AI利用と個人情報保護法の基礎 企業が押さえる判断基準
この記事の要点
生成AIの業務利用では、個人情報保護法との抵触に注意が必要だ。第三者提供の要件、委託の適正化、仮名加工・匿名加工の活用方法など、企業が判断すべき具体的な基準を解説する。
結論
生成AIの業務利用と個人情報保護法の接点は主に2つある。1つは個人情報を含むデータを外部AIサービスで処理するときの「第三者提供か委託か」の区別、もう1つはAI活用の利用目的をプライバシーポリシーに適切に記載しているかどうかだ。どちらも事前に確認しておけば、多くのリスクを防げる。
まず押さえる:個人情報保護法の基本構造
個人情報保護法の枠組みは、事業者に次の義務を課している。
- 利用目的の特定と公表:個人情報をどのような目的で使うかを特定し、プライバシーポリシーなどで公表する
- 目的外利用の禁止:特定した目的以外での利用は、原則として本人同意が必要
- 第三者提供の制限:本人の同意なく第三者に個人情報を提供することは原則禁止
- 安全管理措置:個人情報の漏洩・毀損・滅失を防ぐための措置を講じる
- 委託先の監督:業務を外部に委託する際は、委託先を適切に監督する義務がある
生成AIの業務利用は、主に「第三者提供の制限」と「委託先の監督」に関わる。
「第三者提供」か「委託」か:最初の分岐点
個人情報を外部の生成AIサービスに入力する行為が法的にどう位置づけられるかは、以下の図式で整理できる。
| 区分 | 要件 | 本人同意 |
|---|---|---|
| 委託 | 自社の業務を外部に委託し、委託先が自社の指示に基づいてデータを処理する。データの目的や使い方のコントロールは自社が持つ。 | 不要(ただし委託先の監督義務あり) |
| 第三者提供 | 外部の事業者が独自の目的でデータを使う場合(サービス改善・学習など) | 原則として必要 |
法人向けのAPIや法人契約プランを通じて、「入力データを学習に使わない」「自社の指示に基づいてのみデータを処理する」という形の契約・データ処理契約が結べる場合は、委託として位置づけやすくなる。
問題になりやすいのは、個人向け無料プランを業務利用するケースだ。この場合、サービス側が独自の利用規約に基づいてデータを処理するため、委託の要件(自社コントロール下での処理)を満たしにくい。サービス改善・学習への利用が規約に含まれていれば、第三者提供に近い扱いになる可能性がある。
委託として扱う場合の義務
委託と整理できた場合でも、法的義務は残る。個人情報保護法は、委託先の監督を義務づけているからだ。具体的に求められることは次のとおりだ。
委託先の適正な選定:委託先が個人情報を適切に管理できる体制にあるかを事前に確認する。セキュリティ認証(ISO 27001等)の有無、データの保存場所・移転先の国、サブプロセッサー(再委託先)の状況などを確認する。
契約の締結:個人情報の取り扱いに関する契約を委託先と締結する。データ処理の目的・方法・再委託の可否・インシデント発生時の通知義務などを盛り込む。企業向けの生成AIサービスは、「データ処理補足規約(DPA)」を提供しているケースが多く、これが委託契約の要件を満たす書類になる。
監督の実施:委託先が契約通りにデータを扱っているかを確認する手段を持つ。定期的な監査や、セキュリティ状況の報告を受ける仕組みが該当する。
利用目的の適切な記載
生成AIを個人情報の処理に使う場合、その旨をプライバシーポリシーに記載することが必要になる。
既存のプライバシーポリシーに「AI技術を用いたサービスの提供・改善」といった利用目的が含まれていない場合は、追記が必要だ。プライバシーポリシーの更新時は、変更内容と変更日をユーザーに通知することが望ましい。
顧客向けサービスで生成AIを使う場合(AIチャットボット、AI要約機能など)は、「このサービスにはAIが使われています」という開示と合わせて、利用目的を明示することで透明性が確保できる。
特定の個人情報:より慎重な扱いが必要
個人情報の中でも、次のカテゴリは特に慎重な扱いが必要だ。
要配慮個人情報:病歴・障害・犯罪歴・性生活など。取得や第三者提供に本人の明示的な同意が原則として必要であり、生成AIへの入力はリスクが高い。
従業員の健康・評価データ:産業医の記録、人事評価、給与データなどを生成AIで処理する場合は、利用目的と安全管理措置について慎重に検討が必要だ。労働法との接点もあるため、人事・法務と連携した判断が求められる。
仮名加工・匿名加工による活用
個人情報をそのまま使わずに、加工した状態でAIを活用する方法もある。
匿名加工情報:特定の個人を識別できないように加工し、かつ元に戻せない状態にしたデータ。匿名加工後は第三者提供の制限が外れ、活用の幅が広がる。ただし、加工の方法・水準に関する基準が定められており、適切な加工が必要だ。
仮名加工情報:他の情報と照合しなければ特定の個人を識別できないように加工したデータ。匿名加工より加工の負担が軽く、社内での分析・AI学習への活用がしやすい。ただし第三者提供には制限がある。
顧客データをAIで分析する際、氏名・連絡先を削除して取引履歴だけを残した仮名加工情報にすることで、個人情報保護法上の制約を軽減しながらAI活用ができるケースがある。
海外事業者への個人情報移転
グローバルな生成AIサービスの多くは、データが国外のサーバーで処理される。個人情報を外国の第三者に提供する場合、追加の要件がある。
日本の個人情報保護法では、「外国にある第三者への提供」の制限として、本人への情報提供(移転先の国名・体制)や、提供先が個人情報保護法に相当する規制を持つ国かどうかの確認が求められる。
実務的には、主要な生成AIサービス(OpenAI、Anthropic、Microsoft等)は欧米の規制への対応状況や、データの保存・処理場所を公開している。契約時に確認しておくことで、外国移転への対応状況を把握できる。
個人情報保護委員会のガイドラインを確認する
個人情報保護委員会は、生成AIに関するガイダンスを公表している。最新の動向は個人情報保護委員会の公式サイトで確認してほしい。
シャドーAIのリスクを含めた社内管理の体制についてはシャドーAI(無断利用)のリスクと企業の対策も参照されたい。
まとめ
AI活用と個人情報保護法の折り合いをつける出発点は、「委託か第三者提供か」の区別だ。法人向けプランのデータ処理補足規約を確認し、適切な契約を結ぶことで委託として整理できれば、本人同意なく業務活用の道が開ける。あわせて利用目的のプライバシーポリシーへの記載と、要配慮情報の取り扱いに注意することで、コンプライアンスリスクの大半はコントロールできる。
よくある質問
顧客情報をChatGPTに入力すると個人情報保護法に違反しますか
状況によります。個人情報を含むデータを外部サービスで処理させる場合、委託に該当するか第三者提供に該当するかで法的要件が変わります。委託であれば本人同意は不要ですが、適切な委託先管理(契約・監督)が義務づけられます。無料の個人向けプランを業務利用するケースは委託の要件を満たしにくく、注意が必要です。
生成AIで個人情報を使う際に本人同意は必要ですか
第三者提供に当たる場合は原則として本人同意が必要です。ただし、業務委託として適切な形で処理させる場合は本人同意は不要です。利用目的の特定・公表、委託先の適正な選定・管理、再委託への対応が条件となります。
個人情報を含まなければAI活用は自由ですか
個人情報保護法の制約は外れますが、営業秘密・機密情報に関する社内規程や、NDAs(秘密保持契約)との整合性は別途確認が必要です。また、特定個人の行動データや購買履歴は、集約・組み合わせ次第で個人情報に該当する場合があります。
従業員情報を社内AIで分析する場合も個人情報保護法は適用されますか
はい。従業員の個人情報も保護法の対象です。勤怠・評価・健康データを生成AIで分析する場合、利用目的の特定と通知、適切な安全管理措置が求められます。
関連記事
AIに入れてはいけない情報の判断基準 社内で使える分類法
生成AIに入力してよい情報・してはいけない情報を判断する基準を4象限で整理した。顧客情報・機密データ・個人情報など情報種別ごとのリスクと、現場の担当者が迷わず動けるチェック方法を解説する。
生成AIのアクセス権限管理 誰がどのAIを使えるかを組織で制御する
生成AIのアクセス権限管理は、ツールの利用者・利用できる機能・取り扱える情報のレベルを組織として制御することだ。実装できる管理の粒度と、各企業規模に合った現実的な方法を解説する。
法人向けAIのデータ取り扱い確認ポイント 契約前に押さえる7項目
ChatGPT Enterprise・Claude for Work・Microsoft Copilotなど法人向けAIサービスを契約する前に確認すべきデータ取り扱いの7項目を解説する。データの保存・学習利用・移転・監査への対応を整理した。