宇賀克也教授に聞く令和8年個人情報保護法改正案 法務が真に備えるべきは?
IT・情報セキュリティ
目次
令和8年(2026年)個人情報保護法改正案の国会審議が進んでいる。今回の改正は「適正なデータ利活用の推進」「リスクに適切に対応した規律」「不適正利用等の防止」「規律遵守の実効性確保のための規律」の4本柱からなり、実務的には、悪質事業者へのペナルティ強化と、リスクベース・アプローチによる規制のメリハリの2点がポイントといえる。
規制の緩和と厳格化が入り交じる今回の改正案について、企業の法務担当者はどう受け止めるべきか。行政法・情報法の第一人者である宇賀克也先生にお話を伺った。
規制遵守の実効性確保の第一歩として評価
今回の改正案全体に対する先生の評価をお聞かせください。
規制一辺倒でも緩和一辺倒でもなく、両方のバランスを模索して作られたものだと思います。個人的に最も評価できるのは、規制遵守の実効性確保のための一歩を踏み出した点です。
そもそも日本の法律は、海外から「歯がない」と指摘されるほど強制力に欠ける傾向があり、個人情報保護法も例外ではありませんでした。特に個人情報保護法は、命令の要件が厳しすぎました。命令を出すためには、「勧告を受けた個人情報取扱事業者等が正当な理由がなくてその勧告に係る措置をとらなかった場合において、個人の重大な権利利益の侵害が切迫していると認めるときに行うことができる」という高いハードルが課されていました。結果として、命令はほとんど出されず、勧告を前置しない命令(いわゆる緊急命令)にいたっては、制度創設から20年を経て1件という状況だったのです。
そこで今回の改正では、この反省を踏まえ、命令の要件を「重大な権利利益が害されるおそれがある」へと引き下げるとともに、緊急命令についても「侵害が切迫している」段階で出せるようにするなど、法執行のハードルが下がったことは大きな前進です。
不十分な点としてはどのようなところが挙げられますか。
個人情報はいったんネット上に流出すると完全に消去することは困難ですので、迅速な監督措置が求められます。したがって、そもそも命令までに時間を要する勧告前置を原則とする必要はないように思います。勧告というフォーマルな行政指導を廃止しても、指導・助言というよりインフォーマルな手法を用いることは妨げられませんので、法執行の柔軟性を失うことはないと思います。
また、違反企業にサーバーやクラウドなどを提供している「取扱関係役務提供者」や、検索サービスなどを提供している「特定電気通信役務提供者」については、行政からの「要請」の規定が入りました。「要請」の根拠条文が設けられたことは一歩前進です。もっとも、実際に違反しているわけではなくとも結果として、個人の権利利益に対する重大な侵害のおそれがある違法行為を助長、あるいは間接的にサポートしているわけですから、命令という形まで踏み込んでもよかったのではないでしょうか。
刑事罰に関しては、命令を受けた段階で違反行為をやめれば処罰されない「間接罰」では、威嚇力に乏しいという課題がありました。そこで今回、個人情報データベース等提供罪の対象が、図利目的だけでなく加害目的にまで広げられたり、さらに不正目的での入手についても直罰規定が新設されたりした点は大いに評価できます。
しかし実際のところ、警察や検察は刑法犯の処理に追われており、行政犯にまでなかなか手が回らないため、行政上の義務違反に対する刑事罰(いわゆる行政刑罰)はほとんど機能していません。そこで、課徴金の導入による抑止力が期待されたわけです。

限定的な「課徴金制度」と見送られた「団体訴訟」の無念
しかし、経済界の反発もあり、改正案では対象が限定された形での課徴金制度となりました。
はい、改正案における課徴金制度の要件はかなり絞られました。相当の注意を怠った場合や、大規模事案または権利利益侵害の程度が高い場合でなければ対象外となり、「安全管理措置の懈怠」による漏えい等も対象外となりました。安全管理措置への投資を著しく怠り、低価格で競争上の優位を保っていた企業が個人データを漏えいさせたとしても課徴金の対象外となり、安全管理措置の懈怠によって得た利益すら剥奪されないことになります。このような状態は、安全管理措置に相応の投資をしている企業にとっては、違和感が大きいのではないでしょうか。
また、課徴金の額としても、違法に得た利得の剥奪にとどまっています。課徴金を「所定の額以下または前年度の総売上高の何パーセント以下のいずれか高い額」としているEUや中国と比較して穏便です。もちろん、これらの国で、上限に近い額の課徴金が常に課されるわけではなく、上限をかなり下回る額の課徴金額にとどまることは少なくありません。しかし、上限が高く設定されている場合には、企業としては、最悪の場合を念頭に置かざるを得なくなりますので、抑止効果は大きいといえます。
個人情報保護委員会が当初検討していた団体訴訟の導入も、経済界の反発で見送られました。
そうですね。団体訴訟の導入が見送られたのは残念です。私は、大きく2つの理由から、「民間による法執行ルート」である団体訴訟が必要だったと考えています。
第一の理由は、経済界が懸念する濫訴は、これまでの経験に照らすと杞憂にすぎないということです。
まず、情報公開法ができたときも濫訴が懸念されていましたが、実績は年平均で20件未満にとどまっています。
次に、団体訴訟の先行事例といえる消費者裁判手続特例法に基づく制度を見ても、適格消費者団体による差止請求訴訟は平均で年5件程度。同法に基づく特定適格消費者団体による共通義務確認訴訟も、年1件程度の提起にとどまり、むしろその活用が少ないことのほうが問題視されている状況です。
そして、個人情報保護法においても、2015年の改正で本人の「求め」を裁判上の権利である「請求」へと明確化した際、経済界から濫訴が強く警戒されましたが、施行から10年近く経つ現在でもまったくそのような状況にはなっていません。
第二の理由は、個人情報保護委員会のマンパワー(執行力)不足を補完する必要があるということです。現在の約240名という人員体制では違反の捕捉をすべて行うのは難しく、そして課徴金も限定的なものとなった以上、私人による法執行、すなわち民間の力を活用して法執行ルートを多元化する必要があります。
企業の懸念は理解できますが、こうした実績や現状を丁寧に説明すれば、過度に恐れるほどの影響はないことを理解していただけたのではないか、という思いが残ります。
複雑化はしたもののリスクベース・アプローチ強化による恩恵にも注目
ここまでのお話で、改正案によって導入される課徴金制度については、真面目にルールを守っている企業が過度に恐れる必要はないことがわかりました。一方で、今回の改正案によって「特定生体個人情報」や「連絡可能個人関連情報」といった新しい概念が加わり、企業の立場からは、複雑化による実務負担を懸念する声も聞かれます。
新しい規律が設けられ、法律が複雑化した面は否定できません。ただ、これはリスクベース・アプローチの強化によるものであり、リスクの大きさに応じて規律の強弱を変えること自体は望ましいものと考えます。
今回の改正案でいうと、「特定生体個人情報」は規制が強化された部分です。たとえば顔特徴データは一意性が強く、半永久的に本人と結びついているため重大なプライバシー侵害につながるおそれがあるにもかかわらず、従前は特別な規律がありませんでした。
そこで改正案は、特定生体個人情報という概念を用いて規律を強化し、取扱いに関する一定の事項の周知義務やオプトアウトによる第三者提供の禁止といった、特別な規律を設けました。これは、個人識別符号としての一律の規制からの離脱を意味します。
また、改正案で新たに設けられた「連絡可能個人関連情報」も同様です。住所、電話番号、メールアドレス、Cookie ID(電気通信設備を識別する符号)といった、特定の個人に対する働きかけができる情報は、フィッシング詐欺などの財産上の被害や、名寄せによる深刻なプライバシー侵害をもたらすおそれがあります。しかし従前は「個人関連情報」という枠組みに含まれ、取得や利用自体に対する特別な規制はありませんでした。
そこで改正案により、連絡可能個人関連情報という新しいカテゴリーを作り、不適正利用と不正取得については個人情報と同様に禁止することとなりました。もっとも、連絡可能個人関連情報については、個人情報または準個人情報として位置付け、安全管理措置義務等も課すべきだったとは思いますが、全体としてリスクに応じたメリハリのある規律になったといえます。
リスクベース・アプローチによる規制の強化という点では、今回の改正案で、16歳未満のこどもの個人情報についても、初めて法律レベルでの明確な規律が設けられることになりました。この点についてはいかがでしょうか。
こどもの個人情報については、これまでガイドラインやQ&Aでその特性に応じた対応の必要性が示されていたものの、個人情報保護法には特別な規定がありませんでした。
しかしこどもは一般に判断能力が乏しいことを考えると、一般の場合よりも個人情報保護を強化する必要があります。そこで改正案では、16歳未満の場合、第三者提供や目的外利用などで必要となる同意は法定代理人から得ることが求められ、また、事業者側の適法性にかかわらず利用停止や第三者提供の停止を求められるようになりました。この点は一歩前進だと思います。
もっとも、児童虐待のように、法定代理人と未成年者の利益が一致しない場合の規定を設けるべきであると考えています。改正案には、法定代理人が開示等の請求等をする際に「当該本人の最善の利益を優先して考慮しなければならない」という規定がありますが、それを個人情報保護委員会規則やガイドラインなどで具体化する必要があります。かつて地方公共団体の個人情報保護条例の中には、未成年者と法定代理人の利益相反時には法定代理人だけでなく本人の同意も求めるという規定を置くなど、創意工夫がされていたものがあります。国はこのような経緯に学び、規則等に反映してほしいと考えています。

法務担当者には、改正により実務対応の負荷がかかることになりますが、リスクベース・アプローチの結果として、ビジネスを進めやすくなるなどのメリットも期待してよいのでしょうか。
はい、リスクに応じてメリハリのついた規律になるわけですから、過剰な負担から解放され、情報の管理がより合理的になる場面も出てくるはずです。たとえば改正案では、利用目的に関する規制や、漏えい時の本人通知に関する規制が緩和されています。施行に向けて、該当するケースが規則などで明確化されれば、企業にとって負担軽減になる場合があるでしょう。
現場で奮闘されている法務担当者の方にとっては、勉強や体制構築の負担が一時的に増えるのは確かですが、改正内容を正しく理解し実務に落とし込むことで恩恵を受けることもできるはずですので、ぜひ前向きに受け止めていただければと思います。
AI開発を後押しする「統計作成等特例」の意義と「保護」のバランス
改正案による規制緩和としてビジネス面で特に注目されるのは、AI開発等を念頭に置いた「統計作成等特例」の導入です。この点についてはいかがでしょうか。
統計作成等特例の導入は、今回の規制緩和の最大の眼目です。AI開発をする際にクローリングやスクレイピングを行うと要配慮個人情報を排除するのが難しく、そのたびに一人ひとりから同意を得ることは非現実的であり、真面目な企業ほど躊躇してしまいます。その問題を解消するのが要配慮個人情報の取得について本人同意を不要とする統計作成等特例の意義です。また、AI開発を行うためには、ビッグデータを入手して学習させる必要がありますが、個人データの第三者提供には原則として本人同意が必要とされているところ、実際には、すべての個人から同意を得ることは困難であり、このこともAI開発を行う企業にとっては桎梏になっていました。
海外では、トランプ政権はAI開発促進に大きく傾いていますし、EUでもデジタルオムニバスによるGDPR改正で、AI開発のためのデータ利用を正当な目的として認める方向の議論が進んでいます。こうした国際競争の中で、AI開発等の障壁を取り除く法制上の措置を講ずる背景は理解できます。
しかし、要配慮個人情報の安全管理措置が十分に講じられ、特定の個人が識別されないような加工が行われることが、このような特例を正当化する大前提になります。その点については、個人情報保護委員会規則やガイドラインで十分な対策が講じられるかを注視する必要があります。
より注視する必要があるのは、統計作成等目的である場合に、要配慮個人情報を含む個人情報を本人同意なしに提供できるようにする点です。改正案では、利用目的の公表、提供元と提供先の書面合意、取扱期間中の継続的な公表といった義務が課されています。次世代医療基盤法と異なり、提供先については認定制度が採られていませんので、安全に加工する能力がない事業者がこの制度を利用する可能性は否めません。したがって、安全管理措置の内容を個人情報保護委員会規則で具体的に定めるべきであると思います。
また、かつて内閣府統計委員会の匿名データ部会で委員を務めた経験から申し上げますと、個人情報保護を徹底しようとして加工すると統計の有用性が減少してしまうことがあり、「個人情報の保護」と「統計としての有用性」のトレードオフの関係が生じることがあります。したがって、統計等としての有用性を維持しつつ、特定の個人が識別されないように加工することには高度な専門知識が必要ですが、認定制度ではなく、統計作成等を行うとして手を挙げれば、公表や提供元との書面による合意という低いハードルの下でこの特例を利用できることになります。個人情報保護委員会が規則やガイドラインで、最低限講ずるべき加工方法を明示しないと、個人情報保護に対する懸念は払拭できないと思います。

なるほど、AI開発の促進には理解を示しつつも、実務的な懸念もあるのですね。今後、個人情報保護委員会規則やガイドラインで詳細が定められますが、このトレードオフを乗り越え、適切な調和点を見出すために、どのような基準や線引きが求められるとお考えですか。
鍵になるのはいわゆるPETs(Privacy Enhancing Technologies:プライバシー強化技術)です。これをうまく使えば、保護と利用をゼロサムではなく「ポジティブサム」の方向へ持っていけると考えています。
ただ、最先端技術であるPETsを理解できる人材がすべての企業にいるとは限りません。提供された個人情報が漏えいするリスクを最小化するためには、提供元が統計作成に必要ない情報を削除したうえで提供することとすべきです。統計作成等に必要がない個人情報を統計作成等特例を用いて提供することはできないはずですから、提供元は、提供先が統計作成等を行うために必要な情報を確認し、不要な情報を除去したうえで提供すべきです。構造化されていないデータであっても、最新のAI技術を用いれば、個人情報が存在する部分をかなりの程度は特定できますので、提供元の安全管理措置の一環として、個人の氏名などが不要な場合には、それらの情報は提供前にできる限り削除することなどを、規則またはガイドラインで明記する必要があると思います。
また、PETsをかいくぐる技術も進化しています。統計等作成の時点では再識別化の懸念がないと考えられていても、メンバーシップ推論攻撃 1 等の技術の進展により、再識別化されるおそれは否定できません。この点について、個人情報保護委員会は、デジタル庁等とも連携し、最先端の技術を開発し、情報提供していくべきでしょう。さらに、データを利用して作られた統計については、特定の個人が識別されなくても、ある特定のセグメントに関する情報が、そこに属する人々に不利益をもたらす場合があり得ます。このあたりも考慮してルールを作っていただきたいと考えています。
残された闇名簿問題、そして3年ごと見直しの意義
今回の改正案で規制遵守の実効性確保への一歩を踏み出した個人情報保護法ですが、次回の3年ごと見直しに向けて、残された最大の宿題は何だとお考えでしょうか。
最も深刻な宿題は、やはり闇名簿問題への対応です。個人情報保護法のオプトアウト制度(本人の求めがあれば提供停止することを条件に、事前の同意なく第三者に個人データを提供できる仕組み)は、名簿業者が、犯罪集団に名簿を提供する悪質な名簿業者へ名簿を提供する手段として悪用されてきました。
このような悪用を防ぐため、過去の改正で段階的に規制が強化されてきましたが、問題は解決していません。現行法では、提供先の身元や利用目的の確認が義務付けられていないため、非常に悪質な名簿業者であることがうすうすわかっていながら提供してしまったケースが確認されています。匿名・流動型犯罪グループが闇名簿を入手して特殊詐欺に使い、莫大な財産的被害が生じるだけでなく、最近では強盗等により人の生命・身体の安全が脅かされています。解決は喫緊の課題です。
この課題に対して改正案では、提供先の身元および利用目的の確認と記録保存が義務化され、提供先が虚偽を述べた場合には10万円以下の過料が科されることになりました。一歩前進ですが、莫大な利益を目論む犯罪集団や悪質な名簿業者が正直に申告するとは考え難く、この程度の過料(秩序罰)では十分な威嚇力にはなりません。かつて住民基本台帳法や戸籍法が改正された際、不正取得に対する罰則は過料から30万円以下の罰金(刑罰)へと引き上げられました。闇名簿が生命・身体の危険につながることを考えれば、秩序罰にとどめず刑罰を科すなど、さらに踏み込んだ厳罰化が必要だと考えています。この点は次の3年ごと見直しでも浮上してくる論点になると思います。
今回は少し遅れましたが、この3年ごと見直しという建付け自体は、今後も維持されると考えてよいのでしょうか。
はい、維持されるべきだと思います。技術の進化が著しいこの分野において、3年ぐらいごとに見直さないとタイムリーな対応ができません。
かつて情報公開法が制定された際、施行後4年を目途に見直す規定が附則に置かれ、実際にこの規定に基づく見直しは、検討会を設けて行われましたが、その後は、行政刷新会議による見直しに基づき政府が改正案を作成したのを除き、まったく見直しが行われない状況が続きました。ですから、個人情報保護法のように「3年ごと」と明確に区切り、常に社会の実態を反映していく仕組みは非常に重要です。今後もタイムリーに社会の実態を反映し、規制が遵守されるような制度作りがなされることを期待しています。

宇賀 克也教授
東京大学名誉教授。東京大学博士(法学)、長島・大野・常松法律事務所顧問。 東京大学法学部助教授、同大学院法学政治学研究科教授等を経て、2019年から2025年まで最高裁判所判事を務め、2025年より現職(第一東京弁護士会登録)。日本公法学会理事や内閣府公文書管理委員会委員長、東京都情報公開・個人情報保護審議会会長等の政府、自治体の各種委員会委員等を歴任。
最新著として『管見 最高裁判所』(有斐閣、2026)、個人情報保護関係の著作として、『新・個人情報保護法の逐条解説』(有斐閣、2021)、『個人情報の保護と利用』(有斐閣、2019)、『個人情報保護法制』(有斐閣、2019)、『情報公開・個人情報保護』(有斐閣、2013)、『個人情報保護の理論と実務』(有斐閣、2009)、『個人情報保護の実務』(編集代表)(第一法規、加除式)、『論点解説 個人情報保護法と取扱実務』(共著)(日本法令、2017)、『2021年改正対応 自治体のための解説個人情報保護制度[改訂版]』(第一法規、2023)、『2021年改正対応 自治体職員のための個人情報保護法解説』(編著)(第一法規、2021)、『次世代医療基盤法の逐条解説』(有斐閣、2019)、『情報法』(共編著)(有斐閣、2012)、『地理空間情報の活用とプライバシー保護』(共編著)(地域科学研究会、2009)、『災害弱者の救援計画とプライバシー保護』(共編著)(地域科学研究会、2007)、『大量閲覧防止の情報セキュリティ』(編著)(地域科学研究会、2006)、『プライバシーの保護とセキュリティ』(編著)(地域科学研究会、2004)、『解説 個人情報の保護に関する法律』(第一法規、2003)など多数。
(写真:塩原 航、取材・編集:BUSINESS LAWYERS編集部)
-
特定のデータが学習に使われた事実自体を逆算して暴く攻撃の手法。 ↩︎