2026年7月10日、改正個人情報保護法が参議院本会議で可決・成立しました。
最大のポイントは、AIの学習や統計作成のためであれば、本人の同意なしに個人データを第三者に提供できる「特例」が新設されたこと。その代わりに、悪質な違反には課徴金を科す制度が導入されます。「事前規制を緩め、事後規制を強める」——日本のデータ活用ルールの構造が変わる、大きな転換点です。
施行は2028年夏までの見通し。ただし、特例が具体的にどこまで使えるのかは今後のガイドライン次第で、日経新聞が「企業手探り」と報じたとおり、経済界も専門家も慎重に様子を見ている段階です。
この記事では、改正の中身と、AI活用を進める企業が今やっておくべきことを整理します。
01何が決まったのか——3つのポイント
AI学習・統計作成なら「本人同意なし」でデータ提供が可能に
現行法では、企業や団体が保有する個人データを第三者に提供する場合、原則として事前に本人の同意が必要です。改正法は、AIのデータ学習や統計の作成に利用する場合に限り、この同意を不要とする特例を設けました。
特徴的なのは、提供元がデータを匿名化などの加工をせずに、そのまま提供できる点です。個人情報保護委員会は「AIの学習データや統計として処理されれば、個人につながる情報はサービス上残らないため、権利侵害のリスクは低い」という整理をしています。病歴など「要配慮個人情報」も対象に含まれます。
想定されている使い方の一つが、ヘルスケア領域です。病院・薬局・ヘルスケアアプリ事業者などからデータ提供を受け、個人ごとに整理したうえで生活習慣と疾患の因果関係を分析する——現行法では同意の壁で難しかった分析が可能になります。
背景にあるのは、米国・中国に後れを取る国内AI開発への危機感です。AIの性能は学習データの量に大きく左右されるため、データを集めやすくすることで国内のAI開発を後押しする狙いがあります。
課徴金制度の新設——「特例で集めたデータの目的外利用」も対象
規制緩和とセットで導入されるのが課徴金制度です。ポイントは3つ。
- 対象:被害者が1,000人以上にのぼる悪質な事案
- 金額:違反行為で得た利益の全額を徴収
- 範囲:提供元を欺いてデータを取得したケースに加え、AI向け特例で入手したデータを別の目的で利用した場合も対象
3つ目が重要です。「AI学習のため」としてデータを受け取り、実際には別の用途に使えば課徴金の対象になり得ます。特例は「自由に使えるデータ」を生むものではなく、用途を厳格に縛ったうえでの緩和だと理解しておく必要があります。
子ども・顔認証データの保護はむしろ強化
緩和一辺倒ではありません。リスクの高い領域は逆に規制が強化されます。
- 16歳未満のプライバシー保護強化:違法行為がなくても利用停止を請求できるように
- 顔特徴データの取り扱い厳格化:利用目的などの周知を企業に義務付け
- このほか、特例以外でも「本人の意思に明らかに反しない」一部の第三者提供は同意不要になるなど、同意ルール全体が再設計されます
02「同意不要」でも、企業の責任はむしろ重くなる
ここが今回の改正のいちばん誤解されやすい点です。
これまでの「本人同意を取れば提供できる」という仕組みに比べ、特例を使う場合には社内ガバナンス、説明責任、プライバシー保護の体制整備など、データ提供元の企業に求められる水準は高くなります。また、利用目的ごとに適用される規制が異なる個人データが社内に混在するため、データ管理の事務負担が増える可能性も指摘されています。
さらに、改正法は「特例の具体的な対象」「目的外利用を防ぐ手立て」「情報漏洩の防止策」を条文に明記しておらず、個人情報保護委員会が今後策定する指針に委ねられています。経済界からも、統計作成に該当するかどうかの解釈が指針で明確に示されなければ活用に踏み切れない、という声が出ています。専門家の間でも、批判の高まりを受けてリスクに敏感な企業は当面様子見に回る、との見方があります。
つまり現時点の正しい理解は、こうです。
- 枠組みは決まった。しかし運用ルールはこれから
- 施行(2028年夏までの見通し)までは現行法がそのまま適用され、同意取得の省略を先取りすることはできない
- 法的に許されても、顧客への説明を欠いたデータ活用は信頼を毀損する。「合法かどうか」と「顧客に説明できるかどうか」は別の基準
03企業が施行までにやるべき準備
AI活用を進めたい企業が、いま着手できることは次の4つです。
プライバシーポリシーの棚卸し
利用目的と第三者提供の条項を確認し、AI活用に関わるデータの流れが現在どの根拠(本人同意・委託・匿名加工など)に基づいているかを特定する。施行後は「新特例」という選択肢が加わるため、根拠の整理が土台になる。
AIベンダーとの契約のデータ取扱条項の確認
委託先の適正取扱義務も見直されるため、業務委託契約やSaaS利用規約のデータ取扱条項を、指針の公表後すぐ照合できるように現状整理しておく。
「目的の管理」を前提にしたデータガバナンス設計
特例データの目的外利用は課徴金の対象。どのデータが・どの根拠で・何の目的に使われているかを追跡できる管理体制が、特例活用の前提条件になる。
ガイドライン公表のウォッチ
特例の該当基準、課徴金の運用、施行日を定める政令。この3つは施行までに順次公表される。公表のたびに自社の規程・契約への影響を確認する体制を作っておく。
- 2026年7月10日、改正個人情報保護法が成立。AI学習・統計作成目的なら本人同意なし・未加工での個人データ提供が可能に。施行は2028年夏までの見通し
- 課徴金制度を新設。被害者1,000人以上の悪質事案が対象で、特例データの目的外利用も含まれる
- 「同意不要」の代わりに、ガバナンス・説明責任などデータ提供元に求められる水準は上がる
- 特例の具体的な線引きは個人情報保護委員会の指針待ち。施行までは現行法が適用され、先取りはできない
- 今やるべきは、プライバシーポリシーと契約の棚卸し、目的管理を前提にしたデータガバナンス設計、指針のウォッチ
AIのためのデータ利活用は、これから「やれる企業」と「やれない企業」の差が一気に開く領域です。多くの企業が様子見に回るからこそ、施行までの2年間を準備期間として使える企業には先行者の優位があります。ルールが固まってから慌てるのではなく、今から土台を整えておきましょう。