参院本会議で6月12日「個人情報保護法改正案」および「デジタル行政推進法改正案」に対する代表質問が行われ、立憲民主・無所属の会派から、郡山りょう議員が登壇しました。予定原稿は以下のとおりです。

　「個人情報の保護に関する法律等の一部を改正する法律案」及び 「情報通信技術を活用した行政の推進等に関する法律及び情報処理の促進に関する法律の一部を改正する法律案」に対する質疑 【全文】

立憲民主・無所属　　郡山りょう

　立憲民主・無所属の郡山りょうです。会派を代表し、ただいま議題となりました両法律案について質問いたします。

　私はこれまで、働く人ひとりひとりの情報・生活実態・権利利益を守ることこそ社会の土台だと申し上げてきました。ところが本日、その「個人の権利利益」を根本から揺るがしかねない法案が議題となっています。個人情報保護法の改正案です。

　質問に入る前に、憲法上の大前提を確認させてください。日本国憲法第13条は「生命、自由及び幸福追求に対する国民の権利については、公共の福祉に反しない限り、立法その他の国政の上で、最大の尊重を必要とする」と定めています。学説・実務の両面で広く支持されているとおり、「自分の情報がどのように扱われるかを自ら決める権利（自己情報コントロール権）」は、この第13条を根拠とする基本的人権です。

　個人の病歴・信仰・犯罪歴などが外に漏れれば、その人の尊厳が、人生そのものが、取り返しのつかない形で傷ついてしまいかねません。だからこそ、これまでは個人情報の取得や第三者への提供に本人の同意を得ることが大原則とされてきました。

　しかし、今回の改正案は「統計作成等」というあいまいな目的規定のもとで、本人の同意なし、つまり本人がまったく知らないうちに個人情報を企業などに提供することを認めるものです。個人の人権をあまりにも軽く扱っていると言わざるを得ません。

　今国会では「国家情報会議設置法案」が成立し、権限の歯止めのないまま官邸などが大量の情報を取得できる仕組みが整いました。本法案が成立すれば、国民の個人情報が国や大企業に大量に吸い上げられる仕組みが一度に整備されることになります。

　注目すべき事実があります。すでに現行の「次世代医療基盤法」（平成29年法律第28号）のもとで、内閣府が厳格に審査・認定した事業者が、165の医療機関から約618万人分の医療情報をオプトアウト方式で収集済みです（出典：内閣府健康・医療戦略推進事務局「次世代医療基盤法実績データ（2026年3月末）」）。

　次世代医療基盤法と異なり、今回の改正案は情報を匿名化する必要がなく、事業者の認定制度もありません。つまり、きわめて大量の「生」の個人情報が企業等に提供されることが予測されます。扱われているのは「データ」ではなく「人権」そのものです。個人情報をとめどなく拡散させる危険性があるのではないでしょうか。松本大臣にお伺いします。

　次に、「要配慮個人情報」の取扱いの大幅な緩和についてお伺いします。要配慮個人情報とは、信仰・病歴・犯罪歴・障害・健康診断結果など、差別につながりうる特にデリケートな情報です（個人情報保護法第２条第３項）。妊娠中絶・認知症・精神疾患・遺伝病もこれに含まれます。改正案の第30条の２及び第31条の３は、「統計情報等の作成にのみ利用される場合」は本人の同意なく、要配慮個人情報を取得・第三者提供できるとしています。日本医師会は改正案を「極めて危険」と表明し、歯科医師会・薬剤師会も「にわかに容認できない」と反対しています（衆議院予算委員会・令和8年6月4日・長妻昭委員質疑）。

　令和8年5月12日の衆議院委員会で、佐脇政府参考人は「AI開発や調査のために加工されていない個人情報を提供する場合も、この特例の対象になる」と明確に答弁されています。

　つまり「等」の一文字が、AI開発から疫学調査まで、ほぼ無制限に個人情報を吸い上げることを可能にする抜け穴になっています。

　そこで三点、お伺いします。

1．携帯の位置情報（氏名・端末番号・緯度経度・時刻を含む）はこの特例の対象となるのか。

2．新型コロナウイルスの疫学調査データ（氏名・地域・年齢・性別・病歴を含む）も対象となるのか。

3．これは「国が都合よく使う」ための包括的な授権規定ではないのか。

　松本大臣に、明確な見解をお伺いします。

　ここで、重要な法的事実を確認させてください。

　医師・薬剤師などが医療現場で取得した患者情報については、刑法第134条第1項（秘密漏示罪）が、個人情報保護法とは独立して適用されます。保健師・看護師・診療放射線技師なども、各専門職法により同様の守秘義務を負っています（出典：個人情報保護委員会・厚労省「医療・介護関係事業者における個人情報の適切な取扱いのためのガイダンス」令和5年3月）。

　ところが、今回の改正案は、医師などが刑法上の守秘義務を負っている情報が「いったん事業者の手に渡った後」の取り扱いを大幅に緩和するものです。医師の守秘義務を潜り抜けるパイプラインを制度として作り上げてしまうことにならないか、松本大臣にお伺いします。

　より根本的な問いを提起します。政府は「情報の入り口での適法性」を強調されますが、問題の本質はそこにはありません。

　病院という信頼の場で、患者が医師に打ち明けた病歴・精神疾患・遺伝情報。その情報は刑法第134条の守秘義務に守られ、「医師だから話した」という絶対的な信頼の上に成り立っています。

　その情報がひとたび事業者の手に渡れば、本改正案はその鎧を脱がせることができます。「統計作成等」という名目があればよいのです。本人の同意なし、加工なしで、AI学習に使うことさえできる。佐脇政府参考人が令和8年5月12日の衆院審議で明確に認めたとおりです。

　構造はこうです。入り口では「適法な提供」と装い、受け皿となる事業者の側では「統計作成等」を理由に、要配慮個人情報の紐付けや未加工でのAI学習が本人の同意なしに許される。

　これはつまり、「医師を信じて話した患者の信頼」を裏口から横流しできるパイプラインを、国が法律で作り、認可することに他なりません。入り口の手続きがどれほど整っていても、出口で信頼が裏切られるなら、それは守秘義務制度の骨抜きです。

　さらに言えば、本改正案の下では不本意にも医師が刑事罰を受けるリスクも生じかねない。刑法第134条が百年以上守ってきた「患者と医師の信頼関係」を、本改正案は制度の裏側から静かに解体しようとしている。そう申し上げても、過言ではないと考えます。松本大臣、この認識は誤りでしょうか。明確なご答弁を求めます。

　令和8年5月12日の衆院審議において、長妻昭委員の質問に対し、松本大臣は以下のとおり答弁されました。

・地方自治体が統計作成等で利用する場合、住民の非公開の病歴を本人の同意なしに取得可能であること。

・国が統計作成等で利用する場合も同様であること。

・企業・個人事業主が統計作成等で利用する場合も可能であること。

　これらが政府の公式の説明です。つまり、病院にかかっている患者さんの病歴が、本人の知らないまま、AI開発企業に渡る。こういうことが、本改正案のもとで起こりうるということでしょうか。しかも、氏名・住所・病歴が一体となったデータが事業者に渡った後、氏名を消すかどうかは「事業者の安全管理義務の中で適切に判断する」とのことです。法案には識別子削除の義務規定は書かれているのでしょうか。松本大臣にお伺いします。

　また、海外事業者への提供も可能な枠組みであるにもかかわらず、現時点では、病院等から海外企業への個人データ提供件数の実態把握が存在しないことも確認されています（衆議院予算委員会・令和8年6月4日）。「個人情報保護委員会規則」やガイドラインという行政内部の基準で、国会のチェックが届かないところで決めることになります。これでは立法府の統制が及ばないのではありませんか。識別子削除の法定義務化と、海外移転の実態把握・公表について、松本大臣に明確な答弁を求めます。

　現行の次世代医療基盤法（平成29年法律第28号）では、医療情報を研究開発目的でオプトアウト収集できる事業者は、内閣総理大臣・文部科学・厚生労働・経済産業の各大臣による厳格な審査・認定を受けた者に限られています（同法第52条・第57条第1項）。認定を受けた事業者の従業者には罰則付きの守秘義務と個人情報保護委員会への協議が義務付けられています。その結果、令和8年3月末時点で165の医療機関から約618万人分の医療情報が収集済みとのことです。

　今回の「統計作成等特例」は、この次世代医療基盤法の認定制度を経ずに、より広範な事業者が要配慮個人情報を取得できる「別ルート」を新たに開くものではないでしょうか。

　懸念すべき点があります。この特例の利用要件の確認は、提供元の自己確認のみで足り、個人情報保護委員会の事前認定は不要とされているのです。

　そうであるなら、次世代医療基盤法が国民に約束した「主務大臣が認定した事業者以外には渡さない」という保護水準を、根本から崩すことにはなりませんか。すでに618万人分の医療情報が認定制度のもとで収集されているのだとすれば、本改正案によってこれがさらに何倍にも拡大しうるのでしょうか。松本大臣に明確な説明を求めます。

　令和6年12月17日公表の「個人情報保護法のいわゆる3年ごと見直しに関する検討会報告書」では、差止請求制度が検討されていました。令和7年3月5日付の個人情報保護委員会作成資料にも、「差止請求権を適格消費者団体自身の権利として付与することが考えられる」と明記されていました（長妻委員配付資料・令和8年5月12日）。ところが改正法案には、その記載が一切盛り込まれませんでした。

　ここで、国外に目を向けると、例えば、EUのGDPR第83条では制裁金として最大で全世界年間売上高の4%、または2,000万ユーロの高い方が科されています。また、G7の全ての国に差止請求に相当する仕組みが存在しています（国会図書館調査・長妻委員配付資料）。

　このように、G7各国およびEUでは、差止請求に相当する仕組みと厳格な制裁金制度が整備されています。

　今回の改正案で課徴金の対象となるのは、1,000人超という大規模違反でかつ違法収益がある場合だけです。安全管理義務違反・目的外利用・要配慮個人情報の不正取得は課徴金対象外です。全国消費者団体連絡会は「漏えいの多くは杜撰な安全管理に起因するため、この後退は大規模な漏えいへの抑止力を大きく弱める」と明確に指摘しています（2026年4月27日意見書）。

　政府は「スモールスタートで始める」と言いますが、618万人分の医療情報がすでに流通しています。これのどこが「スモール」なのでしょうか。大規模な漏洩が多発するリスクに備え、海外主要国と同レベルの法整備をすべきではありませんか。個人情報保護委員会自身が必要と認めた差止請求制度がなぜ消えたのか、松本大臣にお伺いします。

　かつて岐阜県で、風力発電に反対した住民の病歴を警察が収集していた事実があり、裁判所が削除を命じた確定判決が出ています（長妻委員配付資料・令和8年5月12日）。国家が「統計作成等」を口実に国民の病歴を収集できる仕組みは、こうした権力の悪用に道を開くものです。

　今ここで私たちが議論しているのは、憲法が保障する権利を「将来の国民へ継承できるか」に関わる問題です。病歴・信仰・犯罪歴を含む「要配慮個人情報」が本人の同意なく社会に流通する社会を、将来の国民に残してよいのか、この問いを忘れてはなりません。

　ここで見過ごすことのできない事実を申し上げなければなりません。これほど重大な懸念が、日本医師会をはじめとする専門職団体・日本弁護士連合会・連合・消費者団体から相次いで示されているにもかかわらず、本法案の提出責任者である高市総理ご自身が、その懸念を把握しておられないという事実です。

　令和8年6月4日の予算委員会において、本改正案に対する懸念を問われた高市総理は、「懸念等については説明を受けておりません」と答弁されました。法案の核心に関わる危険性について、提出責任者たる総理が説明すら受けていない。これは極めて重大な事態ではないでしょうか。

　内閣法第５条は「内閣総理大臣は、内閣を代表して内閣提出の法律案……を国会に提出する」と定めています。内閣を代表して法案を国会に提出すべき総理が、その重要事項について説明を受けず、危険性を認識しないまま閣議決定し、国会に提出された。そうであるならば、本法案の提出手続そのものの正統性が根本から問われるのではないでしょうか。

　閣議決定の前提を欠いたまま、参議院での審議だけが先へ先へと進んでいく。私はここに強い疑義を呈さざるを得ません。

　今この参議院に求められているのは、月内成立を急ぐことではありません。提出責任者たる総理がまずきちんと説明を受け、本法案が孕む危険性を正面から認識すること。そのうえで一度立ち止まり、法案を撤回して出し直すこと。それこそが提出者たる政府の責任であり、この政府の責任を果たさせることが立法府に求められていることではないでしょうか。法案提出のプロセスについてお考えを松本大臣にお伺いします。

　最後に、四点お伺いします。

　第一に、病歴・信仰・犯罪歴等の要配慮個人情報について、AI開発目的での本人同意なき取得・提供を認める規定を、少なくとも氏名・住所等の識別子削除を法律上義務付ける形に修正する意思はありますか。

　第二に、差止請求制度について、適格消費者団体等による新たな仕組みを含め、次の国会で立法化する意思はありますか。

　第三に、統計作成等特例に係る個人情報保護委員会規則の制定にあたり、国会への事前報告・審査の機会を設ける意思はありますか。

　第四に、次世代医療基盤法が課している四大臣の事前認定・罰則付き守秘義務を、本改正案の「統計作成等特例」は課していません。ルートが別かどうかではなく、国民を守る保護水準が実質的に引き下げられているのではないでしょうか。

　松本大臣、四点それぞれについて、明確にお答えください。

　データが優位な時代だからこそ、個人の尊厳と権利利益を守ることは民主主義の根幹です。人権保護なきデータ利活用は国民の信頼を失い、AI社会の発展をも阻害します。政府が「データ立国」を掲げるなら、同時に「人権立国」でなければならない。そのことを強く申し上げまして、私の質問を終わります。