統計情報やAI開発への利用なら「本人の同意が不要」など個人情報保護法改正で変わる「データ活用」「委託先管理」のポイント

国の個人情報保護委員会は1月9日、「個人情報保護法の改正方針（案）」を公表した。AI開発を含む統計情報などの作成における本人同意の不要化、データ取り扱いにおける「委託先」の義務見直し、軽微な漏えい時の本人通知義務の緩和、大量の個人情報の不正利用に対する課徴金の導入、特定個人に働きかけられる情報の不適正な利用・不正取得の禁止、顔特徴データの取り扱いの厳格化などを盛り込んだ。

AI開発を含む統計情報などの作成は本人同意不要へ

個人データの同意取得ルールについて、一部緩和する方向性を示した。取得した個人データを「統計情報等の作成（AI開発を含む）」のみに利用することが担保されている場合には、本人の同意なしで利用できるようにする。

取得状況などから見て、本人の意思に反せず、権利利益を害しないことが明らかな場合を想定しており、適切な範囲であれば、データ活用のハードルが下がることになる。

データ取り扱いにおける「委託先」の義務を見直し

データ取り扱いを担う委託先の義務についても見直す。これまでは、委託元が委託先を監督する責任を負う形が中心だったが、改正方針案では、法律上の明文として委託先にも「委託された業務の範囲を超えて個人データを利用してはならない」義務を課す方向を示した。

一方で、委託先がデータの取り扱い方法を自ら決定せず、指示通りに機械的な処理を行うだけの場合（例：データ入力作業、指示に基づく配送伝票の作成など）には、契約で明確に合意していれば、委託先に対する一部の義務を免除する仕組みを導入する見通しだ。

軽微な漏えい時の本人通知義務を緩和

個人情報の漏えい、またはその恐れが発生した場合の対応も見直す。現行制度では、比較的軽微な漏えいでも、本人への通知が必要となるケースがある。改正方針案では、「本人の権利利益の保護に欠けるおそれが少ない場合」は、本人への通知義務を緩和する方向性を示した。

大量の個人情報の不正利用には課徴金を導入

経済的な利益を得る目的で、1000人超の個人情報を不正に利用・提供するなど、重大な違反行為があった場合には、売り上げなどの利益相当額を没収する「課徴金」を科す制度を導入する方針だ。

特定個人に働きかけられる情報の不適正利用・不正取得を禁止

Cookieなどの「個人関連情報」であっても、特定の個人に対して働きかけが可能となる情報については、不適正な利用や不正取得を禁止する方向性を示した。広告配信やトラッキングなどの分野も含め、データの取り扱いには、これまで以上の注意が求められる。

顔特徴データの取り扱いも厳格化

顧客が16歳未満の場合、同意取得や通知の対象を「法定代理人（親権者）」とすることを明文化する。

また、バーチャルメイクや顔認証決済などに利用される顔特徴データについては、取り扱いに関する一定事項の周知を義務化。利用停止などの請求要件を緩和するほか、オプトアウト制度に基づく第三者提供を禁止する。

保護委は改正案の国会への早期提出めざす

個人情報保護法の改正案は、国会への早期提出をめざし、示された方針に基づいて法制面の検討を進め、関係者との調整を行っていくとしている。

調整は法改正事項に限定せず、制度全体の在り方を見据えた議論を継続しながら、改正案を取りまとめる方針。また、内閣官房（デジタル行財政改革会議）で検討中のデータ利活用制度の在り方に関する基本方針についても、個人情報保護法の改正と整合する形で制度整備を進めるとしている。

個人情報保護法は国際動向、技術進展（AIなど）、新ビジネスの状況を踏まえ、法律の実効性を検討し必要に応じて改正を行う「3年ごと見直し」規定がある。保護委は2023年11月から検討を開始。政府は2025年6月に「データ利活用制度の在り方に関する基本方針」と関連する各種政府決定をとりまとめ、個人情報保護法の改正案については「早期に結論を得て提出することを目指す」こととされていた。