一般財団法人日本情報経済社会推進協会
電子情報利活用研究部　次長　松下　尚史

新しいWebサービスに登録する。プライバシーポリシーへのリンクが表示され、その下に「同意する」のチェックボックスとボタンが並ぶ。利用者は、表示された文書をほとんど読まずにチェックを入れ、ボタンを押す。サービスは利用可能になる。事業者は、利用者から本人同意という適法化根拠を確保したことになる。

このような風景は、いまや日本の利用者にとって日常である。同意疲労、通知・選択アプローチの限界、ダークパターン化されたインタフェース——同意のあり方の機能不全についての指摘はすでに国内外で長年論じられ、欧州のGDPR、米国の各州法、日本の個人情報保護法における三年ごと見直しを通じて、制度的な対応も繰り返し試みられてきた。それでもなお、状況は本質的には改善していないように見える。

当協会が2026年1月に実施した「デジタル社会における消費者意識調査2026」¹（以下「本消費者調査」という。）は、利用者側のこの実感を数値として示している。

第一に、Webサービスやアプリケーションを利用する際に個人情報を提供することについて「とても抵抗がある」「やや抵抗がある」と回答した割合は、合わせて70.0%に達する。「全く抵抗がない」と回答したのは、わずか2.8%に過ぎない。利用者の7割は、個人情報の提供に何らかの抵抗を抱きながら、Webサービスやアプリケーションの利用場面に向き合っている。

第二に、本消費者調査は、個人情報の提供に抵抗を感じた際に最も多くとった行動について尋ねている。最多は「利用をとりやめた」で35.0%、「ポリシーや約款を確認した」が18.4%で続く。注目されるのは、「個人情報の提供に抵抗を感じたが、そのまま利用した」と回答した割合が、回答者全体の25.7%に達することである。これは「過去に個人情報の提供に抵抗を感じたことがある」と回答した利用者（全体の82.0%）を母数とすると約３割に相当する。つまり、抵抗を感じたことがある利用者のおよそ3人に1人は、抵抗を抱えながらも利用を継続するという行動を、最も多くとっている。少なくとも、形式上の同意が取得されている場合であっても、それが利用者の十分な理解や納得を伴っているとは限らないという問題が、ここに表れている。

第三に、企業の情報セキュリティや個人情報保護の取り組みに関する情報提供のわかりやすさを見ると、説明を受けたうえでの同意が利用者側でどの程度成立しているかにも疑問が残る。「掲載場所も内容もわかりやすい」と回答したのは8.6%、「掲載場所はわかりにくいが内容はわかりやすい」と回答したのは6.4%。内容が分かりやすいと評価した利用者は、両選択肢を合わせて15.0%に過ぎない。さらに、「企業の情報提供を確認したことがない」と回答した利用者は38.9%に達する。説明を受けたうえで判断するという同意の前提は、利用者側の実感としては、すでに広範に成立していない。

ここから浮かび上がる構図は次のようなものである。利用者の多くは個人情報の提供に抵抗を抱き、その一部は、抵抗を感じながらもサービスの利用を継続している。また、企業の情報提供を確認していない利用者や、内容を分かりやすいと評価していない利用者も少なくない。事業者は、形式的には適法な同意を取得し続けている。しかし、その同意が利用者の十分な理解や納得を伴っているとは限らない。法的に有効な同意と、利用者にとって意味のある同意との間に、機能的な乖離が生じている。

以上の調査結果のうち、本稿の問題意識に関わる主要な数値を整理すると、図表1のとおりである。

本稿が立てる問いは、この乖離を、同意という行為そのものの機能構造に立ち返って捉え直せないか、というものである。同意は単一の機能を持つ行為ではなく、複数の機能を束ねた複合的な行為なのではないか。そうであるならば、現在の機能不全は、特定の機能の不十分な作動として、より精密に記述できるはずである。本稿では、同意疲労、通知・選択アプローチの限界、ダークパターン化されたインタフェースといった広範な問題群のうち、特に、抵抗を感じながらも利用を継続する行動と、情報提供が利用者の理解に十分つながっていない状況に着目する。その上で、同意を「法的正当化機能」と「信頼コミュニケーション機能」²の二つに分離して捉え、両機能が共通要因と固有要因を伴いながら機能不全に陥っている構造を、筆者が従前提示してきた「デジタル社会の安心方程式」³の枠組みから論じる。第一章で同意論の系譜を整理し、第二章で二機能分離論を提示し、第三章で制度設計への示唆を述べる。

• 1. 一般財団法人日本情報経済社会推進協会（以下「JIPDEC」という。）「デジタル社会における消費者意識調査2026」（2026年3月公表、調査実施2026年1月14日〜16日、株式会社マクロミルによるインターネット調査、N＝1,449）。なお、「デジタル社会における消費者意識調査」は2023年以降継続的に実施されており、個人情報提供への抵抗感（「抵抗がある＋やや抵抗がある」計）は2023年以降一貫して67.1〜72.6%の範囲で推移している。
• 2. 「法的正当化機能」「信頼コミュニケーション機能」は、本稿が同意の機能を分析する上で設定する概念上の区分であり、既存の法令用語または確立された学術用語ではない。前者は本人同意を適法化根拠として機能させる側面を、後者は同意取得プロセスを通じた事業者と利用者の間の信頼形成の側面を、それぞれ名指すために用いる。後者については、斉藤邦史氏の「信頼としてのプライバシー（privacy-as-trust）」と響き合う側面を持つが、対象が異なる（前者はプライバシー法益、後者は同意という行為）点に留意されたい。
• 3. 「デジタル社会における安心感醸成の重要性」（JIPDEC IT-Report 2025 Winter、2025年12月）。安心方程式は「安心＝安全×信頼性×プライバシー保護」として定式化され、乗法で表現されることが示唆するとおり、どれか一つの要素が欠けても顧客の安心は成立しないとされる。

米国において、同意制度の機能不全は長年にわたり論じられてきた。その代表的議論の一つが、Daniel J. Soloveが2013年に示した「同意のジレンマ（consent dilemma）」である⁴。Soloveは、プライバシー保護を個人の同意に委ねる「プライバシー自己管理（privacy self-management）」の仕組みが、情報環境の複雑化のもとで機能不全に陥っていることを体系的に示した。利用者は、事業者の情報取り扱いを理解した上で合理的な意思決定を行うことを期待されているが、膨大な情報量、プライバシー影響の不透明さ、認知的限界等により、その期待は実際には成立し得ない。にもかかわらず、制度はなお同意を適法化の中核に据え続けている、という矛盾がSoloveの議論の核心である。

Soloveは2024年の論考で、この問題への新たなアプローチを提示している⁵。従来の同意観を「曖昧な同意（murky consent）」として再定位し、同意を有効か無効かの二値で判断するのではなく、段階的な評価のもとで扱う提案である。この提案は、同意が形式的に成立していても実質的には曖昧さを含むという現実を正面から認め、その曖昧さに応じて事業者の責任と利用者の保護を設計するという方向性を示している。

これ以外にも、米国では通知・選択アプローチそのものの限界、同意疲労による利用者の判断能力の麻痺、同意の病理の体系的整理、直感的通知による代替的アプローチ等、多様な論点が展開されてきた⁶。これらの議論は、同意の機能不全の症状と処方箋を、それぞれ異なる角度から記述している。

• 4. Daniel J. Solove,”Introduction: Privacy Self-Management and the Consent Dilemma”（126 Harv. L. Rev. 1880 、2013).別ウインドウで開く
• 5. Daniel J. Solove, “Murky Consent: An Approach to the Fictions of Consent in Privacy Law”（ 104 B.U. L. Rev. 593 、2024). 別ウインドウで開く
• 6. 通知・選択アプローチの限界については Fred H. Cate & Viktor Mayer-Schönberger, Notice and Consent in a World of Big Data, 3 Int'l Data Privacy L. 67 (2013); Solon Barocas & Helen Nissenbaum, Big Data's End Run around Anonymity and Consent, in Privacy, Big Data, and the Public Good 44 (Julia Lane et al. eds., Cambridge Univ. Press 2014)。同意疲労による判断能力の麻痺については Bart W. Schermer, Bart Custers & Simone van der Hof, The Crisis of Consent, 16 Ethics & Info. Tech. 171 (2014)。同意の病理の体系的整理については Neil M. Richards & Woodrow Hartzog, The Pathologies of Digital Consent, 96 Wash. U. L. Rev. 1461 (2019)。直感的通知による代替的アプローチについては M. Ryan Calo, Against Notice Skepticism in Privacy (and Elsewhere), 87 Notre Dame L. Rev. 1027 (2012)。

日本においても、同意をめぐる議論は、憲法学・情報法学を中心に独自の展開を見せてきた⁷。ここでは、本稿の主題に特に深く関わる慶應義塾大学の斉藤邦史氏と國學院大學の小川亮氏の議論を取り上げる。

斉藤氏は、プライバシーを「自律としてのプライバシー（privacy-as-autonomy）」と「信頼としてのプライバシー（privacy-as-trust）」の二層構造で捉える枠組みを提示している⁸。前者は人格的自律権の本体を担い、後者は私人間における手段的・予防的な保護法益を補完的に担う。注目されるのは、斉藤氏が、私法における自己情報のコントロールについて、コントロールの自己決定は終局的な目的ではなく、不利益を予防するための手段として位置づける考え方を整理している点である。プライバシーという法益の層が異なれば、自己情報コントロール（同意を含む）の機能の性格も異なる、という整理である。

小川氏は、同意疲労を主要な問題として掲げた上で、同意の必要性について、「道具説」（同意を本人利益確保の手段として位置づける立場）と「自律説」（自律への尊重が同意を要求するとする立場）を対比している⁹。小川氏の結論は、道具説が功利主義に基づいて妥当な正当化と実践的ガイダンスを得られるのに対し、自律説は価値の通約不可能性の問題により実践指針を提示し得ない、というものである。同意の存在意義を、自律という理念ではなく、本人利益確保の手段として捉え直す立場である。

両氏の議論は、いずれも同意を単一の理念から説明するのではなく、その手段的・機能的側面に光を当てている点で共通している。

• 7. 日本における同意論の展開は多岐にわたる。自己情報コントロール権説については佐藤幸治『日本国憲法論〔第2版〕』（成文堂、2020年）203頁、山本龍彦『プライバシーの権利を考える』（信山社、2017年）、長谷部恭男編『注釈日本国憲法（3）』（有斐閣、2020年）163頁以下〔土井真一執筆〕。自己情報コントロール権説への批判・補完の試みとして、音無知展『プライバシー権の再構成』（有斐閣、2021年）、曽我部真裕「自己情報コントロール権は基本権か？」憲法研究3号（2018年）71頁、村上康二郎「情報プライバシー権の類型化に向けた一考察」情報通信政策研究7巻1号（2023年）Ⅱ-1頁。同意制度の改革方向性として、松前恵環「個人情報保護法制における『通知・選択アプローチ』の意義と課題」InfoCom REVIEW 72号（2019年）30頁。同意の私法的法的性質については、板倉陽一郎「プライバシーに関する契約についての考察(1)」情報法制研究1号（2017年）28頁以下、同「プライバシーに関する契約についての考察（問答編）」情報通信政策研究3巻2号（2020年）Ⅰ-95頁以下。
• 8. 斉藤邦史「プライバシーにおける『自律』と『信頼』」（情報通信政策研究3巻1号（2019年）73頁）。別ウインドウで開く
• 9. 小川亮「情報提供に対する同意はなぜ必要なのか」（情報法制研究11巻（2022年）51頁）。別ウインドウで開く

以上の先行研究は、同意の機能不全の症状と処方箋、プライバシーという法益の構造、同意の法哲学的正当化といった論点について、豊饒な議論を展開してきた。特に、Soloveが「同意のジレンマ」および「曖昧な同意」として示した議論は、同意が機能不全に陥る具体的なメカニズムを記述するものである。斉藤氏の二層構造論は、私法領域における自己情報コントロールの自己決定が「終局的な目的ではなく、不利益を予防するための手段」として機能することを指摘し、私人間における手段的・予防的な保護法益の重要性を提示した。小川氏は、同意疲労という機能不全を出発点として、「なぜ同意が必要か」という根本的な問いに対し、道具説の観点から同意の正当化と実践ガイダンスのあり方を論じた。

本稿は、これらの先行研究の蓄積の上に立ち、やや異なる角度から同意を捉え直すことを試みる。すなわち、同意という一つの行為が、本稿が以下「法的正当化機能」「信頼コミュニケーション機能」と呼ぶ二つの異なる機能を同時に担っており、この二機能はそれぞれ独立に異なる原因で機能不全に陥りうる、という視点である。斉藤氏が二層構造として論じたのは「プライバシー」という法益であり、本稿が二機能として論じるのは「同意」という行為である。両者は対象が異なるが、相互に補完的な関係にある。斉藤氏の言う「信頼としてのプライバシー」という手段的・予防的な保護法益は、本稿が分析枠組みとして独自に設定する「信頼コミュニケーション機能」と響き合う側面を持つ。小川氏が論じた同意の正当化論と、本稿が論じる同意の機能構造論は、同一の問題状況——同意疲労に代表される機能不全——に対する異なる次元の応答である。正当化論が「なぜ同意が必要か」という規範的問いに答えるのに対し、機能構造論は「同意が何を担っているか」という記述的問いに答えるものであり、両者は前提を共有しつつ異なる次元で議論を進めている。

この視点を採ることで得られる利点は、筆者が別稿で提示した「デジタル社会の安心方程式」（顧客の安心＝安全×信頼性×プライバシー保護）の枠組みと整合的に、同意の機能を位置づけられることにある。同意の法的正当化機能はプライバシー保護軸（コンプライアンスとしての守り）に、信頼コミュニケーション機能は信頼性軸（差別化としての攻め）に、それぞれ対応する。安心方程式の残る一軸である安全軸は、個人情報の安全管理措置や通信の秘密の保護といった、同意以前にデジタル環境全体を整備する基盤的要件として、同意が機能する前提条件を提供する背景に位置づけられる。この三軸の枠組みのもとで、同意の二機能が独立に機能しているか否かを検証することが、次章の主題である。

同意の第一の機能は、事業者による個人データの取り扱いを適法化する、法的正当化機能である。個人情報保護法は、個人情報取扱事業者に対し、利用目的の特定（17条）、目的外利用の禁止（18条）、要配慮個人情報の取得制限（20条2項）、第三者提供の制限（27条1項）、外国にある第三者への提供の制限（28条1項）などの義務を課している。このうち、目的外利用、要配慮個人情報の取得、第三者提供、外国にある第三者への提供等については、本人の同意を得ることにより、取り扱いが適法化される、または義務の射程が限定される構造が採用されている。例えば、27条1項は、個人情報取扱事業者があらかじめ本人の同意を得ないで個人データを第三者に提供してはならないと規定しつつ、同項各号の例外事由と並んで、本人同意をもって適法な第三者提供であることの根拠としている。

この機能において、同意は、事業者の取り扱いを法令違反にしないための装置として作動する。取り扱いが開始される前に、事業者は本人から同意を取得し、記録を残す。この同意記録は、後日、規制当局による監督や紛争時の立証において、取り扱いの適法性を支える根拠として機能する。

重要なのは、この機能における同意が、実務上、表示内容、取得手続き、同意記録といった外形的要素を通じて確認される場面が多いことである。個人情報保護委員会のガイドラインは、同意の取得方法として口頭、書面、電磁的方法など多様な方法を認めており、本人が同意に係る判断を行うために必要と考えられる合理的かつ適切な方法によることを求めている¹⁰。同意がどの程度実質的な理解を伴って成立しているかは重要な論点であり、実質的理解が不要であるということではない。しかし実務上は、適切な表示、取得手続き、同意記録の有無がまず確認されやすい。そのため、利用者の理解や納得の程度は、法的正当化機能の成否とは別に、信頼形成上の課題として残りやすい。適切な表示と取得手続きを経て同意記録が残されていれば、事業者は法令違反リスクを一定程度低減できる。

安心方程式の枠組みで見ると、この機能はプライバシー保護軸（コンプライアンス要件としての守り）に対応する。事業者は同意を取得することで、法令違反による行政処分・差止請求・損害賠償といった法的リスクを回避し、市場参加の最低条件を確保する。この機能が整備されていなければ事業自体が成立しないが、逆に言えば、この機能は事業者の競争優位を直接に生み出すものではない。法令を遵守することは、市場参加の前提条件であって、それ自体が差別化の源泉ではないからである。

• 10. 個人情報保護委員会「個人情報の保護に関する法律についてのガイドライン（通則編）」2-16（本人の同意）参照。別ウインドウで開く

同意の第二の機能は、事業者と利用者の間で、情報取り扱いについての理解と納得を形成する、信頼コミュニケーションの機能である。利用者が自らの情報がどのように取り扱われるのかを理解し、その取り扱いに納得した上で意思表示することによって、事業者と利用者の間に信頼関係が形成される。形式的な意思表示の存在ではなく、利用者の実質的な理解と納得に重きが置かれる。

この機能の形式的な前提条件は、国際標準規格ISO/IEC 29184:2020（Information technology — Online privacy notices and consent）、およびそのJIS版であるJIS X 9252:2023（情報技術——オンラインにおけるプライバシーに関する通知及び同意）に体系的に示されている¹¹。この規格は、経済産業省が2013年度に策定し、2014年10月に公表した「消費者向けオンラインサービスにおける通知と同意・選択のためのガイドライン」を基に、日本が国際規格案として提案し、2020年6月にISO/IEC 29184として発行された。その後、当協会がJIS原案作成委員会事務局を務め、2023年1月にJIS X 9252として日本産業規格化された¹²。

本規格の特徴は、Privacy Notice（プライバシー通知）とConsent（同意）を概念として明確に分離した上で、両者の内容と構成を規定していることにある。Privacy Noticeは、事業者が利用者に対し、どのようなPII（個人を特定できる情報）を取得し、どのように処理するのかを分かりやすく提供する情報提供の装置として位置づけられる。Consentは、Privacy Noticeを前提として、利用者が自らの判断に基づいて意思表示する装置として位置づけられる。本規格が示すのは、同意が意味のある意思表示として成立するためには、その前提としてPrivacy Noticeが利用者にとって理解可能な形で提供される必要があるという、コミュニケーションの構造である。

本規格がGDPR等の同意以外の適法化根拠を採用する場面でも通知が必要であることを明示している点も重要である¹³。これは、通知（Privacy Notice）が法的正当化を支えるためだけではなく、事業者と利用者の間の信頼関係を構築するためにも、独自の意義を持つことを示している。

安心方程式の枠組みで見ると、この機能は信頼性軸（差別化要素としての攻め）に対応する。利用者が事業者の情報取り扱いを理解し納得することで、サービスへの信頼が形成される。これは法令遵守の領域を超えた、事業者の競争優位の源泉となる。プライバシーへの配慮において透明性をもって利用者に伝えることは、「守り」のコストではなく、「攻め」の投資として位置づけられる。その意味で、本稿のいう信頼コミュニケーション機能は、こうした観点から、規格が規定する通知・同意の手続的要件の遵守を出発点としつつ、その先にある顧客の安心醸成までを射程として捉え直した概念である。

以上の二機能を整理すると、図表2のとおりである。

• 11. JIS X 9252:2023「情報技術——オンラインにおけるプライバシーに関する通知及び同意」（日本産業規格、2023年1月20日制定）。対応国際規格はISO/IEC 29184:2020（Information technology- Online privacy notices and consent）。
• JIS X 9252:2023「情報技術——オンラインにおけるプライバシーに関する通知及び同意」（日本産業規格、2023年1月20日制定）別ウインドウで開く
• ISO/IEC 29184:2020（Information technology- Online privacy notices and consent）別ウインドウで開く
• 12. 経済産業省「消費者向けオンラインサービスにおける通知と同意・選択のためのガイドライン」（2014年10月）を基に、日本が国際規格案として提案・検討され、2020年6月にISO/IEC 29184として発行。2023年1月にJIS X 9252として日本産業規格化（JIS原案作成委員会事務局：JIPDEC）。別ウインドウで開く
• 13. GDPR（Regulation (EU) 2016/679）は、同意以外にも、契約履行、法的義務の遵守、生命の保護、公益・公的権限の行使、正当な利益の追求といった適法化根拠を認めているが（6条1項）、これらの適法化根拠を採用する場合でも、透明性原則（5条1項a）および13条・14条に基づく情報提供義務は免除されない。条文の仮日本語訳として、個人情報保護委員会「一般データ保護規則の条文」を参照。別ウインドウで開く

本節に入る前に、両機能が陥りうる「機能不全」の意味を腑分けしておく必要がある。同じ「機能不全」という語でも、法的正当化機能と信頼コミュニケーション機能では、その含意が異なる。前者については、機能自体が作動しなくなることよりも、作動はしているが本来期待された制度趣旨から乖離した成果しか生まないこと、すなわち、形式的な同意取得としては完結しているが、利用者の十分な理解や納得を伴う適法化根拠としては空転していることを指す。後者については、機能そのものの目的（利用者の理解と納得の形成）が達成されていないことを指す。前者は機能の外部に置かれた期待との乖離、後者は機能内部の目的の未達であり、機能不全の層が異なる。以下では、この区別を前提に、序章で示した消費者調査のデータを、二機能の観点から再読する。

法的正当化機能の側面から見ると、「個人情報の提供に抵抗がある」とする70.0%は、同意が行われる背景に広範な抵抗感が存在することを示している。さらに、そのような抵抗を感じた際に「そのまま利用した」とする回答が25.7%に達していることは、抵抗を抱えながらもサービス利用を継続し、結果として形式上の同意が成立している場面が少なくないことを示している。事業者は本人同意を取得し、適法化根拠を確保しているが、同意する利用者の一部は、十分な納得を伴わないまま意思表示している可能性がある。同意記録として残された形式的な意思表示と、利用者の理解・納得との間には、一定の乖離が生じている。

さらに本消費者調査では「提供した情報が、事前の説明や同意範囲を超えて利用されていると感じた」とする回答が7.6%、「契約終了後も、サービスの利用に必要な期間を超えて情報を保有・利用され続けていると感じた」とする回答が12.4%存在する。これらは、序章で示した主要4指標を補足するデータであり、利用者の側で、形式的に取得された同意の範囲を超えた取り扱いが行われているとの認識が一定程度存在することを示している。これは、形式的な同意取得が法的正当化機能として機能するとしても、その同意が実質的な取り扱いの範囲を画するものとして利用者に認識されているとは限らないことを示唆している。

信頼コミュニケーション機能の側面から見ると、「企業の情報提供について内容がわかりやすい」と評価した利用者が15.0%にとどまり、「企業の情報提供を確認したことがない」とする利用者が38.9%に達することは、信頼コミュニケーション機能が十分に作動していない状況を示している。ISO/IEC 29184・JIS X 9252が前提とする「利用者にとって理解可能なPrivacy Notice」という観点からも、通知が利用者の理解と判断に十分つながっているとは言い難い。これを裏付けるように、「契約内容やプライバシーポリシーの文章が難解で、何に情報が使われるのか理解できなかった」とする回答も17.7%に達する。難解さの認識が明示的に示されているのである。

以上から、法的正当化機能は、形式的には作動しているが、利用者の理解・納得を十分に伴わない形で空転している場面がある。他方、信頼コミュニケーション機能は、利用者への情報提供が理解可能な形で十分に届いておらず、本来期待される目的を十分に果たしていない。両者は、機能としては独立の現象である。論理的には、本人同意が法的正当化機能としては不要とされる場面であっても、利用者への説明や透明性確保が信頼形成上は重要となる場面がありうる。逆に、本人同意が法的正当化機能として形式的に作動していても、利用者が文書を読まずに同意している場合には、信頼コミュニケーション機能は十分に作動していない。このように、両機能は同じ同意取得プロセスに現れることが多いものの、制度設計上は区別して捉える必要がある。たとえば、「個人情報の保護に関する法律等の一部を改正する法律案」（2026年4月7日閣議決定、以下「改正法案」）¹⁴で提案されている統計等の作成を行う第三者への個人情報提供について本人同意を不要とする規定は、同意による法的正当化機能が作動しない場面を制度的に位置づけるものであるが、こうしたデータの二次利用についても、法令上本人同意が不要とされる場面と、利用者に分かりやすく説明し透明性を確保することの意義は区別される。本人同意を要しない場合であっても、利用者に対する説明や情報提供の質は、事業者への信頼形成にとって独立した意味を持つ。本稿の観点からは、法的正当化機能と、利用者への説明・透明性確保の意義とを切り分けて捉える余地が、制度設計上も生じていると評価できる。これに対し、同意取得のためのチェックボックスと定型文書は形式的に完備され、法的正当化機能は作動している一方で、利用者が文書を読まずに同意している類型が、現状の日本のデジタル環境で広範に生じている。

ただし、「機能としての独立」と「機能不全の原因としての独立」は区別を要する。現在生じている両機能不全は、「利用者が情報を処理・理解できていない」という共通の要因から生じている側面を含むが、それぞれに固有の原因も併存する。法的正当化機能については、本人同意が広範な場面で適法化根拠として用いられ、取得手続きや同意記録の整備に重点が置かれやすいことが、形式的な作動と実質的な納得との乖離を生みやすい。信頼コミュニケーション機能については、通知文書の難解さ、情報提供の粒度、提示のタイミング、利用者が読む動機づけの弱さなどが、理解と納得の形成を妨げる要因となりうる。にもかかわらず、共通原因から生じる二つの現象を機能ごとに区別して記述することには意義がある。それは、機能不全への処方箋が機能ごとに異なるためである。法的正当化機能の空転に対しては同意の射程の整理・合理化が、信頼コミュニケーション機能の不十分な作動に対しては通知と対話の質的改善が、それぞれ要請される。機能ごとに分解して診断することで、はじめて機能に応じた制度設計が可能になる。

• 14. 個人情報保護委員会「『個人情報の保護に関する法律等の一部を改正する法律案』の閣議決定について」（2026年4月7日）。第221回特別国会に提出。別ウインドウで開く

以上の二機能分離を、安心方程式（顧客の安心＝安全×信頼性×プライバシー保護）の三軸に対応づけると、以下のとおり整理できる。

この整理のもとで、前節で確認した機能不全の構造は、次のように考えられる。同意の形式的取得によってプライバシー保護軸の守りは一応成立しているが、その守りは利用者の理解・納得を十分に伴わない形で空転している場面がある。他方、信頼性軸の攻めは、信頼コミュニケーション機能が十分に立ち上がっていないため、限定的なものにとどまっている。事業者は守りの最低条件を満たしたところで歩みを止めがちであり、攻めの領域に十分踏み出せていない。

この整理は、制度設計の方向性を示唆する。守りと攻めの双方について、それぞれの機能不全に応じた対応が必要である。

• 15. なお、筆者の別稿で論じた信頼性軸は、技術的要件（サービスが正確・安定・継続的に機能すること）とコミュニケーション要件（透明性をもった取組の伝達・証明）の両面を含む。本稿が『信頼コミュニケーション機能』として同意との対応で議論するのは、このうちコミュニケーション要件の側面である。

同意を巡る制度設計については、近時の制度改正方針に加え、既に公表されている分野別の参照文書も含めて、重要な政策・実務文書が存在する。本稿の観点から関連する文書として、個人情報保護委員会（PPC）「個人情報保護法 いわゆる3年ごと見直しの制度改正方針」（2026年1月9日公表、以下「PPC制度改正方針」）¹⁶、前述の改正法案、および総務省「同意取得の在り方に関する参照文書」（以下「総務省参照文書」）¹⁷の三文書を取り上げる。

PPC制度改正方針は、「適正なデータ利活用の推進」「リスクに適切に対応した規律」「不適正利用等の防止」「規律遵守の実効性確保のための規律」の四つの柱のもと、12項目の制度改正方針を示している。本稿の論旨に直接関わるのは、このうち「本人関与の在り方の再整理」と位置づけられる部分である。現行法のもとでは、第三者提供、目的外利用、要配慮個人情報の取得について、本人同意が原則的な適法化根拠とされてきた。これに対し、PPC制度改正方針は、本人の権利利益への影響の有無という観点から、この同意規律を再整理する方向性を示している。具体的には、AI開発を含む統計作成等目的の利用、取得状況から見て本人の意思に反しない利用、生命・公衆衛生等の保護のため同意取得が困難な場合、医療機関等による学術研究目的の利用等について、一定条件の下での本人同意不要化が提案されている。

この方向性は、改正法案において具体化されている。改正法案は、統計等の作成を行う第三者に個人情報を提供する場合等について本人の同意を不要とする規定の導入と並んで、特定生体個人情報に関する利用停止等請求の拡大、および課徴金納付命令制度の新設を柱とする。改正法案は、同意を一律の入口規制として用いる場面を一部整理しつつ、リスクに応じた規律と、課徴金等を含む事後的な実効性確保を組み合わせる改革として位置づけられる。

総務省参照文書は、電気通信分野における利用者同意の取得について、リスクベースの観点から同意取得の在り方を整理した文書である。本文書は、同意取得の形式要件のみを問うのではなく、利用者が情報取り扱いの内容を理解した上で意思表示できるような通知の在り方、同意取得のタイミング、情報提供の粒度等について、詳細な指針を提示している。

• 16. 個人情報保護委員会「個人情報保護法 いわゆる3年ごと見直しの制度改正方針」（2026年1月9日公表）。4つの柱・12項目から構成される。別ウインドウで開く
• 17. 総務省「同意取得の在り方に関する参照文書」（2021年2月25日策定・公表）。別ウインドウで開く

これら三文書を、本稿の二機能分離論の観点から整理すると、次のような非対称性が浮かび上がる。PPC制度改正方針および改正法案は、本人の権利利益への影響の有無という観点から本人関与の在り方を再整理するものであり、本稿の枠組みに即して言えば、同意の法的正当化機能の射程を整理・合理化する方向性に対応している。統計作成等目的の利用や本人の意思に反しない利用について本人同意を不要とする方向性は、同意を適法化根拠として機能させる範囲を、リスクの高い領域に集中させる改革と整理できる。同意を一律の入口規制として用いる場面を一部整理し、リスクに応じた規律と事後的な実効性確保を組み合わせる構図は、第二章で示した「形式的に作動しているが空転している法的正当化機能」を、より実効的な形に再編成する方向性と親和的である。

他方、総務省参照文書は、同意取得の形式要件のみならず、利用者の理解と納得のプロセスにも踏み込む指針を提示しており、本稿の枠組みに即して言えば、信頼コミュニケーション機能の入り口部分に踏み込む内容となっている。通知の在り方、同意取得のタイミング、情報提供の粒度といった論点は、利用者が実質的に理解した上で意思表示するプロセスの設計に関わるものであり、第二章で示した信頼コミュニケーション機能の不全を補完する方向性と親和的である。ただし、同意取得プロセスの設計の精緻化のみによって、利用者の実質的な理解が十全に担保されるわけではない。信頼コミュニケーション機能の全面的な構築のためには、なお制度設計上の追加的な取り組みが求められる。

以上のように、法的正当化機能の合理化はPPC制度改正方針および改正法案において相当程度具体化が進んでいる一方、信頼コミュニケーション機能の制度的担保については、総務省参照文書のような分野別の先行的取り組みや、経済産業省・総務省「DX時代における企業のプライバシーガバナンスガイドブック」等の任意的枠組みが存在するものの、業界横断的な制度設計としてはなお発展途上にある。今後は、こうした既存のガイドライン、認証制度、プライバシーガバナンスの枠組みを、利用者の理解と納得にどのように結びつけるかが課題となる。これが、本稿の二機能分離論から浮かび上がる、両機能に対する制度的取り組みの非対称性である。

以上の評価から、本稿の観点に立てば、以下の二つの方向性が制度設計への示唆として導かれる。

第一に、法的正当化機能の射程縮減は、本稿の二機能分離論の観点からは整合的な方向性として理解できる。同意を一律の適法化根拠として機能させる現行の仕組みは、第二章で示したとおり、利用者の十分な理解や納得を伴わない形で空転する傾向がある。リスクに応じた規律への転換は、同意を意味のある意思表示が成立しうる場面に限定し、それ以外の場面では別の適法化根拠や事後規制によって対応する方向性として、本稿のフレームワークと整合する。

第二に、信頼コミュニケーション機能の強化については、同意取得の在り方の精緻化と並行して、同意以外のルートによる信頼担保の仕組みも検討の余地がある。ここでいう信頼コミュニケーション機能の中核は、あくまで個別サービスにおける通知・同意プロセスを通じた理解と納得の形成である。しかし、利用者が個々の通知文書を十分に読み解くことには限界があるため、組織レベルでの管理体制を外部から示す仕組みも、信頼環境を補完する役割を持ちうる。本消費者調査では、デジタル製品・サービスを選ぶ際に「第三者認証を取得している」という情報が選択に影響すると回答した消費者は、「とても影響する」13.0%と「やや影響する」40.0%を合わせて53.0%に達する¹⁸。他方、「企業IT利活用動向調査2026」では、個人情報など機密情報を扱う業務の委託事業者を選定する際に「第三者機関の認定／認証を取得していること（プライバシーマークやISMSなど）」を重視すると回答した企業は38.3%であり、「データを安全に保管するためのセキュリティシステムが整備されていること」への回答も同率の38.3%であった¹⁹。

これらの調査結果は、調査対象や設問設計が異なるため単純比較はできないものの、消費者側では認証取得情報がサービス選択に影響し、事業者側では委託先選定時の評価項目の一つとして認証取得が重視されていることを示している。少なくとも、同意を補完する信頼担保の仕組み（独立した第三者による検証と定期的な審査に基づく認証制度）が、サービス選択や委託先選定の判断材料として一定の意味を持つことを示唆している。ただし、第三者認証は一般的に組織の管理体制に対する評価であり、個別サービスの具体的な情報取り扱いに対する同意とは保証の粒度が異なる。したがって、第三者認証は、個別サービスの通知・同意プロセスに代替するものではなく、その外側から信頼環境を補完する仕組みとして位置づけるべきである。組織レベルの先行的な信頼担保として機能する一方、個別サービスの情報取り扱いについては、当該サービスの通知・同意プロセスそのものの質が依然として問われる。同意の機能不全を、同意の精緻化のみで解決しようとするのではなく、他の信頼形成の仕組みと組み合わせて全体として信頼環境を整える方向性が検討に値する。

本稿は、同意という行為を二機能の複合として捉え直し、両機能が独立に機能不全を起こしうることを示した上で、機能に応じた制度設計の必要性を論じた。法的正当化機能の合理化は本稿のフレームワークと整合する方向にあり、信頼コミュニケーション機能の構築については、個別サービスにおける通知・同意プロセスの実質化を中核としつつ、第三者認証等の同意以外のルートを含めた多様な道筋が考えられる。

• 18. JIPDEC・前掲注1、「あなたがデジタル製品やサービスを選ぶとき、『第三者認証（例：プライバシーマークやセキュリティ認証）を取得している』という情報は、どの程度選択に影響しますか？」（N＝1,449）。
• 19. JIPDEC「企業IT利活用動向調査2026」（2026年3月公表）。

本稿は、同意という行為を、法的正当化機能と信頼コミュニケーション機能という二つの機能の複合として捉え直すことを試みた。序章で示したとおり、利用者の多数が個人情報の提供に抵抗を抱き、その一部は抵抗を感じながらも利用を継続している。また、企業の情報提供の内容を分かりやすいと評価する利用者は少数にとどまる。本稿は、この現状を、法的正当化機能の形式的作動と、信頼コミュニケーション機能の不十分な作動として、それぞれ区別して記述した。

政策動向としては、法的正当化機能の合理化は具体化が進みつつある一方、信頼コミュニケーション機能の制度的担保は、業界横断的な制度設計としては、なお今後の検討に委ねられている部分が大きい。

この信頼コミュニケーション機能の構築には、複数の方向性が考えられる。本稿では、同意以外のルートによる信頼担保の仕組みの可能性に触れたが、このほかにも、同意取得プロセス自体の実質化を図る方向、技術的な仕組みによって通知と同意を補完する方向、リスクベースで実体的な規律を組み合わせる方向など、多様な道筋がありうる。これらの方向性の詳細は今後の検討課題であるが、少なくとも、いずれか一つの手段だけで十分とは言い難い。複数の仕組みが相互に補完し合いながら、全体として信頼環境を整備する発想が求められる。

同意は、デジタル社会における事業者と利用者の関係を支える装置の一つである。しかし、それは単独で信頼関係を構築する装置ではない。同意の二機能分離という視座は、同意を万能の装置として扱うのではなく、その機能と限界を見極めた上で、他の仕組みと組み合わせて信頼環境を構築する発想の出発点となりうる。本稿が、制度設計の議論に対し一つの視座を提供できれば幸いである。

本内容は、筆者自身の調査分析に基づく個人的見解で、JIPDECの公式見解を述べたものではありません。