セキュリティ・ガバナンス

法人向けAIのデータ取り扱い確認ポイント 契約前に押さえる7項目

Meliorra編集部
法人向けAIのデータ取り扱い確認ポイント 契約前に押さえる7項目

この記事の要点

ChatGPT Enterprise・Claude for Work・Microsoft Copilotなど法人向けAIサービスを契約する前に確認すべきデータ取り扱いの7項目を解説する。データの保存・学習利用・移転・監査への対応を整理した。

結論

法人向けAIサービスを契約する前に確認すべきは、学習利用の有無・データ保存期間・保存地域・DPAの締結・管理コンソール・セキュリティ認証・インシデント通知体制の7項目だ。これらをチェックリストとして使い、サービスのデータポリシーと照らし合わせることで、契約前の判断材料が揃う。

確認項目1:入力データの学習利用有無

最も基本的な確認事項だ。サービスが入力データをモデルの訓練・改善に使用するかどうかを確認する。

確認する場所:利用規約・プライバシーポリシー・データ処理補足規約(DPA)

注意点:利用規約の本文と、法人向けの別途合意事項(DPA)が異なる場合がある。法人プランでは「学習に使わない」特約がDPAに記載されていることがあるため、両方を確認する。

確認する質問

  • 入力データ・出力データは学習に使われるか
  • ユーザーが明示的にオプトアウトできるか
  • 学習データの使用停止申請は可能か

確認項目2:データの保存期間と削除

入力したデータがサービス側でいつまで保存されるかを確認する。

保存期間の種類

  • リクエスト処理中のみ(完了後即時削除)
  • 会話セッション中(セッション終了後削除)
  • 一定期間(30日・90日・1年等)
  • ユーザーが削除するまで

セキュリティの観点では保存期間が短いほど好ましい。ZDR(ゼロデータ保持)は処理後即時削除を保証するオプションで、機密性の高い情報を扱う場合は確認する。

ユーザーによる削除:会話履歴を自分で削除できるか・削除後にサービス側でも完全に消えるかを確認する。

確認項目3:データの保存地域と越境移転

個人情報を含むデータが国外で処理される場合、個人情報保護法の「外国の第三者への提供」に関する規定への対応が必要になる。

確認する内容

  • データが主にどの国・地域で処理・保存されるか
  • 日本リージョンが選択できるか
  • 海外のサブプロセッサー(再委託先)への移転があるか

実務への対応:EUのGDPRに対応しているサービスは、個人情報の取り扱いに関する一定の基準を満たしている。ただし日本法との完全な整合性は別途確認が必要だ。

確認項目4:データ処理補足規約(DPA)の締結

個人情報を含むデータをAIサービスで処理する場合、サービス事業者とDPAを締結することが法的な委託要件を満たす上で重要になる。

DPAに含まれる主な内容

  • 個人情報の処理目的・方法の限定
  • セキュリティ基準の保証
  • 再委託先(サブプロセッサー)の管理
  • インシデント発生時の通知義務
  • 処理終了後のデータ削除・返却

大手サービスはDPAのテンプレートを提供していることが多い。提供されているDPAが自社の要件を満たすかを法務と確認する。

確認項目5:管理コンソールの機能

法人での管理に必要な機能が管理コンソールで提供されているかを確認する。

機能確認ポイント
ユーザー管理招待・削除・権限設定ができるか
利用量モニタリング誰がどのくらい使ったかが確認できるか
ログ取得アクセスログをエクスポートできるか
SSO連携社内の認証システムと連携できるか
機能制限部門ごとに使える機能を制限できるか

管理機能は製品のアップデートで変わることが多い。最新の状況はサービスのリリースノートや管理者向けドキュメントで確認する。

確認項目6:セキュリティ認証

サービス事業者のセキュリティ管理体制を評価する第三者認証を確認する。

主要な認証:SOC 2 Type II・ISO 27001・ISO 27018・CSA STAR(クラウドセキュリティの認証)

規制業種(金融・医療)では業種固有の認証(HIPAA・PCI DSS等)への準拠も確認が必要になる。認証の取得状況はサービスのセキュリティページやトラストセンターで公開されていることが多い。

確認項目7:インシデント通知体制

サービス事業者でデータ漏洩・不正アクセス等のセキュリティインシデントが発生した場合の通知体制を確認する。

確認する内容

  • インシデント発生時に顧客(自社)への通知はあるか
  • 通知のタイミング(発覚から○時間以内等)
  • 通知の方法(メール・ダッシュボード等)
  • 日本語でのサポートがあるか

個人情報保護法の報告義務(発覚後3〜5日以内の速報)に対応するには、サービス事業者からの速やかな通知が必要になる。DPAにインシデント通知条項が含まれているか確認する。

評価シートの活用

7項目を一覧にした評価シートを作って複数のサービスを比較する。

サービス評価シート

サービス名:______
評価日:______
評価担当:______

1. データ学習利用     □ 使わない  □ オプトアウト可  □ 使う
2. データ保存期間     ____(日/即時削除)
3. データ保存地域     ____(国・地域)
4. DPA締結可否        □ 締結済み  □ 提供あり未締結  □ なし
5. 管理コンソール     □ 十分  □ 最低限  □ 不足
6. セキュリティ認証   SOC2:□  ISO27001:□  その他:____
7. インシデント通知   □ DPAに明記  □ 確認中  □ なし

総合評価:□ 採用可  □ 条件付き採用  □ 採用不可
備考:______

機密情報を守るAIツールの選び方については機密情報を守るAIツールの選び方を、ゼロデータ保持の詳細はゼロデータ保持(ZDR)とは?で解説している。

まとめ

法人向けAIサービスの契約前確認は、学習利用・保存期間・保存地域・DPA・管理コンソール・セキュリティ認証・インシデント通知の7項目で行う。すべての項目が完璧なサービスはなく、自社のセキュリティポリシーと業種の規制要件に照らして総合的に判断する。評価シートを使って複数サービスを同じ基準で比較することで、選定の根拠を文書として残せる。

#法人向けAI#データ管理#契約#エンタープライズAI#情報セキュリティ

よくある質問

法人向けAIサービスのデータ取り扱いで最初に確認すべきことは何ですか

入力データがモデルの学習・改善に使われるかどうかです。多くの法人向けプランは「学習に使わない」としていますが、利用規約またはデータ処理補足規約(DPA)で明示的に確認することが重要です。

無料プランと法人向けプランでデータの扱いはどう違いますか

無料の個人向けプランは入力データがサービス改善・学習に使われる場合があります。法人向けプランは、入力データを学習に使わない・データ保持期間を短くする・管理者が利用を制御できるなどの追加保証が含まれることが多いです。詳細は各サービスの利用規約で確認してください。

法人向けAIサービスのデータは日本国内に保存されますか

サービスによって異なります。多くのグローバルサービスは米国や欧州のデータセンターに保存します。一部のサービスは日本リージョンを提供しており、個人情報保護や規制上の要件がある場合は日本リージョンの選択肢を確認することを推奨します。

AIサービス導入にITセキュリティ審査は必要ですか

大企業や金融・医療などの規制業種では、情報セキュリティポリシーに基づくITセキュリティ審査が一般的です。中小企業でも、顧客の個人情報を扱う場合やNDAで保護された情報を処理する場合は、法務確認を合わせて行うことを推奨します。

関連記事