個人情報保護法改正案、課徴金導入とAI学習緩和の全体像要点

はじめに

政府は2026年4月7日、個人情報保護法の改正案を閣議決定しました。今回の改正は、プライバシー侵害への抑止力を高める「課徴金制度」と、AI開発などに向けた「データ利活用の円滑化」を同時に進める構図が特徴です。個人情報保護委員会は、データ需要の拡大と権利侵害リスクの高まりが同時進行していることを改正の出発点に置いています。

論点は単純ではありません。違反事業者への制裁強化だけを見れば保護強化ですが、統計作成等に限った本人同意不要の例外や、本人の意思に反しない利用の明確化は、企業のデータ活用を広げる方向でもあります。この記事では、法案の制度設計、企業実務への影響、AI政策との関係を分けて整理します。

改正案の中核となる制度設計

課徴金導入の狙いと対象範囲

今回の改正案で最も大きい変更は、違法行為で利益を得た事業者に対し、個人情報保護委員会が課徴金納付を命じられる制度を設ける点です。個人情報保護委員会の概要資料は、大量の個人情報を扱う悪質な違反行為に経済的な不利益を課し、実効的な抑止につなげることを目的に挙げています。従来も勧告や命令、刑事罰はありましたが、不正取得や不適正利用で得た利益を制度的に吐き出させる枠組みは十分ではありませんでした。

背景には、現行制度では行政対応を受けても違反行為を止めれば利益が残り得るという問題意識があります。時事通信配信の記事では、これまで事業者が勧告や命令を受けた後に違反行為を中止すれば、不正に得た利益を保持できる余地があったと説明しています。法案はこの穴を埋める方向です。共同通信配信の記事では、課徴金の対象は個人データ数が千人を超える大規模事案などを想定し、得た利益相当額を納付させる設計だと報じられています。

もっとも、広くあらゆる違反に一律適用する制度ではありません。個人情報保護委員会の説明資料は、重大な違反行為で個人の権利利益が侵害された場合などを念頭に置いています。つまり、通常の手続きミスまで直ちに課徴金の世界に入るわけではなく、悪質性や権利侵害の程度、経済的誘因の有無が重要な境界線になります。企業にとっては、漏えいや管理不備そのもの以上に、取得目的や第三者提供の適法性、利益獲得との結びつきが問われる局面が増える見通しです。

保護強化が向かう未成年者と顔特徴データ

改正案は制裁強化だけでなく、保護対象の焦点も細かくしています。個人情報保護委員会の資料では、16歳未満の本人に関わる同意取得や利用目的通知について、法定代理人を関与させることを明文化し、保有個人データの利用停止等請求も認めやすくする方針が示されています。年齢基準を16歳未満とした点は、現行のガイドライン運用よりも法的な見通しを明確にする意味があります。

顔特徴データへの規律強化も重要です。概要資料では、顔特徴データ等について、事業者名、利用目的、元となった身体的特徴の内容、利用停止請求の手続きなどの周知を義務化し、オプトアウトに基づく第三者提供も禁止するとしています。防犯カメラや店舗分析、本人確認など用途が広がるなかで、本人が気づかない形で収集されやすく、一度流通すると影響が長引くデータ類型として扱いを厳しくする考え方です。

ここで重要なのは、今回の改正が単なる「AI向け規制緩和」ではないという点です。未成年者保護と生体関連データの規律強化は、むしろデジタル活用が深まるほど高リスク領域を先に締める発想に近いです。保護と利活用の同時強化という政府説明は、この部分を見ると理解しやすくなります。

AI学習を後押しする例外規定と実務影響

統計作成等の例外とAI開発の位置づけ

改正案のもう一つの柱は、統計情報等の作成に限って、本人同意なしの第三者提供や、公開されている要配慮個人情報の取得を可能にする点です。個人情報保護委員会の概要資料は、ここでいう「統計作成等」に、統計作成等であると整理できるAI開発等を含むと明記しています。共同通信配信でも、個人が特定されないAI開発目的などでは同意を不要にする方向が示されています。

この設計は、AI開発のためなら何でも許すという話ではありません。個人情報保護委員会の詳細資料では、統計情報等の作成のみに利用されることを担保するため、提供元と提供先の書面合意や、公表事項の整備、目的外利用や再提供の禁止といった条件を課す想定が示されています。TMI総合法律事務所の解説も、委員会規則で具体的条件が定まる見込みだと指摘しています。企業から見れば、例外の新設よりも、例外を使うための内部統制や契約条項の整備のほうが実務負荷としては大きくなる可能性があります。

また、本人の意思に反しないため権利利益を害しないことが明らかな場合について、同意不要の範囲を広げる考え方も示されています。これは、予約サイトと宿泊施設のように、本人が通常想定しやすいデータ連携まで過剰に萎縮させない意図があります。一方で、本人の合理的予測を超えるデータ結合や二次利用が広がれば、例外の趣旨を逸脱しかねません。制度の成否は、法律の文言以上に、どこまで委員会規則と監督運用が細かく線引きできるかにかかっています。

国産AI政策と企業ガバナンスの再設計

政府がこのタイミングで改正案を出した背景には、データとAIの好循環を政策課題に据える流れがあります。個人情報保護委員会の記者配布資料は、2025年6月13日に閣議決定された「データ利活用制度の在り方に関する基本方針」などを経緯として挙げています。松本尚デジタル相も、共同通信配信記事で、AI開発には多様なデータの取り込みが必要だと説明しました。法案は、国産AIの競争条件を整えつつ、社会的反発を避けるために保護強化を同時に積み増す折衷案とみるのが自然です。

ただし、企業にとって追い風だけではありません。2020年改正法では、命令違反などに対する法定刑引き上げがすでに実施され、法人向け罰金上限も強化されました。今回そこに課徴金が加わることで、違反時のコスト構造はさらに重くなります。今後は、AI開発用データセットの収集段階から、利用目的、公開情報かどうか、要配慮個人情報の該当性、第三者提供契約、再利用禁止措置までを一体で管理する体制が必要です。法務部門だけでなく、データサイエンス部門、営業部門、外部委託先を含む横断管理が前提になります。

注意点・展望

今回の改正を「AIのために個人情報保護が後退した」と単純化するのは正確ではありません。実際には、未成年者保護や顔特徴データ規律、命令要件見直し、課徴金新設など、保護強化の比重もかなり大きいからです。逆に「課徴金が入るから厳罰化一辺倒」とみるのも不十分で、統計作成等や本人意思に反しない利用の整理は、企業のデータ活用を制度的に後押しする面があります。

今後の焦点は三つあります。第一に、課徴金の適用要件や算定の具体化です。第二に、AI開発等を含む「統計情報等の作成」の範囲が、委員会規則でどこまで明確になるかです。第三に、施行が原則として公布から2年以内とされているため、その間に企業が実務をどう整えるかです。法案成立後は、ガイドライン、委員会規則、契約実務、監督事例の順で実像が固まっていくはずです。

まとめ

2026年4月7日に閣議決定された個人情報保護法改正案は、違反事業者への課徴金導入と、AI開発を含むデータ利活用の円滑化を同時に進める法案です。見出しだけ見ると相反する要素が並びますが、実際には「高リスク領域は締める、社会的に必要なデータ連携は条件付きで広げる」という再設計と理解すると全体像がつかみやすくなります。

企業や実務担当者にとって重要なのは、法案成立の有無だけでなく、例外規定を使う条件と違反時コストの変化を早めに織り込むことです。AI活用の準備とプライバシー統制の整備を別々に考える時期は、ほぼ終わったといえます。

参考資料:

• 「個人情報の保護に関する法律等の一部を改正する法律案」の閣議決定について（個人情報保護委員会）
• 個人情報の保護に関する法律等の一部を改正する法律案（概要資料）
• 個人情報保護法等の一部を改正する法律案について（個人情報保護委員会）
• 個人情報保護法 いわゆる3年ごと見直しについて（個人情報保護委員会）
• 第347回 個人情報保護委員会（個人情報保護委員会）
• AI開発、普及へ個人情報活用 政府、規制緩和で改正法案決定（共同通信・熊本日日新聞）
• 個人情報保護法改正案を閣議決定、課徴金制度を導入し、AI学習データ利用を緩和（Web担当者Forum）
• 令和2年 改正個人情報保護法について（個人情報保護委員会）
• 「個人情報保護法 いわゆる3年ごと見直しの制度改正方針」の解説（TMI総合法律事務所）