2026年7月10日、「本日成立した要配慮個人情報を本人の同意なく第三者に提供する 個人情報保護法の改正に抗議する声明」を発表しました
本日成立した要配慮個人情報を本人の同意なく第三者に提供する個人情報保護法の改正に抗議する声明
2026年7月10日
自 由 法 曹 団
団長 黒岩 哲彦
統計作成等を行う目的で、第三者への要配慮個人情報(人種、信条、病歴、犯罪歴など)の提供について、本人同意を要せず行うことを可能とする個人情報保護法の改正案が、衆議院を通過し、本日、参議院の本会議で可決され成立した。
同法案については、これまで個人情報「保護」法ではなく、個人情報「利活用」法だとの批判がなされてきた。日弁連においても、2026年4月16日付の「個人情報保護法いわゆる3年ごと見直しの改正法案についての意見書」で、プライバシー保護や差別防止の観点から慎重な検討を行うことを求めている。同意見書においては、①統計作成等の過程で生じるおそれのある個人データの漏洩対策、②統計化前の保有個人データの違法性の有無を問わない利用停止等請求、③統計作成等特例が適用される統計情報等の範囲の厳格化と作成された統計情報等自体の取り扱いの規制を設けることを意見の趣旨とする。
このうち、統計作成等の過程で生じるおそれのある個人データの漏洩対策は、個人情報保護法改正前以上に広範囲なデータ収集及びその処理が可能となるため、事業者が意図せずとも、統計化を行う過程で内部者のデータ持ち出しや、外部からのハッカー攻撃により、統計化前の個人データの漏洩が発生した場合に、当該データに含まれる個人の権利利益に深刻な被害が生じるおそれがあるため、極めて慎重な検討を要すると言わねばならない。事実、日本全国で電子メールの誤送信や、個人情報が入ったパソコンの紛失などは日常的に起こっており、ヒューマンエラーによる情報漏洩の事例は枚挙に暇がないほどである。
この点に関し、改正個人情報保護法30条の2第5項では、要配慮個人情報を含む本人同意を不要とする個人データの提供方法は、本人の氏名・住所を含む形で個人情報の提供元が提供することができ、衆議院での審議過程でも提供元が要配慮個人情報を匿名加工しないことを明確に答弁され(第221回国会 衆議院 地域活性化・こども政策・デジタル社会形成に関する特別委員会第7号議事録参照)、情報の提供先で個人に紐付かないように加工することを想定したものとなっている。そして、統計情報等の作成にのみ利用されることを担保するための規律には、情報の提供元と提供先が目的外利用及び第三者提供を禁止することを書面合意すること(改正個人情報保護法30条の2第5項2号)、及び、統計化等をせずに販売や利用した場合に課徴金制度(改正個人情報保護法148条の3)によって担保するものとしている。
上記漏洩対策は、情報の提供先事業者の自主努力に委ねたものである上、課徴金制度は被害が発生した後の事後的な措置であり、被害の予防措置としては極めて不十分であると言わざるを得ない。日本は2019(平成31)年1月23日からGDPR(EU一般データ保護規則)の十分性認定を受け、個人情報保護水準がEUと同程度であると認められているが、今般の改正によりその認定が取り消されるおそれすらある。すなわち、今般の改正では、個人情報の提供先は大企業から個人事業主まで幅広い事業者が参入可能なものとなっており、情報セキュリティに掛けられる費用も、データを取り扱う事業主毎に当然異なる。セキュリティの高い銀行や保険会社、証券会社ですら顧客情報の流出が起こる昨今、個人情報を取り扱う事業者の誠実さに寄りかかった情報漏洩対策では、個人情報保護法の目的(1条)である個人の権利利益の保護を図ることはおよそ期待できない。
自由法曹団は、個人の権利利益の保護よりも、AIの利活用による経済の活性化を急速に推し進めようとする拙速極まる個人情報保護法の成立に抗議し、十分に個人情報の保護をはかれるよう再改正を求める。
