tAiL. Legal Office Logo
tAiL. Legal Office
Q.

生成AIに個人情報を入力しても個人情報保護法に違反しませんか?

関連タグ
個人情報保護法生成AI一般
A.

結論としては、「個人情報の種類」「利用目的の特定・通知」「外国にある第三者への提供」の3つの観点から整理する必要があり、適切な対応を怠った場合には個人情報保護法に違反するリスクがあります。以下、それぞれのポイントを解説します。

まず確認すべき「個人情報の種類」

生成AIに入力しようとしている情報が、個人情報保護法上どの類型に該当するかを最初に確認してください。類型によって、守るべきルールの厳しさが異なります。

個人情報(一般)(法2条1項)

氏名、生年月日、住所、メールアドレスなど、特定の個人を識別できる情報です。社内の顧客リストや従業員名簿に含まれる情報の多くがここに該当します。

要配慮個人情報(法2条3項、施行令2条)

心身の機能の障害、健康診断の結果、刑事手続・少年事件に関する情報など、不当な差別や偏見につながりうる情報です。一般の個人情報以上に慎重な取扱いが求められます。

個人関連情報(法2条7項)

それ単体では特定の個人を識別できないものの、第三者への提供時に当該第三者が保有している他の情報と結びつくことで個人情報となりうる情報です。

未成年者に関する留意点

16歳未満の子どもの個人情報については、法定代理人(親権者等)の同意の要否を検討する必要があります。

個人情報保護委員会FAQ

個人情報保護法 いわゆる3年ごと見直しの制度改正方針(令和 8 年1月9日)

利用目的の特定と通知

「個人情報」と「個人データ」の二層構造

個人情報保護法は、媒体等を問わない広義の「個人情報」と、電子化されデータベースとして検索可能となった「個人データ」という二層構造で成り立っています。利用目的の公表等の義務は、前者の個人情報全般に適用される規制にあたります。

利用目的はどこまで特定すべきか

個人情報保護委員会のガイドライン(通則編)では、利用目的について次のように述べています。

「利用目的を単に抽象的、一般的に特定するのではなく、個人情報が個人情報取扱事業者において、最終的にどのような事業の用に供され、どのような目的で個人情報を利用されるのかが、本人にとって一般的かつ合理的に想定できる程度に具体的に特定することが望ましい。」

ここでいう「利用目的」とは最終的に達成しようとする目的を指すため、その過程のプロセスにおける利用目的を記述することまでは要しないと考えられます。

個人情報保護委員会ガイドライン(通則編)3-1-1

実務上の例

たとえば、生成AIを用いた顧客のプロファイリングやパーソナライズされたDMを通じたマーケティングを行う場合、利用目的は「○○事業における商品の発送、関連するアフターサービス、新商品・サービスに関する情報のお知らせのために利用いたします。」といった記載が考えられます。この場合、前段階の生成AIを用いた文書作成等は「最終目的」には該当しないと整理できます。

ただし、リスク低減のために推奨される対応

他方で、生成AIは新規技術であり、ガイドラインが「利用目的から合理的に予測・想定できないような場合は、この趣旨に沿ってできる限り利用目的を特定したことにはならない」と考えていることから、利用目的に生成AIを用いた分析に関連する文言を入れておく方が、法違反のリスクをより低減させると考えられます。

外国にある第三者への提供(法28条)

生成AIサービスのデータはどこに行くのか

ChatGPT、Claude、Geminiなどの生成AIサービスはもちろん、GPTなどのAPIを利用したカスタマイズ型サービス(国内ベンダー製含む)においても、多くの場合、海外(主に米国)のサーバーを使用しています。

つまり、一般的なデータの流れは次のようになります。

ユーザー(日本)→(国内ベンダーのアプリ(日本))→ 米国(基盤モデルのサーバー所在地)

入力された個人データは通常、米国のサーバーで演算処理され、その結果を日本で受け取る形となります。

国内ベンダーでも注意が必要

ベンダーが国内であっても、当該ベンダーが米国のサーバーを経由するAPIを使用している例が散見されるため、国内ベンダーであることのみで判断しないよう注意を要します。

一部のサービスにおいては、Microsoft Azureの国内リージョン(JP East等)によるAPIを使用しており、この場合はデータ通信が日本国内で完結しますが、そのようなベンダーはかなり限られています。

法28条の原則と例外

法28条は、外国にある第三者への個人データの提供について、原則として本人の同意を義務付けています。

例外として、EUやイギリスなどの外国に提供する場合と、個人情報保護法と同水準の措置が講じられている場合、または国際的な枠組み(CBPR等)の認定を受けている場合が規定されています(施行規則16条)。

一般的には、各種生成AIの法人プランサービスの中でDPA(Data Processing Agreement)などにより、個人情報保護の措置がどのように講じられているかを精査したうえで、本人同意を要しない例外への該当性を判断することになります。

例外に該当する場合でも必要な対応

例外に該当する場合であっても、定期的にSOC 2のレポート結果を参照するなど、当該サービス提供者に対する監督のルーティンが必要となります(法28条3項、規則18条1項)。

関連するQ&A

生成AIに関する政府等のガイドラインにはどんなものがありますか?

生成AIで出力した画像などは著作権法上利用できますか?(法人事業)

他者の情報を生成AIで利用するためにはどんな契約条項が必要ですか?

生成AIに入力したデータは「委託」にあたりますか?

社内で生成AI利用ガイドラインを策定するときに最低限入れるべき項目は?

弁護士費用/サービス内容お問合せ

tAiL.法律事務所のサービス内容や料金について無料でお問合せできるフォームです。

問い合わせるQ&A一覧に戻る