そもそも個人情報保護法とは何か

　まずは現行の個人情報保護法では、個人情報や個人データを取得・利用する場合、どんな手続きが必要なのかを確認してみよう。インターネットのアンケートなどで個人情報を入力する時を思い浮かべてほしい。

　個人情報保護法上のルールは、どのような目的で個人情報を取得・利用するのかを具体的に決めた上で、その目的をホームページなどで公表したり、本人に通知したりするよう求めている。目的の範囲外で個人情報を利用する場合には、あらかじめ「本人の同意」が必要となる。本人の同意は、信条や社会的身分、病歴、犯罪被害情報といった特に配慮が必要な個人情報（要配慮個人情報）を取得する際にも必要だ。

　個人情報を本人以外の第3者に提供する場合も、原則としてあらかじめ本人の同意が必要となる。ただ、警察や裁判所などからの照会や、人の生命・身体・財産の保護に必要で本人の同意取得が困難な場合などは、例外的に本人の同意がなくても可能だ。ただし提供した場合、「いつ・誰の・どんな情報を・誰に」提供したかを記録しておく必要がある（保存期間は3年）。

急ピッチで進む官民データの制度整備

　一方、政府は生成AIの急速な普及を受け、膨大な官民データの整備・連携に向けた制度整備を急ピッチで進めている。

　2023年12月に国が策定したアクションプランでは、（1）品質が確保された活用しやすいデータを整備し、オープンにすること（2）整備したデータを安心して活用・連携できる仕組みを整備すること──を迅速に取り組むべき事項として設定し、これらに必要な体制を構築する方針を表明。それぞれのプランの実現に向けた具体策は以下の通りだ。

（1）データ整備

• 政府情報システムにおけるデータ標準化を加速するため、データの利活用や連携をスムーズに行うための基本ルールである政府相互運用性フレームワークの見直し
• 法人・不動産登記情報、住所・所在地情報について信頼性の高いオープンなデータベース（ベースレジストリ）の整備
• 生成AIの学習ニーズがある行政保有データについて、AIが学習しやすい形に変換する実証実験

（2）仕組みの整備

• 医療や防災のような公共性が高い分野におけるデータ連携基盤の構築を進める
• 海外での先行事例も踏まえ、信頼性を確保したデータ連携に向けたテストを進め、連携に必要なコネクタなどのツールを整備
• 国内外ステークホルダーの定期的な意見交換の場を持ち、データガバナンスやデータ利活用に係る課題を洗い出す

　政府はこうした取り組みを通じて情報のシームレスな利活用の実現を目指しているが、現行の個人情報保護法における「本人同意」の厳格な規制が足かせになっているとの指摘もある。

　デジタル庁が事業者を対象に実施したヒアリング結果の資料によれば、「ベースレジストリの整備などを利用者本人の利便性向上をつなげるためには、現在の個人情報の利用目的規制の硬直的な解釈や運用の見直しが必要」として、個人に最適な公共サービスを提供するため、「本人同意」が必要な規制の柔軟な解釈・運用を求める声があったという。

　そこで、個人データの第3者提供における本人同意を不要とする規定を創設する案が出ている。具体的には、「正当な利益」や「公共の利益」などの概念を導入し、本人同意への過度の依存を解消するというものだ。

　ほかの情報と照合しない限り、特定の個人を識別できないように名前などを削除した情報（仮名加工情報）については現行法上、社内分析の用途しか認められておらず、複数の会社のデータを統合して分析することはできない。ただ、ビッグデータの活用が進み、多数のデータを横断的に分析することが有効なケースもあることから、「仮名加工情報に限って分析する事業者は、複数のデータを統合して解析したり、他社に提供したりすることをできるようにしてはどうか」との声も出ている。

　しかし、「本人同意」なしのデータ利活用は本当に問題ないのだろうか。 【次ページ】「本人同意」なしのデータ利活用は本当に問題ない？