デジタル・科学

個人情報保護法等改正案

個人情報の利活用を進めつつ、子どもの情報、顔特徴データ、名簿流通、罰則・課徴金を見直す改正です。

第221回国会閣法第54号提出者: 内閣提出: 2026/4/6
審議中

参議院 デジタル社会の形成及び人工知能の活用等に関する特別委員会で審議中

次: 参議院 委員会

先委先本後委後本成立

一言で言うと

個人情報をAIや統計に使いやすくする一方で、顔情報や子どもの情報、名簿の悪用を防ぎ、利活用と保護の線引きを見直す改正です。

この法案のポイント

制度変更を表すイラスト

何が変わる?

個人情報の利活用を進めつつ、子どもの情報、顔特徴データ、名簿流通、罰則・課徴金を見直す改正です。

統計作成等に限る利用では、一定の公表、書面合意、目的外利用禁止を条件に本人同意なしの提供を認める場面を設けます。一方で、16歳未満は法定代理人への同意・通知を明確にし、顔特徴データのオプトアウト提供は禁止します。

背景やタイミングを表すイラスト

なぜ今?

AIや統計分析で個人情報を含むデータの活用需要が増え、同時に違法利用や顔認識、名簿流通への不安も高まっているためです。

政府資料では、研究、統計、AI開発などへのデータ利用が広がる一方、個人の権利利益が侵害されるリスクも高まっていると整理されています。顔特徴データは本人が気づかないまま長く識別に使われる可能性があり、名簿提供では提供先確認も課題です。

関係する人や地域を表すイラスト

誰に関係する?

個人情報を扱う事業者、名簿業者、子ども向けサービス、顔認識を使う施設やサービス、生活者に関係します。

事業者は統計分析、AI開発、第三者提供、委託先管理、漏えい通知のルール確認が必要になります。重大な違反で利益を得た場合は課徴金の対象となり、本人が1,000人以下の小規模事案などは対象外とされます。

詳しく読む

個人情報保護法をAI時代向けに更新 統計利用を広げ、違法利用には課徴金

🧑‍💻 個人情報 / 🤖 AI・統計利用 / 👶 子ども・顔特徴データ / 💴 課徴金

個人情報保護法の改正案です。統計作成や一部のAI開発に使うデータ連携は進めやすくする一方、16歳未満の子どもや顔特徴データ、名簿の不適正な流通には新しい規律を置きます。罰則引上げや課徴金制度も盛り込まれています。

一次資料:個人情報保護委員会 概要資料

💡 一言で言うと

AI・統計に使う道を広げ、顔・子ども・名簿の悪用を防ぎます。

第221回国会の閣法第54号として提出された、個人情報保護法などの改正案です。

改正の中心は、データ利活用と保護の両方です。統計作成等に限って使う場合は、一定の条件のもとで本人同意なしのデータ提供を認めます。一方で、顔特徴データ、16歳未満の子どもの情報、名簿の流通、違法な個人情報ビジネスには新しいルールを置きます。

🔑 何が変わるのか

主な変更は次の4つです。

  • 統計作成等に限るデータ利用は、一定の公表・合意・目的外利用禁止を条件に、本人同意なしで行える場面を作ります。
  • 16歳未満の子どもについて、同意や通知の相手を法定代理人にすることを法律に書き込みます。
  • 顔特徴データ等について、取扱いの周知、利用停止請求、オプトアウト提供の禁止を設けます。
  • 違法な取扱いで利益を得た事業者には、財産上の利益に相当する額の課徴金を命じる制度を作ります。

🏛️ 背景(なぜ今この改正なのか)

背景には、AIやデータ分析の広がりがあります。

政府資料では、デジタル技術の進展により、個人情報を含むデータを研究、統計、AI開発などに使う需要が高まっていると説明しています。一方で、個人情報の違法な取扱いによって、個人の権利利益が侵害されるリスクも高まっているとしています。

また、令和2年改正個人情報保護法には、施行後3年ごとに見直す規定があります。今回の法案は、この「3年ごと見直し」の流れの中で提出されたものです。

もう一つの背景が、顔認識技術や名簿流通です。顔の特徴を数値化したデータは、本人が気づかないうちに取得され、長く識別に使われる可能性があります。名簿についても、提供先や利用目的の確認を強める改正が入ります。

📊 現行制度と改正後の違い

1. 統計作成等のためのデータ利用

現行法では、要配慮個人情報の取得や個人データの第三者提供は、原則として本人同意が必要です。要配慮個人情報とは、病歴、信条、犯罪歴など、差別や不利益につながり得る情報です。

改正後は、統計作成等にのみ使う場合に限り、本人同意なしでできる場面を設けます。統計作成等には、個人ごとの結論ではなく、大量の情報から傾向や性質を取り出す行為が含まれます。政府資料では、統計作成等と整理できるAI開発等も含むとされています。

条件として、次のような規律が置かれます。

  • 誰が取得・提供するのかを公表する
  • 何の統計作成等を行うのかを公表する
  • 第三者提供では、提供元と提供先が書面などで合意する
  • 受け取った側は、統計作成等を超えた目的で使わない
  • 原則として、さらに第三者へ提供しない

2. 同意なしで扱える例外の整理

本人の意思に反しないことが明らかな取扱いについて、本人同意を不要とする規定も入ります。

政府資料の例では、ホテル予約サイトが宿泊先に予約者の氏名等を渡す場合や、海外送金で送金者情報を送金先金融機関に渡す場合が挙げられています。契約の履行に必要で、本人の意思に反しない取扱いとして整理されます。

生命・身体・財産の保護や公衆衛生の向上のための取扱いも見直します。現行の「本人同意を得ることが困難」に加え、本人同意を得ないことについて相当の理由がある場合も、同意なしで扱えるようにします。

3. 医療研究で病院も「学術研究機関等」に

現行法の学術研究例外は、大学や研究機関などの「学術研究機関等」を対象にしています。

改正後は、病院や診療所など、医療の提供を目的とする機関・団体も「学術研究機関等」に含まれることを明示します。医学・生命科学の研究で臨床症例の分析が行われている実態を踏まえた改正です。

4. 16歳未満の子どもの個人情報

現行では、子どもの同意についてはガイドラインやQ&Aで運用されてきました。

改正後は、16歳未満を基準に、同意取得や通知などの相手を、本人ではなく法定代理人にすることを法律上明確にします。法定代理人とは、親権者などを指します。

また、16歳未満の本人に関する保有個人データについて、利用停止等を請求できる要件を緩和します。さらに、事業者や行政機関等には、未成年者の最善の利益を優先して考慮する責務規定を設けます。

5. 顔特徴データ等の取扱い

顔特徴データ等とは、単なる顔写真ではなく、本人識別に使えるよう顔の特徴を抽出・変換した情報が想定されています。

改正後は、事業者に次の対応を求めます。

  • 顔特徴データ等を扱うことを周知する
  • 利用目的を周知する
  • 元になった身体的特徴の内容を周知する
  • 利用停止請求の手続を周知する
  • オプトアウト制度による第三者提供を禁止する

利用停止等の請求も、違法な取扱いがある場合に限らず、一定の場合に認める形へ変わります。

6. 名簿、Cookie ID、メールアドレスなど

改正案は、個人情報そのものに当たらない場合でも、特定の個人に連絡できる情報を新たに規律します。

対象には、住所、電話番号、メールアドレス、Cookie IDなどが想定されています。こうした情報を使って個人に働きかけることができる場合、不適正利用や不正取得を禁止します。

名簿などを本人同意なしで第三者提供できるオプトアウト制度についても、提供先の身元と利用目的の確認を義務づけます。確認事項を偽った場合は、過料の対象になります。

7. 委託先と漏えい通知

個人データの処理を外部に委託するケースが増えています。

改正後は、委託先にも、委託された業務に必要な範囲を超えて個人データ等を扱ってはならない義務を明文化します。

漏えい等が起きた場合の本人通知については、本人への通知がなくても権利利益の保護に欠けるおそれが少ない場合、代替措置による対応を認めます。政府資料では、漏えいした情報が社内識別子だけで、取得者にとってそれ単体では意味を持たない場合などが想定されています。

💴 課徴金と罰則

今回の改正では、違反への対応も変わります。

課徴金は、違反事業者に金銭的不利益を課す行政上の措置です。重大な違反行為で個人の権利利益が侵害され、違反によって財産上の利益を得た場合などに、個人情報保護委員会が納付を命じます。

対象は、大量の個人情報を扱う事案に絞られます。本人の数が1,000人を超えない場合などは、課徴金納付命令の対象から外れます。金額は、違反行為によって得た財産上の利益に相当する額です。

罰則も見直します。

  • 行政機関等の職員等による個人情報ファイルの不正提供
  • 拘禁刑:2年以下 → 3年以下
  • 罰金:100万円以下 → 150万円以下
  • 個人情報データベース等の不正提供・盗用など
  • 拘禁刑:1年以下 → 2年以下
  • 罰金:50万円以下 → 100万円以下
  • 「不正な利益を図る目的」に加え、「損害を加える目的」の提供行為も処罰対象に追加
  • 詐欺や不正アクセス等による個人情報の不正取得について、新たな罰則を設ける

👥 影響を受ける人・対象者

影響を受けるのは、個人情報を扱う幅広い主体です。

生活者に関係するのは、子どもの個人情報、顔認識カメラ、名簿流通、漏えい時の通知です。子ども向けサービスや学校関連サービス、商業施設の顔認識システムなどでは、改正後のルール確認が必要になります。

事業者に関係するのは、統計分析、AI開発、委託先管理、第三者提供、オプトアウト提供です。特に、データ分析や広告、名簿、医療研究、外部委託を行う事業者では、社内規程や契約の見直しが必要になります。

行政機関等にも、漏えい通知、統計作成等、16歳未満の取扱い、委託先管理などで同様の見直しが入ります。マイナンバー法や医療分野の匿名加工医療情報・仮名加工医療情報に関する法律にも、関連する改正が行われます。

📅 施行日と経過措置

施行日は、原則として公布の日から2年以内で政令で定める日です。

一部の規定は公布日から、罰則の見直しなど一部は公布から6か月を経過した日から施行されます。

また、施行前に行われた一定の通知や同意について、改正後の通知・同意として扱う経過措置も置かれます。

📖 用語解説

個人データ

個人情報データベース等を構成する個人情報です。顧客名簿、会員データベース、予約管理システム内の情報などが典型例です。

要配慮個人情報

病歴、信条、犯罪歴など、差別や不利益につながり得る情報です。取得には原則として本人同意が必要です。

個人関連情報

生存する個人に関する情報で、単独では個人情報に当たらないものです。Cookie IDや、氏名を含まないメールアドレスに紐づく情報などが含まれます。

オプトアウト制度

本人から求めがあれば提供を止めることなどを条件に、本人同意なしで個人データを第三者提供できる制度です。今回の改正では、提供先の確認義務が加わります。

課徴金

違反によって得た利益を手元に残させないため、行政が金銭の納付を命じる制度です。民事上の損害賠償とは別の仕組みです。

🔗 参考リンク


リアルタイム速報はXで → @kokkai_sokuho