1. なぜ生成AIで個人情報が問題になるのか

AIデータプライバシーガイド
▲ AIデータプライバシーガイド

入力データが学習に使われるリスク

生成AIの多くは、ユーザーが入力したデータをモデルの改善(学習)に利用する場合があります。つまり、顧客名や連絡先をAIに入力すると、そのデータがモデルの学習データに取り込まれ、他のユーザーの回答に反映される可能性がゼロではありません。

特に無料版のChatGPTやGeminiは、デフォルトで入力データが学習に利用される設定になっています。法人向けプラン(ChatGPT Enterprise、Claude for Business、Azure OpenAI Service等)では学習に利用されない契約が明記されていますが、社員が個人アカウントで無料版を使っている場合はこの保証がありません。

個人情報保護法の適用

個人情報保護法は、個人情報を取り扱うすべての事業者に適用されます。中小企業も例外ではありません。生成AIに個人情報を入力する行為は、「第三者提供」や「目的外利用」に該当する可能性があり、法的リスクを伴います。

海外サーバーへのデータ移転

多くの生成AIサービスは海外のサーバーでデータを処理しています。個人情報を海外のサーバーに送信する行為は、個人情報保護法における「外国にある第三者への提供」に該当する可能性があります。2024年の法改正により、移転先の国名と個人情報保護制度の状況を本人に通知する義務が強化されました。

---

2. 中小企業が押さえるべき3つの法的ポイント

ポイント1:利用目的の特定と通知

個人情報保護法では、個人情報の利用目的をできる限り特定し、本人に通知または公表することが求められています。AIで顧客データを分析する場合、プライバシーポリシーにその旨を明記する必要があります。

実務対応: プライバシーポリシーに「業務効率化およびサービス改善のためにAIツールを利用して個人情報を処理する場合があります」といった記載を追加しましょう。

ポイント2:第三者提供の制限

生成AIサービスに個人情報を入力する行為は、AIサービス提供者(OpenAI、Google等)への「第三者提供」に該当する可能性があります。第三者提供には原則として本人の同意が必要です。

実務対応: 法人向けプランを利用し、「入力データは学習に利用しない」「データ処理委託契約(DPA)が締結できる」サービスを選定しましょう。データ処理委託であれば第三者提供に該当しないケースもあります。

ポイント3:安全管理措置の実施

個人情報取扱事業者は、個人情報の漏洩を防ぐための安全管理措置を講じる義務があります。生成AIの利用においても、入力データの管理、アクセス制御、ログの保存などが求められます。

実務対応: AI利用ガイドラインを策定し、「AIに入力してよいデータ」と「入力してはいけないデータ」の基準を明確にしましょう。

---

3. 具体的な実務対応チェックリスト

AIサービスの選定時

  • データ処理契約(DPA) が締結できるか確認する
  • 入力データが モデルの学習に利用されない ことが契約上明記されているか確認する
  • データの 保存場所(リージョン) を確認する
  • SOC2、ISO27001 等のセキュリティ認証を取得しているか確認する
  • データの 保持期間と削除ポリシー を確認する

社内ルールの整備

  • AI利用ガイドライン を策定し、全社員に周知する
  • AIに 入力禁止データ を明確に定義する(氏名、住所、電話番号、マイナンバー、クレジットカード番号、医療情報等)
  • 個人情報を扱う場合は 匿名化・仮名化 してから入力するルールを設ける
  • 法人向けプランのみ の使用を義務化し、個人アカウントでの業務利用を禁止する
  • AIの利用ログを 記録・保存 する仕組みを整える

プライバシーポリシーの更新

  • AIツールの利用について 利用目的に追記 する
  • 必要に応じて、既存顧客に対して 利用目的の変更を通知 する
  • Webサイトのプライバシーポリシーを 最新の法改正に対応 させる

---

4. 入力データの分類と対応方針

すべてのデータのAI入力を禁止するのは現実的ではありません。データをリスクレベルで分類し、それぞれに適切な対応を定めるのが実務的です。

レベル1:入力OK(そのまま利用可能)

  • 一般的な業務文書(社内メモ、議事録の要約等)
  • 公開情報の分析(市場データ、ニュース記事等)
  • テンプレート作成(メール文面、プレゼン構成等)
  • プログラミングコードの補助(機密情報を含まないもの)

レベル2:匿名化して入力OK

  • 顧客からの問い合わせ内容(個人名・連絡先を削除してから入力)
  • 営業データの分析(企業名・担当者名をマスキング)
  • 人事データの傾向分析(個人を特定できない統計データに加工)

レベル3:入力禁止

  • 氏名、住所、電話番号、メールアドレスなどの個人情報
  • マイナンバー、クレジットカード情報
  • 医療情報、健康診断結果
  • 未公開の財務情報、M&A情報
  • パスワード、APIキー、アクセストークン
  • 取引先から秘密保持契約(NDA)で受領した情報

---

5. おすすめの法人向けAIサービス比較

法人向けプランの主なサービスについて、個人情報保護の観点で整理します。

ChatGPT Enterprise / Team

OpenAIが提供する法人向けプラン。入力データはモデルの学習に利用されません。SOC2 Type II認証を取得。データの暗号化(保存時・通信時)に対応。管理者向けの利用状況ダッシュボードも提供されています。

Azure OpenAI Service

MicrosoftのAzureクラウド上でOpenAIのモデルを利用するサービス。日本リージョン(東日本・西日本)でのデータ処理が可能。入力データはモデル学習に利用されません。既存のMicrosoft 365のセキュリティポリシーと統合できる点が強みです。

Claude for Business

Anthropicが提供する法人向けプラン。入力データはモデル学習に利用されません。安全性を重視した設計思想が特徴で、有害な出力の抑制に優れています。

Google Workspace向けGemini

Google Workspaceに統合されたAI機能。Workspace Business Standard以上のプランで利用可能。データはGoogleのエンタープライズ向けデータ処理契約の下で処理されます。

---

6. 万が一、データ漏洩が発生したら

個人情報保護法の2022年改正により、個人データの漏洩が発生した場合(またはその恐れがある場合)、以下の対応が義務化されています。

即時対応(発覚後72時間以内)

まず、該当するAIサービスへの入力を直ちに停止し、状況を把握します。漏洩の範囲(影響を受ける個人の数、データの種類)を特定し、証拠を保全します。

個人情報保護委員会への報告

一定の要件を満たす漏洩事案については、個人情報保護委員会への報告が義務付けられています。速報は概ね3〜5日以内、確報は30日以内(不正アクセスの場合は60日以内)に行う必要があります。

本人への通知

漏洩した個人データの本人に対して、漏洩の事実、漏洩したデータの内容、および今後の対応について通知する義務があります。

再発防止策の実施

原因を特定し、AI利用ガイドラインの見直し、アクセス権限の強化、社員教育の再実施などの再発防止策を講じます。

---

まとめ

生成AIは業務効率化の強力なツールですが、個人情報の取り扱いについては慎重な対応が求められます。中小企業が最低限実施すべきことは、法人向けプランの利用AI利用ガイドラインの策定入力データの分類ルールの整備の3つです。

「うちは小さい会社だから大丈夫」という認識は危険です。個人情報保護法は企業規模を問わず適用され、違反した場合は最大1億円の罰金が科される可能性があります。今のうちにルールを整備し、安全にAIを活用できる体制を整えましょう。