いまきたみらい
2026年6月24日·参議院·委員会·デジタル社会の形成及び人工知能の活用等に関する特別委員会

【全文】参議院 デジタル社会の形成及び人工知能の活用等に関する特別委員会 質疑/党首・安野貴博(2026年6月24日の要約

会話形式(原文ベース)

  • 安野貴博
    チームみらいの安野貴博でございます。 今回のでは、非公開の病歴やといった最も慎重に扱われるべきがAI開発事業者に提供できるようになります。これは、データの利活用が進み、日本の成長に資する可能性がある一方で、制度としては極めて重い変更でございます。 データの利活用は、データの先にいる個人の信頼の上にしか成り立ちません。そして、信頼は個人情報が本当に守られているかどうかという事実の積み重ねからしか生まれません。守りが甘いまま利活用だけを急げば、ひとたびの重大な漏えいや事故で信頼が失われ、結局は利活用そのものが止まってしまうおそれもございます。 そのため、チームみらいとして、個人情報保護の実効性が確保されるよう、政府に責任ある制度運用と実務対応を求めてまいりたいと思います。本日は、その具体的な方針についてこの場でしっかりと確認をしてまいります。 また、本日は、に関する質問だけではなく、新設される第180条についてもお伺いいたします。本規定の解釈を明らかにして、正当な報道やの萎縮を招く規定になっていないかどうかを見極めてまいりたいと考えます。 まず、における個人情報保護を担保する仕組みについてです。 本特例では、を含むデータが本人の同意なくAI開発事業者に提供されます。だからこそ、提供されたデータが特例の範囲でのみ使われ、保護が尽くされているか、この確認が制度の安全性を支える一つの要になると考えます。 そのために重要となるのが、データの受渡し段階での相互確認を仕組み化することだと思います。本当に必要なデータだけをやり取りしているか、提供後の個人情報の保護体制は万全か、これらをデータの提供元と提供先が文書で明確にして、互いに確認し合うことが透明性を高めると考えます。 たとえば、EUのでは、)の下、データの管理者だけでなく処理者も含めて処理活動を記録することを義務付けております。また、契約時には、データの種類や目的、の条件などを明示することを求めております。 日本でもEUと同様に、データ提供元と提供先が相互確認すべき事項を詳細に規定し、契約時に記録する旨を奨励すべきではないでしょうか。具体的な事項としては、提供するデータ項目と必要な理由だけではなく、データ提供後のの有無や個人との対応関係を絶つ手法、そして外部攻撃への防御体制を含むまで踏み込むべきと考えます。 そこで、まずにお伺いいたします。これらの事項を提供元、提供先で共有し、双方が記録すべきである、この点をガイドラインの中で明示いただけますでしょうか。
  • 佐脇紀代志 政府参考人
    お答え申し上げます。におきましては、上、提供先がAI開発等の統計作成等目的で取り扱う必要がある場合ということに限定していることを要件としてございます。また、本法案におきましては、統計作成等につきまして、委員会規則において、安全管理のために必要かつ適切な措置を講じた上で行われるものに限定することを想定してございます。 そのため、適法にデータ提供を実施する観点からは、提供する時点において、提供先がどのようなを講じた上でどのようなAIモデルを開発するのか、そのためにどのような個人情報が必要となるのかなどについて提供先が十分提供元に説明するとともに、提供元においては、これを適切な方法で確認した上で、適切な体制を有する提供先に対して必要な個人情報のみを提供できるということが重要でございます。たとえば医療情報につきましても、等の場面においても原則として氏名などは不要であり、これを削除して提供することが通例になっていることを踏まえますと、統計作成等の場合も必要とされる情報のみ提供するような十分な確認が行われる必要があると思います。 そういう適法なデータ提供が行われることを確保する観点からは、提供先と提供元の合意等に基づきまして、今述べたような説明内容、その際には、委員がおっしゃったあるいはの有無ということも含まれようかと思いますけれども、双方が記録した上で事後的に確認できるようにしておくということは重要であり、望ましい仕組みじゃないかなというふうに考えてございますので、法案をお認めいただいた場合には、こういった観点も含めてガイドラインなどで具体化していくことを検討したいと思います。
  • 安野貴博
    いただき、ありがとうございます。前回の委員会から申し上げておりますが、ガイドラインを読めば事業者が何をすればよいか分かる状態になっているということが実質的な個人情報の保護につながると考えておりますので、ぜひ、提供元と提供先の双方が保護に責任を持つ環境を整備いただくようお願いしたいと思います。 続いて、AIモデルに対する外部攻撃への備えについて伺います。 はAI開発を対象に含んでおります。しかし、AIモデルをめぐっては、急速な進化に伴い、新たな攻撃手法が次々と生まれております。たとえば、前回の委員会で指摘させていただいたメンバーシップ推論もありますし、AIの出力から逆算して学習データの中身を復元するというものも最近は出てきております。 このように、個人データをAIの学習に使うことにはこの技術に特有の、固有のリスクが伴います。だからこそ、最新の攻撃手法と企業が取るべき防御体制を具体的に、かつ継続的に政府が示す、そして事業者が逐次対応するサイクルを構築することが個人情報保護に直結すると考えます。 そこで、松本大臣にお伺いしたいです。 AIモデルに対する外部攻撃の類型と求められる防御体制の具体例をガイドラインやQ&Aで示していただけますでしょうか。あわせて、攻撃手法は日々進化いたしますので、公開資料の更新頻度など、最新の状況を反映し続けるための取り組み方針をお聞かせください。
  • 松本尚 デジタル大臣
    委員会規則において、復元等のリスクに応じて技術的な見地から合理的、効果的なを確実に実装することが重要でございます。それがある意味、この特例の肝でもあるかと思いますので、今お話のあった想定されるAIモデルに対する攻撃手法等を踏まえたリスク、それに対して講じるべき措置等の内容や技術的な手法についてはガイドライン等でしっかりと例示をしてまいりたいと思います。 また、特にこの技術動向の変化が非常に速いので、適時適切に必要に応じた見直しをしてまいりたいというふうに思って、確実に情報発信を進めるということはお約束します。
  • 安野貴博
    心強いご、ありがとうございます。守りの技術を国が率先して示すということは安全性の向上につながると思いますので、ぜひ継続的なと情報発信をお願いいたします。 次に、で新たに設けられる第180条の罰則規定について、にお伺いします。 この規定は、個人情報を取得した時点での罰則を名宛て人を定めずに新たに設けるものです。を読む限り、対象となる取得行為がかなり広く解釈できるようにも見えます。 そこで、まずは確認をさせてください。この罰則で政府として想定している主な対象事例とは具体的にどのようなものでしょうか。
  • 佐脇紀代志 政府参考人
    お答え申し上げます。 たとえば、行政機関の調査などをかたって個人情報をだまし取る、いわゆるの事例でございますとか、あと、の手口により個人情報をだまし取る、そういった事例が想定されようかと思います。
  • 安野貴博
    ありがとうございます。続けて、本罰則のについて伺います。この罰則は、自己または第三者の不正な利益を図る目的、または本人やデータ保有者などに損害を加える目的というを定めております。これと人を欺くなどのが掛け合わせることで対象となる行為を限定していると理解しております。 私は、このの解釈が決定的に重要と考えます。というのも、、文字どおり読むと、や報道取材といった正当な活動までもが対象に入っているように見えかねないからです。 たとえば、会社の不正を疑う従業員が、目的を伏せて同僚から上司の個人情報を聞き取ったとします。このをしたものの、違法性が司法の場で認められなかった、こういった場合あると思いますが、この場合、従業員は、目的を伏せる形で人を欺き、かつ会社の不利益を図っていると判断され、第180条の要件を満たしているように見えます。 あるいは、報道記者が、悪質な商法を取材するために消費者を装って業者に接触して、担当者の氏名であるとか手口を聞き出すということも、公益目的の取材として行われることがあると承知しております。こうした公益目的の取材であっても、文言の上では、人を欺いて個人情報を取得し、相手方に損害を加えたということに当たり、今回、スコープ、対象に入りかねないと考えます。 当該事案は、公益を目的とした正当な活動であるにもかかわらず、を文字どおりに読むと罰則の射程に入りかねないものです。これでは報道やの萎縮を招き得るおそれがあるのではないでしょうか。 そこで、に伺います。 の範囲はどのように解釈されるのか、できるだけ具体的にお示しください。そして、正当な取材、報道や公益目的のは、明確にこの罰則の対象外であると解釈してよろしいでしょうか。
  • 佐脇紀代志 政府参考人
    お答え申し上げます。を構成しておりますそれぞれの文言につきましては、日本の他の法制との比較におきまして適切な文言を選び、また、その他の法制などを含めました運用実績を踏まえながら解釈されていくということだと思います。 ご指摘にありましたたとえば不正の利益を得る目的と申しますのは、公序良俗または信義則に反する形で不当な利益を図る目的のことを想定してございまして、たとえば、不正に取得した氏名、住所などをに販売して利益を得ようとする場合でございますとか、不正に取得したそういった情報を用いて当該本人に対し詐欺や恐喝を行おうとするような場合が含まれると思いますし、また、損害を加える目的といいますのも、有形無形の不当な損害を加える目的のことでございますので、たとえば、本人の名誉を毀損し信用を失墜させるために、不正に取得した個人情報をインターネットの掲示板に書き込もうとする場合が該当するというふうに私どもは考えてございます。 委員がご指摘されましたや取材の活動、そういったものは正当な範囲で行われるわけでございますので、その目的は公益を図る目的と認められますから、今述べたのいずれにも該当せず、本罪の対象とはならないと考えております。
  • 安野貴博
    ありがとうございます。この国会の場において、正当な報道活動やは第180条の対象ではないとご明言いただいたことは非常に有益だと考えます。 続きまして、改正とほかの関連法の整合性についてお伺いします。 のような先進領域では、学術研究との両方を手掛けている事業者が一般的です。そのため、ヘルスケアの場合、だけではなく、医療研究におけるルールを定めたの両方を遵守しているケースがあります。つまり、の側でを取得する際のが引き続き求められると、当該事業者はの恩恵を受けることができない可能性もあります。 実際にヘルスケアにいくつかヒアリングをしたのですが、個情法の改正案出たものの、の改正方針が出ていないため、この先どういうふうに対応していいかよく分からないと、考えあぐねているというような声をいただいております。 そこで、松本大臣に伺います。 このは、にも影響を与えるものだと考えます。事業者の研究活動を促進するため、改正後に速やかにの改定も必要だと考えます。関係省庁との連携の在り方について、政府の方針をお聞かせください。
  • 松本尚 デジタル大臣
    本法案が成立した場合に、関係省庁、これは、厚労省、経産省などでございますけれども、本法案の内容を踏まえた、の改正について必要な検討が行われるというふうに承知をしております。 これについては、としても、関係省庁と適切に連携をすることで必要な助言等々を行うことを想定しておりまして、これについては、何というか、利用者側が迷わないようにきっちりと対応していかなければいけないと思っております。
  • 安野貴博
    ありがとうございます。関連法との関係の整理、ぜひ連携を進めていただければと思います。 その上で、を所管する厚生労働省に伺います。事業者の混乱を招かないよう、改正案が成立した場合にはの改定の検討を速やかに行っていただけますでしょうか。
  • 佐々木昌弘 政府参考人
    お答えいたします。本法案を認めていただいた際には、がその後策定するガイドライン等の内容も踏まえ、ご指摘のについては必要な見直しを行う必要があると、速やかにできるだけ対応するようにと考えております。
  • 安野貴博
    ありがとうございます。ぜひ、の改正案との整合性が取られたような形で改定が行われますよう、お願い申し上げます。 最後に、本を実現する担い手たるの増員計画について伺います。 今回の特例は、データを使う事業者の側に、個人との対応関係を排斥するためなどの措置を求めております。さらに、先ほど申し上げたようなAIモデルへの攻撃を防ぐためのなども併せて必要となります。これら制度の安全性を支える要でございますが、同時に専門的な技術と運用を要します。ところが、その担い手であるところのが日本では深刻に不足をしております。Aの調査でも、データを扱うエンジニア人材について約7割の企業が不足を訴えております。 過去、政府は、という国家資格の創設や専用の育成拠点の整備を通じて、不足していたセキュリティ人材の裾野を広げて、その登録者数を着実に増やしてきたということがございます。セキュリティエンジニアと同じように、こうしたについても増員を目的とした政策的手当てを行う必要があると考えます。 そこで経産省に伺います。 まず、現在の取り組み状況をお示しいただき、そして、AIの進展に伴い今後データの利活用が重要性が増していきますので、さらなる増員に向けた方針をお聞かせください。
  • 奥家敏和 政府参考人
    お答え申し上げます。まず、委員ご指摘のとおり、AIの利活用を進めていくためにはデータマネジメントのスキルを有する人材が必要であります。このデータマネジメントに求められるナレッジには、個人情報を適切に取り扱うための知識も必須であると考えています。 こうした状況を踏まえまして、デジタル技術に関する知識及び技能を客観的に評価する国家試験である、こちらにおいてを新たに設けて、2027年度中に開始することを目指しております。出題内容には個人情報保護に関する内容も含むことを想定しているところであります。 また、人を育てていくということでございますけれども、A、こちらが運営しておりますデジタルに関する教育コンテンツ、講座を一元的に集約、提示する学び、マナビという、こういうがあるんですが、こちらのほうではデータマネジメントについて学べる講座やデジタル関連の法令としてについても学べる講座も提供されています。 こうした活動を通じまして、データマネジメントのスキルを有する人材をしっかり確保してまいりたいというふうに考えています。
  • 安野貴博
    ありがとうございます。この先、個人情報を守る技術やデータ整備技能を持つ専門職の需要はますます高まると考えております。安全なデータ利活用の下でのを促進するために、こうした人材の育成により一層力を入れていただければと思います。 私からの質問、以上でございますが、最後に一言申し上げたいと思います。 守ることができるからこそ生かすことができると、これはやっぱり非常に大切な原則だと思います。個人情報がきちんと守られるという信頼があって初めてデータの利活用は社会に根付くと考えております。個人情報保護は重要な課題と考えますので、引き続き、この点、私も取り組んでまいりたいと思います。 ありがとうございました。