――国家情報局・重要インフラ事業者という2つの経路を、海外事例と「思想輸出進行度指標」という補助線から検証する
※「思想輸出進行度指標」とは、一当研究所が提唱する仮説的な分析枠組みである。(原典:『パランティアと日本|ダーク・エンライトメント浸透の兆候』一般財団法人 日本危機管理研究所 https://inst-ds.org/cyber-security/1745/) 詳細は巻末の注記および第6章を参照。」
2026年7月14日
発行元: 一般財団法人 日本危機管理研究所
目次
1-0 前提知識——個人情報保護法とは何か
1-1 何が変わったか
1-2 なぜこれが「道具」になりうるのか
1-3 「道具」としての射程
2-1 国家情報会議設置法の成立
2-2 大門議員の追及と政府の応答
2-3 先行実例:アルゼンチンDNU941号
2-4 評価
第三章 経路②——重要インフラ事業者は統計特例をどう使いうるか
3-1 SOMPO・富士通に見る先行事例
3-2 先行実例:英国NHS「254条指示」
3-3 評価
4-1 なぜ「対照例」か
4-2 ドイツ
4-3 フランス
4-4 スペイン
4-5 共通するパターン
4-6 「無防備」の告白
5-1 経路①への歯止め
5-2 経路②への歯止め
5-3 第三者監査機関
5-4 基盤モデルの開示制度
5-5 セキュリティクリアランス
5-6 「完成前に止める」判断基準
第六章 本稿全体を俯瞰する (統計特例が生む2つの経路の構造図、他)
この記事の位置づけと注記について
本稿は推察と事実を明確に区別するリスク分析である。本文中、一次資料で確認できた事実には「確認できた事実」等の表現を、推察・仮説を含む場合には「推察」「仮説」等の表現を明記する。断定を避け、根拠のない主張または広く共有されていない事実には出典を明示する。
この記事の新規性・ねらい
● 2026年7月10日に成立した改正個人情報保護法の統計特例を、「それ自体が何をもたらすか」ではなく「国家情報局・重要インフラ事業者が、技術主権的アクターへのデータ提供を法的に正当化する“道具”として、今後使われうるか」という一点に絞って検証した論考は、調査した範囲では見当たらない。
● この検証のために、①与党AI政策責任者・防衛省の一次資料(タイムスタンプ付き国会答弁)、②当研究所の「思想輸出進行度指標」、③英・独・仏・西の最新の対Palantir政策(2026年4〜7月)という3種の異なる材料を、単一の問い(統計特例は合法化の道具になりうるか)を検証するための証拠として統合する。
● 特に、英国NHSにおける「既存法の非公開の行政指示による同意なきデータアクセスの実現」という先行実例は、日本の統計特例が将来たどりうる経路の、最も具体的な参考事例として位置づける。
キーワード
統計作成等特例(AI特例)
要配慮個人情報
国家情報会議設置法
技術主権的アクター
Palantir Technologies
思想輸出進行度指標(一民間研究機関による仮説的な分析枠組み)
データ主権
法的正当化の経路
年表
本稿で扱う出来事は、2025年12月末から2026年7月10日までの、わずか7ヶ月あまりに集中している。以下の年表は、その時系列を一覧できるようにしたものである。

図:2025年12月〜2026年7月の関連年表
エグゼクティブサマリー
● 2026年7月10日、改正個人情報保護法が成立。AI開発目的であれば、要配慮個人情報を含む個人データを本人同意なく第三者提供できる「統計特例」が新設された。匿名化義務・団体訴訟制度は盛り込まれなかった。
● 本稿の核心的な問いは、この統計特例が、①国家情報局、②重要インフラ事業者という2つの主体によって、Palantir等の技術主権的アクターへのデータ提供を法的に正当化する“道具”として、将来使われうるかである。
● 経路①(国家情報局):参議院内閣委員会(2026年5月21日)で大門実紀史議員は、国家情報会議設置法案第7条に基づく資料提供が個人情報保護法上の「法令に基づく場合」に該当することを政府参考人・岡素彦・内閣審議官(内閣情報調査室担当)に確認させ、 統計特例経由のデータが同会議・局に及びうる可能性についても政府参考人・小川久仁子氏(個人情報保護委員会事務局審議官)から説明を得た。木原稔官房長官は運用を限定する立場を示している。この経路の最も進んだ先行実例が、アルゼンチンの大統領令DNU941(国家機関に情報機関への個人データ共有を義務化)である。
● 経路②(重要インフラ事業者):SOMPO・富士通は既にPalantir・Anthropicとの関係を深化させており、統計特例が施行されればこの経路の法的障壁は下がりうる。この経路の最も進んだ先行実例が、英国NHSにおける「254条指示」——既存法の非公開の行政運用によって患者データの同意なきアクセスを実現した仕組み——である。
● 防衛省・吉野審議官は2026年7月8日の国会答弁で、Palantir導入は未決定であり、日本の主体的意思決定とデータ主権の確保が不可欠と明言している。日本は現時点で、両経路とも“法的完成前”の段階にある。
● ドイツ・フランス・スペインは、軍事・情報分野でのPalantir依存を政治判断により断ち切る方向を示している(フランスは政治的発表の段階にとどまり、契約自体はPalantir側が「有効」と主張し係争的である)。これは、「一度深化した関係でも、法的に完成する前であれば止められる」という対照例を示している。
● 思想輸出進行度指標という仮説的な分析枠組みで測ると、Palantirの日本への浸透は初期段階にあるとされる。これは断定できる事実ではないが、この枠組みに従うならば、日本にはまだ、両経路を防ぐ制度設計の猶予があることを意味する。
第1章 統計特例——「法的正当化の道具」の誕生
1-0 前提知識——個人情報保護法とは何か
個人情報保護法は2003年に制定された法律で、事業者が個人情報を取り扱う際のルールを定めている。所管するのは独立行政委員会である個人情報保護委員会であり、法違反に対する勧告・命令等の権限を持つ。同法の基本原則は、個人データを本人の同意なく第三者に提供してはならないという点にあり、例外は「法令に基づく場合」等、限定的に列挙されている。この法律は数年おきに見直しが行われており、2026年の改正はその最新のものにあたる。
1-1 何が変わったか
2026年7月10日、参議院本会議において、改正個人情報保護法が自民党・日本維新の会・国民民主党・チームみらい等の賛成多数により可決・成立した。立憲民主党・公明党・参政党・共産党・れいわ新選組・沖縄の風・社民党等は反対に回っている。
改正の柱は、AIモデルの学習や統計情報の作成を目的とする場合に限り、個人データを第三者へ提供する際の本人同意を不要とする「統計作成等特例」(以下、統計特例)である。現行法では、企業や病院が保有する個人データを外部へ提供する場合、原則として本人の同意取得が義務づけられていたが、この特例により、AI開発や統計作成という目的に限定したうえで、同意取得のプロセスを省略できるようになる。病歴や犯罪歴、思想信条といった「要配慮個人情報」も、この特例の対象に含まれる。
政府はこの規制緩和の狙いについて、米国や中国に後れを取っているとされる国内のAI開発力を後押しする点にあると説明している。
1-2 なぜこれが「道具」になりうるのか——2つの空白
統計特例には、安全管理措置の整備義務と、提供元・提供先間の合意内容等を事前公表し第三者が検証できる仕組みが盛り込まれている。この点は公平に記す必要がある。
しかし、本稿の核心的な問い——この特例が、技術主権的アクターへのデータ提供を正当化する道具として機能しうるか——という観点から見たとき、決定的に重要なのは次の2つの空白である。
第一に、提供元の事業者に対して氏名等の匿名化を義務付ける規定はない。これは、統計特例を経由して提供されるデータが、識別可能な生データに近い形のまま、提供先の手に渡りうることを意味する。
第二に、被害を受けた本人に代わって消費者団体が差止請求等の訴訟を起こせる団体訴訟制度は、今回の改正には盛り込まれなかった。事前公表による透明性の仕組みはあるものの、それが実際に機能しているかを外部から強制的に検証する手段は用意されていない。
全国保険医団体連合会は、AI開発を目的とすれば医療機関が保有する病歴等の要配慮個人情報を本人の同意なく企業等へ提供できるようになる点について、特定の個人を識別できる情報が漏えいする危険性を指摘し、この改正法を「改悪法案」と表現して廃案を求める声明を発表していた。
1-3 「道具」としての射程——誰が、何のために使いうるか
統計特例の文言自体は、特定の主体や特定の提供先を想定したものではない。この一般性こそが、道具としての射程を広げている。理論上、この特例を用いてデータ提供を受けられる主体には、次の両方が含まれうる。
● 国家(国家情報局等の情報機関)——政府が自ら統計特例の枠組みを、省庁横断的なデータ集約の法的根拠として用いる経路
● 重要インフラ事業者——民間企業が、AI開発目的を掲げて技術主権的アクター(Palantir等の海外プラットフォーム企業)へのデータ提供を、この特例を根拠に正当化する経路
本稿は、この2つの経路それぞれについて、日本国内で既に示されている懸念と一次資料、そして海外の先行実例を、続く第2章・第3章で検証する。
第2章 経路①——国家情報局は統計特例をどう使いうるか
2-1 国家情報会議設置法の成立
改正個人情報保護法とほぼ同時期、政府の情報機能を強化する国家情報会議設置法が2026年5月27日に参院本会議で成立し、政府は同年夏に国家情報局を発足させる方針である。
2-2 大門議員の追及と政府の応答——統計特例と国家情報会議の組み合わせ
2026年5月21日、参議院内閣委員会(第221回国会、第9号)で大門実紀史議員は、国家情報会議設置法案第7条——国家情報会議・国家情報局が各省庁に対し資料・情報の提供を求めることができる規定——について、政府参考人の岡素彦・内閣審議官(内閣情報調査室担当)に確認を求めた(肩書きは共同通信、2026年4月10日付「『国家情報戦略』策定を明言」記事で確認)。岡氏は、個人情報保護法第69条の規定が目的外の利用・提供を原則禁止しつつ「法令に基づく場合」を例外として認めていることを踏まえ、「国家情報会議設置法第七条の規定に基づく資料提供等は、まさに個人情報保護法に言う法令に基づく場合に該当するものです」と明確に答弁した(会議録、発言92)。
大門議員はさらに、当時衆議院で審議中であった改正個人情報保護法案の統計特例(AI開発・統計作成目的であれば本人同意なく個人情報を第三者提供できる規定)を踏まえ、統計目的で集められた個人情報について、国家情報会議・局が求めれば提供されることになるのかと質問した。政府参考人の小川久仁子氏(個人情報保護委員会事務局審議官)は、改正法がAI開発を含む統計作成等のみを目的とする事業者の第三者提供について本人同意を不要とする特例を新設すること、また行政機関についても現行法第69条第2項第4号により専ら統計作成目的の場合は目的外提供が可能とされていることを説明した(発言94)。
大門議員は続けて、特定国との取引企業に関する統計調査を例に、統計目的で集められた個人情報が、本人の同意も認識もないまま国家情報会議・局に集約されうるのではないかと追及した。岡氏は、現行法下でも本人同意なく個人情報が他省庁に提供される例は既にあり、それゆえ現行の第69条の規定が組み立てられているとの認識を示した(発言95、96)。
最後に大門議員は、国家情報局の運用主体が公安警察中心になりうることへの不信感を背景に、木原稔官房長官に懸念を伝えた。木原長官は、「国家情報会議あるいは国家情報局が個人情報の提供を受けるケースというのは、例えばテロリズムの発生の防止といった……所掌事務を遂行する目的の関係で、それに必要な範囲に限られるものであります」と述べ、所掌事務を超えた不特定多数の個人情報の収集・集約・分析は「考え難く、また……その必要もないのではないか」との認識を示した(発言97、98)。
なお、個人データの漏えい報告について、窓口を国家サイバー統括室(NCO)に一本化する調整が進んでいることも、別途報道で確認されている(日経クロステック、2026年1月14日付)。これは統計特例やデータ主権の議論とは独立した、報告体制の効率化を目的とした調整である点に留意されたい。
2-3 先行実例——アルゼンチンDNU941号
この経路が実際にどこまで進行しうるかを考える上で、アルゼンチンの事例は最も具体的な参考になる。
2025年12月31日、アルゼンチンのミレイ政権は議会休会中に大統領令(DNU)941号を公布し、国家情報法を改正した。この大統領令は、ANSES(社会保障庁)・AFIP(税務庁)・RENAPER(国民身元登録庁)・保健医療システムを含む15以上の国家機関に対し、裁判所命令なし、市民への通知なしに、個人データを国家情報庁(SIDE)と共有することを義務付けるものであった。
大門議員が懸念する構図——省庁横断的な情報収集権限と、目的外提供を可能にする例外規定の組み合わせ——は、アルゼンチンにおいて、まさにこの形で法的に完成している。日本の現状との決定的な違いは、アルゼンチンでは大統領令という形で、この経路が既に法的拘束力を持つ形で実現しているのに対し、日本では現時点でこの経路への懸念が国会で追及されている段階にとどまり、政府はこれを否定する立場を取っているという点である。
2-4 評価
以上を踏まえると、経路①(国家情報局による統計特例の援用)は、日本において理論上の懸念として国会で追及されているが、法的に実現した事実としては確認されていない、という位置づけになる。アルゼンチンの事例は、この懸念が絵空事ではなく、他国において実際に法制化されうる性質のものであることを示す、具体的な警告材料として機能する。
第3章 経路②——重要インフラ事業者は統計特例をどう使いうるか
SOMPO・富士通・Palantir・Anthropicの関係は、文章だけでは把握しにくい。以下の図は、それぞれの企業間の契約・提携関係を整理したものである。

図:SOMPO・富士通・Palantir・Anthropicの関係図
3-1 SOMPO・富士通に見る、先行するデータ集約の実態
経路②は、国家ではなく民間の重要インフラ事業者が、統計特例を根拠として技術主権的アクターへのデータ提供を正当化しうる、という経路である。この経路がどこまで現実的かを検討するために、まず日本国内で既に進行している事実関係を確認する。
SOMPOホールディングスは2019年、Palantir Technologiesと合弁会社を設立し、2020年には「安心・安全・健康のリアルデータプラットフォーム」構築のため500百万米ドルを出資した。ここで扱われる「リアルデータ」は、SOMPO自身が「個人・企業の実世界での活動についてセンサー等により取得されるデータ(健康情報等)」と公式に定義するものであり、介護施設(SOMPOケア)の高齢者ケア情報がこれに含まれる(損害保険の引受・支払い業務で扱われる建物・災害データとは区別される)。
ここで指摘しておくべき重要な一致がある。改正個人情報保護法が統計特例の対象として新たに同意なき第三者提供を認めたのは、病歴・健康情報を典型例とする「要配慮個人情報」である。SOMPOケアが扱う介護・健康情報は、まさにこの対象範囲と正確に重なる。これは、経路②が抽象的な可能性にとどまらず、対象となるデータの種類において、既に具体的な接続点を持っていることを意味する。ただし、これはデータの性質が一致しているという事実であり、SOMPOケアが実際に統計特例を用いる計画があることを意味するものではない。この点は次段落で確認する。
富士通は2025年8月、Palantir AIP(生成AIを業務に組み込むプラットフォーム)のライセンス契約を締結し、同時に防衛装備庁からAI関連の委託研究を受注している。さらに2026年5月には、Anthropicとの戦略的パートナーシップを締結し、全社員約10万人にClaudeを展開する方針を示した。Palantir AIP自体は複数の外部AIモデルを選択的に組み込む「モデル非依存」の設計であり、技術的には、富士通が保有するPalantir AIPとAnthropicとの関係が、同一のプラットフォーム上で交差しうる状態にある。
ここで重要なのは、これらの事例が、いずれも既存の業務委託契約に基づくものであり、統計特例(本人同意不要の第三者提供)とは異なる法的スキームで運用されている、という点である。SOMPOケアが統計特例の枠組みを用いて第三者提供を行う計画があることを示す一次資料は、IR資料等では確認できていない。
したがって、経路②は現時点で「法的に完成した事実」ではない。しかし、統計特例が施行されれば、これらの既存の商業関係において、「AI開発目的」を掲げることで、本人同意という手続き的障壁を経ずに、より大量かつ機微なデータをこれらのプラットフォームへ提供することが、法的に可能になるという条件が新たに整う。これが、本稿が経路②として検証する対象である。
3-2 先行実例——英国NHSにおける「254条指示」
この経路が実際に法的完成へと至った場合にどうなるかを示す、最も具体的な先行実例が英国にある。
英国NHS(国民保健サービス)の「Federated Data Platform(FDP)」——Palantirが中核を担う、契約額3.3億ポンド(7年間。報道によっては延長時最大4.8億ポンドとする試算もある)の医療データ統合基盤——では、患者がデータ処理を拒否(オプトアウト)することができない。この仕組みは、新たな立法によってではなく、2012年健康・社会ケア法254条に基づく、非公開の行政指示によって成立している。英国議会では、この指示自体が公表も審査もされていないことが問題視され、下院の科学・イノベーション・技術委員会が政府に関係解消を勧告した。
この事例が示す教訓は重要である。技術主権的アクターへのデータ提供を法的に正当化する経路は、必ずしも派手な新規立法を必要としない。既存の法律の中にある例外規定を、非公開の行政運用によって組み合わせるだけで、実質的に同じ効果を生み出せる。
日本の文脈に置き換えると、これは次のような問いを提起する。統計特例という新たな例外規定が施行された後、それが重要インフラ事業者とPalantir・Anthropic等との既存の商業関係に適用され、行政の運用レベルで「AI開発目的」の解釈が広げられていった場合、英国のNHSと同様の状態——本人の実質的な同意なきデータアクセスの恒常化——が、公式な検証プロセスを経ないまま生まれる可能性はないか。
3-3 評価
経路②についても、経路①と同様に、現時点で法的に完成した事実ではなく、条件が整いつつある段階にある。SOMPO・富士通の事例は、統計特例が施行される前から、民間の重要インフラ事業者が独自の判断でPalantir・Anthropicとの関係を深化させてきたことを示しており、これは英国のNHSがPalantirとの関係を深化させた後に254条指示という法的な仕上げを迎えた経緯と、構造的に似ている。
英国の事例との決定的な違いは、日本ではまだ、統計特例を根拠とした具体的なデータ提供の事例、あるいはそれに類する非公開の行政運用は確認されていないという点である。
第4章 まだ止められる——独・仏・西の対照例
ドイツ・フランス・スペインの対応は、分野によって、また国によって異なる。以下の表は、防衛・情報治安・医療基盤の3分野について、各国の対応状況を整理したものである。

図:国別・分野別のPalantir対応マトリクス
4-1 なぜ「対照例」として位置づけるのか
第2章・第3章で見た2つの経路——国家情報局による援用、重要インフラ事業者による援用——は、いずれも「法的に完成する前の段階」にある。では、いったん深まった技術主権的アクターとの関係は、法的完成の手前で本当に止められるのか。ドイツ・フランス・スペインの事例は、この問いに対する具体的な答えを提供する。
4-2 ドイツ:新規プロジェクトからの除外
2026年4月、ドイツ連邦軍のサイバー・情報部門トップは、新規プロジェクトにおいてPalantirへの契約付与を予定していないと表明した。理由として、一民間の米企業に自国の機密データベースへのアクセスを許すことは考えられない、との説明がなされている。これは、経路①・②いずれにおいても、関係が本格的な依存に至る前の段階で、政治的判断によって止められた実例である。ただし、これは特定の新規プロジェクトからの除外にとどまり、過去の全ての関係を清算したという意味ではない。
4-3 フランス:契約更新の直後での急転換
2026年6月、フランス対外治安総局(DGSI)は、2016年から続いていたPalantir(Gothamシステム)との契約を打ち切り、フランス国内企業ChapsVisionに切り替えると発表した。ルコルニュ首相は「我々は自国のAIモデルを使わねばならない。デジタル分野で新たな戦略的依存を認めるわけにはいかない」と述べている。
ただし、この「打ち切り」は現時点では政治的発表の段階にとどまる。Palantir社はAFPに対し、2025年12月に3年契約で更新したばかりの契約は「pleinement en vigueur(完全に有効なまま)」であると反論しており、ChapsVisionへの移行は2027年頃になる見通しで、契約解除の法的条件が実際に満たされるかは両社とも明らかにしていない。つまりこの事例もまた、本稿が経路①・②について一貫して用いてきた「法的完成前」という留保が、対照例側にも同様に当てはまる。
この事例が特に示唆的なのは、DGSIがわずか半年前(2025年12月)に3年契約を更新したばかりであったという点である。これは、経路①(情報機関による技術主権的アクターへの依存)が、たとえ契約更新という形で一度深化した後であっても、政治的判断によって方向転換の意思が示されうることを示している。ただし、その方向転換自体もまだ「宣言」の段階にあり、実際の移行完了には至っていない——「法的に完成していない限り、深化した関係も引き返しうる」という教訓は、対照例そのものにも二重に当てはまる。
4-4 スペイン:国有企業への一律禁止
2026年、スペイン首相府は、SEPI(国有企業持株機関)傘下の企業(Indra、Telefonica、造船大手Navantia等)に対し、Palantirとの契約締結を禁止する指示を出した。理由として、機密性の高い通信・軍事情報を扱う組織における、機微な国家データの脆弱性への懸念が挙げられている。これは、個別の契約単位ではなく、国有企業全体を対象とした予防的な一律禁止という、より広範な対応の実例である。
4-5 共通するパターンと、日本への示唆
これら3か国に共通するのは、技術主権的アクターとの関係が、契約更新や既存の運用実績にかかわらず、“法的な完成”(新規立法や恒久的な制度への組み込み)に至る前であれば、政治的判断によって止められるという点である。
これを本稿の核心的な問いに引きつけると、次のように言える。日本において経路①(国家情報局)・経路②(重要インフラ事業者)が、統計特例やその運用実態を通じて法的完成に近づいた場合でも、独・仏・西の事例は、その手前の段階であれば方向転換が可能であることを示している。逆に言えば、英国NHSの254条指示のように、一度、非公開の行政運用や制度的な組み込みという形で“完成”してしまえば、方向転換の政治的コストは格段に高くなる、ということでもある。
日本が現在置かれているのは、まさにこの「完成前」の段階である。
海外報道は、独仏の政策転換のタイミングが、2026年6月12日に生じたAnthropic社のClaude Mythos・Fableへの国外アクセス制限(米国籍以外のユーザーへの一時的なアクセス遮断)の直後であった点を指摘している。複数の分析は、この一件が欧州の情報機関に「外国製AI基盤への依存の脆弱性」を印象づけ、独仏の即応的な政策転換を後押しした一因であったとみている。これは、本稿の政策提言④(基盤モデルの提供企業・提供国の開示制度)が想定するリスクが、既に欧州で現実化した実例と位置づけられる。
4-6 土台の脆弱性——政策担当者自身による「無防備」の告白
第2章・第3章で見た2つの経路は、いずれも「法的完成前」の段階にあるとはいえ、それを止めるための制度的な土台がどこまで整っているかは、別途検証が必要である。
この点について、自民党デジタル社会推進本部長・平井卓也氏(元デジタル大臣)は、2026年7月2日のFCCJ会見「Japan’s AI Future」において、次のように述べている(FCCJ公式YouTube https://www.youtube.com/live/pgKW3xoNqho 、該当49:41–50:02)。
国際共同研究開発における開発データのアクセス権・セキュリティの担保について、
「これまで日本はその部分について“結構無防備にやっていた”」
平井氏は同会見で、AI政策の理念として「AI主権(開かれた戦略的自立性)」——特定の企業・国・モデルへの過度な依存を避けつつ、必要な場合には自ら開発・運用できる能力を維持するという考え方——を掲げている。しかし、この理念を支えるはずのセキュリティクリアランス制度やデータアクセス権の担保が、政策担当者自身によって「無防備」と認められている点は、経路①・経路②のいずれについても、法的完成を防ぐための制度的な備えが、現時点で追いついていないことを示す、重要な一次資料である。
平井氏はまた、Palantir社が手がける「オントロジー」分野に日本企業が参入できるよう、政府として後押ししていく方針も示した。ここには、日本がPalantirへの依存リスクを抱える側面と、Palantir型のビジネスモデル自体を獲得しようとする側面が、同時に存在するという構図が見て取れる。
なお、防衛省・吉野審議官の「導入は未決定」という答弁については、報道との間に緊張関係がある点も付記しておく。朝日新聞は2026年6月、防衛省が指揮統制向けAIシステムとして米Palantir社の「メイブン・スマート・システム」導入の方向で検討を進め、年内に改定する安保関連3文書にAI活用を盛り込む方針を固めたと報じている。ただし同紙はこれを防衛省関係者の話として伝えており、当局からの公式確認は得られていないと明記している。これは矛盾というより、「公式答弁は慎重な留保を保ちつつ、内部の政策検討は先行して進む」という、この種の政策形成に典型的な構図であり、経路②が本稿の想定以上に既に進行している可能性を示唆する。
第5章 政策提言
これまでの検証を踏まえ、経路①(国家情報局)・経路②(重要インフラ事業者)それぞれに対する具体的な歯止めを提言する。
5-1 経路①への歯止め:統計特例の行政利用における第三者検証
国家情報局が統計特例、あるいは個人情報保護法の目的外提供容認規定を援用してデータを集約する場合、その運用が「所掌事務を遂行する目的に必要な範囲」に真にとどまっているかを、行政機関から独立した第三者機関が定期的に検証する仕組みを設けるべきである。アルゼンチンDNU941号のように、大統領令一本で裁判所命令・通知なしの共有義務が生じる事態を防ぐには、今この「法的完成前」の段階で、検証の制度化を先んじて行う必要がある。
5-2 経路②への歯止め:統計特例における匿名化義務の追加
統計特例には、氏名等の匿名化を義務付ける規定が現行法にはない。SOMPOケアの事例が示す通り、対象となりうるデータには健康情報が含まれる。英国NHSの254条指示が、非公開の行政運用によって同意なきアクセスを恒常化させた教訓を踏まえれば、匿名化義務の欠如は、経路②が法的完成に至った際の被害規模を直接左右する空白であり、委員会規則・ガイドラインにおいて最優先で埋めるべきである。
5-3 独立した第三者監査機関の設置
団体訴訟制度が見送られたことにより、経路②の運用は事実上、事業者間の事前公表と自己申告に依存している。統計特例に基づくデータ提供が真に統計作成等の目的にとどまっているかを、事業者から独立した立場で継続的に検証できる第三者機関の設置が望ましい。
5-4 基盤モデルの提供企業・提供国の開示制度
SOMPO・富士通の事例が示す通り、重要インフラ事業者が用いるプラットフォームは、複数の外部AIモデルを選択的に組み込む設計になっている。防衛・医療・介護等、機微性の高い領域でAIシステムを導入する際には、その基盤として実際に使用されるAIモデルの提供企業・提供国を特定し、当該モデルが提供国側の地政学的判断によってアクセスを遮断されるリスクを、システム選定・継続運用の評価項目に明記すべきである。2026年6月に生じたClaude Mythos・Fableへの一時的なアクセス制限は、こうしたリスクが理論上のものではないことを示す実例である。
5-5 「無防備」の解消——セキュリティクリアランス制度の整備
平井氏が自ら認めた「無防備」という状態を解消するため、国際共同AI開発における開発データのアクセス権・セキュリティクリアランス制度の整備を急ぐべきである。これは経路①・経路②いずれの歯止めにとっても、共通の制度的土台となる。
5-6 独・仏・西の経験に学ぶ——「完成前に止める」判断基準の明確化
独・仏・西の事例が示す通り、技術主権的アクターとの関係は、法的完成前であれば政治的判断により方向転換が可能である。日本においても、どのような兆候が現れた場合に契約・関係を見直すかという具体的な判断基準を、あらかじめ制度として明文化しておくことが、事後的な政治的コストを下げる。
第六章 本稿全体を俯瞰する
本稿の核心的な問いを、一枚の図に整理する。統計特例という一つの扉から、経路①(国家情報局)と経路②(重要インフラ事業者)という2つの道が分岐し、それぞれに日本の現状、海外の先行実例が対応する。

図:統計特例が生む2つの経路の構造図
この構造を、一民間研究機関が提唱する思想輸出進行度指標という補助的なレンズで見ると(原典:一般財団法人 日本危機管理研究所 『パランティアと日本|ダーク・エンライトメント浸透の兆候』https://inst-ds.org/cyber-security/1745/)、日本の位置づけは次のようになる。

図:思想輸出進行度指標の4段階と日本の現在地
思想的な浸透度合いとは別に、法的な完成度という観点から2つの経路を位置づけ直すと、次の図のようになる。

図:法的完成度のポジショニング図
結論
日本はまだ、両方の経路が「完成する前」にいる
本稿で検証した2つの経路——国家情報局による統計特例の援用(経路①)、重要インフラ事業者による統計特例を通じた技術主権的アクターへのデータ提供(経路②)——は、いずれも日本において現時点で法的に完成した事実ではない。ただし、両者は同じ「未完成」でも、確度の異なる未完成である。経路①は、国会で懸念として追及され、政府がその法的構造自体を否定しない一方で運用上の限定を説明している段階にある。経路②は、統計特例という仕組み自体がまだ施行されておらず、これを用いた具体的な事例も確認されていない段階にある。
しかし、アルゼンチンの大統領令、英国NHSの非公開の行政指示という先行実例は、この種の経路が、新規立法という派手な形を取らずとも、既存の例外規定と行政運用の組み合わせだけで完成しうることを示している。
平井卓也氏が自ら認めた「無防備」という言葉、そして防衛省が示した「導入は未決定」「複数選択肢を検討中」という答弁は、日本がこの完成の手前にいることの二重の証左である。同時に、ドイツ・フランス・スペインの事例は、この段階であれば、まだ方向転換が可能であることを示している。
統計特例という扉は、既に開かれた。その先に何を通すかは、まだ日本自身が選べる。
参考資料
一次資料(法令・国会・政府公式)
● 個人情報保護委員会「OpenAIに対する注意喚起の概要」2023年6月2日
● 第221回国会 参議院内閣委員会第9号(2026年5月21日)会議録:大門実紀史議員質疑、政府参考人・岡素彦・内閣審議官(内閣情報調査室担当)および小川久仁子氏(個人情報保護委員会事務局審議官)答弁、木原稔国務大臣(内閣官房長官)答弁 https://kokkai.ndl.go.jp/simple/txt/122114889X00920260521/91 〜 /98(発言番号91–98)
● 共同通信「『国家情報戦略』策定を明言 政府、国民の理解深める狙い」2026年4月10日(Yahoo!ニュース配信):岡素彦・内閣審議官(内閣情報調査室担当)の肩書きを確認https://news.yahoo.co.jp/articles/922f1ffe2957dd6751df976723f09e4eaaa93aed
● 参議院インターネット審議中継・大門実紀史議員質問(日本共産党):「国家情報会議設置法案」プライバシー侵害を追及、2026年5月14日 https://www.youtube.com/watch?v=hh4LC2My25s/参院内閣委員会、Palantir問題、2026年6月16日/参院デジタル社会の形成及び人工知能の活用等に関する特別委員会、「防衛省のAIシステムとパランティアの関係」、2026年7月8日 https://www.youtube.com/watch?v=VhbN9J5irhM(大門議員:4:49–5:00、6:46–6:59、7:16–7:57、9:55–10:11、10:25–11:02、10:34–10:51、11:27–11:58、13:14–13:20、13:22–13:26/防衛省・吉野審議官:3:42–4:19、5:58–6:17、6:17–6:33、8:07–8:54、8:33–8:46)
● 高市早苗首相、参院予算委員会答弁、2026年3月17日(Palantir社サービス利用について)
● FCCJ(日本外国特派員協会)公式YouTube「PRESS CONFERENCE: “Japan’s AI Future” by Takuya Hirai, LDP」2026年7月2日 https://www.youtube.com/live/pgKW3xoNqho(該当発言:49:41–50:02)
一次資料(企業公式発表)
● SOMPOホールディングス・Palantir共同発表、2020年6月19日 https://www.sompo-hd.com/~/media/hd/files/news/2020/20200619_1.pdf
● Palantir公式ケーススタディ(SOMPO) https://www.palantir.com/jp/casestudies/sompo/
● 富士通・Anthropic戦略的パートナーシップ発表、2026年5月27日 https://global.fujitsu/ja-jp/pr/news/2026/05/27-01
● Palantir公式ドキュメント(AIP対応モデル一覧) https://www.palantir.com/docs/foundry/aip/supported-llms
● Anthropic公式声明「Mythos/Fableアクセス制限について」2026年6月 https://www.anthropic.com/news/fable-mythos-access
国内報道・専門解説
● 日経クロステック各記事(統計特例の実務解説、NCO一元化、2026年1月14日/6月11日)
● 長島・大野・常松法律事務所「AI特例とデータガバナンス」2026年4月16日 https://www.nagashima.com/publications/publication20260416-2/
● Business & Law「統計作成等特例の外縁」2026年6月30日 https://businessandlaw.jp/articles/a20260630-1/
● rocket-boys.co.jp「改正個人情報保護法の内容」2026年7月10日 https://rocket-boys.co.jp/security-measures-lab/amended-personal-information-protection-act-2026/
海外一次資料・大手メディア
● Hansard(英国議会議事録)NHS Federated Data Platform 討論、2026年4月16日 https://hansard.parliament.uk/commons/2026-04-16/debates/2FDCA71C-D0C1-4738-BEE8-A4BDA311DB99/NHSFederatedDataPlatform
● Computer Weekly「MPs call on NHS to scrap Palantir」2026年 https://www.computerweekly.com/news/366645814/MPs-call-on-NHS-to-scrap-Palantir-and-its-Federated-Data-Platform
● The Register「NHS patients can’t opt out of Palantir’s data platform」2026年6月13日 https://www.theregister.com/databases/2026/06/13/nhs-patients-cant-opt-out-of-palantirs-data-platform-but-their-hospital-can/5254766
● Euronews「DGSI drops Palantir for French firm」2026年6月16日 https://www.euronews.com/business/2026/06/16/dgsi-drops-palantir-for-french-firm-says-sebastien-lecornu
● franceinfo「Le renseignement français prend ses distances avec la société américaine Palantir」2026年6月16日:Palantir社のAFP向け反論声明(契約は「pleinement en vigueur」)を報道 https://www.franceinfo.fr/internet/intelligence-artificielle/le-renseignement-francais-met-fin-a-son-partenariat-avec-la-societe-americaine-palantir-annonce-sebastien-lecornu_8063300.html
● Strasbourg Policy Centre「France’s DGSI Drops Palantir for Local Rival in Sovereignty Push」2026年6月16日:Anthropic社Mythos/Fableアクセス制限とのタイミングの関連を指摘 https://strasbourgcentre.com/frances-dgsi-ditches-palantir-for-local-rival-a-pivot-toward-digital-sovereignty/
● 朝日新聞霞クラブ(外務省・防衛省担当)投稿:「自衛隊、指揮統制にAI活用 米パランティア導入を検討、国産化も」2026年6月、防衛省関係者の話として報道、当局の公式確認なしと明記 https://x.com/asahi_gaikou/status/2070417545157660848
● Cryptopolitan「Germany skips Palantir for military use」2026年4月 https://www.cryptopolitan.com/germany-skips-palantir-for-military-use/
● Naked Capitalism「Europe’s blacklisting of Palantir is gathering pace」2026年7月 https://www.nakedcapitalism.com/2026/07/europes-blacklisting-of-palantir-is-gathering-pace.html
二次資料(出典の性質を明示の上で参照)
● note.com「赤旗読者2023」による国会中継要約(塩川鉄也議員・大門実紀史議員の質疑、2026年5月20日・21日分)※日本共産党支持を自認する個人ブログ。条文番号等は国会会議録での再確認が望ましい
● 一般財団法人日本危機管理研究所 各記事(本稿の着想源。同研究所は「正確性・完全性を保証しない」と明記) https://inst-ds.org/cyber-security/1584/ / https://inst-ds.org/cyber-security/1048/ / https://inst-ds.org/cyber-security/1745/ / https://inst-ds.org/ai/1820/
↑目次へ戻る
用語集
個人情報保護法
2003年制定。事業者による個人情報の取り扱いルールを定める法律。本人同意なき第三者提供の原則禁止を基本原則とし、例外規定を限定的に列挙する構造を取る。数年おきに見直しが行われている。
個人情報保護委員会(PPC)
個人情報保護法を所管する独立行政委員会。事業者への勧告・命令権限を持つ。
統計作成等特例(AI特例)
改正個人情報保護法により新設された規定。AIモデルの学習や統計情報の作成を目的とする場合に限り、個人データの第三者提供や要配慮個人情報の取得について、本人の同意を不要とする。
要配慮個人情報
病歴、犯罪歴、思想信条など、本人に対する不当な差別・偏見等の不利益が生じないよう特に配慮を要する個人情報。個人情報保護法上、通常より厳格な取得・提供の規律が課される。
国家情報会議設置法
政府の情報機能(インテリジェンス)を強化するための法律。2026年5月27日成立。内閣情報調査室を「国家情報局」へ格上げし、政府の情報機関における総合調整機能を持たせる。
技術主権的アクター
本稿における表現。国家に匹敵する規模のデータ・AI技術・インフラを保有し、特定の国家の主権的な意思決定に影響を及ぼしうる民間企業を指す。本稿では主にPalantir Technologiesを指して用いる。
Palantir Foundry / AIP
Palantir Technologiesが提供するデータ統合基盤(Foundry)と、生成AIを業務プロセスに組み込むプラットフォーム(AIP)。AIPは複数の外部AIモデルを選択的に組み込む「モデル非依存」設計を特徴とする。
思想輸出進行度指標(Ideological Infiltration Index)
一般財団法人日本危機管理研究所が独自に提唱する分析枠組み。ある国への政治的・思想的浸透の過程を、①思想的接触、②インフラの代替、③政策言語への翻訳、④政権への直接接触、の4段階で診断する。学術的に確立された理論ではなく、検証途上の仮説的な枠組みである。(原典:『パランティアと日本|ダーク・エンライトメント浸透の兆候』一般財団法人 日本危機管理研究所 https://inst-ds.org/cyber-security/1745/)
AI主権(開かれた戦略的自立性)
自民党デジタル社会推進本部長・平井卓也氏がFCCJ会見で示したAI政策の理念。特定の企業・国・モデルへの過度な依存を避けつつ、世界の優れたAIを自由に選択し、必要な場合には自ら開発・運用できる能力を維持するという考え方。
Claude Mythos / Project Glasswing
Anthropic社のサイバーセキュリティ特化型AIモデル(Mythos)と、その防御目的限定の国際協力枠組み(Project Glasswing)。2026年6月、米国の輸出管理指令により一時的に国外からのアクセスが停止された。
DNU941号
2025年12月31日にアルゼンチン・ミレイ政権が公布した大統領令。国家情報法を改正し、複数の国家機関に対し、裁判所命令・通知なしに個人データを国家情報庁(SIDE)と共有することを義務付けた。
254条指示(英国健康・社会ケア法)
英国NHSのFederated Data Platformにおいて、患者データのオプトアウトを実質的に無効化している法的根拠。新規立法ではなく、既存法の例外規定に基づく非公開の行政指示によって運用されている。
※注: 「思想輸出進行度指標」(Ideological Infiltration Index)とは
「思想輸出進行度指標」(Ideological Infiltration Index)とは、ある国への政治的・技術的浸透の度合いを4段階(①思想的接触、②インフラの代替、③政策言語への翻訳、④政権への直接接触)で診断する分析枠組みである。原典は一般財団法人日本危機管理研究所「パランティアと日本|ダーク・エンライトメント浸透の兆候」(https://inst-ds.org/cyber-security/1745/)。同研究所は自サイトの情報について正確性・完全性を保証しないと明記しており、この指標も学術的に確立された理論ではなく、検証途上の仮説的な枠組みである。本稿ではこれを客観的事実としてではなく、Palantirの日本への浸透度を測るための一つのレンズとして、留保付きで使用している(第6章参照)。(原典:『パランティアと日本|ダーク・エンライトメント浸透の兆候』一般財団法人 日本危機管理研究所 https://inst-ds.org/cyber-security/1745/)
筆者:舩山美保 一般財団法人 日本危機管理研究所 理事
国際標準化、技術インテリジェンス、知的財産分析、地政学・危機管理を専門とする戦略アナリスト。キヤノン株式会社において国際標準・新技術分野の特許調査および戦略分析業務に従事。ISO/IEC JTC 1/SC 28(オフィス機器)副国際幹事として、国際規格策定および多国間交渉の調整を担い、国際標準化活動への貢献によりITSCJ国際標準化貢献賞を3回受賞。現在、中東アジア情報戦略研究所フェロー。公益社団法人 日本外国特派員協会(FCCJ)プロフェッショナル・アソシエイト会員。上智大学外国語学部卒業。青山学院大学大学院修了(国際政治経済学・哲学・心理学)。
*本稿の引用・転載は、出典(一般財団法人日本危機管理研究所/著者名/URL)を明記いただく場合に限り自由です。見出しや文脈を変更した抜粋転載はご遠慮ください。
