日本セキュリティ・マネジメント学会誌 最新号

個人情報保護法 第二次いわゆる3年ごと見直しの動向

本稿は，個人情報保護法の第二次いわゆる3年ごと見直しの動向を解説するものである．法は情報通信技術や社会実務の急速な変化に対応するため，3年ごとの検討を義務づけている．検討の結果，必ずしも改正を要するわけではないが，2024年以降，第二次の検討では，個人情報保護委員会での審議を経て，中間整理（令和6年6月）や報告書（同年12月），「考え方について」（令和7年3月）が公表されており，改正につながる見込みである．「考え方について」は事実上，改正の基盤となる．「考え方について」の概要は以下の通りである．第一に，本人関与の在り方が検討される．特に同意規制に関し，GDPRの規定をも参考に，統計作成等や，契約履行など，新たに同意を不要とする類型を定める方向である．漏えい等通知義務の柔軟化や，子どもの個人情報の取り扱いについての明確化も提案されている．第二に，データ利活用の多様化への対応が挙げられる．クラウド事業者等への取扱いの委託規律の再考，一定の個人関連情報の不適正取得・利用規制，顔特徴データ等に対する透明性確保，悪質名簿業者を想定した義務強化などである．第三に，実効性確保のための規律として，緊急命令の対象拡大，違反事実の本人への通知及び公表や，第三者への要請制度，刑事罰拡充が示されている．課徴金制度や団体訴訟の導入は継続課題とされた．提出予定の法案はデータ利活用政策の基盤とも位置づけられている．今後，2026年通常国会以前の法案提出が見込まれる．

AI・データ活用を牽引する Confidential ComputingとPETs

　AI時代において、企業の競争力の源泉はデータであり、その重要性は生成AIなどの普及によって一層高まっている。その中で、海外の巨大IT企業はデータを戦略的に囲い込んで収集し、AIを活用して企業価値を伸ばしている。それに対し、ほぼ全ての業種の多くの日本企業の成長戦略は、データの囲い込みではなくデータ連携であると言われている。しかし残念ながら、AI活用やデータ連携は道半ばである。その要因の一つが、機密データのクラウド処理や組織間でのデータ連携に伴うセキュリティ懸念である。この課題を克服する技術として注目されるのが、Privacy Enhancing Technologies（PETs, プライバシー強化技術）、特にConfidential Computing（CC、機密コンピューティング）である。CCは、データを秘匿しながら処理でき、さらにリモートアテステーションという機能により、他社が管理するAIの処理基盤が安全であることを確認できる。CCは、2024年のAppleの生成AIサービスへの適用など、この1〜2年で急速に普及が進み、既に私達の生活で使われている。また、この技術は防衛や経済安全保障の分野でも注目され、さらに、個人情報保護法や政府のデータ利活用の方針などの政策議論でも話題となっている。本稿は、AI時代におけるデータの戦略的価値と課題を整理した上で、PETsやCCの技術概要から、事例や政策動向を説明する。