生成AIと個人情報：法的義務と実務対応

約10分

生成AIを業務利用する企業の法務・情報セキュリティ担当者、個人情報保護法への対応を検討しているAIプロダクト開発者

生成AIの普及により、企業の業務プロセスにAIツールが組み込まれるケースが増えています。しかし、顧客情報・社員情報・取引先情報などの個人情報を含むデータをAIに入力したり、AIシステムの学習データとして活用したりする際には、個人情報保護法上の義務が生じます。

この記事では、生成AIと個人情報の交点を整理し、日本の個人情報保護法とGDPRを軸に、企業が取り組むべき実務対応をまとめます。

生成AIと個人情報が交差する3つの場面

生成AIと個人情報の問題は、大きく3つの場面で発生します。

1. 学習データとしての利用

AIモデルの学習に個人情報を含むデータを使用する場合です。Web上の公開データ・社内文書・顧客データ等を学習データとして用いる際に、個人情報保護法上の目的外利用・第三者提供規制が問題になります。

2. プロンプト入力時の情報送信

業務でAIツール（ChatGPT・Claude等のSaaS型）を利用する際に、顧客の氏名・連絡先・契約内容・医療情報等の個人情報をプロンプトに含めてAPIやサービスに送信することで、個人情報が第三者のサーバーに送信されるリスクがあります。

3. AI出力物への個人情報の混入

AIが生成した文章や分析結果に、学習データ由来の個人情報が意図せず含まれるリスクです。特定個人の情報が再現されたり、推測可能な形で出力される「メモリーゼーション」問題として知られています。

日本の個人情報保護法とAI

個人情報の定義

個人情報保護法における「個人情報」は、生存する個人に関する情報であって、特定の個人を識別できるもの（他の情報と照合することで識別できるものを含む）とされています。[1]

AIの文脈では、次のようなデータが個人情報に該当する可能性があります。

氏名・住所・電話番号・メールアドレス
顔画像・音声データ（個人識別符号）
購買履歴・閲覧履歴（単独では識別できなくても他と組み合わせると識別可能なもの）
医療・健康情報（要配慮個人情報として厳格な規制対象）

目的外利用の禁止

個人情報取扱事業者は、あらかじめ本人の同意を得ないで、特定した利用目的の達成に必要な範囲を超えて個人情報を取り扱ってはなりません（個人情報保護法第18条）。[1]

顧客サービス目的で収集した個人情報をAIモデルの学習データとして使用する場合は、新たな目的として本人の同意を得るか、利用目的として事前に明示しておく必要があります。

第三者提供の制限

個人情報を第三者に提供する場合は、原則として本人の同意が必要です（第27条）。[1]

外部のAI APIサービスに個人情報を含むデータを送信する行為は、「第三者提供」に該当する可能性があります。ただし、委託・共同利用等の例外規定の適用有無は契約内容や実態によって異なるため、法務部門との確認が必要です。

要配慮個人情報の厳格な保護

医療・健康情報・人種・信条・犯罪歴等の「要配慮個人情報」は、取得に際して本人の同意が必要です（第20条第2項）。[1]

医療AIや人事AIで要配慮個人情報を扱う場合は、通常の個人情報より厳格な対応が求められます。

GDPR（欧州一般データ保護規則）とAI

EU在住のユーザーのデータを扱う企業、またはEUに製品・サービスを提供する日本企業にはGDPRが適用される可能性があります。[2]

データ処理の根拠（Lawful Basis）

GDPRでは、個人データを処理するためには次のいずれかの適法な根拠が必要です。

根拠	説明
同意（Consent）	本人が明示的に同意している
契約の履行	本人との契約の履行に必要
法的義務	法律上の義務の履行に必要
正当な利益（Legitimate Interests）	管理者または第三者の正当な利益のために必要（本人の権利・利益が優先しない場合）

AIシステムでの個人データ処理に「正当な利益」を根拠とする場合は、バランシングテスト（利益衡量）の実施と文書化が求められます。

自動化された意思決定の制限

GDPRの第22条は、個人に重要な影響を与える自動化された意思決定のみに基づく決定に対して、本人が異議を申し立てる権利を保障しています。[2]

採用AIによるスクリーニング・融資AIによる与信判断等では、この規定への対応が必要です。人間によるレビュープロセスの設計（Human-in-the-Loop）がガバナンス上の要件となります。

データ保護影響評価（DPIA）

高リスクの処理（大規模な個人データ処理、センシティブデータの取扱い等）を行う前に、データ保護影響評価（Data Protection Impact Assessment）の実施が義務付けられています（第35条）。[2]

AIシステムを新規導入する際には、DPIAの実施要否を事前に判断することが推奨されます。

実務対応：企業が取り組むべきこと

1. AIサービス利用規約の確認

外部AIサービスを利用する前に、そのサービスが入力データをどのように扱うかを確認します。

入力データをモデルの再学習に使用するか否か
データの保存期間・保存場所（国・地域）
データ処理に関する契約条件（DPA: Data Processing Agreement の有無）
エンタープライズプランでの利用制限の有無

多くのAIサービスはエンタープライズ契約でデータの学習利用を禁止するオプションを提供しています。個人情報を取り扱う業務での利用には、このような契約条件の確認が不可欠です。[3]

2. プロンプト入力ガイドラインの整備

社員がAIツールを業務利用する際の入力ルールを明確にします。

個人情報の入力禁止または制限の範囲
匿名化・仮名化処理のルール（個人を特定できる情報を削除・置換してからAIに入力）
要配慮個人情報（医療情報等）の取り扱いルール
顧客への説明・同意取得が必要なケースの明確化

3. 学習データの個人情報管理

自社でAIモデルを開発・ファインチューニングする場合の学習データ管理です。

利用目的の明示と同意の確認
匿名化・差分プライバシー等のプライバシー保護技術の適用
データの最小化（目的達成に必要な最小限のデータのみ使用）
学習データへのアクセス制御と監査ログの整備

4. AIシステムにおけるデータ主体の権利への対応

個人情報保護法・GDPRでは、本人（データ主体）に様々な権利が認められています。

権利	内容	AI文脈での対応
開示請求	保有個人データの内容を知る権利	AIシステムが保有・利用している本人データの特定と提供
訂正・削除	誤った情報の訂正・削除を求める権利	学習済みモデルからの個人情報の削除（技術的困難さへの対応含む）
利用停止	特定の利用目的での利用停止を求める権利	同意撤回時の処理停止手順の整備

特に「学習済みモデルからの個人情報削除」は技術的に困難な場合があります。「機械的忘却（Machine Unlearning）」の研究が進んでいますが、現時点では学習データへの個人情報混入を防ぐことが現実的な対策です。

5. インシデント対応計画の整備

個人情報漏洩が発生した場合の対応手順を整備します。

個人情報保護法では、一定の要件を満たす漏洩等が発生した場合、個人情報保護委員会への報告と本人への通知が義務付けられています（第26条）[1]
GDPRでは、データ侵害発生から72時間以内の監督機関への通知が義務付けられています[2]

まとめ

生成AIと個人情報の問題は、学習データ・プロンプト入力・AI出力の3つの場面で発生します。日本の個人情報保護法では目的外利用・第三者提供の制限が、GDPRでは適法処理根拠・自動化意思決定への対応が主な論点です。

企業が取り組むべき具体的な対応は、AIサービスの利用規約確認、社員向けプロンプト入力ガイドラインの整備、学習データの個人情報管理、そしてデータ主体の権利への対応プロセスの構築です。法制度の変化を継続的に把握しながら、段階的に体制を整備することが現実的なアプローチです。

個別の判断が必要な場合は、個人情報保護を専門とする弁護士や法務担当者への相談を検討してください。

関連トピック: 生成AIとプライバシー | AIと著作権

参考文献

個人情報保護委員会, 個人情報の保護に関する法律（個人情報保護法）, 第2条、第18条、第20条、第26条、第27条
European Union, Regulation (EU) 2016/679 (General Data Protection Regulation), 第6条、第22条、第35条
個人情報保護委員会, 生成AIサービスの利用に関する注意喚起等について, 2023年6月2日

クイズ

生成AIとプライバシー：リスクと設計原則

AIと著作権：日本・米国の法制度比較と企業対応