【改正個人情報保護法】AI目的なら「本人同意なし」でデータ提供可?企業セキュリティにどう影響するのか?

2026年7月10日、個人情報の保護に関する一部を改正する法律が参議院本会議で可決・成立した。
今回の改正では、人工知能(AI)の開発や統計作成など一定の目的に限り、個人情報を第三者へ提供する際の本人同意を不要とする特例を創設。
一方で、個人情報の不適切な取り扱いに対する課徴金制度を新たに導入するなど、事後的な規制(ペナルティ)も強化している。
現行法では、企業や医療機関、自治体などが保有する個人データを第三者へ提供する場合、原則として本人の同意を得ることが求められている。
今回の改正法では、AIモデルの開発や統計情報の作成など、法律で定める一定の目的に該当し、所定の要件を満たす場合には、この本人同意を不要とする特例が設けられた。
政府には、AI開発に必要なデータの利活用を促進し、国内におけるAI技術の研究・開発や産業競争力の強化につなげる狙いがある。

プライバシー保護との両立を図る制度へ

今回の改正では、病歴や犯罪歴、人種、信条といった「要配慮個人情報(不当な差別や偏見につながるおそれがある情報)」についても、一律に特例の対象外とはしていない。
ただし、プライバシー保護を担保するため、違法な個人情報の取り扱いによって利益を得た事業者に対しては、金銭的制裁である「課徴金制度」を新設。
これまでの行政指導や命令に加え、経済的なペナルティを導入することで、違反行為への強い抑止力を働かせるとみられる。
改正法は公布後、原則として2年以内に施行される予定で、制度の詳細な運用基準については、今後、個人情報保護委員会が策定する規則やガイドラインで順次示されるという。

一般企業に求められる対応

今回の法改正により、一般企業や各種団体では、AIを活用したサービス開発や業務改善、データ分析などに取り組みやすくなる。
しかし、これは「AI開発のためであれば、どのような個人情報でも自由に提供できる」という免罪符ではない。
特例の適用には、法令上の厳格な目的や要件を満たすことが前提となる。
企業は、自社が保有する個人情報の利用目的や提供先、管理体制を改めて精査し、新たな法令に沿った事務フローを確立することが重要とされる。
また、データ提供先の管理体制や契約内容を見直し、個人情報の適切な取り扱いが担保されているかを継続的に監査することも求められる。

データ拡大に伴うセキュリティリスクへの備え

法改正によってAI開発やデータ分析で扱う個人情報が増大すれば、企業における情報管理の重要性はさらに跳ね上がる。
近年、不正アクセスやランサムウェア攻撃によって大規模な個人情報流出が発生する事例が相次いでいるが、AI開発に利用される貴重なデータ群は、攻撃者にとって格好のターゲットになり得る。
そのため、企業はアクセス権限の最小化、多要素認証の徹底、通信・保存データの暗号化、ログ監視など、基本的なセキュリティ対策の再徹底がより重要になってきた。
さらに、AI特有のリスクへの対応も無視できない。
学習データを意図的に改ざんしてAIの挙動を狂わせる「データポイズニング(データ汚染)」などの新型の脅威に対し、データの品質管理や学習環境の保護を含めた「AIセキュリティ」の構築を進めることが、今後の企業の重要課題となるとみられる。

今回の法改正は、AI時代におけるデータ利活用の促進と、個人の権利利益の保護を両立させるための大きな制度改革になっており、今後公表される個人情報保護委員会の具体的なガイドラインが、企業の実務やセキュリティ戦略に大きな影響を与えることになると予想される。

【参考】
https://www.sangiin.go.jp/japanese/joho1/kousei/gian/221/meisai/m221080221054.htm
https://www.jtuc-rengo.or.jp/news/article_detail.php?id=1410
https://www.nikkei.com/article/DGXZQOCD16BE40W6A610C2000000/
https://sp.m.jiji.com/article/show/3820131
https://news.yahoo.co.jp/articles/1a37d4e0b196844718822f435b1cae2d94d1a171

最新情報をチェックしよう!