個人情報保護法改正は病歴を「公表だけ」で企業に渡す。データ利活用に賛成の私が、この特例に反対する理由

先に立場を明かしておきます。私は、医療データをAIや研究に使うこと自体には賛成です。創薬も、診断支援も、病気の早期発見も、大量の医療データがなければ前に進みません。「個人情報は何が何でも守れ、利活用は悪だ」とは思っていません。

そのうえで、今回の個人情報保護法の改正案には、はっきり反対します。問題は一点。病歴のような要配慮個人情報まで、本人の同意なしに、しかも「公表しておけばよい」というだけの条件で、企業に第三者提供できるようにしたことです。

利活用に賛成だからこそ、この入口の作り方は危ういと思っています。

何が変わるのか。まず事実から

2026年4月7日、政府は個人情報保護法の改正法律案を閣議決定し、公表しました。施行は公布から2年以内とされ、前回2020年改正のスケジュールにならえば2028年春ごろになる見込みです（個人情報保護委員会、牛島総合法律事務所の解説）。

改正案の目玉のひとつが「統計作成等の特例」です（法案30条の2）。中身を平たく言うと、こうなります。

統計の作成やそれに類する解析を目的とする場合、事業者は、病歴や障害歴などの要配慮個人情報を、本人の同意を得なくても取得したり、第三者に提供したりできるようになります。条件は二つだけ。提供する側と受け取る側の名称や、どんな統計作成をするのかを「公表」すること。そして、第三者との間でその提供が特例に基づくものだと書面で明確に定めておくこと。それだけです（牛島総合法律事務所の改正法案解説）。

つまり、あなたが病院で話したこと、検査でわかったこと、診断名。それらが、あなたの知らないうちに、どこかの企業のサーバーに渡る経路が制度として開く、ということです。

事実として補足すれば、歯止めがゼロというわけではありません。受け取った企業は、公表した目的の統計作成等にしか使えませんし、そこからさらに別の相手へ渡すことも委託や共同利用などに限定されます。安全管理の義務もかかります。ここは正確に書いておきます。

それでも、入口で本人の同意がいらない。ここが核心です。

「公表」と「同意」は、まったく別ものです

私がいちばん引っかかるのは「公表すればよい」という設計です。

公表というのは、要するにウェブサイトのどこかに書いておけば足りる、ということになりがちです。あなたは毎朝、かかった病院や検査会社のプライバシーポリシー更新ページを巡回しているでしょうか。私はしていません。誰もしていないと思います。

だから「公表で足りる」というのは、現実には「本人は気づかない」とほぼ同義です。気づけないものに、反対する機会はありません。ここが、本人同意との決定的な差です。同意は「あなたに聞く」仕組みで、公表は「こちらは言った」という仕組み。向いている方向が逆なんです。

医療の情報は、その人がいちばん他人に知られたくないものを含みます。精神科の通院歴。中絶や流産。感染症。遺伝にかかわる病気。これらが、実名のまま、自分の知らないところで流れていくかもしれない。そう思ったとき、患者が診察室で本当のことを言えなくなるとしたら、それは医療そのものを傷つけます。全国保険医団体連合会（保団連）が6月15日に「廃案」を求める声明を出し、医師と患者の信頼関係が損なわれると訴えたのは、この点です。

反対側の言い分は、こうでしょう

ここで、推進する側のいちばん強い主張を、できるだけ強い形で書きます。

「個別の同意を一件ずつ取っていたら、大規模な医療データセットは永遠に作れない。AIや医療研究は、数の力ではじめて意味が出る。同意を取れた人のデータだけ集めれば、偏ったデータになり、かえって精度の低い、危ういAIができる。完全に匿名化すれば研究の質が落ちる。だから、統計という限られた目的に絞ったうえで、入口の同意をはずすのは合理的だ。日本のデータ利活用は諸外国に遅れている。ここで踏み込まなければ、創薬も診断AIも海外に持っていかれる」。

これは、ちゃんとした主張です。私が利活用に賛成なのも、半分はこの理屈に納得しているからです。同意一辺倒で何も動かないより、社会にとってよいことは確かにある。

おまけに、今回の改正は「利活用に振り切っただけ」でもありません。違反企業に金銭的な負担を課す課徴金制度が初めて導入され、16歳未満の個人情報の規律が強化され、顔の特徴データが「特定生体個人情報」として新たに規制対象になり、罰則も引き上げられています（牛島総合法律事務所の解説）。守る側を固めた部分も、確かにあるのです。

ここまでは、認めます。

それでも反対する。同意を捨てなくても、便益は取れるからです

反論の骨はシンプルです。「同意を取るか、データ利活用を諦めるか」という二択が、そもそも嘘なんです。

第三の道は、もう日本に存在しています。次世代医療基盤法です。

この法律は、病歴のような要配慮医療情報を研究に流すために、本人の同意ではなく、書面による通知とオプトアウトという方式を採っています。患者には事前に「あなたの医療情報がこう使われます。嫌なら止められます」と通知が届く。止めたい人は止められる。さらに、データを受け取れるのは国が認定した事業者に限られ、情報は匿名加工される（個人情報保護委員会の資料ほか）。

つまり、「全員から一件ずつ同意を取る」コストはかけずに、しかし「本人が気づける」「嫌なら抜けられる」「受け手は国のお墨付き」という三つの安全弁を残している。利活用と本人の権利を、両立させているわけです。

この前例があるのに、今回の一般法の特例は、なぜ「公表だけ」で済ませたのか。通知もない。オプトアウトもない。受け手を国が認定する仕組みもない。保団連が求めている、自分の情報がいつ誰に使われたかを知るアクセスログ通知も、使われたデータを消してもらう忘れられる権利も、入っていません。

便益が欲しいだけなら、次世代医療基盤法の作りを一般法にも持ち込めばよかった。通知とオプトアウトを医療情報の最低条件にしても、AI開発に必要なデータ量はほぼ確保できます。抜ける人はそう多くないからです。にもかかわらず、いちばん手間のかかる「本人への通知」を省いた。そこに、利便を優先して本人を後回しにした判断が透けて見えます。

念のため書いておくと、これは私の評価です。立法者には「通知のコストが医療現場に重すぎる」という別の計算があったのかもしれません。そこは断定できません。ただ、重すぎるなら重すぎると示し、次世代医療基盤法との違いを説明する責任が、推進側にはあるはずです。

では、どうすべきか

「議論が必要だ」で終わらせたくないので、具体的に言い切ります。

要配慮個人情報、とりわけ医療情報については、統計作成等の特例から外すか、少なくとも適用の条件に「本人が認識できる通知」と「オプトアウト」を法律本文で義務づけるべきです。公表だけで足りるとした部分は、削るべきだと考えています。受け手についても、次世代医療基盤法と同じように、国の認定や第三者審査をかませる。アクセスログの通知も、せめて医療情報には付ける。

法案は参議院での審議が残っています。普通の暮らしに直結する話なのに、高市政権をめぐる別の話題の陰で、ほとんど注目されていません。自分の病歴が、知らないうちに、公表一枚を根拠に流れていく。その制度をいま作ろうとしている。これは「難しい専門的な改正」ではなく、診察室で本当のことを言えるかどうかという、とても身近な問題です。

利活用は進めましょう。ただし、本人を置き去りにしない作り方で。順番を、間違えないでほしいのです。

出典一覧

• 個人情報保護法等の一部を改正する法律案について（プレスリリース・記者発表資料）（個人情報保護委員会、2026年4月7日）― 改正法律案の閣議決定・公表、統計作成等の特例を含む改正概要
• 個人情報保護法 改正法案の公表（牛島総合法律事務所 ニューズレター、2026年4月9日、執筆：中井杏弁護士）― 統計作成等の特例（法案30条の2）、本人同意不要の条件（公表・書面の定め）、再提供の制限、課徴金制度の導入、16歳未満・顔特徴データ規律強化、罰則強化、施行期日（公布から2年以内）の解説
• 【声明】病歴など要配慮個人情報の本人同意なき利活用に舵を切る 個人情報保護法「改悪法案」の廃案を求めます（全国保険医団体連合会、2026年6月15日）― 医療機関が保有する実名入り病歴等を本人同意なくAI開発事業者等に提供できることへの懸念、本人同意原則・プロファイリング制限・忘れられる権利・アクセスログ通知などの要求
• 個人情報保護法いわゆる３年ごと見直しの改正法案についての意見書（日本弁護士連合会、2026年4月16日）― 統計作成等の特例についてプライバシー保護・差別防止の観点から慎重な検討と十分な漏えい対策を求める意見
• 医療分野の研究開発に資するための匿名加工医療情報に関する法律（次世代医療基盤法）の概要（個人情報保護委員会）― 要配慮医療情報について、本人同意ではなく書面による通知とオプトアウト、国の認定事業者、匿名加工を組み合わせて流通させる制度の仕組み
• e-Gov法令検索（デジタル庁）― 個人情報保護法における要配慮個人情報・第三者提供・本人同意に関する現行条文

---

本記事は2026年4月7日に閣議決定された個人情報保護法改正案と、2026年6月15日の保団連声明を受けて書きました。法案の条文番号・内容は公表時点のもので、今後の審議で修正される可能性があります。制度の解釈・評価は筆者の見解です。