あなたの心拍数、DNA、顔――誰のものか、5カ国で答えが違う

心拍数、血中酸素濃度、睡眠パターン、DNA配列、顔の特徴点。私たちの体が毎秒生み出すデータは、いま企業に収集・売買され、捜査当局に提出を求められ、そして大規模に漏洩しています。しかも同じ生体データが、どの国にいるか、誰が集めたか、集めたのが企業か国家かによって、まったく異なる法的扱いを受けます。

PRISMは英語・日本語・韓国語・中国語の情報源を横断し、5つの法制度が「体のデータ」をどう扱っているかを整理しました。（関連記事：あなたの体が証拠になる日）

まず、数字を見てください

2024年、米国だけで2億7,680万件の医療記録が漏洩しました。前年比64.1%増です。Change Healthcare社へのランサムウェア攻撃では1億9,000万人分のデータが流出し、医療分野で史上最大の情報漏洩となりました。

一方、ウェアラブル端末の市場は急拡大しています。2025年時点でスマートウォッチの利用者は世界で約5億6,286万人。2026年には6億4,015万人に達する見通しです。利用者の92%が健康管理やフィットネスの目的で端末を使っています。手首から流れ出るデータ――心拍変動、血中酸素、睡眠サイクル、月経周期――は極めて個人的な情報です。

そして最も警戒すべき盲点があります。米国のHIPAA（医療保険の携行性と責任に関する法律）は、消費者向け健康アプリやフィットネストラッカー、ウェアラブル端末をカバーしていません。正規の医療システムに入らない限り、そのデータは規制の空白地帯に置かれます。

この空白は実害を生んでいます。オンラインカウンセリングのBetterHelp社はセラピーデータをFacebookに共有し、FTC（連邦取引委員会）に780万ドル（約11億7,000万円）の和解金を支払いました。処方薬情報を広告プラットフォームに流していたGoodRx社は150万ドル（約2億2,500万円）。メンタルヘルスアプリの87%に深刻なプライバシー上の脆弱性が見つかっています。ダークウェブではセラピー記録1件が1,000ドル（約15万円）以上で取引されており、盗まれたクレジットカード情報よりはるかに高値です。

日本：AI開発のため同意要件を緩和へ

日本の状況から見ていきましょう。個人情報保護法（APPI）は、生体認証データや健康記録を「要配慮個人情報」に分類し、取得には原則として本人の明示的な同意を求めています。

ところが2025年3月、個人情報保護委員会（PPC）は大きな転換を提案しました。健康データや生体データを、統計処理やAI開発の目的であれば本人の同意なしに利用できるようにするというものです。要配慮個人情報という分類の根幹にある同意要件を、丸ごと覆す可能性がある提案です。

背景には、日本のAI・医療イノベーション推進の国策があります。匿名加工医療情報に関する法律（次世代医療基盤法）はすでに、匿名化された大規模な健康データの研究利用を可能にしています。PPCの提案はこの流れをさらに押し進めるものです。

同時に、マイナンバーカードの健康保険証との一体化が進んでいます。政府は処方履歴や医療記録へのアクセスが可能になり、利便性が高まる一方、データの集中管理に対する懸念も指摘されています。

見逃せないのが企業の健康管理文化です。日本では定期健康診断が法律で義務づけられ、多くの企業が従業員の健康データを定期的に収集しています。ウェアラブル端末を活用した健康経営の取り組みも広がっていますが、そこで集まるデータのプライバシーについて、十分な議論がなされているとは言えません。APPIのガイドラインは、従業員へのモニタリング実施の通知を推奨するにとどまり、厳格な禁止規定は設けていません。

APPIは3年ごとの見直しサイクルがあり、次の大幅改正は2025年から2026年にかけて予定されています。行政罰の強化も検討されていますが、全体としてのメッセージは明確です。日本はAIイノベーションの推進を、厳格な同意要件の維持より優先する賭けに出ている――近隣諸国が取っていない選択です。

広告掲載について

[email protected]

米国：体のデータは「規制されない商業資産」

米国には、包括的な連邦レベルの健康データプライバシー法が存在しません。HIPAAは病院や保険会社をカバーしますが、スマートフォンのアプリは対象外です。

23andMe社の破産（2025年3月）は、この問題を象徴的に浮き彫りにしました。同社がチャプター11を申請した際、1,500万人分の遺伝子データが破産手続きの中で競売にかけられうる企業資産となったのです。ニューイングランド・ジャーナル・オブ・メディシンは「既存のプライバシー、破産、生命倫理の枠組みは、破産裁判所を通じた遺伝子データの移転に対応できていない」と警告しました。

さらに深刻なのが、出生時の新生児血液検査です。ニュージャージー州では、警察が保管されていた新生児の血液サンプルを令状なしに利用し、犯罪捜査に活用していたことが発覚。親たちの反発を受け、テキサス州は500万件以上、ミネソタ州は110万件のサンプルを廃棄しました。

EU：「体のデータは基本的人権」

EUはGDPRのもとで生体・遺伝子・健康データを「特別カテゴリー」と位置づけ、処理には明示的な同意を要求しています。2025年2月に発効したAI法は、法執行機関によるリアルタイムの遠隔生体認証を原則禁止しました。世界で最も厳しい生体認証監視規制です。

2025年3月26日には欧州健康データスペース（EHDS）規則が発効し、EU全体で健康データの共有に関する枠組みが整いました。違反時の制裁金は最大2,000万ユーロ（約33億円）、または全世界売上高の4%です。

韓国：保護強化と市場拡大を同時に追う

韓国は個人情報保護法（PIPA）で健康・生体データを「機微情報」として手厚く保護しつつ、バイオテク産業の成長も図っています。2025年3月に施行されたデータポータビリティ権により、個人は自身のデータを機械可読形式で請求できるようになりました。遺伝子検査市場は2025年の3億1,600万ドル（約474億円）から2035年には17億7,000万ドル（約2,655億円）へ、年率18.8%で成長が見込まれています。

中国：「国民を企業から守る。国家からは守らない」

中国の個人情報保護法（PIPL）は生体・遺伝子データを機微情報と分類し、個別の同意と影響評価を求めています。2025年11月発効の新国家標準では、歩容認識や虹彩パターン、心理的健康データまで対象が拡大されます。

しかし国家の監視活動は適用除外です。中国は世界最大の生体認証監視ネットワークを運用する一方、中国人の遺伝子データを「戦略的国家資産」に指定し、外国企業のアクセスを制限しています。2025年2月に米ゲノム企業Illumina社が「信頼できない実体リスト」に掲載されたことは、遺伝子データの統治が地政学の領域に入ったことを示しています。

日本の読者が考えるべきこと

非識別化された健康データ市場は2025年に88億ドル（約1兆3,200億円）規模に達しました。ヘルスケア分野のビッグデータ産業は1,109億7,000万ドル（約16兆6,000億円）規模です。体のデータが収集されるかどうかは、もはや問いではありません。誰がそこから利益を得て、誰がそれを武器にするのかが問われています。

日本が選ぼうとしている道――AI開発のための同意要件緩和――は、イノベーションと個人の権利をどう両立させるかという、世界共通の問いへの一つの回答です。しかし同じデータが国境を越えて流れる以上、日本一国の制度設計だけでは完結しません。イリノイ州の生体認証情報プライバシー法（BIPA）が2025年だけで100件以上の集団訴訟を生み、テキサス州ではGoogleが13億7,500万ドル（約2,063億円）の和解金を支払った事実は、厳格な法律が現実の説明責任を生むことを証明しています。

本稿はPRISMのAIが英語・日本語・韓国語・中国語のニュースソースを日次で分析し、作成したものです。

参照情報源： HIPAA Journal、NPR、ニューイングランド・ジャーナル・オブ・メディシン、Health and Human Rights Journal、FTC、ACLU、Privacy International、ブルッキングス研究所、Lawfare、スタンフォード大学ロースクール、全米科学者連盟、IAPP、CMS Law、欧州委員会、Chambers and Partners、China Briefing、Bird & Bird、DemandSage、Athletech News、Stateline、National Law Review、Biometric Update、Science（AAAS）