← コラム一覧へ戻る
Insight

AIサービスと個人情報保護で、企業が最初に確認すべきこと

こんにちは!Legal Agent 代表弁護士の朝戸です。

AIサービスを提供する企業、またはAIサービスを社内で利用する企業にとって、個人情報保護は避けて通れないテーマです。生成AIは、文章、音声、画像、ログ、問い合わせ、採用情報、顧客情報など、さまざまなデータを扱います。その中に個人情報が含まれる場合、個人情報保護法との関係を確認する必要があります

AIサービスの法務では、技術的に何ができるかだけでなく、どのデータを、どの目的で、誰の責任で扱っているのかを説明できることが重要です。特に、BtoBサービスやエンタープライズ向けサービスでは、顧客企業の法務部門から細かく確認される可能性があります

まずデータの流れを見る

AIサービスと個人情報保護を考えるとき、最初に行うべきなのはデータの流れを確認することです。ユーザーがどの画面でどの情報を入力するのか、その情報が自社サーバーに保存されるのか、外部AIサービスに送信されるのか、ログとして残るのか、学習に使われるのかを確認します

ここが曖昧なままプライバシーポリシーを書くと、実態と説明がずれる可能性があります。特に、外部の生成AI APIを利用している場合には、入力データが外部事業者に送信されることになります。その場合、自社と外部事業者の関係、データ処理条件、国外移転、再委託、ログ保存を確認する必要があります

法務としては、開発チームやプロダクトチームから、データフローを図や表で共有してもらうことが望ましいと考えています

利用目的を具体的に書く

個人情報を扱う場合には、利用目的を特定する必要があります。AIサービスでは、利用目的が抽象的になりやすいです。「サービス提供のため」「品質向上のため」といった表現だけでは、実際に何をしているのかが分かりにくい場合があります

たとえば、ユーザーが入力した文章をAIで要約する、問い合わせ内容を分析して回答候補を作る、採用候補者の情報を管理する、顧客の利用ログをもとに機能改善を行う、といった形で、実際の利用に即して説明することが重要です

また、学習利用を行う場合には、通常のサービス提供とはリスクが異なります。個人情報をモデルの学習に使うのか、統計情報や匿名加工情報のような形で扱うのか、本人や顧客企業にどのように説明するのかを慎重に確認する必要があります

委託、第三者提供、国外移転を確認する

AIサービスでは、外部クラウド、生成AI API、分析ツール、メール配信、決済、サポートツールなど、多くの外部サービスを使うことがあります。個人情報保護法上、これらが委託として扱えるのか、第三者提供にあたるのか、国外移転があるのかを確認する必要があります

特に、外部AIサービスが海外事業者である場合、国外移転の説明や契約上の措置が問題になることがあります。プライバシーポリシーや個別契約で、どこまで説明すべきかを検討する必要があります

BtoBサービスの場合、顧客企業が自社の個人情報をサービスに入力することもあります。その場合、自社は顧客から個人データの取扱いを委託される立場になる可能性があります。委託契約、再委託、情報管理、漏えい時の報告などを確認することが重要です

AIの出力と個人情報

AIサービスでは、入力データだけでなく、出力結果にも注意が必要です。AIが個人に関する評価、分類、推薦、要約を行う場合、その出力が本人に不利益を与える可能性があります

採用、人事評価、与信、医療、教育などの領域では、AIの出力をどのように人間が確認するかが重要です。AIの判断をそのまま使うのではなく、人間の確認、異議申立て、説明可能性、ログ管理などを検討する必要があります

また、AIが入力情報から推測した内容が正確とは限りません。個人に関する不正確な情報が保存されたり、顧客対応に使われたりすると、個人情報保護だけでなく、信用や契約上の問題にもつながる可能性があります

プライバシーポリシーだけで終わらせない

AIサービスと個人情報保護では、プライバシーポリシーを作るだけでは足りません。社内のデータ管理、外部サービスの契約確認、アクセス権限、ログ管理、インシデント対応、顧客への説明資料まで含めて整える必要があります

特に、エンタープライズ顧客に提供する場合、顧客からセキュリティチェックシートや個人情報取扱いに関する質問が来ることがあります。そのときに、データフロー、利用目的、保存期間、再委託先、国外移転、削除方法を説明できる状態にしておくことが重要です

LegalAgentでは、AIサービスの個人情報保護を、プライバシーポリシーの作成だけでなく、サービス設計と契約実務の問題として捉えています。生成AI時代には、法務がプロダクトのデータ利用を理解し、事業に合わせた説明と管理体制を作ることが必要だと考えています

LegalAgentの関連サービス

この記事のテーマに関連するLegalAgentのサービスは、以下のページで詳しくご確認いただけます。

他の記事を見る お問い合わせ