手塚悟新委員長が語るAI時代の個人情報保護法

日本経済新聞の月曜版「税・法務」は、多くの法務部門や弁護士の方がご覧になっていると思います。今週の注目記事を取り上げながら、皆さまのご意見も伺えれば幸いです。学びの途中ではありますが、情報交換の場として活用いただければと思います。

日経「AI時代の個人情報保護法／課徴金」深読みの目次

今週の注目記事丨「AI時代の個人情報保護法／課徴金」

掲載紙：日本経済新聞 | 掲載日：2025年8月16日丨注目記事を執筆された記者：冨川実優記者

記事（手塚委員長へのインタビュー形式）によれば、個人情報保護委員会の手塚悟委員長（25年5月就任）は、AI時代は「事前型」より問題発生時に処分する「事後型」規制を重視すべきと述べています。個人情報保護委員会は、政策立案と監督を併せ持つ強みを生かし、本人関与と事業者ガバナンスでデータ利活用を推進する方向のようです。個人情報保護法の3年ごと見直しに関連して、手塚委員長は「課徴金導入」についても言及しています（G7で未導入は日本・カナダ）。欧米両方式に応じる「ジャパンウェイ」を目指すとのことですが、インタビューそれ詳細からはまだ詳細はわからない部分もあり、データ資源大国の実現も掲げる道筋に注目が集まります。

詳細は、記者が見事にポイントを付いている原典をご高覧ください。

「AI時代の個人情報保護法／課徴金」に対する組織内弁護士の視点

では、法務部員や組織内弁護士は、この記事を受けて、どのようなことを考え始めるのが有益でしょうか。

直近の「課徴金」の議論動向

個人情報保護委員会は2025年、「3年ごと見直し」の一環として「制度的課題に対する考え方」を公表しました。現行の監視監督手段は指導・助言、勧告・命令、刑事罰にとどまり、課徴金は未整備であることを踏まえ、導入の要否と論点を整理しています。現時点では「引き続き議論が必要」との位置づけです。

「課徴金」制度設計をめぐる議論の骨子

検討中の骨子は、①違法な第三者提供等、②漏えい・安全管理措置義務違反のうち悪質かつ大規模な事案を対象に限定するもので、規模の目安として「1,000人」を基準とする案が示されています。算定は、①では違法利得の全額（抑止目的で超過も想定）、②では違反期間の売上に算定率を乗じる方式が想定されています。

「課徴金」に対する主な業界団体の見解

経団連は2025年4月の意見で、委員会の全体整理を評価しつつ、運用の具体化や影響評価が不明確である点を指摘しました。2024年の整理でも、課徴金や団体差止めは利害が大きいため、業界内での意見集約が必要とされていました。

「課徴金」に関する実務への示唆（組織内弁護士の視点）

1. リスクプロファイルの変化を見据えた助言

最終案は未確定ですが、対象行為の限定、1,000人基準、違法利得・売上基準による算定という方向性は、複数の有識者が指摘している通り（ポジショントークであることも念頭に）、企業のリスクプロファイルを具体的に変化させる可能性があります。

他方、下記に述べる通り、法務部門は「規制がなければリスクは変わらない」という前提に立つのではなく、導入された場合にどの領域でリアルワールドリスクが増加し得るのかを分析し、経営者や事業部の informed decision に資する助言を行うことが求められます。

2. 海外比較と「低リスク国」評価の懸念

グローバルの視点では、日本が課徴金制度を未整備のままにしている間に、海外では執行権限の重点分野や政策目標が明確化され、アジアの中でも、例えば、豪州や韓国と比較すれば、「日本は低リスク国」と見なされている事実と可能性を私は否定することができません（それが良いか悪いかは抜きにして、そのような状況を個人として感じることを、遠回しに申し上げております）。

日本でも課徴金制度が導入されれば評価が変わる余地はありますが、欧米企業は「抽象的にリスクが増えるか」ではなく「実際にどの程度のリスク増加となるか」を精査しており、法務部門がそこまで踏み込んだ分析を提示できるかが重要な分かれ目になると考えます。

ですので、ここからは「課徴金制度ができませんように」というお祈りを離れて、法務部門が集中すべきだと個人的に思うことを記述します。

3. 制度未成立段階での準備の必要性

産業界や個社の公共政策論としては「課徴金が導入されればリスクが高まる」という大枠の主張で制度創設を阻止する構えもmake senseですし、正当なものだと思います。

ただし、一般論として、日本では予期しない社会的問題が生じた際に、一気に制度化が進む可能性もあり得ます。その場合、「課徴金制度ができたら抽象的にリスクが増える」という防波堤はすぐに崩れてしまいます。

したがって、法務部門は、制度がまだ成立していない段階でも、もし現在の骨子案が立法化された場合に、自社のどの領域でリアルワールドリスクが増えるのかを試算し、低減策を検討することが肝要です。「制度ができませんように」と「がんばる」（または祈る）のは公共政策領域の発想であり、法務部門が集中すべきは制度導入後の「リーガルリスクマネジメント」です。

最新資料のフォローと並行しながら、社内のリスク評価と対応策の見直しを徐々に今のうちから進めることを推奨します。結果として「検討してみたが当社には大きな影響はなかった」という結論もあり得ますが、それもまた一つの重要な成果です。

4. 未来のある朝―日経をみた役員が法務エリアを訪ねてきた

将来の日本経済新聞の一面をみて：

御社の役員「◯◯（あなたのお名前）さん！日経でちょっと今朝見たのだけど、個人情報保護法に（あの厳しい欧州の影響で）課徴金が導入されるんだって。我が社は大丈夫かね。」

という経営陣／役員からのご質問に対して、

あなた「ご安心下さい、既に、法務部門では、2025年中に、制度ができた場合に、各事業ドメインにどの程度のリスクプロファイルの変化があるかを具体的にシュミレーションしており、結論として、リスクは起こりやすさ及び結果の大きさともに「低」のままです。引き続き、改正状況をWatchして、報告を差し上げます。」

と回答できるかがポイントではないでしょうか。

「法律事務所に詳細を確認します」「課徴金制度ができたのでリスクがあります（完）」という回答は避けたいものです。

※本稿は個人の見解です。学びの途上での整理であり、誤りがあればご指摘いただければ幸いです。

日経丨手塚悟新委員長（個人情報保護委員会）「AI時代の個人情報保護法の規制は事後型」