2026年4月7日、個人情報保護法の改正法律案が閣議決定されました[1]。最大の目玉は、違反企業に金銭的な制裁を科す「課徴金制度」の新設です。これまで日本の個人情報保護法には行政上の金銭制裁がなく、企業にとっては制裁構造そのものの転換点といえます。一方で同じ改正案には、統計作成等と整理できるAI開発等を含む「統計情報等の作成」を目的とするデータ提供について、一定の条件のもとで本人同意を不要とする措置も同居しています。締め付けと緩和が同時に来るこの改正案を、社内AIを使う企業はどう読み解けばよいのでしょうか。
2026年改正の二面性──「締め付け」と「緩和」が同時に来る
今回の改正は、ひとつの方向に振れた法律ではありません。制裁・事後規律を強める手と、データ活用を促す手が同じ法案に含まれています。この二面性を理解しないと、対応の優先順位を見誤ります。
課徴金制度の新設で何が変わるのか
改正案の柱は、個人情報の違法な取扱いによって財産上の利益を得た事業者に対し、個人情報保護委員会が課徴金の納付を命じられる制度です[1]。課徴金額は、違反行為によって得られた財産的利益等に相当する額とされます[2]。違反して儲けた分を吐き出させる、という考え方です。
注目すべきは、施行までの猶予です。改正法案は公布の日から起算して2年を超えない範囲内で施行される予定で、実際の運用開始は施行令や規則の整備を経て確定します[2]。つまり今は「まだ先」ではなく、社内体制を見直すための準備期間と捉えるのが妥当です。
AI学習データの規制緩和という”もう一つの顔”
同じ改正案には、統計情報等の作成にのみ利用されることが担保される場合に、本人同意なき個人データ等の第三者提供や、公開されている要配慮個人情報の取得を可能にする措置も盛り込まれています[3]。この「統計情報等の作成」には、統計作成等であると整理できるAI開発等が含まれます[2]。データ利活用を促し、国内のAI開発を後押しする狙いです。
ただし無条件の緩和ではありません。提供元・提供先の名称や行おうとする内容の公表、統計情報等の作成のみを目的とする旨の書面による合意、取得者・提供先による目的外利用や再提供の禁止などが条件とされます[3]。「同意がいらなくなった」とだけ受け取ると、条件を満たさないまま提供してしまうリスクが残ります。
課徴金が狙うのは「漏えい」ではない
課徴金と聞くと、多くの担当者は「情報を漏らしたら巨額の制裁」と身構えます。しかし今回の制度設計を読むと、その直感は的を外しています。
対象は不正取得・違法な第三者提供・目的外利用
課徴金の対象は、不適正な利用(第19条)、不正な手段による取得(第20条第1項)、第三者提供の制限(第27条第1項)への違反、そして統計特例への違反に限定されています[3]。さらに、剥奪すべき違法な収益が観念でき、対象行為に係る本人の数について1,000人を基準とする大規模な事案に絞られます[3]。
一方で、ここに挙げた行為類型に、安全管理措置を怠ったことによる漏えいそのものは含まれていません[3]。制度の重心は、漏えいという結果よりも、違法に利益を得る取扱いの抑止に置かれていると読み取れます。「違法に儲けたかどうか」が制裁の軸に据えられているのです。
具体的にイメージすると、次のような取扱いが課徴金の対象になりえます[3]。
- 偽りその他不正の手段によって個人データを取得する
- 違法行為や不当な差別的取扱いが想定される第三者へ提供する、またはそのために利用する
- AIの開発などの「統計情報等の作成」を名目に受け取った個人データを、統計化せずそのまま第三者へ販売する
- 同じデータを、統計化せず顧客企業向けの広告配信に流用して利益を得る
反対に、次のようなケースは、ただちに課徴金の対象行為にあたるわけではありません。
- 設定ミスやメール誤送信による漏えい(安全管理上の問題ではありますが、対象の行為類型には含まれません[3])
- 提供元・提供先の公表や、目的を限定する書面合意といった条件を満たしたうえでのAI開発向けのデータ提供[3]
「うっかり漏らした」より重く問われる行為
この設計が示すのは、制裁の重心が「事故」から「行為」へ移ったという事実です。過失による漏えいは安全管理上の問題ではあるものの、課徴金が正面から狙う対象ではありません。
逆に、個人データを目的外で使ったり、同意なく外部へ流したりする「意図的な取扱い」は、制裁構造に直接触れます。ここで多くの企業が見落としているのが、日常的に使い始めた生成AIへのデータ入力です。
生成AIへのデータ入力が”行為類型”に触れる理由
なぜ生成AIの利用が、課徴金が狙う行為類型と地続きなのでしょうか。今回の改正案そのものが生成AIへの入力を新たに規制するわけではありません。鍵になるのは、既存の利用目的・第三者提供の規律と、個人情報保護委員会がすでに2023年6月2日に示していた注意喚起です[4]。
プロンプト入力は利用目的と第三者提供の問題になる
委員会は、事業者が個人情報を含むプロンプトを生成AIに入力する場合、特定した利用目的の達成に必要な範囲内かを十分に確認するよう求めています[4]。採用業務で集めた応募者情報を、無関係な分析のためにAIへ入力すれば、それは「目的外の取扱い」に近づきます。
さらに踏み込んだ指摘もあります。本人の同意なく個人データをプロンプトに入力し、それが応答の出力以外の目的で扱われる場合、法に違反する可能性があるというものです[4]。入力したデータがモデルの学習に使われれば、それは単なる「便利な道具の利用」では済まなくなります。
外部AIへの個人データ提供という見落とし
もうひとつの論点が、提供先がどこにあるかです。海外の生成AIサービスに個人データを入力する場合は、サービス提供者の所在や契約形態、委託に当たるかを個別に確認する必要があります。外国にある第三者への提供に該当する場合は、原則として、その提供を認める旨の本人同意が必要になります。ただし、提供先が相当措置を継続的に講ずるための体制を整備しているときなど、同意以外の整理が可能な場合もあります[5]。
ただし、生成AIへの個人データ入力が直ちに課徴金の対象になるわけではありません。まず問われるのは、利用目的の範囲内か、本人同意なく入力した個人データが応答出力以外の目的で扱われないか、提供者が機械学習に利用しないかという適法性です[4]。そのうえで課徴金は、重大・大規模で違法収益などの要件を満たす類型に限られます[3]。とはいえ両者の論点は地続きであり、漏えい対策だけを見ていると入力という経路がすり抜けてしまいます。
課徴金時代に企業が引くべき「線」
制裁の重心が行為へ移った以上、企業が引くべき防衛線も変わります。ファイアウォールや暗号化だけでは、入力という行為は止められません。
入力ルールとログを社内AI基盤で統制する
最も実効性が高いのは、何を入力してよいか/いけないかのルールを定め、それを技術的に担保することです。個人を特定できる情報の入力を制限し、誰がどんなデータを入れたかを記録できれば、目的外利用や不適切な提供を未然に防げます。
ここで効くのが、利用範囲を限定できる社内専用のAI基盤です。外部の汎用サービスに自由に入力させるのではなく、入力内容の制御・権限管理・ログ取得を備えた環境に集約すれば、行為そのものを統制できます。ルールを「お願い」で終わらせない仕組みが、課徴金時代の前提になります。
緩和措置を使うなら条件設計を先に
AI学習データの同意不要措置を活用したい企業も、入口の設計が先決です。提供元の公表や用途を限定する契約といった条件を満たして初めて、緩和は適法な利活用になります[2]。条件を踏まないまま「同意は不要」と進めれば、それこそ課徴金が狙う違法な提供に転じかねません。
緩和と制裁は、別々の話ではなく一続きの設計問題です。利活用を進めたい企業ほど、どのデータをどの条件で扱うかを文書化し、現場の運用と一致させておく必要があります。
さいごに
2026年の個人情報保護法改正案は、「漏らさない」だけでは守りきれない時代の到来を告げています。課徴金が狙うのは事故ではなく、目的外利用や違法な提供という意図的な行為です。そしてその行為は、現場で何気なく行われている生成AIへのデータ入力と、地続きになりつつあります。
施行までの準備期間に取り組むべきは、入力ルールの明文化と、それを担保する社内AI環境の整備です。誰が・どのデータを・どの目的で扱うかを統制できれば、課徴金リスクを抑えながらデータ活用の緩和措置も安全に使えます。制裁の重心が変わった今こそ、社内AIの使い方そのものを見直す好機といえるでしょう。
出典
- [1] 「個人情報の保護に関する法律等の一部を改正する法律案」の閣議決定について(令和8年4月7日) – 個人情報保護委員会
- [2] 個人情報の保護に関する法律等の一部を改正する法律案(概要) – 個人情報保護委員会
- [3] 個人情報保護法等の一部を改正する法律案について(記者配布資料) – 個人情報保護委員会
- [4] 生成AIサービスの利用に関する注意喚起等 – 個人情報保護委員会
- [5] 個人情報の保護に関する法律についてのガイドライン(外国にある第三者への提供編) – 個人情報保護委員会
この記事を書いた人
