AI開発のためなら個人情報保護を緩めてもいいのか ― KDDI情報漏洩と個人情報保護法改正を考える

6月23日、KDDIが不正アクセスを受け、メール情報が漏洩した可能性があると発表しました。

 

近年は、大企業や官公庁を問わず、サイバー攻撃による情報漏洩が相次いでいます。

 

こうした中、現在国会では、個人情報保護法の改正案（いわゆる3年ごと見直し）が議論されています。

 

今回の改正案には、AI開発や統計情報の作成を促進するため、一定の場合に本人同意を不要とする内容が盛り込まれており、大きな議論となっています。

 

改正案のポイント

現行法では、病歴や犯罪歴、人種、思想・信条、障害、健康診断結果などの「要配慮個人情報」は、差別や人権侵害につながりやすいことから、取得や第三者提供には本人同意が原則必要とされています。

 

政府は当初、「インターネット上などで本人が既に公開している情報」に限って同意を不要とする方向で説明していました。

 

しかし、国会審議が進む中で、病院や民間企業が保有する非公開の病歴や処方薬の履歴なども対象となり得ることが明らかになりました。

 

つまり、一般には決して公開されていないセンシティブな情報についても、AI開発や統計作成という目的であれば、本人の同意なしに利用事業者へ提供される可能性があるということです。

 

なぜ規制緩和が必要なのか

では、なぜここまで踏み込んだ見直しが行われようとしているのでしょうか。

 

背景には、日本のAI開発が海外に比べて出遅れているという危機感があります。

 

人口減少や人手不足が進む中、医療、介護、自動運転、防災、行政サービスなど、あらゆる分野でAIの活用が期待されています。

 

また、医療やヘルスケア、防災分野では、大量のデータを分析することで、新たな治療法の発見や災害対策など、社会全体に大きな利益をもたらす可能性があります。

 

こうした研究では、個人を特定すること自体が目的ではなく、「50代男性の○割が○○という傾向にある」といった統計情報を作成することが目的です。

 

つまり、最終的には個人を識別できないデータへ変換し、社会全体の利益につなげようという考え方です。

 

それでも消えない不安

もっとも、この説明だけで不安が解消されるわけではありません。

 

確かに、最終的に作成される統計情報そのものから個人を特定することはできません。

 

しかし、その統計を作る途中の分析段階では、名前や住所などが紐付いた生の要配慮個人情報が利用事業者へ提供されます。

 

政府は、安全なクラウド環境（データクリーンルームなど）で分析を行うことを想定しています。

 

さらに、改正案では、大量の個人情報を不正利用した企業に対し、売上高に応じた課徴金を科すなど、罰則も大幅に強化される予定です。

 

しかし、どれほど高度な暗号技術や堅牢なシステムを導入しても、「100％情報漏洩しない」仕組みは存在しません。

 

データをクラウドへアップロードする過程や、アクセス権限を持つ内部関係者による不正持ち出しなど、完全には排除できないリスクが残ります。

 

しかも、課徴金は「あくまで漏洩後の処罰」です。

 

一度インターネット上へ流出した病歴や犯罪歴などのセンシティブな情報は、完全に回収することは事実上不可能です。

 

情報漏洩が相次ぐ現実

今回のKDDIの事案もそうですが、近年は企業や行政機関へのサイバー攻撃が後を絶ちません。

 

セキュリティ対策は年々強化されていますが、それでも情報漏洩事故は繰り返されています。

 

また、会計検査院の調査によれば、マイナンバーカードは2025年7月末までに累計約93万枚が廃止されました。

 

背景には、個人情報の紐付け誤りが相次いだ時期に、自主返納する人が少なくなかったことが指摘されています。

 

個人情報の管理に対する国民の不安が決して小さくないことを示す出来事と言えるでしょう。

 

最大の争点は「どこまで許容できるか」

今回の改正は、「利便性のために安全を捨てる」という単純な話ではありません。

 

AI開発や統計作成という公益性の高い目的に限り、厳格な安全管理を前提として、本人同意という手続きを省略することで、社会全体の利益を高めようという制度設計です。

 

一方で、「要配慮個人情報」は、一度漏洩すれば本人に取り返しのつかない被害をもたらす可能性があります。

 

病歴や犯罪歴などが本人の知らないところで利用され、名前などとともに事業者へ渡ることに抵抗を感じる人は少なくないでしょう。

 

実際、国会審議や専門家の間でも、「人権侵害や差別につながるおそれがある」「個人情報保護の大きな後退ではないか」といった厳しい批判や懸念が示されています。

 

まとめ

AI開発を進めることは、日本の将来にとって重要な課題であり、そのためにデータの利活用を促進する必要性も理解できます。

 

一方で、そのために個人情報保護のルールをどこまで緩和してよいのかという問題は、私たち一人ひとりのプライバシーや権利に深く関わる重要なテーマです。

 

今回の改正案には社会全体に大きな影響を及ぼす内容が含まれています。しかし、私の周囲では、この改正案そのものを知らないという人が少なくありません。

 

AI時代にふさわしい個人情報保護のあり方を考えるためには、法改正を急ぐだけでなく、その内容や背景を広く国民に周知し、十分な時間をかけて社会全体で議論することも必要ではないでしょうか。

 

技術の進歩と個人の権利保護をどのように両立させるのか。この問題は、政府や企業だけでなく、私たち一人ひとりが考えるべき課題です。

 

拙速に結論を急ぐのではなく、多くの国民が内容を理解し、自分自身の問題として考える機会が十分に確保されることを期待したいと思います。