速報 令和8年個人情報保護法改正法案 第2回 AI特例（統計作成等の特例）

AIの学習用データの収集における現行法上の制約とAI特例の概要

1. 現行法上の制約

　AIの開発・機械学習の過程においては、データを収集・加工して、学習用データセットを作成する必要がありますが、学習用データの収集に関して、①クローリングやスクレイピングによりウェブサイト上で公開されている情報を自動的に収集する場合及び②第三者が保有するデータの提供を受ける場合のそれぞれについて、大要、以下の現行法上の規律がハードルとなっています。

(1) ウェブサイト上で公開されている情報を自動的に収集する場合

　スクレイピング等による公開情報の自動収集を行う場合には、収集の対象となる公開情報に個人の病歴や犯罪の経歴等の要配慮個人情報が含まれ得ることから、要配慮個人情報の取得に原則として事前の本人同意を求める規律（法20条2項）に抵触しないかが問題となります。現行法においても、収集する要配慮個人情報が本人や報道機関等から公開されたものである場合には、本人同意の取得は不要とする例外事由が存在しますが（法20条2項7号）、スクレイピング等で自動的に情報収集を行う場合に、事前に情報のソースがどこかを確認することは技術的に困難であるという指摘がなされているように※2、このような例外事由は、上記の問題を完全に解決するものではありません※3。

(2) 第三者が保有するデータの提供を受ける場合

　第三者が保有するデータの提供を受けてAIの学習用データとして利用する場合には、主として、個人データの第三者提供に原則として事前の本人同意を求める規律（法27条1項）が問題となります。取得済みの個人データに関して改めて本人から同意を得ることは現実的ではないため、AI開発の場面では、本人同意が不要となるよう、AIベンダーが、AI開発の顧客となる事業者からの「委託」（法27条5項1号）に基づいて個人データの提供を受けるという整理をしているケースが多く見られます。

　もっとも、「委託」スキームを用いる場合、委託先であるAIベンダーは、委託元である顧客から提供を受けた個人データを自由に取り扱うことができるわけではなく、①提供を受けた個人データを、あくまで委託元である顧客の利用目的の達成に必要な範囲内においてのみ取り扱う必要があり、自己の独自の目的で当該個人データを利用することができない※4、②複数の委託元から提供を受けた個人データを個人ごとに突合することはできない※5、といった制約があります。また、ある顧客との関係で「委託」スキームで受領した個人データを用いて機械学習を行った学習済みのAIモデルを、その後に他の顧客との関係で横展開することについては議論があるところであり、必ずしもクリアな整理がなされているわけではないというのが現状です※6。

2. AI特例の概要

　このような現行法上のハードルがある一方で、AI開発等を含む統計作成等のために複数の事業者が保有するデータを共有し、横断的に解析するニーズが高まっており、また、特定の個人との対応関係が排斥された統計作成等の作成や利用は、これによって個人の権利利益を侵害するおそれが少ないことから※7、今回の改正法案では、大要、以下のようなAI特例にかかる規定の導入が提案されています（第三者提供との関係では、個人情報・個人データの提供に関する特例に加えて、個人関連情報の提供に関する特例も併せて提案されています。）。

　また、AI特例に基づいて要配慮個人情報を取得した事業者、個人情報の提供を受けた事業者及び個人関連情報の提供を受けて個人データとして取得した事業者には、公表の継続や、公表されている内容の統計作成等以外での個人情報等の利用・提供の禁止等の（本人同意の取得に代わる）追加的なルールが課されることになります（改正法案30条の2、31条の3）。

個人情報保護委員会事務局資料6頁から抜粋

AI特例の内容とポイント

　以下では、改正法案におけるAI特例の内容とポイントについて解説します。まず、統計作成等の定義について確認した上で（下記1）、要配慮個人情報の取得（下記2）、個人情報の提供（下記3）、個人関連情報の提供（下記4）の各場面について、それぞれ①本人同意が不要となるための条件と②AI特例を利用する場合の追加的なルールに分けて紹介します。各場面に適用される条件や追加的なルールは大枠としては類似した内容となっていますが、異なる点もあるため正確に理解しておく必要があります。その後、AI特例に係る規律に違反した場合の主なリスクに触れ（下記5）、最後にその他のポイントを述べます（下記6）。

1. 統計作成等の定義

　改正法案では、新たに「統計作成等」という定義が設けられており、具体的には、「統計の作成その他の大量の情報から当該情報を構成する要素に係る情報を抽出して分類、比較その他の解析※8を行うことにより、当該大量の情報の傾向又は性質に係る情報（個人に関する情報であるものを除く。）を作成する行為のうち、個人の権利利益を害するおそれが少ないものとして個人情報保護委員会規則で定めるものをいう」とされています（改正法案2条13項）。

　これまでの個人情報保護委員会の説明によれば、ここでいう「統計作成等」には、AI開発等が含まれるとされていますが、改正法案の定義では、「個人に関する情報であるものを除く」とされているため、作成される成果物は、特定の個人との対応関係が排斥されたものとなっていることが求められています。また、「大量の情報」の「傾向又は性質に係る情報を作成する行為」と定義されており、具体的にどの程度の情報を利用したどのような方法・態様でのAI開発が含まれるのか、学習済みモデルの開発以外にどのような解析行為が含まれうるのかが必ずしも明確ではありません。さらに、「個人の権利利益を害するおそれが少ないものとして個人情報保護委員会規則で定めるものをいう」という限定が付されていることから、「統計作成等」の外延は現時点では明らかになっておらず、「統計作成等」に該当するための具体的な要件については、改正法案の成立後に制定される個人情報保護委員会規則を待つ必要があります。

2. AI特例による要配慮個人情報の取得に係る規律

(1) 事前の本人同意の取得が不要となるための条件

　個人情報取扱事業者は、統計作成等を行う目的（以下「統計作成等目的」といいます。）又は統計作成等を行う第三者に提供する目的で、現に公開されている要配慮個人情報を取り扱う必要がある場合であって、インターネットの利用その他の個人情報保護委員会規則で定める方法により、以下の事由を公表している場合には、現に公開されている要配慮個人情報を本人の同意を得ずに取得することができます（改正法案30条の2第1項）※9。

1. 当該個人情報取扱事業者の氏名又は名称
2. 取得した要配慮個人情報を用いて行おうとする統計作成等の内容、又は改正法案30条の2第5項本文に規定による提供を行う目的で当該要配慮個人情報を取り扱う旨
3. その他個人情報保護委員会規則で定める事項

　公表の方法の詳細及び上記③の公表事項については、個人情報保護委員会規則に委任されています。また、「現に公開されている要配慮個人情報を取り扱う必要がある場合」とはどのような場合か（必要性による限定はどの程度厳格に考えるべきか）や、上記②の公表事項のうち、統計作成等の内容をどのような粒度で記載する必要があるかは、実務上重要なポイントであり、今後ガイドライン等で明確化されることが期待されます。

(2) AI特例による要配慮個人情報の取得を行った場合の追加的ルール

　AI特例による要配慮個人情報の取得を行った場合、本人同意に代わる追加的なルールとして、①公表の継続、②利用範囲の制限、③第三者提供の禁止、④安全管理措置等が課されることになります。

① 公表の継続

　上記2(1)により要配慮個人情報を取得した個人情報取扱事業者（以下「特例要配慮個人情報取得者」といいます。）は、当該要配慮個人情報又はその全部若しくは一部を複製し、若しくは加工した生存する個人に関する情報（以下「統計作成等用要配慮個人情報等」といいます。）を取り扱っている期間、上記2(1)に記載の事項（変更した場合は変更後の当該事項※10）の公表を継続する必要があります（改正法案30条の2第2項）。

　期間を限定しているのは、統計情報の作成や特定の個人との対応関係が排斥されたAIモデルの作成（学習済みパラメータの作成）が完了し、作成元となった要配慮個人情報やそれを加工した個人に関する情報を削除した場合には、公表を継続する義務はなくなるという趣旨であると思われます（なお、この点は、以下のAI特例による個人情報の提供の場合及び個人関連情報の提供の場合についても同様と思われます。）。

② 利用範囲の制限

　統計作成等用要配慮個人情報等を取り扱う個人情報取扱事業者は、法令に基づく場合等※11を除き、上記(1)②で公表されている取得の目的（公表した内容の統計作成等、公表した内容の提供、又はその両方）に必要な範囲を超えて、統計作成等用要配慮個人情報等を取り扱ってはならないとされています（改正法案30条の2第4項）。

　利用制限の対象となる主体としては、AI特例によって一次的に当該情報を取得した特例要配慮個人情報取得者のみならず、統計作成等用要配慮個人情報等を、法27条5項各号（委託や共同利用等）に基づいて第三者から取得する個人情報取扱事業者も、提供元が公表しているAI特例にかかる取得目的の範囲内で、当該情報を利用する必要があることになると思われます※2。

③ 第三者提供の禁止

　統計作成等用要配慮個人情報等を取り扱う個人情報取扱事業者は、それが個人データに当たらない場合についても、以下のいずれかの場合を除き、統計作成等用要配慮個人情報等を第三者に提供することが禁止されています（改正法案30条の2第10項・11項）。下記（イ）は、下記3のAI特例による個人情報の提供に係る規律に従って提供する場合を指しています。

1. 法令等に基づく場合等
2. 改正法案30条の2第1項に基づいて要配慮個人情報を取得し、かつ、同条2項に基づいて、同条5項本文の提供を行う目的で当該要配慮個人情報を取り扱う旨を公表している場合であって、当該要配慮個人情報に係る統計作成等用要配慮個人情報等を同項により提供する場合

　ただし、現行法の第三者提供規制の例外である法27条5項各号（委託や共同利用等）に基づいて統計作成等用要配慮個人情報等を第三者（個人情報取扱事業者又は行政機関の長等に限る）に提供することは許容されています（改正法案30条の2第10項第2文、30条の2第12項）。なお、当該第三者が外国にある第三者である場合には、当該第三者が改正法案30条の2第5項に規定する基準適合体制（以下「基準適合体制」といいます。）※13を整備していることが条件とされています※14。

④ 安全管理措置等

　統計作成等用要配慮個人情報等は、それが個人データに当たらない場合についても、安全管理措置（法23条）、従業者の監督（法24条）、委託先の監督（法25条）の規定が準用されます※15（改正法案30条の2第14項）。なお、統計作成等用要配慮個人情報等が個人データである場合は、法23条～25条の規定がそのまま適用されることになります。

3. AI特例による個人情報の提供に係る規律

(1) 本人同意の取得が不要となるための条件

　個人情報取扱事業者は、第三者（個人情報取扱事業者又は行政機関の長等に限る。また、第三者が外国にある第三者である場合には、基準適合体制を整備している者に限る※16）が個人情報を統計作成等目的で取り扱う必要がある場合（当該個人情報を取り扱う目的の全部が統計作成等目的である場合に限る）であって、以下のいずれにも該当するときには、当該個人情報を本人の同意なく当該第三者に提供することができます（改正法案30条の2第5項）。

1. 提供元及び提供先の双方が、インターネットその他の個人情報保護委員会規則で定める方法により、以下の事項を公表していること
   1. 提供元及び提供先の氏名又は名称
   2. 行おうとする統計作成等の内容
   3. その他個人情報保護委員会規則で定める事項
2. 提供元と提供先との間の書面（電磁的記録を含む）による合意において、当該提供が改正法案30条の2第5項本文の規定に基づくものである旨が明確に定められていること

　ただし、AI特例による二段階以上の第三者提供（A→B、B→C…）は禁止されており、具体的には、提供する個人情報が、他の個人情報取扱事業者又は個人関連情報取扱事業者から改正法案30条の2第5項本文又は31条の3第1項本文の規定により提供されたもの（その全部又は一部を複製し、又は加工したものを含む）である場合には、本人同意を不要とする改正法案30条の2第5項は適用されません（改正法案30条の2第5項本文ただし書）。

　公表の方法の詳細及び上記①（ウ）の公表事項については、個人情報保護委員会規則に委任されています。また、「第三者が・・・個人情報を統計作成等目的で取り扱う必要がある場合」とはどのような場合か（必要性による限定はどの程度厳格に考えるべきか）や、上記①（イ）の公表事項のうち、統計作成等の内容をどのような粒度で記載する必要があるかは、実務上重要なポイントであり、今後ガイドライン等で明確化されることが期待されます。

(2) AI特例による個人情報の提供を受ける場合の追加的ルール

　AI特例による個人情報の提供を受ける場合、本人同意に代わる追加的なルールとして、①公表の継続、②利用範囲の制限、③第三者提供の禁止、④安全管理措置等が課されることになります。

① 公表の継続

　上記3(1)により個人情報の提供を受けた個人情報取扱事業者（以下「特例個人情報受領者」といいます。）は、当該個人情報又はその全部若しくは一部を複製し、若しくは加工した生存する個人に関する情報（以下「提供統計作成等用個人情報等」といいます。）を取り扱っている期間、上記3(1)に記載事項の公表を継続する必要があります（改正法案30条の2第6項）。

　なお、特例個人情報受領者は、提供元の個人情報取扱事業者と提供先の特例個人情報受領者の双方が上記3(1)の公表事項を変更する旨及び当該変更の内容をあらかじめ公表する場合に限り、当該公表事項を変更することができます（改正法案30条の2第7項本文）※17。

　提供元の個人情報取扱事業者については、提供先である特例個人情報受領者と異なり、条文上、提供後も公表を継続する義務は課されていませんので、AI特例に基づく個人情報の提供の時点で公表していれば、必ずしもその後に公表を継続することは求められていないように思われます※18。また、上記のとおり、公表事項に変更がある場合には、提供元においても、原則としてあらかじめ変更後の事項の公表が必要になりますが、変更後の事項について提供元としていつまで公表しておく必要があるかについては、条文上明らかではないため、今後ガイドライン等において明確化されることが期待されます。

② 利用範囲の制限

　提供統計作成等用個人情報等を取り扱う個人情報取扱事業者は、法令に基づく場合等を除き、特例個人情報受領者（行政機関の長等に対する提供が行われた場合は、当該行政機関の長等）により公表されている内容の統計作成等を行うために必要な範囲を超えて、提供統計作成等用個人情報等を取り扱ってはならないとされています（改正法案30条の2第9項）。

③ 第三者提供の禁止

　提供統計作成等用個人情報等を取り扱う個人情報取扱事業者は、それが個人データに当たらない場合についても、法令等に基づく場合等を除き、提供統計作成等用個人情報等を第三者に提供することが禁止されています（改正法案30条の2第10項・11項）。

　ただし、現行法の第三者提供規制の例外である法27条5項各号（委託や共同利用等）に基づいて提供統計作成等用個人情報等を第三者（個人情報取扱事業者又は行政機関の長等に限る）に提供することは許容されています（改正法案30条の2第10項第2文、30条の2第12項）。なお、当該第三者が外国にある第三者である場合には、基準適合体制を整備していることが条件とされています※19。

④ 安全管理措置等

　提供統計作成等用個人情報等が個人データではない場合についても、安全管理措置（法23条）、従業者の監督（法24条）、委託先の監督（法25条）の規定が準用されます※20（改正法案30条の2第14項）。なお、提供統計作成等用個人情報等が個人データである場合は、法23条～25条の規定がそのまま適用されることになります。

4. AI特例による個人関連情報の提供に係る規律

(1) 本人同意の取得の確認が不要となるための条件

　個人関連情報取扱事業者は、第三者（個人情報取扱事業者又は行政機関の長等に限る。また、第三者が外国にある第三者である場合には、基準適合体制を整備している者に限る※21）が個人情報を統計作成等目的で取り扱う必要がある場合（当該個人関連情報を取り扱う目的の全部が統計作成等目的である場合に限る）であって、以下のいずれにも該当する場合には、当該個人関連情報を法30条1項1号の本人の同意が得られていることの確認をせずに当該第三者に提供することができます（改正法案31条の3第1項）。

1. 提供元及び提供先の双方が、インターネットその他の個人情報保護委員会規則で定める方法により、以下の事項を公表していること
   1. 提供元及び提供先の氏名又は名称
   2. 行おうとする統計作成等の内容
   3. その他個人情報保護委員会規則で定める事項
2. 提供元と提供先との間の書面（電磁的記録を含む）による合意において、当該提供が改正法案31条の3第1項本文の規定に基づくものである旨が明確に定められていること

　ただし、AI特例による二段階以上の第三者提供（A→B、B→C…）は禁止されており、具体的には、提供する個人関連情報が、他の個人情報取扱事業者又は個人関連情報取扱事業者から改正法案30条の2第5項本文又は31条の3第1項本文の規定により提供されたもの（その全部又は一部を複製し、又は加工したものを含む）である場合には、本人同意が得られていることの確認を不要とする改正法案31条の3第1項は適用されません（改正法案31条の3第1項本文ただし書）。

　公表の方法の詳細及び上記①（ウ）の公表事項については、個人情報保護委員会規則に委任されています。また、「第三者が・・・個人関連情報を統計作成等目的で取り扱う必要がある場合」とはどのような場合か（必要性による限定はどの程度厳格に考えるべきか）や、上記①（イ）の公表事項のうち、統計作成等の内容をどのような粒度で記載する必要があるかは、実務上重要なポイントであり、今後ガイドライン等で明確化がされることが期待されます。

(2) AI特例による個人関連情報の提供を受けて個人データとして取得する場合の追加的ルール

　AI特例による個人関連情報の提供を受けて個人データとして取得する場合、本人同意に代わる追加的なルールとして、①公表の継続、②利用範囲の制限、③第三者提供の禁止、④安全管理措置等が課されることになります。

① 公表の継続

　上記4(1)により個人関連情報の提供を受け個人データとして取得した個人情報取扱事業者（以下「特例個人関連情報受領者」といいます。）は、当該個人関連情報又はその全部若しくは一部を複製し、若しくは加工した生存する個人に関する情報（以下「提供統計作成等用個人データ等」といいます。）を取り扱っている期間、上記4(1)の事項の公表を継続する必要があります（改正法案31条の3第2項）。

　また、特例個人関連情報受領者は、提供元の個人関連情報取扱事業者と提供先の特例個人関連情報受領者の双方が上記4(1)の公表事項を変更する旨及び当該変更の内容をあらかじめ公表する場合に限り、当該公表事項を変更することができるとされています（改正法案31条の3第3項本文）※22。

　提供元の個人関連情報取扱事業者については、提供先である特例個人関連情報受領者と異なり、条文上、提供後も公表を継続する義務は課されていませんので、AI特例に基づく個人関連情報の提供の時点で公表していれば、必ずしもその後に公表を継続することは求められていないように思われます※23。また、上記のとおり、公表事項に変更がある場合には、提供元においても、原則としてあらかじめ変更後の事項の公表が必要になりますが、変更後の事項について提供元としていつまで公表しておく必要があるかについては、条文上明らかではないため、今後ガイドライン等において明確化されることが期待されます。

② 利用範囲の制限

　提供統計作成等用個人データ等を取り扱う個人情報取扱事業者は、法令に基づく場合等を除き、特例個人関連情報受領者（行政機関の長等に対する提供の場合は、当該行政機関の長等）により公表されている内容の統計作成等を行うために必要な範囲を超えて、提供統計作成等用個人データ等を取り扱ってはならないとされています（改正法案31条の3第5項）。

③ 第三者提供の禁止

　提供統計作成等用個人データ等を取り扱う個人情報取扱事業者は、それが個人データに当たらない場合についても、法令等に基づく場合等を除き、提供統計作成等用個人データ等を第三者に提供することが禁止されています（改正法案31条の3第6項・7項）。

　ただし、現行法の第三者提供規制の例外である法27条5項各号（委託や共同利用等）に基づいて提供統計作成等用個人データ等を第三者（個人情報取扱事業者又は行政機関の長等に限る）に対して提供することは許容されています（改正法案31条の3第6項第2文、31条の3第8項）。なお、当該第三者が外国にある第三者である場合には、基準適合体制を整備していることが条件とされています※24。

④ 安全管理措置等

　提供統計作成等用個人データ等が個人データではない場合についても、安全管理措置（法23条）、従業者の監督（法24条）、委託先の監督（法25条）の規定が準用されます※25（改正法案31条の3第10項）。なお、提供統計作成等用個人データ等が個人データである場合は、法23条～25条の規定がそのまま適用されることになります。

5. AI特例に係る規律の違反時の主なリスク

　AI特例に係る規律に違反した場合、個人情報保護委員会による指導、勧告、是正命令等に加えて、本人からの利用停止若しくは消去の請求又は第三者提供の停止の請求を受ける可能性があるほか、悪質なケースでは、改正法案において導入が提案されている課徴金の対象となり得る点には注意が必要です。

(1) 本人請求

　AI特例に係る規律は、①本人同意を不要とするための条件と②AI特例を利用した場合に課される追加的なルールに大別できるところ、まず、①本人同意を不要とするための条件を満たしていない場合には、法20条2項に違反する要配慮個人情報の取得、法27条1項に違反する個人データの第三者提供※26、又は法31条1項に違反する個人関連情報の第三者提供となる可能性があります。

　そして、法20条2項に違反する要配慮個人情報の取得があった場合には、要配慮個人情報の取得を行っている個人情報取扱事業者に対して、本人からの利用停止又は消去の請求がなされる可能性があり（法35条1項）、また、法27条1項に違反する個人データの第三者提供がなされている場合には、個人データを提供する個人情報取扱事業者に対して、本人からの第三者提供の停止請求がなされる可能性があります（法35条3項）。さらに、法31条1項に違反する個人関連情報の第三者提供が行われた場合において、提供先の個人情報取扱事業者が当該個人関連情報を個人データとして取得した場合には、法20条1項に違反する不正取得であるとして、当該提供先に対して、本人からの利用停止又は消去の請求がなされる可能性があります（法35条1項）。

　また、②AI特例を利用した場合に課される追加的なルールとの関係では、統計作成等用要配慮個人情報等、提供統計作成等用個人情報等、及び提供統計作成等用個人データ等の利用範囲の制限（改正法案30条の2第4項、9項、及び31条の3第5項）に違反した取扱いがあった場合には、本人からの利用停止又は消去の請求がなされる可能性があります（改正法案35条1項）。また、統計作成等用要配慮個人情報等、提供統計作成等用個人情報等、及び提供統計作成等用個人データ等の第三者提供の禁止（改正法案30条の2第10項及び31条の3第6項）の違反がある場合には、本人からの第三者提供の停止請求がなされる可能性があります（改正法案35条3項）。

　なお、本人からの請求は、いずれも保有個人データが対象となりますので、例えば、作成された統計情報や特定の個人との対応関係が排斥されたAIモデル（学習済みパラメータ）そのものについては、本人からの請求の対象にはならないと考えられます。

(2) 課徴金

　AI特例に係る追加的ルールのうち、統計作成等用要配慮個人情報等、提供統計作成等用個人情報等、及び提供統計作成等用個人データ等の利用範囲の制限（改正法案30条の2第4項、9項、及び31条の3第5項）への違反、及び統計作成等用要配慮個人情報等、提供統計作成等用個人情報等、及び提供統計作成等用個人データ等の第三者提供の禁止（改正法案30条の2第10項・11項及び31条の3第6項・7項）の違反は、それぞれ、改正法案において導入が提案されている課徴金の対象行為とされています（改正法案148条の3第1項4号・5号）。

　また、個人情報の提供について改正法案30条の2第5項の要件を満たしていない場合は、法27条1項に違反する個人データの第三者提供となり得ますが、法27条1項に違反する個人データの第三者提供も課徴金の対象行為とされています（改正法案148条の3第1項3号）。

　課徴金が実際に賦課されるのは、課徴金対象行為に該当することに加えて、対価要件を満たし、かつ、除外事由に該当しない場合ではあるものの（改正法案148条の3第1項・2項）、事業者の皆様におかれては、そもそも課徴金対象行為に該当する事態が生じないように、AI特例に係る規律を十分に理解し、適切に遵守するための管理体制を整備することが重要です。

6. その他のポイント

(1) 確認・記録義務

　改正法案30条の2第5項本文の規定による個人データの第三者提供については、提供元の記録義務（法29条1項・2項）及び提供先の確認・記録義務（法30条1項・3項・4項）が課される点には留意が必要です。

　また、改正法案30条の2第5項本文の規定により統計作成等用要配慮個人情報等（個人関連情報であるもの）を提供した場合で、かつ、提供先の特例個人情報受領者が当該情報を個人データとして取得することが想定される場合には、法29条1項本文・2項が準用されるため、提供元である個人情報取扱事業者に対して、記録義務が課されます（改正法案30条の2第14項）。さらに、改正法案31条の3第1項に基づいて個人関連情報取扱事業者が個人関連情報を特例個人関連情報受領者に提供する場合には、法29条1項本文・2項が準用されるため、提供元である個人関連情報取扱事業者に対して、記録義務が課されます（改正法案31条の3第10項）。なお、これらの場合の提供先については、当該個人関連情報を個人データとして取得するため、個人データの提供を受ける際の確認・記録義務（法30条1項・3項・4項）が適用されます。

　上記の記録義務がかかる個人情報・個人関連情報の提供の場面においては、本人同意を不要とするための条件として、提供元と提供先の書面による合意が求められているところ（改正法案30条の2第5項2号、改正法案31条の3第1項2号）、法29条1項及び30条3項において作成が義務付けられている記録については、必要事項が記載されている契約書による代替は可能であるため（個人情報保護委員会規則19条3項、23条3項）、上記の書面合意をもって記録に代替できるよう、合意書面への記載事項を検討することも一案かと思われます。

(2) 苦情処理体制

　現行法において、個人情報取扱事業者は、個人情報の取扱いに関する苦情の適切かつ迅速な処理に努めることとされていますが（法40条1項）、改正法案においては、個人情報に加えて、統計作成用等要配慮個人情報等、提供統計作成等個人情報等、及び提供統計作成等用個人データ等の取扱いに関する苦情についても、適切かつ迅速な処理に努めることが求められています（改正法案40条1項）。

(3) 行政機関等とAI特例

　行政機関との関係では、AI特例に基づく個人情報等の提供を受けた行政機関の長等に対して、個人情報取扱事業者に適用されるものと同様の追加的なルールが課されています※27。

おわりに ― 今後の展望やAIガバナンスとの関係等

　改正法案におけるAI特例は、現行法におけるAI学習用データの収集における制約となっていた、要配慮個人情報の取得や個人情報・個人関連情報の第三者への提供の場面において求められる本人同意を不要とするものであり、AI開発や研究等の促進に向けた期待が高まっています。他方で、AI特例においては、本人同意を不要とすることと引き換えに、統計作成等を行っていることやその内容等を含む一定の事項の公表その他の追加的なルールの遵守が求められているほか、個人データ・個人関連情報の提供の場面では確認・記録義務が課される等、AI特例を活用する事業者には一定の追加的な対応が求められています。改正法案においては、統計作成等の定義の外延や追加の公表事項の内容を含め、個人情報保護委員会規則への委任がなされている事項も複数あることから、AI開発等においてAI特例を利用できる範囲※28やAI特例を利用する際に事業者に求められる具体的な負担については、今後の法案審議や法案成立後の個人情報保護委員会規則の立案、ガイドライン・Q&Aの策定等のプロセスを注視する必要があります。

　なお、AI特例において求められる公表事項との関係では、AIガバナンスにおける透明性やプライバシー保護の議論との関係にも留意する必要があります。個人情報保護法の要求は、あくまで個人の権利利益の保護等の観点からの全事業者共通のミニマムスタンダードですので、AIガバナンスの観点からは、より透明性やプライバシー保護を高めることが望ましい場合も考えられます。特に大規模なデータベースを構築する場合には、関与するステークホルダーも増加することが想定されるため、透明性確保やプライバシー保護の要請は一層高まるものと考えられます。

　また、AI特例の活用によって、事業者は、従前よりも大量かつリッチな個人データを収集することが可能となり得ます。このような大規模なデータベースを取り扱う際には、例えば、個人データの漏えいが生じた場合には本人に対する甚大な権利侵害につながるおそれがあります。したがって、今後は、プライバシー影響評価（PIA）の実施やサイバーセキュリティ体制の整備を含む堅牢なデータガバナンス体制の構築がより一層重要となると思われます。