← AI法務ラボへ戻る
Insight
契約レビューAIサービス法務スタートアップ法務

AIサービスと個人情報保護で、企業が最初に確認すべきこと

こんにちは。LegalAgent 代表弁護士の朝戸です。

AIサービスを提供する企業にとっても、社内で利用する企業にとっても、個人情報保護は避けて通れないテーマです。生成AIは、文章、音声、画像、ログ、問い合わせ、採用情報、顧客情報など、さまざまなデータを扱います。その中に個人情報が含まれる場合、個人情報保護法との関係を確認する必要があります。

AIサービスの法務では、技術的に何ができるかだけでなく、どのデータを、どの目的で、誰の責任で扱っているのかを説明できるかが問われます。BtoBサービスやエンタープライズ向けサービスでは、顧客企業の法務部門から細かく確認される場面もあります。この記事では、データの流れの確認、利用目的の書き方、委託・第三者提供・国外移転の切り分け、AI出力が本人に与える影響という順で、プライバシーポリシーを書く前に固めておくべき前提を追っていきます。

なお、個人情報保護法は3年ごとの見直しが予定されており、2026年には課徴金制度の導入等を内容とする改正法案が国会に提出されています。本記事執筆時点では法案審議中であり、今後の動向によって実務対応が変わり得る点にも留意が必要と考えられます。

出発点になるデータフローの確認

AIサービスと個人情報保護を考えるとき、最初に行うべきなのはデータの流れの確認です。ユーザーがどの画面でどの情報を入力するのか、その情報が自社サーバーに保存されるのか、外部AIサービスに送信されるのか、ログとして残るのか、学習に使われるのかを確認します。

ここが曖昧なままプライバシーポリシーを書くと、実態と説明がずれる可能性があります。特に、外部の生成AI APIを利用している場合には、入力データが外部事業者に送信されることになります。その場合、自社と外部事業者の関係、データ処理条件、国外移転、再委託、ログ保存を確認する必要があります。

法務としては、開発チームやプロダクトチームから、データフローを図や表で共有してもらうのが確実です。口頭の説明だけで進めると、後述する委託・第三者提供の切り分けを誤る原因になります。

利用目的の書き方

個人情報を扱う場合には、利用目的を特定する必要があります。AIサービスでは、利用目的が抽象的になりやすいです。「サービス提供のため」「品質向上のため」といった表現だけでは、実際に何をしているのかが分かりにくい場合があります。

たとえば、ユーザーが入力した文章をAIで要約する、問い合わせ内容を分析して回答候補を作る、採用候補者の情報を管理する、顧客の利用ログをもとに機能改善を行う、といった形で、実際の処理に即して説明する必要があります。

学習利用を行う場合には、通常のサービス提供とはリスクが異なります。個人情報をモデルの学習に使うのか、統計情報や匿名加工情報のような形で扱うのか、本人や顧客企業にどのように説明するのかを慎重に確認する必要があります。

委託・第三者提供・国外移転の切り分け

AIサービスでは、外部クラウド、生成AI API、分析ツール、メール配信、決済、サポートツールなど、多くの外部サービスを使うことがあります。個人情報保護法上、これらが委託として扱えるのか、第三者提供にあたるのか、国外移転があるのかを確認する必要があります。

特に、外部AIサービスが海外事業者である場合、国外移転の説明や契約上の措置が問題になることがあります。プライバシーポリシーや個別契約で、どこまで説明すべきかを検討する必要があります。

BtoBサービスの場合、顧客企業が自社の個人情報をサービスに入力することもあります。その場合、自社は顧客から個人データの取扱いを委託される立場になる可能性があります。委託契約、再委託、情報管理、漏えい時の報告など、受託者としての義務も併せて確認しておくべき事項です。

AIの出力と個人情報

AIサービスでは、入力データだけでなく、出力結果にも注意が必要です。AIが個人に関する評価、分類、推薦、要約を行う場合、その出力が本人に不利益を与える可能性があります。

採用、人事評価、与信、医療、教育などの領域では、AIの判断をそのまま使わず、人間の確認、異議申立て、説明可能性、ログ管理などをどう組み込むかを検討する必要があります。

また、AIが入力情報から推測した内容が正確とは限りません。個人に関する不正確な情報が保存されたり、顧客対応に使われたりすると、個人情報保護だけでなく、信用や契約上の問題にもつながる可能性があります。

プライバシーポリシーだけで終わらせない

AIサービスと個人情報保護では、プライバシーポリシーを作るだけでは足りません。社内のデータ管理、外部サービスの契約確認、アクセス権限、ログ管理、インシデント対応、顧客への説明資料まで含めて整える必要があります。

エンタープライズ顧客に提供する場合、顧客からセキュリティチェックシートや個人情報取扱いに関する質問が来ることがあります。そのときに、データフロー、利用目的、保存期間、再委託先、国外移転、削除方法を説明できる状態になっているかどうかで、商談の進み方が変わります。

LegalAgentでは、AIサービスの個人情報保護を、プライバシーポリシーの作成だけでなく、サービス設計と契約実務の問題として捉えています。生成AI時代には、法務がプロダクトのデータ利用を理解し、事業に合わせた説明と管理体制を作ることが必要だと考えています。

キーワード
個人情報
キーワード一覧から探す

あわせて読みたい記事

この記事と近いテーマの記事です。

Insight / 2026.07.07 専門用語をかみ砕いて説明してもらう|生成AIのやさしい使い方 Insight / 2026.07.05 優先株式の内容設計|残余財産優先分配・転換・ダウンラウンド調整のレビューポイント Insight / 2026.05.29 利用規約とプライバシーポリシーは、事業が変わるたびに見直した方がよい
AI法務ラボで他の記事を見る