【法案担当者として】データ利活用と個人の権利保護を両立する2本の改正法案について
- HIDETO KAWASAKI
- 10 時間前
- 読了時間: 8分
こんにちは、衆議院議員・デジタル大臣政務官の川崎ひでとです。
第221回特別国会に、内閣から2本の重要な法律案が提出されます。
私はデジタル大臣政務官として、「情報通信技術を活用した行政の推進等に関する法律及び情報処理の促進に関する法律の一部を改正する法律案」(いわゆるデジ行法・情促法改正)と個人情報保護委員会が提出する「個人情報の保護に関する法律等の一部を改正する法律案」(個情法等改正)の両方を担当いたします。
そしてこの法案は同時並行で審議されます。
なぜこの2本がセットで議論されるのか。今日はその全体像と、これだけは誤解されたくないというポイントをお伝えします。
────────────────
■ そもそもなぜ今、この2本なのか
────────────────
出発点は、令和7年6月13日に閣議決定された「データ利活用制度の在り方に関する基本方針」です。
デジタル技術の急速な進展により、データの利活用ニーズはかつてないほど高まっています。生成AIの登場で、その流れはさらに加速しました。一方で、個人情報の違法な取扱いによって個人の権利利益が侵害されるリスクも、同じく高まっています。
つまり、「もっとデータを使えるようにしたい」という要請と、「個人をしっかり守りたい」という要請が、両方ともこれまで以上に強くなっている。この一見矛盾する2つを、両輪として同時に整備するのが今回の法案セットです。
ざっくり整理するとこうなります。
✔ デジ行法・情促法改正
→ 国等が持つデータを、民間事業者が事業に活用できる仕組みをつくる「攻めの法律」
✔ 個情法等改正
→ 個人を守るルールを強化しつつ、AI開発などへの円滑なデータ連携も可能にする「守りと攻めを両立する法律」
この2つは別々に動いているのではなく、「データ利活用基本方針」という一つの設計図のもとで、表と裏のように連動しています。
────────────────
■ デジ行法改正のポイント:「国等データ活用事業」認定制度
────────────────
デジ行法改正の最大の柱は、「国等データ活用事業」の認定制度の創設です。
仕組みをかみ砕いて説明します。
① まず内閣総理大臣が、国の行政機関等が保有するデータの活用を通じて国民の利便性向上が図られる事業について、重点分野やデータの安全管理の方法などを定めた「指針」を策定します。
② 民間事業者がその指針に沿った事業計画を作成し、主務大臣に申請します。
③ 主務大臣が、指針への適合性、円滑かつ確実な実施の見込み、データの安全管理基準への適合性を審査して認定します。
④ 認定を受けた事業者は、主務大臣に対して、事業実施に必要な国等の保有データの提供を求めることができます。
⑤ 主務大臣は、不可欠性・他法令違反のおそれがないこと・公益への支障がないことを確認した上で、データを提供します。
⑥ 地方公共団体に対しても、必要な協力を求めることができます。
これまでは、民間事業者が国の保有するデータを事業に使いたいと思っても、明確な根拠規定がなく、個別折衝に頼るしかありませんでした。今回の改正で、ルールに沿って申請すれば、国のデータが事業に活かせる道が開かれます。
加えて、独立行政法人情報処理推進機構(IPA)の業務を拡充し、認定事業者に対する安全管理に関する情報提供などの協力業務を担えるようにします。役員定数も理事を2人以内から3人以内へと増員します。
もう一つの柱が、公的基礎情報データベース(ベース・レジストリ)の共同整備等に関する規定の整備です。国と国以外の行政機関等が共同で整備等を行う対象事業を計画に位置付け、データベース整備事業者への利用料等を国が一括して支払えるよう、保管金に関する規定を設けます。地味に聞こえるかもしれませんが、ベース・レジストリの整備は行政DXの土台中の土台です。
────────────────
■ 個情法改正のポイント:4つの柱でリスクと利活用のバランスを取る
────────────────
並行して個人情報保護委員会が提出する個情法等改正案も、簡潔にご紹介します。改正は大きく4本の柱で構成されています。
① 適正なデータ利活用の推進
統計情報等の作成にのみ利用される場合は、第三者提供と公開要配慮個人情報の取得について本人同意を不要とします。重要なのは、これに「統計作成等であると整理できるAI開発等」が含まれる点です。AI時代に対応した規律です。
② リスクに適切に対応した規律
16歳未満の子どもの個人情報について、同意取得や通知の対象を法定代理人とすることを明文化し、利用停止等請求の要件も緩和します。顔特徴データなどの「特定生体個人情報」については、周知の義務化、オプトアウトでの第三者提供禁止など、より厳しい規律を設けます。
③ 不適正利用等防止
個人情報そのものではないものの、特定個人への働きかけが可能となる「連絡可能個人関連情報」について、不適正利用と不正取得を禁止します。オプトアウト制度では、提供先の身元・利用目的の確認を義務化します。
④ 規律遵守の実効性確保
命令の要件を見直して迅速に是正を求められるようにし、課徴金制度を新設します。重大な違反行為で個人の権利利益が侵害された場合、違反行為で得た財産的利益に相当する額の納付を命じます。罰則の法定刑も引き上げ、加害目的での提供行為や詐欺行為等による不正取得も処罰対象にします。
────────────────
■ 勘違いされそうなポイントを整理します
────────────────
ここまで読んでいただいた上で、誤解が生じやすいと思われる点を、はっきり申し上げます。
✔ 誤解されそうなこと①
「国民の個人情報が、認定された民間事業者に自由に提供されるようになるのではないか」
→ No。デジ行法改正で提供されるのは、あくまで国の行政機関等が保有する「データ」であり、その中に個人情報が含まれる場合は、認定の段階で個人情報保護委員会との協議が必須です(第27条第6項)。法令上の懸念を払拭した上で事業実施を可能とする枠組みであり、個情法の規律をすり抜ける制度ではありません。
✔ 誤解されそうなこと②
「主務大臣が認定すれば、求めれば必ずデータがもらえる」
→ No。主務大臣がデータを提供するには、認定事業の効果的・効率的な実施に不可欠であること、他法令に違反するおそれがないこと、公益や所掌事務の遂行に支障を及ぼすおそれがないこと、これら全てに該当する必要があります(第29条第2項)。提供しない場合は理由とともに通知されます。
✔ 誤解されそうなこと③
「認定を受けた事業者にデータが集まることで、個人がトラッキングされやすくなるのではないか」
→ 認定を受けるためには、データの安全管理の内容が内閣総理大臣の定める基準に適合することが要件です(第27条第4項第3号)。さらに、IPAが安全管理に関する情報提供等の協力業務を担い、重大な事態が発生した場合には原因究明調査も行います(第33条)。委託を受けた法人の役職員には守秘義務が課され、違反には1年以下の拘禁刑または50万円以下の罰金という罰則も設けられています(第39条)。
✔ 誤解されそうなこと④
「個情法改正で同意なしにAI開発にデータを使えるようになるのは、個人保護の後退ではないか」
→ ここは特に丁寧に説明したい点です。同意不要となるのは「統計情報等の作成にのみ利用される場合」に限定されます。統計作成等の内容を継続的に公表する義務、目的外取扱いの禁止、第三者提供の制限など、複数の規律がセットでかかります。むしろ「個別の個人を識別する形では使えない」というルールを明確化することで、AI開発の予見可能性を高めつつ個人を守る、両立の設計です。
✔ 誤解されそうなこと⑤
「課徴金制度ができると、軽微なミスでも巨額の罰を受けるのではないか」
→ ここも事業者が懸念する点だと思います。課徴金の対象は「個人情報を利用して違法な行為又は不当な差別的取扱いを行うことが想定される状況にある第三者に対して個人情報を提供する等の行為」で、かつ金銭等の対価を得た場合です。さらに、防止のための相当の注意を怠った者でない場合や、本人数が1,000人を超えない場合などは命じることができないとされています。経済的誘因のある悪質な違反行為を実効的に抑止するための制度であり、軽微なミスを罰するものではありません。
────────────────
■ 担当政務官として申し上げたいこと
────────────────
この2本の法律案は、単独で評価するのではなく、セットで読んでこそ意味が見えてきます。
デジ行法改正で「国のデータを社会に開いていく」道を作り、個情法改正で「開かれたデータが個人を傷つけないための守り」を強化する。この両輪があって初めて、安心して使えるデータ社会が実現します。
担当政務官として、この法案の趣旨と中身を、誤解なく国民の皆様にお届けすることが私の責務です。本日から始まる国会審議の中で出てくる論点を、引き続き発信し続けてまいります。
────────────────
■まとめ
────────────────
✔ デジ行法改正で「国等データ活用事業」の認定制度を創設し、民間事業者が国の保有するデータを事業に活用できる道を開く
✔ 個情法改正と一体で、「データ利活用の推進」と「個人の権利利益の保護」を両輪で整備するのが今回の法案セット
✔ 認定制度には個人情報保護委員会との協議、安全管理基準、IPAの支援、罰則まで多層的なセーフガードが組み込まれている
コメント