2026年5月26日、個人情報保護法改正案が衆院本会議で可決された。聞き流してしまいそうなニュースだが、採用業界の人間として読むと、結構大きな話だ。
ポイントは2つ。
- 悪質な不正取得・不適正利用に「課徴金」を導入
- AI開発(統計作成目的)に限り、本人同意不要の特例を新設
そもそも「課徴金」とは、ざっくり言うと「違反で儲けた分のお金を、行政が取り上げるペナルティ」のこと。刑事罰の罰金とは別物で、独占禁止法や金融商品取引法では既におなじみの制度だ。それが今回、個人情報保護法(以下、個情法)にも導入される。
これまで個情法違反で課せられる金銭的制裁は罰金だけだった。「捕まっても罰金で済む」感覚の事業者にとって、課徴金は別の重みになる。違反で得た利益の相当額を国庫納付させられる構造で、再犯は1.5倍、自主申告すれば半額になる仕組み(リニエンシー制度)もある。
施行は公布から2年以内(2028年春ごろ見込み)。「2年か、まだいいや」と思うかもしれない。が、この記事では、なぜ今から手を付けたほうがいいのか、そして実際に手を付けようとした時に何が起きるかを、採用コンサルの現場視点で書いていく。
まず:そもそも「マスクすらしていない」会社の方が普通だ
採用AI整備の話をすると、「マスクすれば大丈夫だと思っていた」と言われることがある。
ただ、現場でクライアントの実態を見せてもらうと、それ以前のレイヤーで止まっている会社のほうが圧倒的に多い。
応募者の履歴書をPDFのままChatGPTに貼り付けて要約させる。 これが多数派だ。氏名・住所・電話番号・現職社名・年収・学歴、全部そのまま。
「マスクすれば大丈夫」と思っている会社は、まだ意識がある側に入る。多くの会社は、その手前で、なんのフィルタも通さずに社外AIに丸投げしている。
株式会社HERPが2026年1〜2月に実施した調査(採用業務に関わる331名対象)によれば、業務でAIを使っている採用担当者のうち、29.9%が会社の公式ツールではなく個人アカウントの個人AIで応募者情報を扱っている。会社のAI利用ルールについて「ない」と答えた人が46.2%、「わからない」が6.5%。
要するに、半数以上の会社で、応募者情報が個人AIに、ノールールで流れている。
これが今、改正法で「課徴金」というラベルを付けられようとしている世界の、入口の景色だ。
課徴金対象の「重大な違反行為」と、採用業務の関係
個人情報保護委員会の制度改正方針では、課徴金対象として5類型の行為が示されている。採用業務に関係するのは、特にこの3つだ。
① 不正取得に基づく利用
偽りの説明や、利用目的を隠した取得、不正アクセスやスクレイピングで得た情報の利用。「採用判断のため」と説明して取得した情報を、別目的(社内AIの学習データ等)に転用するのは、ここに引っかかる可能性がある。
② 本人への説明と実態のズレ
プライバシーポリシーや応募者同意文面で説明している内容と、実際の運用がズレている場合。「業務委託先で適切に管理」と書いていても、実際は採用担当が個人ChatGPTにコピペしているなら、説明と実態がズレている。この「ズレ」自体は独立した違反類型ではないが、結果として「本人同意のない外部提供」(法27条1項違反)に該当する構造で、課徴金まで行き着く。最初は行政指導・是正勧告レベルから始まるが、悪質性が認められれば最終的に課徴金に届く。
③ 統計特例の目的外利用
今回新設される「AI開発(統計作成目的)の本人同意不要の特例」を使って取得した情報を、特例の範囲を超えて使うこと。一度「同意不要」で取得すると、後から「やっぱり採用判断に使いたい」と範囲を広げた瞬間に違反になる構造だ。
「収益を得ることを目的とした悪質な継続行為」が中心想定で、特に「個人データ千人分を超える大規模な不正取得・利用」が課徴金の主な対象として説明されている(共同通信 5/26)。単発・軽微なミスを直ちに課徴金対象にするものではない、とされている。ただし「悪質」「継続」の判断は、後付けで監査が入った時に決まる。今のうちに、自社が「悪質と判定されない側」に居続ける整備を始めておく必要がある。
「999人以下なら課徴金対象外」── 抜け穴を考える前に、運用コストを見たほうがいい
改正案の課徴金対象は「個人データ千人を超える大規模な不正取得・利用」に限定されている。これを読んで「自社の応募者は年間数百人だから関係ない」「999人以下なら課徴金は逃れられる」と整理したくなる方もいると思う。
ただ、ここでよく見ると、千人は課徴金の閾値であって、特例の閾値ではない。
つまり、999人以下でも「統計目的のAI開発」を超えて使えば、依然として個情法違反だ。違反は依然として:
- 刑事罰(罰金)の対象
- 漏洩時の個人情報保護委員会への報告義務(要配慮個人情報を含む場合は1件でも報告義務発動・施行規則7条1号)
- 是正勧告・命令の対象
- 行政指導の対象
になる。「課徴金が無いだけ」で、課徴金以外のリスクは規模に関係なく発生する。
加えて、現実的なリスクとして、漏洩時の信用低下・取引停止・採用ブランドの毀損・既存社員の不信感・監査時の説明責任、といったレイヤーが残る。「999人以下なら課徴金は逃れられる」は短期的な抜け穴発想だが、長期的には運用負担と信用低下で割に合わないケースが多い。
もう一つ重要な点。改正法の「千人超」は「これ以上は確実にアウト」を明示しただけで、「これ以下なら無罪」ではない。グレーゾーンを攻めるリスクは、施行後の監督体制次第で大きく変わる。「こうやって整理すれば抜けられるんじゃないか」を社内で議論する時間を、最低限のマスク導入とプラポリ整備に使うほうが、ROIで見ても明確に良い。
「AI開発で要配慮個人情報も同意不要」── 報道見出しが省いている限定条件
5/26 衆院通過の報道で、「企業が同意なしに病気や犯罪歴を収集できるようになる」「AI開発では要配慮個人情報も同意不要」という見出しを目にした方も多いと思う。
ただ、改正案の本文と一次資料を読むと、特例の射程はかなり限定されている。結論から言うと、報道見出しを採用業務に当てはめて読むのは誤読だ。
個人情報保護委員会の閣議決定文書(2026/4/7)本文では、こう書かれている。
「統計等の作成を行う第三者に個人情報を提供する場合等について本人の同意を不要とする等の措置」
ここで明記されているのは「AI開発全般」ではなく「統計等の作成」だ。共同通信の本文も同様に限定している。
「統計作成やAI開発といった個人が特定されない用途に限定して規制を緩和。SNSなどで公開されている情報の収集や、企業が保有する情報の他社への提供で、本人の同意は不要」(共同通信、5/26)
個人情報保護委員会の「3年ごと見直し」資料はさらに厳密で、特例の中核条件として「統計情報等の作成にのみ利用されることが担保」「統計作成等であると整理できるAI開発等」「個人に対する評価や決定に利用しない」を要件として挙げている。
加えて、要配慮個人情報の同意不要は「現に公開されている情報」に限定される(改正法案30条の2)。応募者が会社に提出した非公開の履歴書は、SNS等の公開情報ではないため、この特例は最初から適用されない。
つまり、「AI開発」というラベルだけでは不足で、これらの条件すべてを満たさないと特例は適用されない。
- ✅ AI事業者が公開情報を集めて汎用モデルを訓練する(個人特定なし・統計的処理)→ 同意不要の可能性
- ✅ 業界全体の人材傾向を集計分析する(個人特定なし)→ 同意不要の可能性
- ❌ 採用業務で応募者の履歴書を社外AIに入れて、個別に採用判断を出す(個人が特定される評価)→ 改正後も同意必要
採用業務でChatGPTに応募者情報を入れる行為は、見出しの「同意不要化」とは別レイヤー。応募者情報は氏名・住所・経歴がセットなので、他の情報と組み合わせれば誰の情報か特定できてしまう状態(容易照合性)が成立し、「個人が特定されない用途」とは整理できない。加えて、採用判断そのものが「個人に対する評価」なので、個人情報保護委員会の要件で明確に特例外と整理されている。
弁護士解説でも一致している。「採用業務で応募者の病歴等の要配慮個人情報をそのままの形で生成AIに入力し、応答結果を判断材料にするような利用は『統計目的』には該当せず、改正案の同意不要規定に乗るとは考えられない」(複数の弁護士解説で同じ整理)。
一般論として「AI開発で同意不要になった」と読むのは、報道見出しが本文の限定条件を省略した結果の誤読だ。少なくとも採用業務に関しては、改正後も本人同意(または委託構成・仮名加工情報運用)が必要、という構造は変わらない。
「開発」では本人同意不要、でも履歴書を食わせるのは「開発」ではない
ここで多くの会社が誤解しそうな論点を1つ。
新設される特例は「AI開発(統計作成目的)に限り、本人同意不要」だ。「ニュースで本人同意不要になるって言ってたから、ChatGPTに履歴書貼っても大丈夫」と読みたくなるが、これは全く違う。
個人情報保護委員会の「3年ごと見直し」資料(2026年1月公表)を読むと、特例の中核条件は「統計情報等の作成にのみ利用されることが担保されている」こと。AI開発は「統計作成等であると整理できるAI開発等」に限り特例の射程に入る、というのが委員会の整理だ。「何でもAI学習ならOK」ではなく、「個人に対する評価や決定に利用しない」ことが要件として強調されている。
応募者の履歴書を1件1件ChatGPTに貼って「この人、書類選考通すべきか」と聞く ── これは個別の採用判断であって、明確に「個人に対する評価」だ。同委員会の一次資料も「採用AIのような個人評価用途が典型例である」とはしていない。
つまり、特例の枠外だ。改正後も、採用判断目的での社外AIへの応募者情報の投入は、原則として本人同意(または委託構成・仮名加工情報運用)が必要、という構造は変わらない。むしろ「同意なしで使える領域」が新設されたことで、その外側で同意なし利用していた行為が、より明確に「不正利用」として浮かび上がる構造になる。
「同意は応募時にもらってるから大丈夫」と思っている会社も多い。が、応募時の規約は、たいてい応募者にとって「強制OK」状態だ。応募ボタンを押すために同意せざるを得ない、規約の中身は読まれていない、利用目的の説明と実態のズレに気づかれていない ── この状態を「同意あり」と整理し続けるのは、改正後はかなり危うくなる。
候補者側からすれば、自分の履歴書がChatGPTのサーバーに送られているなんて、認識して応募していない。これは、現場のリアルだ。
「最低限まずマスク」── これまで書いてきた採用AI整備の話と繋がる
採用AI整備の話を以前から続けてきている。
これらを貫いている主張は、シンプルに言えばこうだ。
「採用業務でAIを使うのは止めなくていい。ただし、最低限のフィルタは要る」
その最低限のフィルタが「マスク」だ。マスクは完璧な対策ではない。以前の記事で書いたように、氏名・住所・電話番号をマスクしても、「容易照合性」が成立すれば依然として個人情報として扱われる。漏洩時の報告義務も発生しうる。
ただ、マスクすらしていない状態と、マスクしてから投入する状態では、改正後のリスクの大きさが全く違う。
- マスクなしでChatGPTに投入 → 個人情報の漏洩リスク・要配慮個人情報の混入リスク・採用業務固有規制への抵触リスク、全部のレイヤーで丸腰
- マスクしてから投入 → 個人識別情報・財産的被害情報・要配慮個人情報の混入は減らせる。残るリスクは「容易照合性」と「越境移転」のレイヤー
完璧ではないが、最低限のラインを引いた瞬間に、リスクの絶対値はがくっと下がる。
そして、マスクで止めるのではなく、その上に「仮名加工情報運用」(=個人を特定できない形に加工した上で扱う仕組み。漏洩時の報告義務・本人通知義務を原則免除できる)を乗せていけば、改正法に対する備えとしては相当なレベルに持っていける。完璧主義で動けなくなるより、マスクという最低ラインを今すぐ引くことのほうが、改正法に向けた現実的な第一歩になる。
担当者が「変えたい」と思った時、何が起きるか
この記事を読んで「うちも整備した方が良さそうだ」と思ったとして、実際に動かそうとすると、ほぼ確実にいくつかの壁にぶつかる。
ここから先は、採用コンサルとしてクライアント企業の中に入って何度も見てきた、リアルな話だ。
1. そもそも担当者が「整備が必要」と認識しているか
採用担当の中で、個情法・AI事業者ガイドライン・越境移転・要配慮個人情報の論点を一通り押さえている人は、現場感覚で言えば少数派だ。「ChatGPT便利」「仕事が早くなった」のレイヤーで止まっていて、その先のリスクレイヤーまで踏み込んでいない。改正ニュースをきっかけに、まず「これは自分の領域の話だ」と認識してもらうところから始まる。
2. 変えることで業務にどう影響が出るか
「マスクツールを通してからAIに投入する」というフローを増やすと、当然、業務工数が1段増える。今まで「履歴書PDFを開いてChatGPTにドラッグ」で済んでいたものが、「PDFをマスクツールで処理 → 出力をChatGPTにコピペ」になる。1日10件処理しているなら、10件×追加工数。担当者からすると「採用ノルマが厳しいのに、これ以上工数増やすのか」となる。
3. 上司の許可が通るか
採用担当が「整備したいんですが」と人事部長や役員に持って行った時に、「分かった、すぐ進めてくれ」とは、ほぼならない。「で、それいくらかかるの?」「うちは規模が小さいから関係ないんじゃないか」「他社はやっているのか」「施行は2年後でしょ?」── これらの問いに、担当者が答えられないと、案件は止まる。
4. 動かす相手の人柄
これは社内事情に踏み込む話だが、現場では極めて大きい。「あの人、固いから話したくないんだよな…」「あの人に相談すると、必ず弁護士確認だって言われて1ヶ月止まるんだよな…」── こういう感情で、整備の話そのものが先送りされる。組織が大きくなるほど、誰に何の順番で話すかが、整備のスピードを決める。
5. 「変えるの面倒だな」という根本
整備は1回の作業で終わらない。プライバシーポリシーの追記、応募者同意文面の更新、社内規程の整備、ツールの導入、担当者の研修、運用ログの管理。動かし始めると、芋づる式にやることが増える。「2年あるから、もう少し他社の動向見てから」と判断したくなる気持ちは、現場として理解できる。
ただ、これらの壁を越える時間こそが、施行までの「2年」で消えていく時間だ。担当者の認識づくり、影響範囲の整理、上長の説得、関係者の調整、運用テスト、研修。各ステップで数週間〜数ヶ月かかる。2年は、思ったほど長くない。
施行までの「2年」で起きること(と、起きないこと)
改正法の施行は公布から2年以内(2028年春ごろ見込み)。前回の改正スケジュールにならえば、2026年夏ごろまでに公布、2026年末ごろに施行令・規則案、2027年夏ごろにガイドラインやQ&A、そして2028年4月ごろに施行、という流れが予想されている。
起きること: 業界では「先に整備した会社」が「整備していない会社」を上回る評判を作り始める。採用業務でAIを使う前提を、応募者側も知るようになる。求人サイトや採用代行業者が「うちは仮名加工情報運用で整備済み」を打ち出す。整備済みの会社にいい人材が集まる、という構造が、徐々に動き出す。
起きないこと: 「2年後に一斉に始めればいい」というシナリオは、実態では成立しない。整備に動くと、上に書いた5つの壁が必ず立ち上がる。それを越えるのに半年〜1年は普通にかかる。2027年末に「あと半年だから始めよう」と思っても、もう遅い。
つまり、2026年中に動き出す会社と、2027年末から動き出す会社で、施行時の整備レベルに相当な差が生まれる。改正法は「課徴金」というラベルを付けることで、その差が表に出るタイミングを早めにずらしている。
今やるべき3つの点検
採用責任者として、いま動かす場合の最初の3点を、コンサル現場で必ず聞くオーダーで挙げる。
1. 自社の採用業務で、応募者情報がどの社外AIに流れているか棚卸し
個人ChatGPT、社用Claude、Gemini、Copilot、議事録AI、スカウトサイトのAI機能 ── 全部リストアップ。「使っていないつもり」が一番危ない。実際は担当者個人のアカウントで動いているケースが大半だ。
2. 応募者同意文面・プライバシーポリシーの現状確認
「業務委託」「クラウド利用」「外国への移転」の記述があるか。米国AI利用の文脈で読み替え可能か。既存プラポリの「業務委託・クラウド利用」記述に米国AI委託の1文を追記する形で対応可能なら、ハードルは低い。「無対応」状態(プラポリに何の記述もない)なら、ここから始める。
3. マスクツールの導入可否を社内検討
完璧主義に陥らず、「マスクという最低ライン」を入れるかどうかだけ、最初に決める。完全な仮名加工情報運用は、その後でいい。「マスクすら入れていない状態」から脱出することが、改正法に向けた最初の足場になる。
結語
採用AIは止めなくていい。生産性向上は明らかで、業界全体がそちらに動いている。
ただ、改正法が「課徴金」というラベルを付けた以上、「マスクすらしていない」状態を続けるのは、後でじわじわ効いてくる。
施行までの2年は、思ったほど長くない。担当者の認識づくり、社内の説得、運用設計、研修 ── どれも時間がかかる。今動き出すか、あと1年半待って慌てるか、ここで分岐する。
「あの人、固いから話したくない」「変えるの面倒」── そう感じる時間が、施行までの2年で確実に消えていく。痛い目を見てから整備するより、今のうちに最低限のマスクだけでも入れ始めるほうが、後から効く。
採用業務でAIを使っている会社は、改正法のニュースを「自分ごと」として読んだほうが、たぶん良いタイミングです。
ご留意事項
本記事の法的整理は、当社の理解に基づく一般的な解説です。個別事案の法的判断、規程・契約条文の最終確定にあたっては、貴社顧問弁護士・行政書士等の専門家による確認を推奨します。
採用AI整備のご相談
セコネは、セキュリティ人材特化の採用コンサルティングを提供しています。採用業務のAI整備を、マスクツール(完全ローカル動作)・AI利用規程ひな形・応募者同意文面・運用支援まで一式で提供しています。
「自社の採用AI、まずマスクから始めるとしたら何が必要か」「上司に説明するための整備の優先順位は」── そういう相談から入れます。
著者:高田 祥
セキュリティ人材専門の採用コンサルタント。株式会社セコネ代表。
情報処理安全確保支援士(登録番号 第019946号)。上級個人情報保護士。個人情報保護監査人。CompTIA Security+。
セキュリティベンダー・事業会社のセキュリティ採用を、職種設計からスカウト・面接設計まで一貫して支援。採用業務でのAI活用に関する整備支援にも対応。
出典:個人情報保護委員会「個人情報の保護に関する法律等の一部を改正する法律案」閣議決定資料(2026/4/7・https://www.ppc.go.jp/news/press/2026/260407/ )/PPC概要資料PDF( https://www.ppc.go.jp/files/pdf/260407_gaiyou.pdf )/時事通信社「悪質業者に『課徴金』、衆院通過」(2026/5/26)/共同通信「個人情報法改正案、衆院を通過 企業が同意なき病犯歴収集可能に」(5/26、Yahoo News転載 https://news.yahoo.co.jp/articles/14a313064458bddee6a2739de4e3b3be5c9fc4f0 )/株式会社HERP「採用活動におけるAI活用とセキュリティに関する実態調査」(2026年2月公表、有効回答331名・PR TIMES:https://prtimes.jp/main/html/rd/p/000000114.000030340.html )。法令の引用は、個人情報保護法・同法施行規則、経済産業省・総務省「AI事業者ガイドライン(第1.2版、2026年3月31日公表)」に基づく。