてはめて取り扱う場面には統計特例は適用されず、再度、個人情報保護法の規律(利用目的の通知公表、目的外利用禁止、第三者提供禁止)などが当然に適用されます。

第二に、「プロファイリング」の規律については令和2年改正の際にも議論され、同改正の際に不適正利用禁止(19条)、利用停止等請求の拡大(35条1項の対象に19条、35条5項)などが導入されています。

これらの執行が活発でないという批判はあり得ます。この点は後述しますが、規制がないというのは単なる間違いです。

第三に、佐脇・個人情報保護委員会事務局長は「違法な差別を誘発するおそれがあるAIモデルを、そのようなおそれを予見しつつ、それを作るための個人情報を用いて作成し公開することでございますとか、利用について言えば、保護者の年収により、正当な理由なく子どもに対する違法な差別的取扱いをおこなうためにそれが機能するAIを個人情報を入れて作るということは、いずれも本規定に基づく違法になります」と答弁しています[12]。

「本規定」が前後から必ずしも明らかではないのですが、統計特例違反のことを指すとすれば、「統計作成等」に該当しないということになるでしょう。

「統計作成等」には、「個人の権利利益を害するおそれが少ないもの」のみが指定されることになっているからです(改正後2条13項)。

●AI規制を進めたければ推進法の枠組みで議論するのが筋

そもそも個人情報保護法は、「個人に関する情報」に該当しない統計やAIを規制対象としていませんので、特に、AI自体の規制を進めたいと考えるのであれば、AI推進法(人工知能関連技術の研究開発及び活用の推進に関する法律)の枠組みの下で、「必要な法制上…の措置」(同法10条)として議論するのが筋です。

何でも個人情報保護法で議論しようというのは個人情報保護法を買いかぶりすぎです。AIの問題は個人情報だけではありません。

最後に、特に、対象とするデータが医療情報である場合を念頭に、「提供を受けた『第三者』が受領したデータを不正利用せず、安全に管理できるかどうかを事前に評価する仕組みが示されていない」ため、「『トラブルが発生したときにデータ主体(患者本人)に危害が及ばない』ことが保証されず、医療機関がデータを提供する際の負担も軽減されないため、到底信頼を得られるものではない。」とする医療情報学会等の意見があります[13]。

そもそも、冒頭に述べた通り、私は、名寄せをしての統計作成を本人同意なしにおこなうとしても、PETsへのインセンティブ付与と一体的であるべきと考えていましたので、法案のように、事業者A→事業者Xと事業者B→事業者Xという個人情報の提供を経て、事業者Xにおける統計作成がなされるというよりは、事業者A→事業者Bによって統計作成がなされるという状況を想定し、かつ、PETsについてのサービスを提供する事業者Yの下に、事業者A及び事業者Bがともに委託するという形態を想定していました。

そこで、ヒアリング段階でも、「名寄せをしたうえでの統計的利用が担保される状況が特定できるのであれば可能性はあるのではないか(たとえば、次世代医療基盤法24条の認定医療情報等取扱受託事業者のように、受託事業者(またはサービス)を限定して(関与を必須として)、適切な統計的利用を担保することも考えられる)」との意見を出していたわけで[14]、発想は医療情報学会等の意見と近かったと思います。

しかし、統計特例は、前述のとおり、事業者A→事業者Xと事業者B→事業者Xという個人情報の提供を経て、事業者Xにおける統計作成がなされるという形で設計され、この際、PETsについてのサービスを提供する事業者(Y)や、生データを人間が見ることなく統計を作成するための技術的措置は必須とはされず、統計的利用の担保は公表事項と契約によることになりました[15]。

これは、若干緩和しすぎたようにも思われますが、医療情報に限らず、一般の個人情報を対象としていることから、安全管理措置についても、法律レベルでは一般的な条項を定めるにとどめた(改正後30条の2第14項)と理解することになるでしょう。

●「提供先の第三者を評価する仕組み」がなければ不適切?

それでは、個人情報保護法として、「提供先第三者を事前に評価する仕組み」がなければ適切なスキームではない、とまでいえるでしょうか。

統計特例は、本人同意が不要なスキームとしては、個人情報保護法においては初めてのものではありません。

個人データの取扱いの委託(27条5項1号)も、医療情報において良く用いられている学術研究例外(第三者提供について、27条1項5号ないし7号)も、提供先(委託先)について、「事前に評価する仕組み」は存在しません。

もちろん、プライバシーマークやISMS、APEC-CBPR、グローバルCBPR等の、個人情報やセキュリティに関する認証制度はありますが、あくまでこれらは任意の制度です(APEC-CBPRとグローバルCBPRは外国第三者提供との関係では法的効果があります。28条1項、規則16条2号)。

●「安全管理を備えた先にのみ提供する仕組みは事業者側に委ねられた」

改正法では、委託先について、「委託を受けた業務の遂行に必要な範囲を超えて取り扱ってはならない」ことが明記されました(改正後30条の3)。

統計特例と、取扱いの委託に伴う提供は、同じく、本人同意なく、かつ、個人情報・個人データが要配慮個人情報であるか否かに関わらず、第三者への提供を可能とするものですが、提供の際の利用目的を限定するという形式で、パラレルに設計されていると解釈することができます。

しかも、統計特例のほうが、公表義務と契約締結義務の点では重たくなっています(委託先との契約締結は、ガイドラインレベルでは「望ましい」とされています(GL通則編3-4-4))。

そもそも、統計特例は、これに該当したからといって、提供が義務付けられるものでも何でもありません。提供しても違法にならない、というだけです。

PETsの利用を含む、適切な安全管理措置を備えた提供先にのみ提供する仕組みは、事業者側に委ねられたということになるでしょう。

なおこの際、認定個人情報保護団体の仕組み(47条以下)の活用が考えられると思われます。

●統計特例の懸念は「きちんと監督執行できるか?」

それでは、統計特例の規定はまったく問題ないといえるでしょうか。

最も不安があるのは、個人情報保護委員会が、「統計作成等」以外の目的外利用、提供元、提供先の氏名または名称、統計作成等の内容等の公表義務、統計作成等目的による制限に関する契約締結、という規律を、きちんと監督執行できるのか、という点です。

個人情報保護委員会の監督執行は、安全管理措置義務違反に集中しています。令和2年改正で漏えい等報告が義務化されたことも大いに影響していると思われます。

令和7年度第4四半期に行われた行政指導88件のうち、安全管理措置義務違反と委託先の監督義務違反を合わせると84件(95%)に達します。

第三者提供違反は3件、適正取得が1件です[16]。

これでは、目的外利用や公表事項の違反を監督執行しますといっても、なかなか説得力がありません。

統計特例違反は、課徴金納付命令の対象となっていますが、通常の措置命令ですら、令和7年度上半期に1件[17]、令和6年度、令和5年度は0件[18][19]というのが執行状況です。

●違反に対する「説得力ある監督執行体制の構築」が鍵

積極的な執行が望めるのでしょうか。

監督執行体制については、衆議院の附帯決議14項でも「本法によって個人情報保護委員会の監視・監督等に係る業務の増加が見込まれることに鑑み、同委員会の人員及び予算の更なる充実に向けて取り組むこと」とされました。

統計特例違反についての説得力ある監督執行体制の構築が、制度への信用の鍵となることでしょう。

[1] 板倉陽一郎「安全なデータ活用を実現する秘密計算技術:7.秘密計算技術に関する国内法制度」情報処理59巻10号(2018年)909-915頁。

[2] 板倉陽一郎「Privacy Techの技術動向と適用事例:6.PETs(Privacy-enhancing technologies)と法制度」情報処理65巻3号(2024年)e34-e38頁。

[3] https://privacytech-assoc.org/

[4] 第290回個人情報保護委員会(令和6年6月13日)【資料1-1】。

[5] 個人情報保護法のいわゆる3年ごと見直しの検討の充実に向けた事務局ヒアリング(令和6年12月21日)【資料1】。

[6] 文化庁「AIと著作権について」、https://www.bunka.go.jp/seisaku/chosakuken/aiandcopyright.html

[7] 「「個人情報の保護に関する法律についてのガイドライン」 に関するQ&A」(令和7年7月1日、以下、「Q&A」)Q2-5。

[8] Q&A1-8、1-17。

[9] 内藤尚志・福岡龍一郎「流出や悪用リスクへの対策は?個人情報の改正案、参考人質疑でも懸念」朝日新聞2026年6月21日、https://www.asahi.com/articles/ASV6M42K9V6MULFA038M.html?iref=pc_photo_gallery_bottom

[10] 損害保険会社及び保険代理店に対する個人情報の保護に関する法律に基づく行政上の対応について(令和7年4月30日)、https://www.ppc.go.jp/news/press/2025/250430_02/

[11] 瀬川奈都子「AIが揺さぶる自由意思 個人情報保護法、技術優先の改正に落とし穴」日本経済新聞2026年6月29日、https://www.nikkei.com/article/DGXZQOCD16BE40W6A610C2000000/

[12] 第221回国会衆議院地域活性化・こども政策・デジタル社会形成に関する特別委員会第6号(令和8年5月12日)佐脇紀代志事務局長答弁。

[13] 一般社団法人医療情報学会「2026年 個人情報保護法改正案「統計・AI例外(第30条の2 第5項)」を懸念する意見書」(2026年6月19日)

[14] 前掲注5、

[15] 衆議院の附帯決議6項では「プライバシー強化技術(PETs)の活用に当たっては、我が国の産業競争力の向上にも資する観点から、適切なインセンティブの在り方について検討すること。」とされた。

[16] 個人情報保護委員会「令和7年度第4四半期における監視・監督権限の行使状況の概要」(令和8年6月10日)18頁。

[17] 個人情報保護委員会「令和7年度上半期における個人情報保護委員会の活動実績について」(令和7年11月12日)22頁。

[18] 個人情報保護委員会「令和6年度個人情報保護委員会 年次報告」(令和7年6月)、https://www.ppc.go.jp/aboutus/report/annual_report_2024/

[19] 個人情報保護委員会「令和5年度個人情報保護委員会 年次報告」、https://www.ppc.go.jp/aboutus/report/annual_report_2023/

この記事は、公開日時点の情報や法律に基づいています。

プロフィール

板倉 陽一郎
板倉 陽一郎(いたくら よういちろう)弁護士 ひかり総合法律事務所
2002年慶應義塾大学総合政策学部卒、2004年京都大学大学院情報学研究科社会情報学専攻修士課程修了、2007年慶應義塾大学法務研究科(法科大学院)修了。2008年弁護士(ひかり総合法律事務所)。2016年4月よりパートナー弁護士。2010年4月より2012年12月まで消費者庁に出向(消費者制度課個人情報保護推進室(現・個人情報保護委員会事務局)政策企画専門官)。2017年4月より理化学研究所革新知能統合研究センター社会における人工知能研究グループ客員主管研究員、2018年5月より国立情報学研究所客員教授。2020年5月より大阪大学社会技術共創研究センター招へい教授。2021年4月より国立がん研究センター研究所医療AI研究開発分野客員研究員。2023年9月より早稲田大学次世代ロボット研究機構AIロボット研究所客員上級研究員(研究院客員教授)。法とコンピュータ学会理事、日本メディカルAI学会監事、一般社団法人データ社会推進協議会監事等。

この記事をシェアする

Googleトップニュースでフォロー

フォローの仕方はこちら
Add as a preferred source on Google

オススメ記事

編集部からのお知らせ

現在、編集部では協力ライターと情報提供を募集しています。詳しくは下記リンクをご確認ください。

協力ライター募集詳細 情報提供はこちら