© Business & Law LLC.

ログイン

はじめに

令和8年4月7日、「個人情報の保護に関する法律等の一部を改正する法律案」(以下「改正法案」という)が閣議決定された注1)
改正法案について、個人情報保護委員会が公表する概要資料(以下「概要資料」という)においては、「デジタル技術の急速な進展に伴い、個人情報を含むデータ利活用への需要が高まる一方、個人情報の違法な取扱いによる権利利益侵害リスクも高まっている」ことを踏まえたものと説明されている。あわせて、同資料では、「AI活用にも資する円滑なデータ連携を促進する」ことが改正の目的として掲げられている。

図表1 個人情報保護法改正案のポイント(概要)

改正項目

主な改正内容 

① 適正なデータ利活用の推進

・ AI開発や統計作成等に関する本人同意要件の緩和

・ 本人の意思に反しないデータ利用、公衆衛生目的・医療研究目的での利用の柔軟化

② リスクに応じた新たな規律

・ 子どもの個人情報保護の強化

・ 顔特徴データ等に関する規律の新設

・ 委託先管理や漏えい時の通知ルールの見直し

③ 不適正利用等の防止

・ 個人情報ではないが個人への働きかけが可能な情報に関する、不正取得・不適正利用の禁止

・ オプトアウトによる第三者提供の規律強化

④ 規律遵守の実効性確保のための規律

・ 命令・勧告権限の強化

・ 罰則強化・拡大

・ 重大な違反行為に対する課徴金制度の導入

出典:個人情報保護委員会「個人情報の保護に関する法律等の一部を改正する法律案(概要)」を基に作成。

連載第1回となる本稿では、改正法案に含まれる改正点(図表1)のうち、上記改正の目的との関係で特に注目を集める、「個人データ等の第三者提供および公開されている要配慮個人情報注2)の取得」について、一定の場合に本人同意を不要とする「統計作成等」に関する特例を取り上げる。
以下では、まず現行法上の制約と改正に至った背景を確認し、次に改正法案の内容を条文案に沿って整理したうえで、データ連携、AI開発、医療・ヘルスケア分野等における実務上の影響を検討する。
なお、本稿で個人情報の保護に関する法律(以下「個人情報保護法」という)の条番号を記載する場合、現行の個人情報保護法の条番号を記載する場合には「現行法●条」、「改正法案」の条番号を記載する場合には「改正法案●条」と記載する。

改正の背景

現行法に基づく統計作成に対する規制

個人情報を統計処理し、特定の個人を識別できない統計データとして利用すること自体は、現行法上も直ちに否定されるものではない。個人情報保護法上、個人情報を取り扱うにあたっては、その利用目的をできる限り特定しなければならない(現行法17条1項)。この点、個人情報保護委員会Q&A2-5によれば、利用目的として特定すべき対象は「個人情報」であり、統計データは個人情報に該当しないことから、統計データへの加工それ自体を利用目的として特定する必要はないと整理されている注3)

他方で、統計情報を作成する過程で、個人データを第三者に提供する場合には、別途、第三者提供にかかる規制が問題となる。
現行法27条1項によれば、個人情報取扱事業者が第三者に個人データを提供する場合、一定の例外に該当する場合を除き、あらかじめ本人の同意を得なければならない。
個人情報保護委員会Q&A7-43は、A社およびB社から統計情報作成の委託を受けた事業者が、A社・B社から提供を受けた個人データを本人ごとに突合することについて、委託に伴って提供された個人データを本人ごとに突合することはできず、突合して得られた個人データから統計情報を作成することもできず、そのような処理を行うには、A社・B社において第三者提供に関する本人同意を取得する等の対応が必要であるとしている注4)

たとえば、複数の事業者が保有する顧客データ、購買データ、利用ログ、ヘルスケアデータ等を、外部の分析事業者に提供し、本人単位で突合した上で、統計的な傾向を把握するような場面では、最終成果物が統計情報であっても、作成過程における個人データの提供・突合が問題となる。
たとえデータの提供元事業者と提供先事業者との関係が「委託」であったとしても、委託先は、委託元の利用目的の達成に必要な範囲で個人データを取り扱うにとどまるため、複数の委託元のデータを横断的に突合し、得られた個人データから統計情報を作成する行為は、委託の範囲を超える取扱いと評価されることになる。

横断的なデータ解析ニーズの増加

AI開発等の場面においては、複数の事業者が保有するデータを集約したうえで、横断的な解析を行うことによってより精度の高いサービスの開発が可能となるため、横断的解析を行うことに対するニーズが高まっている。改正法案は、このようなニーズの高まりを背景としたものである。
統計作成等特例は、AI開発との関係で特に注目されている。概要資料においても、統計情報等の作成には「統計作成等であると整理できるAI開発等」が含まれることが明記されており、本特例が我が国におけるAI開発を促進し得る規制緩和として位置づけられていることがうかがわれる注5)

公開されている要配慮個人情報の取得ニーズ

第三者提供の場面に加えて、公開されている要配慮個人情報の取得についても、改正法案は新たな特例を設けている。この特例が設けられた背景には、現行法上の要配慮個人情報の取得規制が、AI開発等のためのデータ収集の場面において固有のハードルとなっているという問題意識がある。
すなわち、現行法上、要配慮個人情報を取得するには、原則としてあらかじめ本人の同意を得なければならない(現行法20条2項)。現行法にも、本人、国の機関、地方公共団体、学術研究機関等、報道機関等により当該要配慮個人情報が公開されている場合に同意取得を不要とする例外は設けられている(現行法20条2項7号)。もっとも、ウェブサイト上の公開情報をクローリングやウェブスクレイピング等により自動的に収集する場合には、収集の対象となる情報に病歴や犯罪の経歴等の要配慮個人情報が含まれうる一方で、収集に先立って当該情報のソースや公開主体を逐一確認することは技術的に困難であるため、上記の現行法の例外のみでは、要配慮個人情報の取得規制に係る問題を完全には解消できないと指摘されてきた注6)。現に、個人情報保護委員会は、令和5年6月2日に公表された「OpenAIに対する注意喚起の概要」において、生成AIの開発事業者に対し、機械学習のための情報収集に関して、収集する情報に要配慮個人情報が含まれないための取組や、収集後できる限り即時に要配慮個人情報を減少・削除するための措置等を求める注意喚起を行っており注7)、公開情報からの要配慮個人情報の収集が実務上の論点となっていた。
こうした状況を踏まえ、個人情報保護委員会の「個人情報保護法の制度的課題に対する考え方について」(令和7年3月5日)および「個人情報保護法 いわゆる3年ごと見直しの制度改正方針」(令和8年1月9日)では、特定の個人との対応関係が排斥された統計情報等の作成や利用は、これによって個人の権利利益を侵害するおそれが少ないことから、統計情報等の作成(統計作成等であると整理できるAI開発等を含む)にのみ利用されることが担保されていること等を条件に、公開されている要配慮個人情報の取得について本人同意を不要とする方針が示されていた注8)。改正法案における公開されている要配慮個人情報の取得に係る特例(改正法案30条の2第1項)は、このような議論を経て導入が提案されたものである。

改正法案の内容

全体像

統計作成等特例は、大きく分けて二つの場面に関するものである(図表2)。

図表2 統計作成等特例の内容

特例

内容

① 公開されている要配慮個人情報の取得

ウェブ等で公開されている病歴・犯罪歴等を、統計作成等の目的なら同意なく取得可能に

② 統計作成等を目的とする第三者提供

複数事業者が分析会社等にデータを提供し横断分析することが、同意なく可能に

第一に、公開されている要配慮個人情報の取得である。現行法20条2項の下では、要配慮個人情報の取得には原則として本人同意が必要であるが、改正法案は、統計作成等を行う目的等で、現に公開されている要配慮個人情報を取り扱う必要がある場合について、一定の事項の公表等を条件に、新たな同意の取得を不要とする特例を設ける。
第二に、個人データ等の第三者提供である。現行法27条1項の下では、個人データの第三者提供には原則として本人同意が必要であるが、改正法案は、第三者が統計作成等の目的で個人情報または個人関連情報を取り扱う必要がある場合について、一定の事項の公表等を条件に、本人同意を不要とする特例を設ける。

「統計作成等」の定義

改正法案は、2条13項において「統計作成等」を以下の通り定義する。

統計の作成その他の大量の情報から当該情報を構成する要素に係る情報を抽出して分類、比較その他の解析を行うことにより、当該大量の情報の傾向又は性質に係る情報(個人に関する情報であるものを除く)を作成する行為のうち、個人の権利利益を害するおそれが少ないものとして個人情報保護委員会規則で定めるものをいうもの

上記定義に基づけば、「統計作成等」には、大量の情報から傾向または性質を把握するための分類、比較、解析が含まれるため、需要予測、傾向分析、異常検知モデル、分類モデル、AIモデルの学習等も、その内容によっては対象となりうる。
ただし、成果物が個人に関する情報であってはならない。したがって、たとえば、個人ごとのスコア、属性の推定、購買可能性、信用力、疾病リスク、採否可能性等を作成する場合には、仮に統計的手法を用いていたとしても、統計作成等特例の対象と整理できるかは慎重な検討を要する
また、詳細については個人情報保護委員会規則に委ねる形で定義が置かれているため、改正法案の文言だけでは、たとえば、AI開発における機械学習、RAG、ファインチューニング、評価データセット作成等がどの範囲で「統計作成等」に含まれると評価されるのかを判断することは難しい。この点は、委員会規則やガイドライン、Q&Aやそれらを踏まえた実務の積み重ねにより外縁が確定されていくものと考えられる

公開されている要配慮個人情報の取得

改正法案30条の2第1項は、公開されている要配慮個人情報の取得について特例を設ける。
具体的には、個人情報取扱事業者が、統計作成等を行う目的または統計作成等のための第三者提供を行う目的で、現に公開されている要配慮個人情報を取り扱う必要がある場合に、インターネットの利用等により一定の事項を公表しているときは、本人同意なく当該要配慮個人情報を取得できるものとされている。
この特例は、ウェブ上の公開情報、公開文献、公開データベース等に要配慮個人情報が含まれ得る場面を念頭に置くものと考えられる。
もっとも、公開されている情報であることは、無限定の利用を正当化するものではない。改正法案は、取得者の氏名・名称、行おうとする統計作成等の内容等を公表し、目的外利用および第三者提供を制限することにより、本人同意に代わる透明性と目的限定を確保する構造を採っている。

統計作成等を目的とする第三者提供

改正法案30条の2第5項および31条の3第1項は、統計作成等を目的とする第三者提供について特例を設ける。
具体的には、第三者が個人情報または個人関連情報を統計作成等の目的で取り扱う必要がある場合に、提供元および提供先が一定の事項を公表し、かつ、提供元と提供先との間で、書面または電磁的記録により、当該提供が本特例に基づくものであることを明確に定めているときは、一定の場合を除き、個人情報または個人関連情報を、本人同意なく第三者に提供できるものとされている。
この第三者提供特例は、Q&A7-43で問題となっていたような、複数事業者のデータを横断的に解析する場面に関係する。すなわち、複数の事業者が、統計作成等のみを目的として、分析事業者、AI開発事業者、データ連携基盤事業者等に個人データ等を提供する場合に、本人同意以外のルートが用意されることになる。
ただし、提供先が取得したデータを用いて、個人ごとのプロファイル、レコメンド、与信判断資料等を作成する場合には、成果物が「個人に関する情報」に該当しうる。統計作成等特例の対象となるのは、特定個人との対応関係を排斥した一般的・汎用的な分析結果にとどまる場合であると考えられる。

同意取得に代わり求められる措置

改正法案は、本人同意を不要とする代わりに、複数の担保措置を置いている(図表3)。

図表3 同意取得に代わる四つの担保措置

 

 内容

備考

① 公表

取得者・提供元・提供先の名称、統計作成等の内容等をインターネット等の方法で公表する

データ取扱期間中は継続して公表が必要

② 書面合意

提供元・提供先の間で書面(電磁的記録含む)による合意を締結する

本特例に基づく提供である旨を明確に定めること(委員会規則・Q&A待ち)

③ 目的外利用の禁止

取得・提供された情報(複製・加工した個人に関する情報を含む)は、公表した統計作成等の目的の範囲内でのみ利用可

法令に基づく場合等を除く

④ 再提供の禁止

本特例により取得・提供された情報は第三者への提供が禁止される

個人データに該当しない場合も同様。法令等に基づく場合等は除く

第一に、公表である。公開されている要配慮個人情報を取得する場合も、統計作成等を目的として第三者提供を行う場合も、取得者、提供元、提供先の氏名・名称や、行おうとする統計作成等の内容等について、インターネットの利用その他の個人情報保護委員会規則で定める方法により公表することが求められる(公開されている要配慮個人情報の取得につき改正法案30条の2第1項、統計作成等を目的とする第三者提供につき改正法案30条の2第5項1号、改正法案第31条の3第1項1号)。さらに、本特例の対象となる情報を取り扱っている期間は、当該公表を継続しなければならないとされている(改正法案30条の2第2項・6項、改正法案31条の3第2項)。
第二に、第三者提供特例においては、提供元・提供先間の合意が求められる。具体的には、提供元と提供先との間の書面(電磁的記録を含む)による合意において、当該提供が本特例に基づくものである旨が明確に定められている必要がある(改正法案30条の2第5項2号、改正法案31条の3第1項2号)。
第三に、目的外利用の禁止である。本特例により取得または提供された情報(これを複製または加工した個人に関する情報を含む。)については、法令に基づく場合等を除き、公表されている内容の統計作成等を行うために必要な範囲を超えて取り扱うことが禁止される(改正法案30条の2第4項・第9項、改正法案31条の3第5項)。
第四に、再提供の禁止である。本特例により取得または提供された情報については、それが個人データに該当しない場合であっても、法令等に基づく場合等の一定の場合を除き、第三者への提供が禁止される(改正法案30条の2第10項・第11項、改正法案31条の3第6項・第7項)。
以上のとおり、本特例は、本人同意を単純に不要とする制度ではなく、本人同意による入口規制を緩和する一方で、公表、契約、目的限定、再提供禁止という規律により、データの利用過程と出口を統制する制度であると整理する必要がある。

実務への影響

影響を受けやすい事業者

統計作成等特例の影響が大きいのは、個人データを単に自社内で利用する事業者ではなく、複数の事業者・機関のデータを横断的に解析し、個人単位ではない成果物を作成する事業者である。
典型的には、次の事業者が考えられる(図表4)。

① データ連携関連業務を行う事業者・分析業務受託事業者

② AI開発事業者・AIモデル提供事業者

③ 医療・ヘルスケア、製薬、医療機器、医学研究関連事業者

図表4 影響を受ける事業者別の整理

 

 データ連携・分析事業者

AI開発事業者

医療・ヘルスケア事業者

活用場面

・ 複数社の購買データを横断分析し需要傾向を把握

・ アプリ利用ログを集約し離脱要因を分析

・ ヘルスケアデータで生活習慣と健康状態を分析

・ 分類・予測・異常検知モデルの学習データ収集

・ 公開情報の自動収集(要配慮個人情報を含む場合も対応可)

・ 複数主体から個人データ提供を受けた学習

・ 複数医療機関の診療データによる疾患別傾向分析

・ 希少疾患の横断的症例分析

・ 副作用傾向・安全性監視

・ 医療機器・SaMD開発用学習・評価データ利用

注意点

・ 成果物が個人単位の評価・推薦等であれば対象外

・ 提供元・提供先の書面合意の内容設計が重要

・ 再提供・目的外利用の管理体制の整備が必要

・ モデルが個人情報を記憶・再現する場合は対象外の可能性

・ 個人単位の評価・選別・推薦に出力が使われる場合は対象外

・ RAGで個人情報DBに接続する場合は慎重な検討が必要

・ 全工程が自動的に「統計作成等」に該当するわけではない

・ 個情法の同意整理だけでは適法性が完結しない

・ 研究倫理指針・倫理審査の要否を別途確認

・ データ提供の法的根拠・契約上の役割分担も一体で整理

データ連携関連業務を行う事業者・分析業務受託事業者

本特例が機能する一場面として、複数の事業者が保有するデータを、外部の分析事業者またはデータ連携関連業務を行う事業者に提供し、本人単位で突合した上で、統計情報や傾向分析を作成する場面が考えられる。
たとえば、複数の小売事業者が購買データを提供し、地域別・商品カテゴリ別の需要傾向を分析するケースが考えられる。また、複数のアプリ事業者が利用ログを提供し、サービス利用傾向や離脱要因を分析するケースもあり得る。複数のヘルスケア事業者がデータを提供し、生活習慣、運動、睡眠等と健康状態の傾向を分析することも想定される。
現行法上、このような横断分析は、本人からの同意の取得や委託の範囲に関する制限との関係で整理が困難となる場面が多い。特に、Q&A7-43が示すとおり、複数委託元のデータを本人ごとに突合する処理は、通常の委託の枠組みでは処理しきれない。
改正法案により、統計作成等にのみ利用されることを前提に、公表、書面合意、目的外利用禁止、再提供禁止等の要件を満たす場合には、本人同意に依拠しないデータ連携の選択肢が生じる。
上記のうち書面合意については、今後、提供元・提供先との間で締結される契約において、どのような事項を規定するかといった点につき、委員会規則、ガイドライン、Q&Aの規定や、これを踏まえた実務の集積が期待される。

AI開発・機械学習

AI開発事業者にとっては、本特例は、学習用データの取得・提供に関する実務上の選択肢を増やす可能性がある。
AI開発・機械学習の過程では、①公開情報の自動収集と、②第三者が保有するデータの提供を受ける場面が存在する。現行法下においては、①の公開情報の自動収集の場面について要配慮個人情報の取得規制、②について個人データの第三者提供規制がハードルとなっている。
改正法案の下では、統計作成等と整理できるAI開発等について、公開されている要配慮個人情報の取得や、個人データ等の第三者提供について、本人からの同意取得を不要とする余地が生じる。たとえば、個人単位の判断や働きかけを目的としない分類モデル、予測モデル、異常検知モデル、自然言語処理モデル等の開発において、複数の主体のデータを利用する場面が考えられる。
もっとも、AI開発の全工程が当然に統計作成等に該当するわけではない。たとえば、モデルが学習データ中の個人情報を記憶・再現する場合、RAG等により個人情報データベースに接続される場合、出力が個人単位の評価・選別・推薦に用いられる場合等において、「統計作成等」に該当するかという点については、慎重な検討を要する

医療・ヘルスケア、製薬・医療機器

医療・ヘルスケア分野では、統計作成等特例が実務上意味を持つ場面が多い。
複数の医療機関の診療データを用いた疾患別・治療法別の傾向分析、希少疾患について単独施設では不足する症例数を補う横断的な分析、治療法別のアウトカム分析、副作用傾向や安全性監視に関する統計的分析、医療機器・SaMD開発のための学習・評価データ利用などが考えられる。
もっとも、統計作成等特例により、個人情報保護法上の本人同意の整理が一部変わりうるとしても、それだけで医療データ利活用の適法性・妥当性が完結するものではない点には留意が必要である。
医療分野では、いわゆる三省2ガイドライン(厚生労働省の「医療情報システムの安全管理に関するガイドライン 第6.0版」注9)、総務省・経済産業省の「医療情報を取り扱う情報システム・サービスの提供事業者における安全管理ガイドライン 第2.0版」注10)、研究倫理指針、薬機法、医療広告規制等を含めて検討する必要がある。特に、医療機関、製薬企業、医療機器メーカー等が関与する場合には、データ提供の法的根拠、研究該当性、倫理審査、契約上の役割分担、安全管理措置を一体として整理することになる。

「統計作成等」に向けた準備

統計作成等特例については、委員会規則やガイドライン、Q&Aにより今後より詳細が明らかになっていくものと考えられるが、現状可能な準備として、まず、自社またはクライアントのデータ利活用施策の検討を行うことが推奨される。
データ利活用施策の検討にあたっては、あり得る利活用施策について、たとえば次のような視点から分類をして、検討することが有用である。

・ 個人単位の評価・判断・働きかけを行うものであるか

・ 統計・傾向分析・モデル開発にとどまるものであるか

・ 統計化前データを第三者に提供するものであるか

・ 公開されている要配慮個人情報を取得するものであるか

上記のような分類を行うことにより、「統計作成等」に関する特例を活用したデータの利活用を行うことができるのか、または、そのような特例の制約の範囲内での利活用ではビジネスとして成立しないのか、といった点を検討することが可能になると考えられる。
統計作成等特例は、データ利活用のための重要な制度であるが、データの利活用の場面において確認するべきは個人情報保護法のみではないことに留意が必要である。
AI開発では、経済産業省が公表する「AI事業者ガイドライン」注11)をはじめとする各種ガイドライン等を踏まえたAIガバナンス、リスク評価、透明性の確保等が問題となる。
医療データについては、三省2ガイドライン、倫理審査、研究倫理指針、次世代医療基盤法、薬機法、医療広告規制等を含めた検討が必要となる。
したがって、本特例を実務に落とし込む際には、個人情報保護法上の同意要否だけで結論を出すのではなく、業法、ガイドライン、契約、技術、安全管理、AI・データガバナンスを含めて設計する必要がある。

おわりに

統計作成等特例は、個人データの利活用を広く自由化する制度ではない。対象となるのは、個人単位の判断や働きかけではなく、統計情報、傾向分析、AIモデル等の一般的・汎用的な成果物を作成する場面である。
その一方で、複数事業者・複数機関が保有するデータを横断的に解析する実務においては、従来の本人同意、委託等の整理だけでは対応しにくかった領域に、新たな選択肢を与えるものである。
今後は、委員会規則、ガイドライン、Q&Aにおいて、統計作成等の具体的範囲、AI開発との関係、公表事項の粒度等が具体化されることが見込まれる。事業者としては、改正法の施行の動向をうかがいつつ、データ利活用のユースケース等の検討に着手しておくことが望ましい。

次回は、同意取得に関する例外要件の緩和について詳しく取り上げる。

→この連載を「まとめて読む」

  1. 個人情報保護委員会「個人情報の保護に関する法律等の一部を改正する法律案」概要資料[]
  2. 「要配慮個人情報」とは、不当な差別や偏見その他の不利益が生じないようにその取扱いに特に配慮を要するものとして政令で定める記述等が含まれる個人情報をいう(現行法2条3項)。たとえば、人種、信条、病歴などがそれに当たる。[]
  3. 個人情報保護委員会Q&A Q2-5[]
  4. 個人情報保護委員会Q&A Q7-43[]
  5. 個人情報保護委員会事務局「個人情報保護法等の一部を改正する法律案について」(令和8年4月)6頁。[]
  6. 殿村桂司=関口朋宏「速報 令和8年個人情報保護法改正法案 第2回 AI特例(統計作成等の特例)」NO&T Data Protection Legal Update No.71(2026年4月)[]
  7. 個人情報保護委員会「OpenAIに対する注意喚起の概要」(令和5年6月2日)[]
  8. 個人情報保護委員会「個人情報保護法の制度的課題に対する考え方について」(令和7年3月5日)1・2頁、同「個人情報保護法 いわゆる3年ごと見直しの制度改正方針」(令和8年1月9日)1・2頁。[]
  9. 厚生労働省「医療情報システムの安全管理に関するガイドライン 第6.0版」(令和5年5月)[]
  10. 経済産業省「医療情報を取り扱う情報システム・サービスの提供事業者における安全管理ガイドライン」[]
  11. 経済産業省「AI事業者ガイドライン」[]

田浦 一

OLD NEW THINGS法律事務所 弁護士

08年北海道大学法学部卒業。10年北海道大学法科大学院卒業。11年弁護士登録(第一東京弁護士会)。12~14年ヤフー株式会社法務本部。15~25年アンダーソン・毛利・友常法律事務所。19年New York University School of Law 修了(LL.M.)。19~20年米国Morgan, Lewis & Bockius。20年ニューヨーク州弁護士登録。24年~日本組織内弁護士協会理事兼3部会部会長。個人情報保護法をはじめとしたデータ保護法分野、データの利活用戦略の策定・実行支援、国内外のM&Aをはじめとしたコーポレート分野を主な業務とする。BUSINESS LAWYERS AWARD 2025 次世代選抜選出、Best Lawyers: Ones to Watch in Japan™ 2027, Corporate and Mergers and Acquisitions Lawに選出。