はじめに

個人情報保護とプライバシーの問題は、1970年代のコンピュータ導入期以来、技術革新と制度設計が相互に作用しながら発展してきた。初期の段階では、電子計算機による住民データの集中管理が市民社会に深刻な懸念を呼び起こし、プライバシー侵害や権力の濫用への不安が高まった。その後、OECD（経済協力開発機構）や欧州を中心に国際的な法制度・ルールが形成され、わが国も段階的に制度を整備してきた。

AI（人工知能）、IoT、ビッグデータ、さらに生成AIの登場と急速な発展は、従来のデータ保護法制が想定してこなかった新しい課題を突きつけている。アルゴリズムの不透明性や差別的バイアス、説明責任の欠如、そして大規模データ解析に伴う監視社会化への懸念等は、プライバシー法制にとって新たな挑戦を意味する。

本稿では、歴史的経緯を踏まえつつ、AI時代における個人情報保護の課題を簡潔に整理し、日本にとっての政策的示唆を提示する。

1. コンピュータ導入期と個人情報保護の萌芽

1.1 1970年代の社会的懸念

1970年代、電子計算機（コンピュータ）の導入は行政や企業の業務を効率化する一方で、住民の個人情報が大量に集中管理されることへの懸念等を招いた。特に日本では、自治労（全日本自治団体労働組合）をはじめとする労働組合が合理化・人減らしへの危機感を背景にプライバシー侵害の問題を強調し、議論を広める役割を果たした。

1975年、東京都国立市は全国で初めて「コンピュータ条例」と呼ばれる個人情報保護条例（国立市電子計算組織の運営に関する条例）を制定した。これは住民の個人情報が無制限に利用されることを防ぐものであり、その後、東京の特別区を中心に条例制定が広がり、地方自治体による草の根的な情報保護の制度化が進展した。

1.2 米国における「公正情報行動原則（FIPPs）の提案

米国では1960年代末からプライバシー権の議論が活発化し、1973年には、米保健教育福祉省（HEW）の諮問委員会が、情報源の特定（Limits on the Collection）、情報収集の通知（Notice）、情報収集目的の明示（Purpose Specification）、情報へのアクセス（Access）、情報利用の制限（Use and Other Disclosure Limitations）という5つの原則を提案した。これが、現在の「公正情報行動原則」（FIPPs：Fair Information Practice Principles）の基礎となった。これに基づき、米連邦政府は翌1974年、「プライバシー法」を制定した。

1.3 欧州における初期の法制化

同時期、欧州では州レベルや国レベルで個人データ保護法が整備され始めた。国家による監視の歴史的記憶もあり、個人の基本権としてのプライバシー保障を強調する傾向が顕著であった。ドイツ・ヘッセン州は1970年に世界初のデータ保護法を採択し、スウェーデン、フランスなどが続いた。これらの動きは、やがて欧州全体の共通ルールの形成へとつながっていく。

2. 国際的制度化の進展：OECD、EU、日本

2.1 OECDプライバシーガイドライン（1980年）

1980年、OECDは「プライバシー保護と個人データの国際流通に関するガイドライン」を採択した。FIPPsを国際的原則へと昇華させたもので、「収集制限」「データ内容の正確性」「目的明確化」「利用制限」「安全保護」「公開性」「個人参加」「責任」の8原則を示した。この勧告は法的拘束力を持たないが、個人情報保護法制の国際的な共通基盤となった。国際的なデータ流通と個人情報保護の両立を目指した点は特筆すべきである。

2.2 EUデータ保護指令（1995年）とGDPR（2018年）

欧州共同体（後のEU）は、1995年に「EUデータ保護指令」を制定し、加盟国に個人データ保護法の制定を義務付けた。その後、2018年にはより強力な「一般データ保護規則（GDPR）」が施行された。GDPRは以下の点で画期的である。

• 域外適用：EU域外の企業であっても、EU居住者のデータを処理する場合に適用される。
• データ主体の権利：アクセス権、訂正権、削除権（いわゆる「忘れられる権利」）、データポータビリティ権などを明記。
• 高額な制裁金：違反に対して最大で全世界売上高の4％または2000万ユーロの制裁金を科す。

GDPRは、プライバシーを「人権」として位置づけ、強力な規範的影響をグローバルに及ぼしている。

2.3 日本における制度化

日本では2003年に「個人情報保護法」（個人情報の保護に関する法律）が成立し、2005年に全面施行された。その後、複数回の改正を経て、2021年の改正では、個人の権利救済の強化、越境データ移転に関する規律の整備、個人情報保護委員会の権限拡大などが行われた。これにより、日本も国際的な十分性認定を受け、EUとの間で円滑なデータ移転が可能となった。

3. AI時代における新課題と対応

3.1 バイアス・差別、説明責任、著作権侵害

AI技術、とりわけ機械学習や生成AIの進化は、従来のデータ保護法制の射程を超える新たな課題を提起している。第一に、アルゴリズムによるバイアスや差別の問題である。データに内在する偏りがそのまま機械学習モデルに反映され、不公平な結果を生み出す事例が報告されている。第二に、説明責任の欠如である。ディープラーニングを中心とする「ブラックボックス」モデルは、その予測結果や判断過程を人間が十分に理解・検証できない場合が多い。第三に、生成AIに特有の課題として学習データの正当性や著作権との関係が浮上している。

3.2 ICDPPCの「AI宣言」（2018年）

国際的なデータ保護機関の会合である「データ保護プライバシー・コミッショナー国際会議」（ICDPPC: the International Conference of Data Protection and Privacy Commissioners）は、2018年に「AIにおける倫理及びデータ保護についての宣言」（Declaration on Ethics and Data Protection in Artificial Intelligence）を採択し、AIが人権・プライバシーに与える影響を強調した。また遡る2017年には、「コネクテッドカー決議」（自動化・コネクト（接続）された車両のデータ保護に関する決議、Resolution on data protection in automated and connected vehicles）を採択し、AI/IoT社会におけるデータ保護の重要性を確認した。

3.3 OECDの「AI勧告」（2019年）

OECDは2019年に「AIに関する理事会勧告」を採択し、5つの原則を示した。

• 包摂的な成長、持続可能な開発及び幸福
• 人間中心の価値観及び公平性
• 透明性及び説明可能性
• 頑健性、セキュリティ及び安全性
• アカウンタビリティ

3.4 G20大阪サミットが「人間中心のAI利用」を明記（2019年）

2019年のG20大阪サミット首脳宣言は「人間中心のAIの利用」を明記し、OECD AI原則の普及を支持した。主要国間でのAIガバナンスの協調は、今後の国際的制度形成に大きな影響を与えるだろう。

3.5 EUの「AI法」（2024年）

EUは2024年に「AI法（AI Act）」を制定した。同法はリスク・ベースの規制を採用し、「容認できないリスク（Unacceptable risk）」「高リスク（High risk）」「限定的リスク（Limited risk）」「最小のリスク（Minimal risk）」の4段階に分類し、それぞれに異なる規制を課す。このアプローチは、GDPRの一般的データ保護規制を補完しつつ、AI固有のリスクに対応する新しい規範的枠組みを提示するものである。

4. 不変の理念：プライバシー・バイ・デザイン

このように、AIの急速な進化と普及に対応するため、法制度やルールの整備・見直しが進められているところであるが、その一方、技術革新にかかわらず普遍的に有効性を維持する理念も存在する。例えば、21世紀の初期の議論をあえて挙げるならば、その代表は「プライバシー・バイ・デザイン」である。同概念はカナダ・オンタリオ州の情報＆プライバシー・コミッショナーで、私の友人であるアン・カブキアン（Ann Cavoukian）氏が提唱したもので、システム設計の初期段階からプライバシー保護を組み込むことを要請する考え方である。

具体的には、「事前予防的であること」「デフォルトで保護されること」「設計段階から組み込まれること」「利益・利便性の両立」「ライフサイクル全体を通じての保護」「透明性の確保」「利用者中心」という7原則から成り立つ。

AI時代において、この理念は新たな意味を持つ。例えば、機械学習の設計段階でデータ最小化を徹底すること、説明可能性を確保するアルゴリズムを採用すること、ユーザーが自らデータ利用をコントロールできる仕組みを設計に組み込むことなどは、まさにプライバシー・バイ・デザインの具体的実践と言える。こうした理念は規制の補完的基盤として、技術者・事業者・規制当局の間で共有される必要がある。

５. 日本への示唆

日本はこれまで国際的議論を踏まえ、個人情報保護法の改正や個人情報保護委員会の設置を進めてきた。しかし、AIの急速な展開により新たな課題に直面している。

特に、生成AIの学習データに関する適法性確保、アルゴリズムによる差別の防止、説明責任を果たすための仕組みづくりは、国内外の信頼を確保するうえで不可欠である。

さらに、日本は経済社会のデジタル化を進めるうえで、「信頼に基づくAI（Trustworthy AI）」という価値観をいかに制度や実務に落とし込むかが問われている。これは単なる規制遵守にとどまらず、企業や行政が自主的に倫理的基準や透明性を確保し、市民社会との信頼関係を構築することを意味する。そのためには、産官学の協働によるガバナンス体制の確立や、グローバルな規範形成に積極的に関与する姿勢が重要となろう。

まとめ

AI時代の個人情報保護は、歴史的経緯の中で蓄積されてきた規範的原則と、新しい技術に対応する柔軟な規制枠組みをいかに統合するかという課題に直面している。すなわち、技術変化への適応（adaptability）と、基本原則の堅持（normative stability）の両立こそが、今後の個人情報保護制度の方向性を規定する。

日本においては、国際的規範形成への積極的関与と、国内における信頼性の高いAI実装の両輪を通じて、AI時代にふさわしい個人情報保護の在り方を構築することが求められる。

（注）本稿は、堀部先生へのインタビューおよび参考文献等を基にデジタル政策フォーラム事務局が制作・編集し、堀部先生ご承諾の下に公開するものである。