※本ページはプロモーションが含まれています

世間で起きているあれやこれや

【2026年7月 最新】個人情報保護法 改正案が衆院通過|同意なしで健康・犯罪歴・思想が集められる?罰則の抜け穴を検証

2026年5月26日、「個人情報の保護に関する法律等の一部を改正する法律案」が衆議院本会議で可決され、衆院を通過しました。本人の同意なしに病気・犯罪歴・人種・信条といった「要配慮個人情報」を企業が収集できるようにする一方、悪質業者への課徴金制度を新設する内容です。「AI開発の後押し」という看板の裏で、私たちのプライバシーはどう変わるのか。オフィシャル資料をもとに、忖度なしで検証します。

⚠ 3行サマリー
①統計・AI開発目的なら、健康・犯罪歴・思想などを本人同意なしで取得・第三者提供が可能に。
②罰則(課徴金)は「被害者1,000人超・重大違反」限定で、漏えい事故は対象外という抜け穴。
③公布から2年以内(2028年ごろ)に全面施行。参議院での審議を経て会期内成立の見通し。

【信頼度ラベルの見方】 🟢 確認済みの事実 / 🟡 単一ソース・当局の主張 / 🔵 編集部の分析・見解

そもそも何が可決されたのか(オフィシャル検証)

🟢 個人情報保護委員会の公式発表によれば、この法案は2026年4月7日に閣議決定され、第221回特別国会に提出されました。委員会は改正の狙いを、身体的特徴を含む個人情報について違法な取扱いがなくても本人が利用停止を請求できるようにすること、違法な取扱いで利益を得た事業者に課徴金の納付を命じること、そして統計等の作成を行う第三者へ個人情報を提供する場合に本人同意を不要とすること、と説明しています。

🔵 表向きは「保護の強化」と「利活用の促進」を両立させる調和モデルですが、実質的な主眼は国産AI開発のためのデータ規制緩和にあります。2026年2月の総選挙後に発足した高市政権が掲げる「AI基本計画」(5年間で1兆円規模の投資)と歩調を合わせた法整備、というのが実像です。

改正8項目をわかりやすく整理

🟢 改正の柱は大きく8つ。緩和(企業に有利)と強化(消費者保護)が混在しています。

項目 内容
①統計作成等特例 【緩和】 統計・AI学習が目的なら、個人データの第三者提供や公開された要配慮個人情報の取得に本人同意が不要に。最大の実務インパクト。
②行政課徴金制度 【強化】 違反で得た利益の「相当額」を国庫に納付させる。ただし適用条件に大きな限定あり(後述)。
③特定生体個人情報の規律 【強化】 顔特徴データ・DNA・声紋・歩容などに、事前周知の義務化とオプトアウト(拒否申告)による第三者提供禁止を導入。
④特定個人アプローチ情報 【強化】 住所・電話番号・メール・各種IDなど「特定の個人に働きかけできる情報」の不適正な取得・利用を禁止。
⑤未成年者データ保護 【強化】 16歳未満は法定代理人(親権者)の同意を明文化。子どもの最善の利益を考慮する責務も新設。
⑥委託先の義務緩和 【緩和】 委託元が適切に監督することを前提に、受託事業者(クラウド事業者等)の一般義務を一部免除。
⑦漏えい報告の合理化 【緩和】 1名宛て誤送付など軽微事案は一括報告でOKに。一方で違法な第三者提供は国への報告を義務化。
⑧不正取得・提供罪の拡大 【強化】 従来の「不正利益目的」に加え「他人に損害を加える目的」も処罰対象に。詐欺的取得への直罰規定も新設。

最大の懸念①:健康・犯罪歴・思想が同意なしで集められる

🟢 現行法では、病気・犯罪歴・人種・信条などは「要配慮個人情報」として、取得に本人同意が原則必要です。改正案の統計作成等特例は、統計作成やAI開発という「個人が特定されない用途」に限って、この同意を不要にします。SNSなどで公開されている情報の収集や、企業が持つ情報の他社提供も、同意なしで可能になります。

🔵 なぜ悪用が心配されるのか
「統計だから個人は特定されない」という建前が崩れる場面が問題です。日本弁護士連合会(日弁連)は2026年4月16日付の意見書で、作成された統計情報がプロファイリング(属性予測)に逆用され、就職活動・融資審査・住宅契約などで差別的な取り扱いを生むリスクを指摘しています。「持病がある層」「特定思想を持つ層」といった属性がスコア化され、知らぬ間に選別に使われる——これが最大の懸念です。

🟡 法案には歯止めも用意されています。提供元企業名・目的・概要をウェブ等で事前公表すること、提供側と受領側で「統計・AI学習目的のみに使う」旨の書面契約を結ぶことが義務化され、目的外に流用すれば課徴金の対象になります。ただし日弁連は「特例が適用される統計情報の範囲を法律自体で厳格に定義すべき」「本人の意思に反して取得された情報には利用停止請求権を認めるべき」と、現状の歯止めでは不十分だと主張しています。

最大の懸念②:罰則(課徴金)は緩すぎるのか

🟢 これまでの日本の個人情報保護法は「やり得」を許す構造でした。悪質な事業者でも、委員会の是正命令に従って違反をやめれば、過去に得た不当利益は手元に残せたのです。課徴金制度は、この抜け穴を塞ぐために新設されます。ここまでは前進です。

🟡 しかし「緩すぎるのでは」という批判には理由があります。適用条件と除外範囲に、無視できない限界があるためです。

論点 内容と問題点
適用は「重大違反」限定 「悪質かつ被害者数1,000人超」に限定。1,000人未満を反復する名簿業者は網をすり抜ける可能性。
漏えい事故は対象外 サイバー攻撃や管理ミスによる情報漏えい(安全管理措置義務違反)は全面的に除外。セキュリティ投資を怠った大規模漏えいに課徴金は科されない。
売上高比例の上限なし 金額は「違反で得た利益相当額」ベース。GDPR(EU一般データ保護規則)の「全世界売上高の最大4%」のような強力な上限設定はない。
団体訴訟制度の不採用 消費者団体が個人に代わって差止めを求める制度は見送り。情報拡散後に個人が差止めるのは事実上不可能との批判。

🔵 まとめると、課徴金は「悪意ある大規模なデータビジネス」には効く一方、「杜撰な管理で個人情報を漏らした企業」には効かない片手落ちの設計です。抑止力としては限定的、というのが率直な評価です。

最大の懸念③:米国パランティア等での利用はあり得るか

🟢 ここは冷静なファクトチェックが必要です。改正案には、パランティア(Palantir)や特定の米国企業を名指しして日本人のデータを渡す条文は存在しません。また、外国の第三者への個人データ移転(域外移転規制)は改正後も維持され、十分性認定国であるか、または相当措置を担保する契約(SCC=標準契約条項に相当)が必要です。「法律ができたら即、米企業に丸ごと流れる」という理解は正確ではありません。

🔵 ただし「構造的リスク」は残る
懸念すべきは特定企業名ではなく、制度の設計そのものです。統計作成等特例で同意なく集められた大量データがAI学習・分析に回り、その分析基盤(データ・アナリティクス事業者)に外資が含まれるケースは想定できます。日本が「AIトレーニングの法的セーフヘブン(避難所)」になれば、入口(学習段階)は極めて寛容・出口(プロファイリングによる評価)の規律は努力義務どまりという日本モデルの弱点が、外資を含む事業者に活用される余地を生みます。名指しではなく「仕組みが緩い」ことこそが本質的な問題です。

日本以外にも同じような法案はあるのか(国際比較)

🟢 各国はAI時代のデータ保護に取り組んでいますが、思想は大きく3極に分かれます。日本の改正は、EUの厳格な権利保護に足並みを揃えつつ、AI開発支援では米国的な柔軟さを取り込んだ「折衷モデル」と分析されています。

比較項目 日本(2026改正) EU(GDPR) 米国カリフォルニア州
基本思想 保護と経済活動の調和 人権としてのデータ主権 消費者権利と商業的自己責任
金銭的制裁の上限 違反利益の相当額(売上高連動なし) 全世界売上高の最大4%または2,000万ユーロ 故意の違反で1件あたり最大約8,000ドル等
AI学習への同意免除 極めて寛容(統計・AI学習は同意不要) 個別評価。プロファイリングに厳格 同意不要枠なし。AI自動意思決定に開示義務
漏えい報告 速報・確報義務。軽微は一括報告に緩和 発覚から72時間以内に監督機関へ 発見から30日以内に消費者へ直接通知

🔵 表を横に見ると日本の特徴が浮かびます。AI学習の入口はEU・米国のどちらより緩く、出口(プロファイリング規律)はカリフォルニア州のような開示義務がない——この「入口ガバガバ・出口ゆるゆる」の組み合わせが、プライバシー団体が最も警戒するポイントです。米カリフォルニア州では2026年からAI自動意思決定システムに事前通知・オプトアウト・ロジック開示が課されており、対照的です。

今後のスケジュール

🟢 現在(2026年7月時点)、法案は参議院で審議中です。第221回特別国会の会期は2026年7月17日まで。前回2020年改正のスケジュールを踏まえると、成立後は以下の流れが想定されます。

時期 段階
2026年4月7日 閣議決定・国会提出(済)
2026年5月26日 衆議院 通過(済)
2026年夏ごろ 参議院可決・成立 → 公布(会期末7/17までの成立見通し)
2026年末ごろ 施行令・規則案の公表
2027年夏〜末 ガイドライン・Q&A、分野別ガイドラインの公表
2028年ごろ(公布から2年以内) 全面施行

🟡 施行までの猶予は約2年。ただしデータ資産の棚卸し、プライバシーポリシー改定、委託先管理の見直しは時間がかかるため、専門家は「2026年中に着手すべき」と助言しています。

まとめ:私たちが注視すべきこと

🔵 今回の改正は「AI立国」という国家戦略のために、私たちの要配慮個人情報の同意ハードルを大きく下げるものです。前進もあります——「やり得」を断つ課徴金、生体情報の規律、子どもの保護、悪意ある情報流出への処罰強化。しかし、①同意なしで集めた統計がプロファイリングに逆用される歯止めの弱さ、②漏えい事故を除外した課徴金の片手落ち、③団体訴訟制度の見送り、という3点は、消費者保護の観点から明確な課題です。パランティア問題も、企業名の有無ではなく「入口が緩く出口の規律が努力義務どまり」という制度設計そのものを注視すべきです。参議院審議と、今後公表される政省令・ガイドラインで、これらの穴がどこまで塞がれるか——ここが最大の焦点になります。

出典(主要ソース):個人情報保護委員会(2026年4月7日 閣議決定発表)/衆議院・参議院 議案情報/時事通信・nippon.com(2026年5月26日 衆院通過報道)/日本弁護士連合会 意見書(2026年4月16日)/日経クロステック(付帯決議・罰則報道)/各法律事務所の改正解説。本記事は2026年7月時点の情報に基づく編集部の検証・分析です。今後の審議で内容が修正される可能性があります。

  • この記事を書いた人

はぼぞう

旅と砂漠と写真と女性を愛する60歳ちょっと過ぎたの「元金融系システム屋」です。 現在は、社内SEのアルバイト件システム構築やってます。 シンガー 森口博子とアーティスト 中村中の大ファン

-世間で起きているあれやこれや
-, , ,

Copyright© インドからミルクティー , 2026 All Rights Reserved Powered by AFFINGER5.