- Review
【論考】個人情報保護法改正案の真の論点:同意の有無ではなく規律の全体設計を議論せよ
June 19, 2026
個人情報保護法改正の法案が2026年4月7日に閣議決定・公表され[1]、第221回特別国会に提出、5月26日に衆議院を通過し、6月19日現在参議院にて審議中である[2]。
改正後の条文はかなり読解が困難な部分があり、改めて解説したい部分も多いが、今回は特に現在、いくつか報道がなされている改正法の問題点につき、個人的な見解を述べたい。
筆者は、現状の個人情報保護法の問題点として、「同意偏重」の問題があり、実態として本人保護もデータ活用も不十分となってしまっており、「入口規制」から「出口規制」への転換を図るべき、という主張を重ねてきた。
世界経済フォーラム第四次産業革命日本センターにおいては、APPA(Authorized Public Purpose Access)という考え方[3][4]を提唱した。明示的な個別同意がなくとも、一定の条件(公益性が高く、最小限度のデータ利用(アクセス許可))においては、医療データのようなセンシティブなデータであってもむしろ活用すべきではないか、という主張であった。
東京財団の過去プログラムにおいても、2024年6月27日の個人情報保護委員会による「個人情報保護法いわゆる3年ごと見直しに係る検討の中間整理」、2025年2月5日の「個人情報保護法の制度的課題に対する考え方(案)」に対して、一貫して、必ずしも同意によらない、法整備をEUのEHDS(European Health Data Space)規則も参考に整備すべき、と重ねて主張してきた[5][6]。
2025年3月31日には医療現場の現状も踏まえ、改めて、「地域に根ざした医療DXの実装に向けた人材開発に関する政策提言」の一つの柱として「分散型かつ出口規制型の医療データ・ガバナンス体制の構築」に関してまとめている[7]。
今回の個人情報保護法改正の大きな方向性、法案の理由でいうところの「統計等の作成を行う第三者に個人情報を提供する場合等について本人の同意を不要とする等の措置を講ずる必要がある」ということ自体には賛同している。特に、LLM(Large Language Model、大規模言語モデル)を中心とした生成AIがインターネット上の情報の中から要配慮個人情報を学習する際にだけ同意を個別に取得しなければならない、というのはあまり現実的ではないルールのように感じている。
今回、多くの記事や国会での議論が「本人の同意がないこと」を問題にしているかのように見えるが[8][9][10][11][12][13]、これは2つの点から問題であると考えている。
一つには、「同意なし」でのデータ利活用に関しては先例が国内外にない、とする単純な事実誤認の問題である。国内では、「がん登録等の推進に関する法律」に基づくがん登録等の情報は機微性の高いものであるが、必ずしも本人同意がなくとも利用可能である。加えて、統計法でのデータ利用も存在し、現行の個人情報保護法にしても同意がなければ常に個人情報は取り扱えないというわけではない。病歴を含む要配慮個人情報であっても、公衆衛生の向上や学術研究等の例外規定(同法第18条第3項・第20条第2項・第27条第1項等)に当たる場合には本人の同意なく取り扱うことができ、また、報道・著述・宗教・政治の用に供する目的であれば、個人情報取扱事業者等の義務(第4章)の適用自体が除外される(同法第57条第1項)。
海外でも、個人情報保護法よりも厳しく本人を保護しているとされるEUの一般データ保護規則(GDPR)であっても、同意が常に必要なわけではない。さらに、フィンランドでは法律に基づき必ずしも同意がなくとも医療データの利活用は可能となっているし、それを参考に、EUのEHDS規則案は当初必ずしも同意を求めない形で出されている。最終的にはオプトアウトを求める形で同規則は成立したが、その過程で、同意を求めることによる弊害に関する意見も複数団体から出されている。このように、病歴等の医療データを取り扱うにあたって、(ヘルシンキ宣言等の医療倫理や個人の感覚はともかく)法律上は必ずしも同意がないことだけが問題とされるわけではないのである。
もう一つの問題は、同意のみを強調して問題視することである。この結果、医療上必要な一次利用に際しても過剰に同意を求めるような、個人情報保護法が成立した当初の「過剰反応」[14]に繋がることや、同意なしでの出口規制を重視し、より本人を実質的に保護するような活用法に向けた国民的なコンセンサス形成(国民から信頼されるデータ利活用やAI)に逆行することにならないかが危惧される。
では、今回の法案に関して全く問題がないと考えているのかといえば、そのようなことはない。むしろ、批判の(本来強調されるべき)核心にある「機微性の高い医療情報が十分な出口規制を伴わないまま利活用されること」への懸念それ自体は、筆者も共有するところである。問題は「同意の有無」ではなく、その先の規律の設計にある。
今回の改正案では、衆議院通過時の附帯決議においても、再識別防止等の措置や委託先監督の徹底を求める内容が入ったが、「入口規制」を緩めるにあたって、適切な「出口規制」の設計ができていない可能性がある[15][16]。APPAの提案においても、国民的なコンセンサスがあるような公的目的に加えて、プライバシー保護技術(PETs)の活用等を含めた適切なデータ利用形式(アクセス許可)を要件としていた(それでもなお、APPAのコンセプトでは、出口規制の設計の具体化が不十分であるとの批判もあった)。
また、筆者らは2025年3月に「健康医療情報が拓く未来会議」において議論を行い、「同意が必要となる場面を本人保護の実質化の視点から見直すことは極めて有意義」としつつも、「統計作成等であると整理できるAI開発等を含む」の内容が不明確であり、「医療情報のような機微性の高い個人情報の利活用にあたっては、誰でも自由に利用できるものとすることはかえって危険である可能性」があり、別途の規制も併用すべきではないか、とする意見を個人情報保護委員会に提出している[17]。
「出口規制」中心に転換するにあたっては、「適切なガバナンス」が重要である。それが、「統計作成等の必要性」「公表」「(第三者提供に際しての)書面合意」(改正個人情報保護法第30条の2第1項・第2項、第5項・第6項、第31条の3第1項・第2項)で十分なのかどうか。
次世代医療基盤法での厳重なルールとのバランスや、個人情報保護法の2003年成立時における附帯決議で求めていた「医療(遺伝子治療等先端的医療技術の確立のため国民の協力が不可欠な分野についての研究・開発・利用を含む)、金融・信用、情報通信等、国民から高いレベルでの個人情報の保護が求められている分野について、特に適正な取扱いの厳格な実施を確保する必要がある個人情報を保護するための個別法を早急に検討し、本法の全面施行時には少なくとも一定の具体的結論を得ること。」という内容に立ち返って、特に医療情報の利用に際しては、一般法である個人情報保護法に基づき何でも第三者提供できてしまうような状況は避けるべきであろう。
そのためには、データの最小化や、適切な安全管理措置(PETsの活用等)の設定を求めるべきではないか。
なお、不正取得に係る罰則(改正個人情報保護法第180条)が、報道・取材活動を萎縮させかねないという、いわゆる「メディア規制」リスクに関する産業技術総合研究所・高木浩光氏の指摘[18]にも、もっともな点がある。罰則を含む出口規制の設計は、本人保護と、表現の自由やデータ活用との双方に関わる論点であり、本稿で述べた「適切なガバナンス」の一部として、今後の審議と運用において慎重に検討されるべきものである。
国民の理解が得られるような適切なルール化(そのためには基本的な理念を示す「医療情報基本法」のようなものもやはり必要かもしれない)がなされることに強く期待する。
参考文献
[1] 概要に関して 個人情報保護法等の一部を改正する法律案について
[2] 個人情報の保護に関する法律等の一部を改正する法律案:参議院
[3] World Economic Forum White Paper, APPA – Authorized Public Purpose Access: Building Trust into Data Flows for Well-being and Innovation, January 17, 2020.
[4] World Economic Forum White Paper, Resetting Data Governance: Authorized Public Purpose Access and Society Criteria for Implementation of APPA Principles, April 23, 2021.
[5] European Health Data Space(EHDS)法を踏まえた 個人情報保護法次回改正点への意見 | 研究プログラム | 東京財団
[6] 個人情報保護法改正と国際的ガバナンスの進展 ―AI時代の医療データ利活用と同意規制の見直し | 研究プログラム | 東京財団
[7] 地域に根ざした医療DXの実装に向けた人材開発に関する政策提言 | 研究プログラム | 東京財団
[8] 誰だって秘密にしたい病歴や犯罪歴がAI開発の養分に? 個人情報保護法がもはや「さらし法」に変わる恐れが:東京新聞デジタル
[9] 個人情報法改正案、衆院を通過 企業が同意なき病犯歴収集可能に | NEWSjp
[10] 実名・住所付きの病歴が本人の同意なく学習される…現役医師が突く高市政権肝いり「国産AI」に潜む“大穴”(プレジデントオンライン) - Yahoo!ニュース
[11] 【大門実紀史】個人情報保護法とプライバシー侵害問題について 2026.6.17【国会質問】
[12] 【声明】病歴など要配慮個人情報の本人同意なき利活用に舵を切る 個人情報保護法「改悪法案」の廃案を求めます - 全国保険医団体連合会
[13] 【やさしく解説】個人情報保護法改正、AI開発のためなら本人の同意は不要に?生の個人情報が売買される可能性|JBpress (ジェイビープレス)
[14] personal_report_2303caa_kajohanno.pdf
[15] 個人情報保護法改正案が衆院通過、統計特例に付帯決議 新設罰則に異論も | 日経クロステック(xTECH)
[16] 個人情報保護法の改正は「最悪の案」 医療データ専門家、異例の指摘(朝日新聞) - Yahoo!ニュース
[17] 「「個人情報保護法 いわゆる3年ごと見直しに係る検討」の今後の検討の進め方」に対して寄せられた意見-個人情報保護委員会-
[18] 高木浩光@自宅の日記 - 個人情報保護法改正案に重大な欠陥、2001年「メディア規制」法案の再来、修正が必要, 追記(15日午前)「取得」概念自体からして..
【関連リンク】
・【対談動画】「和を以て」激変の医療界を渡る—横倉義武氏が実践した、対話による政治と医療の調和
・【対談動画】「父の背中、世界の現場と大局観」―― 武見敬三が歩んだ医療政策半世紀の軌跡
・【対談動画】星を見上げ、データを見る—末松誠の思考の軌跡
・【論考】黒川 清 先生に聞く「AI時代に問われる“知”と“個”の確立」 ~繰り返し問うことから本質に迫る~ | 研究プログラム | 東京財団
・得手に帆を挙げよ:尾身 茂氏のキャリア変遷の内にあった決断と想い | 研究プログラム | 東京財団
『日経メディカル Online』記事
・臨床、基礎、AMED─好奇心と独立心で突き進む末松氏流のキャリア形成術
・黒川清氏に聞く医師のキャリア─「なぜ」を問い続け、世界へ飛び出せ
・尾身茂氏に聞く半生 Vol.1「社会との関わりを求めた青年時代、法学部から医師を目指すまで」
・尾身茂氏に聞く半生 Vol.2 「これぞ私の得手だった」寝食を忘れて取り組んだWHOでのポリオ根絶
・尾身茂氏に聞く半生 Vol.3 COVID-19対策分科会会長としての決断とメディア露出の日々、気持ちを支えたもの
【本研究プロジェクト】
AIデータ利活用社会の実現 | 研究プロジェクト | 東京財団
【過去の研究プログラムについて】
地域に根ざした医療DXの実装に向けた人材開発に関する政策研究
-
-
- 常勤研究員
- 藤田 卓仙
- 藤田 卓仙
- 研究分野・主な関心領域
-
- 医事法
- 医療政策
- 医療情報
- 医療AI
- 医療データ
- 遠隔医療
- 研究プロジェクト
-
注目コンテンツ
-
【論考】インフレ時代の財政運営はどうあるべきか -国債残高(対GDP)の安定的引き下げの条件は何か-
【論考】インフレ時代の財政運営はどうあるべきか -国債残高(対GDP)の安定的引き下げの条件は何か-
-
小学5年生でもわかる。「消費税減税」しても家計は救われない!
小学5年生でもわかる。「消費税減税」しても家計は救われない!
-
【論考】財政ポピュリズム:政治は世論に迎合しているのか?
【論考】財政ポピュリズム:政治は世論に迎合しているのか?
-
【特集】世界人口デーに寄せて―グローバル社会におけるAI―人口減少を克服する医療政策に注目して―
【特集】世界人口デーに寄せて―グローバル社会におけるAI―人口減少を克服する医療政策に注目して―
-
物価が上がり始めた理由―1つの歴史的偶然と2つの構造的変化―
物価が上がり始めた理由―1つの歴史的偶然と2つの構造的変化―
