2025.04.09
レポート
個人情報を取り巻く近年の動向
渥美坂井法律事務所・外国法共同事業
弁護士 落合 孝文氏
データ政策を取り巻く環境変化
国内外のAI政策の動向
2025年のAI政策の変化
近年のAI政策の動向を世界的に見ると、各国のアプローチが変化をしてきていることがわかります。
フランスのマクロン大統領は、「欧州はAIの開発競争に参加していない」と発言し、米国や中国との技術格差が拡大しつつあることへの危機感を示しました。EUでは、2024年5月に「AI規則」を成立させましたが、現在は規制よりも競争力の強化が重要な課題として認識されるようになっています。
米国では、トランプ大統領の就任直後にバイデン前大統領の政権下で発出された大統領令を即時廃止するなど政策変更が見られ、バンス副大統領がEUのAI規則に対して強く批判を展開している状況です。連邦レベルでのAI規則整備は進まない見込みとなっており、今後も事業者の自主的な取り組みが主導的な役割を果たすものと考えられます。
また、直近のトピックスとしては、韓国では2025年1月にAI基本法が成立した一方、カナダではEUのAI規則に類似した法案を議会に提出しましたが、2025年1月に廃案となっています。
欧州のAI規則の概要
現時点では、EUのAI規則がEU域外の国々や企業に影響を与え、自主的な遵守を促す「ブリュッセル効果」はまだ顕著には現れていません。一方で、大手企業を中心にリスク管理のフレームワークを準備する動きが広がりつつあります。AI規則でのAIのカテゴリー分け※1等は参考になる部分もありますが、EU域外で直ちに同様の枠組みが普及するとは考えにくいのが現状です。そのため、事業者にとってはEU内外でどこまでAI規則に沿った対応を行うかが、今後重要な論点となるでしょう。
現在、EUはデジタル政策の転換期にあります。しかし、規制を強化しすぎることで競争力の低下を招く可能性も指摘されており、特にEU域外の企業や市場に対する規制への対応については、バランスを考慮しながら慎重に検討する必要があります。
日本 内閣府AI制度研究会 「中間取りまとめ」概要
日本における検討状況について、2025年2月4日に内閣府から「中間取りまとめ」※2が公表されました。基本的な考え方としては、事業者の自主性を尊重し、既存の個別法を活用することで包括的な規制は行わない方針が示されています。新たな法令を制定する場合でも、技術中立の立場から事業者の負担軽減を考慮し、必要な範囲で対応するという基本方針が示されており、アプローチは合理的に整理されている印象です。実際には、政府の中で司令塔をおき、基本計画の整備や適正性、透明性の確保や重大インシデント発生時の調査権限などに関する基本法的な法制は作られるものの、個別の行為義務を課す内容にはならないよう、事業者の負担も考慮しながら検討が進められている状況です。
AIに関するルールの考え方
前述の通り、現在、デジタル規制への逆風が吹いている状況で、AIに関するルールについても競争力の強化やイノベーションの促進が強調されてはいますが、リスクの存在自体が変わるものではありません。事業者は、日頃からリスクを観察し、リスク管理やガバナンスの強化に向けた体制づくりをしっかりと行う必要があります。
一方で、AIとの共存を前提としたシステム全体のリスクマネジメントへの関心が高まっております。しかし、AIの活用を認めていくことは意識されており、人間の存続リスクや感情・判断への干渉リスク等人間とAIの対置構図におけるリスクに対する関心は若干低下しています。技術進歩のスピードや複雑さを考慮すると、規制に詳細な手順を盛り込むのは難しいですが、AIサービスを提供する事業者に完全にリスク対応を委ねるのも不十分だと言え、ユーザーにおけるリスク管理・対策も重要になりつつあります。
AIの登場によって事業環境が大きく変化している今、イノベーションの促進と個人の権利利益の両立を実現するためには、社会の変化を踏まえたルールや制度の継続的な評価・改善が必要です。これには、アジャイルガバナンスの推進と、さまざまなステークホルダーとの連携が欠かせません。特に、若年人口が減少する日本においては、競争力の確保と事業継続のために、AIとの共存が重要な課題となります。AIのユーザー企業のリスク管理の側面では、経営層主導の下、AIに関する統括部隊や専門知識を有する人材の確保、育成、ガバナンス体制の構築が求められています。
AIルールに関するガイドライン等は、経済産業省と総務省が取りまとめた「AI事業者ガイドライン」※3、AI導入・運用のガイドラインについては、IPA(独立行政法人情報処理推進機構)が公開している「テキスト生成AIの導入・運用ガイドライン」※4等も参考にしてください。ただし、すべてのAI利活用において、字義通りガイドラインの内容を再現することを目標とすることは適切ではなく、公的な文書や業界が発行する文書なども参考にしてリスクの種類や対策法を整理する中で、自社が使いやすい、リスクベースでのリスク管理手法を確立することが重要です。
データ利活用制度の検討
データ利活用と保護を意識したデータ法制の整備
2024年末頃から、日本政府は個人情報保護法の整備と並行して、データの利活用に関する法や政策の整備に向けた動きを進めています。欧州では、GDPR(一般データ保護規則)に代表されるデータ保護法制が整備されている一方、すでにデータの利活用に関する法整備も進んでいます(図1)。具体的には、IoT等で得られる民間の非個人データの共有促進を目的とした「データ法」や、データの仲介者を規制する枠組みである「データガバナンス法」などが整備されています。さらに、医療分野に特化したデータ利活用に関する法制(EHDS法)や、金融決済分野の法制(PSD3)など、分野別に利活用に向けた制度が進められています。
一方、日本では、例えば金融決済分野については銀行法において銀行APIが推進されています。また、医療分野では、次世代医療基盤法などにより、医療情報の二次利用に関する整備が進んでおり、電気事業法ではスマートメーター情報の利用に関する規定も設けられています。しかし、EUのような全体的なデータ法やデータガバナンス法に相当する包括的な法整備はまだ行われていません。
図1 データ利活用の推進(出典:内閣官房 デジタル行財政改革会議(第9回)資料1P9から引用)
産業データに関する各国の動向
データ利活用に関する議論は、医療、教育、金融、産業の4分野が主な焦点となっており、産業データに関しても各国でデータ政策が著しく進展しています。しかし、インセンティブ設計を考慮せずに厳しい義務を課す制度が安易に構築されると、規制回避のためにデータ生成を躊躇・停滞するなどの弊害が生じる可能性があります。そのため、産業データの流通については丁寧に議論を進める必要があると考えています。なお、産業データという概念はやや多義的ですが、ここでは、業界ごとの規制がある準公共セクター以外を念頭に、非個人データに関する議論を行うことを、産業データに関する議論と捉えているように個人的には考えています。
米国と中国では、個人情報および非個人情報の両面で、経済安全保障の観点からデータの越境規制やデータローカライゼーションを進める取り組みがあります。しかし、データの移転自体は年々増加しており、単に越境移転を制限することが解決策にはならない状況です。したがって、越境データが取り扱われることも前提に、データガバナンスをどのように整備するかが重要な課題となります。この点では、データ移転に関する標準契約の整備事例も増えていますが、CBPR(越境プライバシールールシステム)などの国際的な枠組みが、アカウンタビリティを高めるツールも、越境時のルールを明確にするために重要なツールの一つといえます。
DFFTに関する環境整備
2019年1月、当時の安倍首相が提唱したDFFT(Data Free Flow with Trust:信頼性のある自由なデータ流通)については、G7での議論を経て、OECDで「Institutional Arrangement for Partnership (IAP:パートナーシップのための制度的アレンジメント)」という枠組みが整備されました。これは、国際的なデータ流通を促進するためのフレームワークです。
IAPの初期プロジェクトの一つとして、各国で異なる法規制を一括で把握するのが難しいという課題を踏まえ、日本とASEANの連携を強化し、データの越境移転に関する政策や規制の透明性を向上させることが現在の重要な課題となっています。
2024年6月、イタリアで開催されたG7においてIAPの立ち上げが承認された際、日本はデータセキュリティに関するコメントを行い、その議論が進められました。今後は、制度面や透明性の向上に加え、PETs(プライバシー強化技術)やデータガバナンスの整備といった議論も進展するものと考えられます。
データ利活用に関する検討の視点
データ利活用に関する議論は、エンドユーザー起点で進められています。個人情報に限らず、法人情報などの非個人情報の取り扱いについても検討されています。例えば、銀行法や電気通信事業法では、ユーザーデータの取り扱いに関して、個人情報・法人情報の区別なく、制度整備が行われている事例もあるので、産業データを整備する際にはこのような事例も参考に留意する必要があります。
また、個人データを集積し、社会課題の解決に活用する「社会起点のデータ利活用」についても検討されています。これは、従来から公益性を認めてデータ連携基盤やデータベースを整備してきた分野に限らず、民間企業等による二次利用等も含まれない点に注意が必要です。ほかにも、デジタル行財政改革会議では金融分野や医療分野などさまざまな分野でのデータ利活用に関する検討が進んでいます。
個人情報保護法3年見直しの動向
諸外国における個人情報保護法制の動向
米国
米国では、米国プライバシー権法(APRA)など連邦レベルの個人情報保護法制の整備が進展する可能性は後退していますが、データブローカーが米国在住の個人の個人識別可能な機密データを、北朝鮮、中国、ロシア、イラン、またはこれらの国々に関連する団体に販売やライセンス供与することを違法とする規制「Protecting Americans’ Data from Foreign Adversaries Act of 2024」が可決されています。
一方で、取り締まりについては、連邦取引委員会(FTC)がFTC法に基づき積極的に執行を行っており、データブローカーやダークパターン、こどもの個人情報に関して、解釈の公表や執行が増加しています。また、米国消費者金融保護局(CFPB)は、2024年12月に機密性の高い個人情報や財務情報を販売するデータブローカーを規制する規則を提案しています。
そのほかにも、2025年だけでも多くの州法が発表されています。州レベルでAI規則が制定されたり、個人データについても18歳未満の個人データの販売禁止などを課す州法や消費者にプロファイリング結果に疑問を呈する権利を定める州法ができるなど、ルールが乱立している印象ですが、今後も州ごとの整備が続いていく可能性があります。
欧州
欧州では、GDPRのアップデートよりも、サイバーセキュリティに関する新たな法律や規制の施行が先行して進められています。具体的には、サイバーセキュリティ関連法「NIS2指令」や、金融分野でデジタル運用の持続性を求める「デジタルオペレーションレジリエンス法(DORA)」、AI規制など、個人情報保護と密接に関連し、セキュリティや新技術に対応するための規制です。
特にAI規制については、ハイリスクAIに関する規定が2025年2月に施行され、汎用型AIに関しては同年8月から施行されることが決まっています。
英国
英国では、データ保護法制の整備に向けた動きが進行中ですが、現時点では法改正には至っていません。現在は「Multi-faceted Data (Use and Access) Bill」の可決を目指しており、これが可決されるとデータ主体の権利や自動意思決定の分野などで、英国とEUのデータ保護法に相違が生じる可能性もあります。本法案は、エネルギー、通信、インフラ、医療などの分野でのデータ提供の環境整備に向けた重要な動きとなっているため注目されています。
中国
中国では、個人情報保護法に関連して、データの越境移転、コンプライアンス監視、電子ID認証などの規制整備が進んでいます。特徴的なのは、国レベルだけでなく、地域や都市レベルでの政策や試行の取り組みも進んでいる点です。国家インターネット情報弁公室(CAC)は、越境データに関して欧州との協議・合意を行うなど、データの越境移転を見据えてデータセキュリティのガバナンス強化に積極的に取り組んでいます。
インド
インドでは、2023年に初めての包括的な個人情報保護法である「デジタル個人データ保護法(DPDPA)」が定められました。この法令は域外適用がある一方で、小規模事業者への適用免除はありません。また、個人情報処理に関してGDPRのような契約履行等のカテゴリーがなく、同意がある場合や、正当な理由がある場合のみが個人データ利用が許される枠組みとなっています。現在は、データ受託者に関する義務の整備が進められており、安全管理措置や権利行使への対応、正確性の確保などが議論されています。特に、重要データ受託者に対しては、DPOや独立データ監査人の選任、データ保護影響評価(DPIA)の実施などより高度な内容を求めています。なお、インドの特徴的な点としては、個人の権利として、データ受託者に苦情処理を求める権利や、死亡・心神喪失時の代理人選任権が定められていることが挙げられます。
インドの法制には不明確な点が多い一方で、罰則が厳しいため、日本をはじめとする海外企業からも課題が挙げられています。2025年1月には、DPDPAを補完する「2025年デジタル個人データ保護法規則案」に関する意見公募が開始されており、今後の動向に注目が集まっています。
個人情報保護法 いわゆる3年ごと見直しについて
個人情報保護法の見直しの根拠と検討状況
令和2年改正個人情報保護法附則第10条において、法律施行後3年ごとに状況を検討し、必要に応じてその結果に基づいた所要の措置を講じることが定められています。この規定に基づき、現在3年ごとの見直しに関する検討が進められています(図2)。
図2 これまでの3年見直しの検討状況
2024年6月「中間整理」の概要
2024年6月の「中間整理」では、個人の権利利益を実質的に保護するための方法として、生体データの取り扱いや不適切な利用の禁止、適正な取得、オプトアウトやこどもの個人情報に関する規定などが議論されました。また、実効性のある監視・監督体制の構築に向けて、課徴金や刑事罰のあり方、漏えい等の報告や本人通知の方法など、民間の自主的取り組みの推進が重要な論点となりました。
2024年10月「中間整理」パブコメを踏まえた進行の修正
「中間整理」に対するパブリックコメントの結果、ステークホルダーとの対話方針が強調され、個人情報保護委員会事務局でヒアリングを実施することとなりました。また、課徴金・団体差止請求制度に関しては「個人情報保護法のいわゆる3年ごと見直しに関する検討会」において議論を行うこととなりました。
個人の権利利益の保護に関しては、個人情報保護法の根本に関わる部分であり、次回の見直しだけでなく、長期的に検討が行われる可能性があると考えています。一方、AIなど新しい技術の進展に伴う利活用のニーズに関しては急速に検討が求められますが、長期的な視点と社会のニーズに合わせて検討する点を分けて議論を進めることが重要です。
元々、日本はプライバシーに関して強い問題意識を持っているという特徴を踏まえると、利活用にのみ焦点を当てるのではなく、規制とのバランスを取りながら整備を進めることが必要だと考えています。
個人情報保護法見直しに関する視点(2025年1月)
2025年1月22日、個人情報保護法の課題が再整理されました。制裁強化への偏りが懸念される中、利活用に関するパッケージも提示されました。
同意規制の在り方
生成AIの開発における同意規制については、今回の改正議論では統計作成などの一般的なデータ分析に関する要配慮個人情報取得の同意と統計情報等作成の際の第三者提供の同意を不要とする、既存の同意の枠組みを方向転換する内容が示されています。この点、著作権法では統計的手法のかための環境整備が先行しており、生成AIに関連する場合だけに限りませんが、機械学習などの場合も含め、著作権法第30条の4の例外規定を適用できるよう工夫がなされています。このような著作権法とも対になるような、統計情報等作成に向けた同意原則の見直しが提起されています。また、このような統計情報等の特例は、PETsの活用においても、第三者提供の観点から例外規定が活用できる可能性があります。
一方で、契約履行などに際して同意が不要とする提案がされている点については、GDPRと比較すると、日本の既存の同意規制が硬直的であった可能性も指摘できます。
また、従来から例外規定が認められていた「生命・身体の保護」や「公衆衛生の向上」に関する利用については、今回の改正によりその解釈を広げる方向で議論が進んでいます。ただし、データ連携基盤の整備などを考慮すると、現行の要件だけでは未だ社会基盤を整備するためには制約が大きく、応急的な対応に留まる可能性があると捉えたほうがよいかもしれません。
なお、医療分野における学術研究目的での個人情報利用に関しては、病院などでは歓迎される側面があると考えられます。しかし、現状の改正案では、対象が民間企業全般に広がることは想定されていないように見受けられるため、影響は限定的になる可能性が高いと考えられます。
諸外国と比較すると、日本の制度では同意が不要とされる範囲が限られているケースもありますが、一方で、必ずしも同意取得が唯一の手段であるわけではなく、各国の規制動向を踏まえながら、適切なデータ利活用の仕組みを検討していくことが求められます。
こどもの個人情報
こどもの個人情報に関する論点では、GDPRや既存の個人情報保護法を踏まえ、16歳を基準とする点が注目されています。この年齢基準については引き続き議論の余地がありますが、16歳と定められたことは重要なポイントです。
また、同意取得のプロセス整備や情報収集の方法、画面遷移、業務プロセスへの影響など、具体的な対応が今後ますます重要になります。特に、本人からの情報収集や同意取得の手続きについて、より明確なルールの策定が求められています。
海外では、米国を含む多くの国々で法整備が進み、執行事例も増えています。特に、米国ではGDPRに先んじて法整備もされていたものであり、連邦レベルでこどもの個人情報を保護するための法執行の動きは活発です。
日本においても、学習塾のSNS送信や教育関連のウェアラブル端末使用に対する行政指導など、一定の対応が取られています。しかし、欧州・英国・米国など主要国と比較すると、法整備の面で日本は遅れを取っているのが現状です。
働きかけ可能な個人関連情報
2025年2月19日、個人情報保護委員会は「働きかけが可能な個人関連情報」という新たな概念を提案しました。これは、電話番号、メールアドレス、Cookie IDなど、特定の個人に直接連絡が可能な情報を指します。この情報についても、不正取得や不適切利用、あるいは不当行為を助長する利用(例:破産者マップの事案など)を禁止する規制が検討されています。
さらに、個人関連情報だけでなく、仮名加工情報や匿名加工情報にも同様の規制を適用すべきだとする提案もあり、今後の議論に注目が集まっています。
また、統計情報の利用に関する議論でも、「本人に対して働きかけを行うかどうか」が大きなポイントとなっています。統計情報の活用については、同意を不要とする方向性が強まっていますが、一方で、個人情報そのものでなくとも、働きかけが可能な場合にはより厳格な規制が必要ではないかという意見もあります。今後の制度設計は、データ利活用の促進と個人の権利保護のバランスをどのように取るかが鍵となるでしょう。
顔特徴データ等
顔特徴データに関しても、2月19日に整理が公表されました。顔写真は特徴量が抽出されていない状態では、直ちに個人を識別できないため、現時点では規制の適用対象とはならないと考えられています。
しかし、抽出した顔の特徴量が個人識別符号として利用可能な場合は、一定の周知や対応が求められることになります。
諸外国では、このような生体データに対して同意取得が義務付けられるケースもありますが、一方で周知要件のみを求める国もあります。そのため、日本の個人情報保護委員会の整理も、生体データの利活用について一定の配慮がなされた面もあると考えます。
本内容は、2025年3月5日に開催されたJIPDECセミナー「個人情報を取り巻く近年の動向」の講演内容を取りまとめたものです。
渥美坂井法律事務所・外国法共同事業 弁護士 落合 孝文氏

慶應義塾大学理工学部数理科学科卒業。
同大学院理工学研究科在学中に旧司法試験合格。
森・濱田松本法律事務所(東京、北京オフィス)で約9年勤務し、国際紛争・倒産、知的財産、海外投資等を扱う。
現事務所に参画後、金融、医療、不動産、MaaS、ITなどの業界におけるビジネスへのアドバイス、新たな制度構築などについて活動。政府の審議会、自治体のアドバイザー、業界団体の理事や東京大学法学部非常勤講師など、産官学の様々な役職を務める。
現所属先においてプロトタイプ政策研究所を立ち上げて所長を務め、スマートガバナンス株式会社代表取締役共同創業者。FT Innovative Lawyers Asia-Pacific Awards 2023 Innovation in Adjacent Services (Firm)や、日本のルールメーカー30人(Forbes JAPAN 2022年8月号、2022)等の受賞歴がある。
個人情報保護・データ利活用の分野において、内閣官房デジタル行財政改革会議事務局政策参与(データ利活用制度検討担当)、同会議「データ利活用制度・システム検討会」委員、内閣府規制改革推進会議スタートアップイノベーション促進WG座長、厚生労働省健康・医療・介護情報利活用検討会 医療等情報の二次利用に関するWG委員、総務省特定利用者情報の適正な取扱いに関するWG委員、国土交通省「交通分野におけるデータ連携の高度化に向けた検討会」委員、一般財団法人日本情報経済社会推進協会(JIPDEC)個人情報保護指針改定に伴うマルチステークホルダープロセス委員、一般社団法人全国銀行資金決済ネットワークZEDI 利活用促進WG委員、一般社団法人データ社会推進会議監事、一般社団法人電子決済等代行事業者協会副会長などを歴任。
個人情報保護法3年見直しの関係では、個人情報保護委員会の委託調査である令和5年度「個人情報保護に関する海外動向調査」、令和5年度「個人情報保護に関する海外動向調査」(受託者:渥美坂井法律事務所・外国法共同事業)に従事。
関連レポート
-
2025.04.09
講演レポート「個人情報を取り巻く近年の動向」(渥美坂井法律事務所・外国法共同事業 弁護士 落合 孝文氏)
-
2024.12.16
IT-Report2024 Winter レポート「越境データ流通の新時代に向けて — 個人データを扱う際の「トータルコンプライアンスコスト」—」(横澤 誠)
-
2024.12.16
IT-Report2024 Winter レポート「マイナンバーの利活用と特定個人情報保護評価」(須永 卓也)
-
2024.12.16
IT-Report2024 Winter レポート「個人情報保護法のいわゆる3年ごと見直しについて」(恩田 さくら)
-
2024.12.16
IT-Report2024 Winter レポート「データ越境移転の最新動向 -インドで開催されたワークショップへの参加より-」(奥原 早苗)