(長妻昭氏のYouTubeより)
はじめに
2026年の通常国会に提出された個人情報保護法改正案は、AI活用の推進と個人情報保護の強化を両立させると説明されています。しかし、その目玉である「統計作成等特例」(以下「統計特例」)には、一般にはあまり知られていない重大な問題が含まれています。
本ブログ記事は、2026年6月4日の衆議院予算委員会における長妻昭議員と松本デジタル大臣との質疑応答を出発点に、統計特例のさまざまな法的問題点を検討したいと思います。
1.国会審議において長妻議員が質問したこと
(1)統計特例の仕組みと問題の所在
改正案の統計特例とは、AI開発や統計作成などの目的(「統計作成等」)であれば、本人の同意なしに、氏名・住所が紐づいた生の要配慮個人情報(病歴、思想信条、犯罪歴など)を民間企業に提供できるとする制度です。
長妻議員が最初に指摘したのは、この「統計目的だから安全」という論拠の弱さです。政府の説明する「個人の権利利益を害するおそれが少ない」という根拠は、アウトプットが純粋な集計値である場合には一定の説得力を持ちます。しかし統計処理に入る前の段階、すなわち実名・住所付きの生データが第三者企業の手に渡る瞬間においては、リスクはすでに発生しています。「処理後に安全」と「渡した時点から安全」は、まったく異なる問題だからです。
(2)松本デジタル大臣の答弁とその限界
松本デジタル大臣は、統計特例について、①提供先に安全管理措置と不要データの速やかな削除を義務付けること、②公表義務・書面合意・目的外利用禁止という歯止め措置を設けること、③違反した場合には課徴金の対象となること、を根拠に「利活用と保護のバランスは取れている」と主張しました。
しかしこれらは、いずれも「違反がまず発覚すること」を前提とする事後的制裁です。取得された要配慮個人情報の生データを受け取った企業が内部でどう使ったかを外部から検知す法的手段は存在しません。
また、本人が「自分のデータを提供しないでほしい」と申し出る権利(提供停止請求権)については、「適法な処理である限り、無条件の停止請求には応じられない」という松本大臣の答弁が示されました。これは、情報自己決定権の実質的な否定に等しいと評さざるをえません。
(3)拒否権の欠如-憲法学・情報学からの検討
憲法13条のプライバシー権については、山本龍彦先生が自己情報コントロール権説を継承しつつ、AI・ビッグデータ時代に対応させた形で精緻化しています。山本説の特徴は、権利論と審査論を接合している点にあります。権利の実体面では、プロファイリング・スコアリングなどAI固有のリスクに対応した権利内容の拡張を論じ、審査の手法面では、情報の収集・管理・利用・連携の各段階をシステムの設計・構造全体から総合的に判断する「構造審査」を採用しています。
山本説からは、統計特例はまずはダイレクトに「本人同意なし」とされたことが批判の対象になるでしょう。
他方、曽我部真裕先生は、プライバシー権を「自己の情報を適切に取り扱われる権利」として再構成すべきとする有力説を提唱しています。「コントロール」という概念が本人の同意・意思を中心に置きすぎており、情報取扱いの文脈適合性という観点が抜け落ちるという批判がその核心です。
曽我部説からは、病歴情報が医療という文脈で提供されたにもかかわらず、AI学習・プロファイリングという全く異なる文脈で利用されることが「適切な取扱い」からの逸脱として捉えられます。
この点判例は、自己情報コントロール権を明示的には採用していません。住基ネット訴訟(最大判平成20年3月6日)は、①収集情報が氏名・住所・生年月日・性別の4情報(基本4情報)に限定されていること、②アクセス主体が行政機関に限定されていること、③システムに厳格な安全管理措置が講じられていること、④第三者機関の存在など法的な歯止めの存在、などを総合考慮して合憲と判断しました。マイナンバー訴訟(最判令和5年3月9日)もこの構造審査の枠組みを踏襲しています。
この構造審査を今回の統計特例に当てはめてみると、住基ネット合憲の根拠がそのまま問題点として現れます。すなわち、①収集情報は病歴・障害・思想信条等という最高度のセンシティブな情報であり、②提供先は民間企業に無制限に開放され、内部利用の監視手段がなく目的外利用の発覚は困難です。③④についてもゆるゆるな状態です。
このように、学説・判例のいずれの枠組みによっても、統計特例が憲法13条から導き出されるプライバシー権に抵触する可能性は否定できません。
この点、EUのGDPR(一般データ保護規則)では「自動化された意思決定に服しない権利」(22条)や「処理に対する異議申し立て権」(21条)が明文で保障されています。今回の改正案にはこれらの視点が抜け落ちています。
(4)「仮名加工した上でデータを活用」との長妻議員の提案
長妻議員は、医療データの活用自体には賛成しつつ、実名・住所のまま提供する必然性はないとして、「次世代医療基盤法」方式、すなわち仮名加工した上でデータを活用することへの法案修正を求めました。
製薬業界も研究目的には実名情報は不要と述べており、日弁連・医師会・消費者団体も危険性を指摘しています。仮名化によって個人データの利用は十分可能です。この修正要求は、政策論として合理性があるのではないでしょうか。
2.各論点の深掘り-統計特例の諸問題
(1)「統計目的と言いながら別目的に使う」リスク
改正案は、「企業が統計利用目的を守る」という性善説に全面的に依存しています。しかし、実名・住所付きデータを受け取った企業が内部でプロファイリングやスコアリングに転用しても、外部からは発見することができません。
2019年に発覚したリクルートによる就活生の内定辞退予測データ販売事件(リクナビ事件)は、プロファイリングやスコアリングの問題点を如実に示しています。同事案では、企業が採用活動の文脈で収集した個人データを、本人の同意なく内定辞退率のスコアとして企業に販売していました。今回の改正は、そのような機微な個人情報の転用の入口をさらに広げてしまうおそれがあります。
(2)「逆照射的プロファイリング」という新たな脅威
また、「逆照射的プロファイリング」という問題があります。これは、集団の統計情報をAIに学習させることで、特定個人の属性を逆算・推測するという手法です。
【具体例】
病歴データから「40代・男性・喫煙者の心疾患リスクは○%高い」という統計モデルを構築する。次に採用・融資審査AIがこのモデルを参照し、「この応募者は心疾患リスクが高い」と判定して不採用にする。本人には理由が告知されない。
統計処理した時点では、個人情報は統計情報という集合に溶け込んだように見えますが、そのモデルに個人データを当てはめることで、個人への不利益が「復活」してしまいます。
就職・人事考査・融資・保険加入・住宅賃貸等といった生活の根幹に関わる場面で差別が生じるリスクがあります。しかも、本人は被害の事実すら知る手段を持ちません。本人同意なしに統計利用目的で要配慮個人情報の取得・第三者提供を可能にすることは、このような問題を拡大させるおそれがあります。
(3)課徴金の実効性-「ばれなければよい」問題
改正案は課徴金制度を導入しましたが、①「事業者が相当の注意を怠っていない場合」または②「対象の本人が1000人を超えない場合」には課徴金の対象外となるとされています。そのため、大規模な違反などがなければ課徴金は適用されません。
また、そもそも発覚しなければ課徴金は発動しません。企業内部での目的外利用などを常時監視する法的な仕組みは存在せず、課徴金は「ばれた場合の事後的制裁」にすぎません。
そのため、課徴金制度も統計特例における不適切・違法な個人情報の取扱いの歯止めとして十分なものであるかは疑問が残ります。
(4)外国企業への情報流出のリスク
今回の改正案において特に深刻な問題の一つが、外国企業への対応です。統計特例による要配慮個人情報の提供は、現行法上の越境移転規制(法28条)の適用外となるとされており、「統計目的」と称すれば越境移転規制をすり抜けて外国企業に用配慮個人情報が渡ってしまう状況が生じうるとされています。
中国に拠点を持つ企業は中国国家情報法(2017年)上、当局への情報提供協力義務を負っています。「統計目的」として渡した日本人の病歴・障害情報などが、事実上外国政府の情報収集に転用されるリスクが否定できません。
また、日本の個人情報保護委員会が外国企業に課徴金を命じたとしても、相手国における執行手段はほぼ存在しません。これは単なるプライバシー問題を超えて、安全保障上の問題でもあります。
(2021年には、LINEの個人情報について、中国・韓国の委託先企業で不適切な取扱いが行われていることが大きな社会問題となりました。)
(5)国際標準との乖離
長妻議員は上記の国会審議で、「要配慮個人情報を生データのまま民間企業に提供している国は日本だけ」と主張しましたが、これは先進国の主要法制との比較において基本的に正しい指摘です。
EUのGDPRは、統計・研究目的で特別カテゴリデータを処理する場合でも仮名化を原則として明文で要求しています(第89条)。つまり、実名・住所付きの生データを統計目的として民間企業に渡すという発想自体が制度上存在しません。 また、米カリフォルニア州CPRAは、センシティブ情報について本人の「限定利用請求権」を保障しています。
これに対して日本の改正案は、AI学習の入口段階の規制を大幅に緩和する一方、AIの出力段階(プロファイリング・自動意思決定)における保護も著しく不十分という設計であり、国際標準から明確に後退しています。
3.まとめ
統計特例をめぐる議論の本質は、「AI利活用の推進」という政策目標が、個人のプライバシー権や人格権という基本的人権(憲法13条)を不当に犠牲にする形で実現されようとしているのではないか、という疑問に集約されます。
山本説・曽我部説いずれの学説からも、また住基ネット訴訟・マイナンバー訴訟の判例の判断枠組みからも、統計特例は違法・違憲のおそれがあり、その設計には根本的な再検討が求められます。
国会審議においても、仮名化への修正を中心とした実質的な議論が行われることを期待したいと思います。
国民一人ひとりの病歴・障害情報・思想信条などの要配慮個人情報が、本人において自らの関知しないところで取引され、プロファイリングやスコアリングに利用され、場合によっては外国企業・外国政府の手に渡る可能性のある制度設計は、立憲主義的な観点から問い直されなければならないと考えられます。また、中長期的には日本の個人情報保護法もプロファイリングを正面から規制するための検討が行われれるべきであると考えられます。
■関連するブログ記事
・あなたのLINEの情報が保険営業に?ー2026年個人情報保護法改正の「AI学習目的」という抜け穴
・国家情報会議・国家情報局と2020年ドイツBND法違憲判決-日独の情報機関の統制の比較
・リクルートなどの就活生の内定辞退予測データの販売を個人情報保護法・職安法的に考える
・LINEの個人情報・通信の秘密の中国・韓国への漏洩事故を個人情報保護法・電気通信事業法から考えた
■参考文献
・【高市首相に問う!】 高市首相も知らされず? 名前住所付き病歴情報も本人同意無く統計特例で企業に渡る! 激論!(令和8年6月4日 衆議院予算委員会 ながつま昭質疑)
・野呂悠登「令和8年改正個人情報保護法はどうなる?改正案を弁護士が解説」BUSINESS LAWYEARS
・「個人情報保護法いわゆる3年ごと見直しの改正法案についての意見書」|日弁連
・山本龍彦『超個人主義の逆説-AI社会への憲法的警句』141頁
・曽我部真裕「自己情報コントロール権は基本権か?」憲法研究3号71頁
・宍戸常寿「住基ネットの合憲性」『新・判例ハンドブック情報法』200頁
・個人情報の扱い、変わる? 統計情報「同意なく提供」、差別おそれも 編集委員・若江雅子|朝日新聞
