日本、個人情報保護法（APPI）改正案を閣議決定——AI学習目的の個人データ利用を条件付きで容認

概要

本記事は公開情報をもとに編集部が再構成したサマリです。一次情報は出典欄をご参照ください。

日本政府は2026年4月7日、個人情報保護法（APPI: Act on the Protection of Personal Information）の改正案を閣議決定した。改正の柱は、AI開発・統計目的での個人データ利用において、仮名化（個人を特定できないよう処理する手法）などの安全措置を講じることを条件に、事前のオプトイン同意なしで組織間での共有を認めるというもの。デジタル大臣は「日本をAIアプリ開発で最も容易な国にする」と発言した。法律は閣議決定段階であり、公布後2年以内の施行が予定されている。

事実のポイント

• 閣議決定日: 2026年4月7日
• 主な変更内容: AI開発・統計目的での個人データ共有にあたり、仮名化等の安全措置を条件にオプトイン同意を不要とする
• 安全措置の条件: データ保護影響評価（DPIA）の文書化・目的制限・アクセスコントロール・再識別化禁止の契約義務など
• 政策目標: デジタル大臣が「世界で最もAIアプリ開発が容易な国」を目指すと表明
• 施行時期: 閣議決定段階。公布後2年以内の施行見込みで、現時点では未成立

用語・背景の補足

個人情報保護法（APPI）: 日本の個人情報の取り扱いを規律する法律。EUのGDPRと類似する目的を持つが、手続きや要件の構造が異なる。GDPRには「正当な利益（legitimate interests）」という第三の根拠があるが、APPIは主に同意と目的制限で個人情報を保護してきた。

仮名化（Pseudonymisation）: 個人が特定できる情報（氏名・住所等）を別の識別子に置き換え、単体では個人を特定できないようにする処理。GDPRでも規定されている保護措置のひとつ。

オプトイン（Opt-in）: 利用者が明示的な同意を示した場合にのみデータを活用できる方式。今回の改正は特定条件下でこの要件を緩和するもの。

注意点

• 改正案は2026年4月7日時点で「閣議決定」段階であり、法律として成立・施行されているわけではない。実際の適用は公布から2年後の見込み
• 緩和措置はあくまで「仮名化等の安全措置が整っている場合」に限られ、無条件ではない
• GDPRとの「十分性認定」（EUとのデータ移転枠組み）への影響は今後の分析・対話が必要
• EUのGDPR等、他地域の規制と組み合わせた国際データガバナンスの観点からの影響は別途検討が必要

編集部見解

（追記予定）