病歴や犯罪歴などの「要配慮個人情報」について、一定の条件を満たせば企業が本人の同意なしに収集・第三者提供できるようにする個人情報保護法改正案が、2026年5月26日に衆院本会議で可決・通過した。違反事業者への課徴金制度も新設される。AI学習データの確保を目指す規制緩和と、不正利用への抑止強化を両輪とする改正だが、SNS上では「病歴・犯罪歴が丸ごと収集される」という誤解が大規模に拡散し、トレンド入りするほどの反発を呼んだ。
この記事でわかること
- 改正の2本柱: 「同意なし収集の例外拡大」と「課徴金制度の新設」が今回の核心。入口規制から出口規制への設計転換をはかる。
- 何が変わり、何が変わらないか: 病歴などの要配慮個人情報が「無制限に収集可能になる」わけではなく、条件と要件が存在するが、その解釈はガイドライン次第で幅が生じる。
- 懸念の本質: 「政府・個情委が認めれば同意不要」という構造であり、法律レベルで権利制約の具体的な範囲が確定しないまま施行される設計になっている。
改正案のポイントをひと目で
今回の改正案は大きく2方向に分かれる。一方は「データ利活用の緩和」、もう一方は「違反への制裁強化」だ。
以下の図解で、改正の骨格を確認してほしい。
緩和側では、これまで原則として本人同意が必要だった要配慮個人情報の収集・提供について、特定の要件を満たす場合に同意不要とする例外規定が盛り込まれた。強化側では、違反事業者に対して課徴金を科す制度が新設され、不正利用への経済的な抑止力を持たせる設計となっている。
「緩和と強化を同時に行う」という設計自体は、EU諸国や国際的なデータ規制の流れと方向性を同じくするものだが、問題は緩和の「条件」がどこまで具体的に規定されているかにある。
Q. 今回の改正で「要配慮個人情報」とは具体的に何を指すか?
A. 病歴、障害・犯罪歴、人種、信条、社会的身分、犯罪被害情報などが該当する。不当な差別や偏見につながるおそれがあるとして現行法でも特別に保護されてきた情報であり、改正後も原則として本人同意が必要な点は変わらない。
ここで注目すべきは「信条」という項目だ。信条は宗教的な信仰にとどまらず、思想・政治的見解まで含みうる概念であり、「考えていること全般」に近い広がりを持つ解釈も否定できない。この項目が同意不要の例外対象になりうる局面については、後述する。
なぜ今、個人情報保護法を改正するのか
背景には「3年ごと見直し」という制度上の要請がある。個人情報保護法は、2020年の改正時に「施行から3年ごとに施行状況を検討し、必要な措置を講じる」と附則で定めており、今回はその規定に基づく見直しにあたる。
もうひとつの動機は実務上の「詰まり」だ。現行法では、医療機関が疾患データを研究機関に提供する際、公益目的であっても「本人の同意を得ることが困難である場合」という例外要件が厳格に解釈され、データ共有が進まないという問題が繰り返し指摘されてきた。同じ構造上の問題は、AI学習データの収集、災害時の情報連携、統計作成など広い領域に及んでいた。
政府の説明では、今回の改正は「個人の権利利益を適切に保護しながら、AI活用にも資する円滑なデータ連携を促進するための措置」とされている。松本尚デジタル大臣は閣議決定後の会見で「利活用を推進する部分と、個人情報保護を厳しくしていく部分のバランスを考慮した」と述べた。
Q. 個人情報保護法の改正でなぜ同意なしで病歴が収集できるようになるのか?
A. AI学習や統計作成など公益目的でのデータ活用を促進するため、「本人の意思に反せず権利利益を害しないことが明らかな場合」等の要件を満たす場合に限り、例外的に同意不要とする規定が設けられた。無制限に収集できるわけではない。
「同意なし収集」は何が変わり、何が変わらないのか
SNS上で最も誤解を招いた点がここだ。「病歴・犯罪歴が丸ごと収集可能になる」という理解は正確ではない。以下の表で現行法と改正案の違いを整理する。
以下の比較表で、要配慮個人情報の取扱いがどう変わるかを確認してほしい。
| 観点 | 現行法 | 改正案 |
|---|---|---|
| 原則 | 取得・提供には本人同意が必要 | 原則は変わらず本人同意が必要 |
| 例外(同意不要)の範囲 | 公衆衛生・生命保護など限定的。「同意取得が困難な場合」が要件 | 「相当の理由がある場合」「本人の意思に反しないことが明らかな場合」「統計作成・AI学習目的」等を追加 |
| 違反時の制裁 | 行政命令・刑事罰(課徴金なし) | 課徴金制度を新設(違反利益相当額、再犯1.5倍) |
表が示すとおり、「原則」は改正後も変わらない。ただし「例外」の範囲が広がり、しかもその適用要件の解釈が法律ではなくガイドラインに委ねられている点が問題の核心だ。
(編集部分析)犯罪歴については、再犯リスクの管理や採用審査など一定の合理性を見出しやすい用途が存在する。しかし病歴は別の話だ。病気になることは本人の意思と無関係に起こり、かつ保険・雇用・人間関係において差別的な扱いを受ける直接のリスクになりうる。さらに、「信条」という項目の射程が問題だ。信条は宗教的信仰に限らず、思想・政治的見解まで含みうる概念であり、解釈次第では「考えていること」全般に及ぶ余地がある。病歴と信条という2つの要配慮情報が「統計作成目的」や「相当の理由」という曖昧な例外に包含されうる設計は、プライバシーの核心に触れるものといえる。
Q. 犯罪歴の収集が企業に認められるのはどんな場合か?
A. 「統計作成目的」「本人の意思に反しないことが明らかな場合」「生命・公衆衛生保護のため同意取得が困難な場合」などに限定される見通し。具体的な適用範囲はガイドラインで今後明確化される予定で、現時点では確定していない。
新設される課徴金制度の仕組み
今回の「強化」側の柱が課徴金制度だ。不正な個人情報の取得・第三者提供など特定の違反行為を対象として、違反行為で得た利益に相当する額の課徴金を科す。再違反の場合は1.5倍、違反事実を自主申告した場合は50%の減額措置(リニエンシー)が設けられる。
実務上は、1,000人を超える個人データを扱う案件が主要な対象となる見通しだ。また、「相当の注意を怠った者でないと認められる場合」には課徴金の対象外となるため、企業は適法な取扱いをしたことの記録を残す内部体制の整備が求められることになる。
EUのGDPR(一般データ保護規則)では制裁金の上限が全世界年間売上高の4%に設定されており、それと比較すると日本の課徴金水準は抑止力として十分かどうか議論が残る。日弁連も課徴金制度の水準について慎重な検討を求める意見書を提出している。
Q. 課徴金制度の対象となる行為と金額はどのくらいか?
A. 不正な個人情報の取得・第三者提供など特定の違反行為が対象。課徴金額は違反で得た利益相当額で、再違反の場合は1.5倍、自主申告した場合は50%減額される。1,000人超の個人データを扱う事業者が実務上の主要対象となる。
反対意見・懸念点はどこにあるか
法案への最も根本的な批判は、「権利制約の実質的な範囲を法律で確定させず、ガイドラインに白紙委任している」という構造上の問題だ。
日弁連は2026年4月16日付で意見書を提出し、統計作成等特例について「プライバシー保護や差別防止の観点から慎重な検討を行い、具体的な対策を講じるべき」と求めた。また、プライバシー保護の専門家からは、「自分のデータがいつどこに提供されたか本人が把握しづらい設計になっている」「利用停止請求の対象も限定的であり、個人が自己情報の流通をコントロールする権利が形骸化しかねない」という懸念が示されている。
(編集部分析)問題の核心は、「政府・個人情報保護委員会が認めればいつでも同意不要」という構造そのものだ。法律の条文に「相当の理由がある場合」と書かれていても、その「相当の理由」の中身を決めるのは委員会が策定するガイドラインである。つまり、国会での立法過程で詰めるべき権利制約の要件が、行政機関の解釈に委ねられた状態で法案が通過したことになる。歴史的に見ても、法律の「解釈」は時の政権や行政の都合で動きやすい。今は「医療・AI振興目的」と説明されていても、ガイドラインが改定されればその射程は広がりうる。「信条」が同意不要の対象に含まれうる設計を考えると、この懸念は杞憂とは言い切れない。
Q. 個人情報保護法の改正に反対意見はあるか?
A. 日弁連が2026年4月に意見書を提出し、「相当の理由」など要件の曖昧さを指摘した。自分のデータがいつどこに提供されたか把握しづらくなるという懸念があり、利用停止請求の対象も限定的となるため、個人の権利保護が後退するという批判が専門家から出ている。
いつから施行か――今後のスケジュールと企業・個人の対応
改正案は参院での審議・採決を経て成立する見通しだ。通常国会の会期末は2026年6月21日であり、今後数週間以内の成立が見込まれる。
施行時期については、改正法案の規定で「公布の日から起算して2年以内」と定められている。前回の2020年改正と同様のスケジュールで進むとすれば、2026年末頃に施行令・省令案、2027年夏頃にガイドラインとQ&A、2027年末頃に分野別ガイドラインが整備され、2028年4月頃の施行が見込まれる(※確認中:政令・ガイドライン整備の進捗によって前後する可能性がある)。
個人として現時点でできることは限られているが、「自分のデータがどこに提供されているかを意識する習慣」と「事業者への利用停止請求権が今の法律でどこまで認められているかを把握しておくこと」は有効だ。ガイドラインが公表される段階で、権利制約の実質的な範囲が初めて明らかになる。その公表過程にパブリックコメントの機会があれば、意見を送ることが市民レベルの関与として有効な手段となる。
Q. 個人情報保護法の改正はいつから施行されるのか?
A. 改正法案の規定では「公布の日から起算して2年以内」とされており、前回の改正スケジュールに準じると2028年4月頃の施行が見込まれる。ただし政令・ガイドラインの整備状況によって前後する可能性がある。
参考情報
- 個人情報保護委員会「個人情報保護法 いわゆる3年ごと見直しについて」https://www.ppc.go.jp/personalinfo/3nengotominaoshi/
- 日本弁護士連合会「個人情報保護法いわゆる3年ごと見直しの改正法案についての意見書」(2026年4月16日)https://www.nichibenren.or.jp/document/opinion/year/2026/260416_2.html
- 牛島総合法律事務所「個人情報保護法 改正法案の公表」(2026年4月8日)https://www.ushijima-law.gr.jp/client-alert_seminar/client-alert/20260408appi/
