「ChatGPTに顧客のメール文面を貼り付けて返信案を作っているが、法的に問題はないのか」「AIを使った書類処理で個人情報を扱う場合、社員にどう説明すればよいか」「個人情報保護法の観点から、AIへの入力を禁止すべきデータの基準がわからない」——AIを業務活用する中小企業の担当者・経営者から、こうした疑問を非常に多く聞きます。
生成AIの急速な普及により、個人情報保護法とAI活用の接点は2026年現在、日本企業が直面している最もリアルなコンプライアンス課題の一つになっています。ルールが曖昧なまま業務利用が先行してしまい、後から「実はアウトだった」ということが起きやすい状況です。
本記事では、日本の個人情報保護法(2022年全面施行・2024年改正を含む)の規定に基づき、「AIに入力してよいデータ」と「入力してはいけないデータ」を法的根拠とともに整理します。中小企業の実務担当者が「これを読めばとりあえず判断できる」という実践的なガイドラインを目指しています。
なお、本記事は法的アドバイスを提供するものではありません。個別の状況に応じた判断については、必ず専門家(弁護士・個人情報保護士等)にご相談ください。
AIセキュリティリスクの全体像については「AIセキュリティとOWASP Top 10 for LLM」を、社内ルール整備については「社内AI利用ガイドラインの作り方」も合わせてご覧ください。
まず理解すべき「個人情報」の定義——AIに関係する範囲
個人情報保護法における「個人情報」とは、生存する個人に関する情報であって、特定の個人を識別できるものです(個人情報保護法第2条第1項)。
AIを業務利用する文脈で特に重要なのは以下の区分です。
個人情報(基本)
- 氏名・住所・生年月日・電話番号・メールアドレス
- 顔写真・映像(特定個人を識別できるもの)
- 会社名+役職名+氏名の組み合わせ
- IPアドレス(単体では該当しない場合もあるが、他情報と組み合わせると該当)
要配慮個人情報(特に厳格な扱いが必要)
要配慮個人情報は、取得に原則として本人の同意が必要な、より慎重な扱いが求められる情報です(同法第2条第3項)。
- 人種・民族・社会的身分・門地
- 病歴・障害・健康診断の結果
- 犯罪歴・犯罪被害の事実
- 身体障害・知的障害・精神障害等の有無
- 医師等による診療・調剤情報
個人関連情報(2022年改正で新設)
生存する個人に関する情報で、個人情報・仮名加工情報・匿名加工情報のいずれにも該当しないもの。Cookie情報・位置情報・行動履歴等が該当します。第三者提供の際に一定の規制が適用されます。
生成AIと個人情報保護法——問題が生じる3つの場面
AIを業務利用する際に個人情報保護法上の問題が生じやすい場面は、大きく3つに分類されます。
場面① AIへの「入力」——利用目的の範囲の問題
個人情報を収集した際に特定した「利用目的」の範囲を超えてAIに入力することは、法令違反になる可能性があります。
具体例:
顧客から「サービスへの問い合わせ対応」の目的で収集したメールアドレス・氏名・問い合わせ内容を、「AIによるマーケティング分析」の目的でChatGPTに入力する場合、利用目的の範囲外になる可能性があります。
法的根拠:個人情報保護法第18条(利用目的による制限)
対応策:
- プライバシーポリシーに「AIを活用した業務処理」への利用を明記する
- 既存の収集情報をAI活用に使う場合は、利用目的の変更通知・公表を行う
- 新規の情報収集フォームに「AI活用」の利用目的を追加する
場面② 外部AIサービスへの提供——第三者提供の問題
個人情報を外部のAIサービス(OpenAI・Anthropic・Google等)に送信することは、原則として第三者提供に該当する可能性があります(同法第27条)。
第三者提供には原則として本人の事前同意が必要ですが、以下の場合は例外となります。
- 委託(業務委託先への提供):本人同意不要だが、委託先への監督義務あり
- 共同利用:あらかじめ本人に通知等が必要
- 法令に基づく場合:本人同意不要
重要な論点——AIサービスへの送信は「委託」か「第三者提供」か:
ChatGPT・Claude等の外部AIサービスへの個人情報の送信を「業務委託」と整理できるかどうかは、サービスの利用規約・データ処理契約(DPA)の有無と内容によって異なります。
| サービス | ビジネスプラン | DPA提供 | 個人情報の学習利用 |
|---|---|---|---|
| ChatGPT Team/Enterprise | あり | あり | 学習に使用しない(規約上) |
| Claude Team/Enterprise | あり | あり | 学習に使用しない(規約上) |
| ChatGPT(無料・Plus) | — | なし | オプトアウトしない限り学習に利用される可能性あり |
| Gemini(Google Workspace) | あり | あり | 学習に使用しない(Workspace規約上) |
業務で個人情報を扱う場合は、必ずビジネスプランを使用し、DPAの内容を確認した上で委託先としての監督義務を果たすことが必要です。
場面③ AIの出力・生成物——正確性確保の問題
個人情報取扱事業者は、利用目的の達成に必要な範囲で個人情報を正確かつ最新の内容に保つよう努める義務があります(同法第22条)。
AIが個人に関する情報を生成・推測・補完する場合、誤った情報が生成される(ハルシネーション)リスクがあります。AIが生成した個人に関する情報をそのまま使用することは、正確性確保義務の観点から問題になる可能性があります。
「入力してよいデータ」「ダメなデータ」の判断フローチャート
以下のフローに従って、AIへの入力可否を判断してください。
Step 1:その情報は個人情報か?
→ NO(統計データ・匿名情報等):基本的に入力可
→ YES:Step 2へ
Step 2:要配慮個人情報が含まれるか?
→ YES(病歴・障害・犯罪歴等):原則入力禁止(特別な対応が必要)
→ NO:Step 3へ
Step 3:使用するAIサービスはビジネスプランか?
→ NO(無料プラン・個人プラン):個人情報の入力禁止
→ YES:Step 4へ
Step 4:プライバシーポリシーに「AI活用」の利用目的が明記されているか?
→ NO:利用目的の変更・追記が必要(入力前に対応)
→ YES:Step 5へ
Step 5:入力情報を匿名化・仮名化できるか?
→ YES:可能な限り匿名化して入力(リスクを最小化)
→ NO:委託としての整理・DPA確認の上で入力
業務別:AIへの入力可否の具体例
✅ 原則として入力可能なもの
| 情報の種類 | 条件 |
|---|---|
| 匿名化・仮名化した顧客情報 | 氏名・連絡先等の識別情報を削除・置換済み |
| 自社の業務マニュアル・手順書 | 個人情報を含まない社内文書 |
| 統計データ・集計結果 | 個人を特定できない形に加工済み |
| 一般的な問い合わせ文(個人情報削除後) | 氏名・メールアドレス等を削除した問い合わせ内容 |
| 自社が作成した文章・資料の下書き | 個人情報を含まないもの |
| 業界情報・市場データ | 公開情報・自社調査データ |
⚠️ 条件付きで入力可能なもの(要対応)
| 情報の種類 | 必要な対応 |
|---|---|
| 顧客の氏名・連絡先を含む問い合わせ内容 | ビジネスプラン使用・DPA確認・利用目的明記 |
| 社員の勤怠・給与情報 | ビジネスプラン・社内規程の整備・社員への説明 |
| 採用候補者の職務経歴書 | 匿名化推奨・ビジネスプラン・採用選考への直接利用は要注意 |
| 顧客との契約書・注文書 | ビジネスプラン・DPA確認・相手方への説明検討 |
| 患者・利用者情報(医療・介護) | 匿名化必須・要配慮個人情報の取り扱い規程整備 |
❌ 原則として入力禁止のもの
| 情報の種類 | 理由 |
|---|---|
| 病歴・診断情報・障害情報 | 要配慮個人情報。取得・提供に本人同意が必要 |
| 犯罪歴・犯罪被害情報 | 要配慮個人情報 |
| 無料プランへの顧客個人情報 | データ学習利用・DPAなし・委託としての整理が困難 |
| 未成年者の個人情報(保護者同意なし) | 未成年者への保護が強化されている |
| 本人が第三者提供を拒否している情報 | オプトアウト済み情報の第三者提供は違反 |
| 守秘義務が課されている情報(弁護士・医師等) | 個人情報保護法以前に守秘義務違反となる |
匿名化・仮名化の実務的な方法
個人情報をAIに入力する際、可能な限り匿名化・仮名化処理を行うことでリスクを大幅に低減できます。
仮名化(個人情報保護法上の「仮名加工情報」)
他の情報と照合しない限り特定の個人を識別できないよう加工した情報です。元データとの対応表を社内に保管することが前提で、完全な匿名化ではありませんが、一定の条件のもとで第三者提供規制が緩和されます。
実務での仮名化例:
- 「山田太郎様(顧客ID: A001)」→「顧客A」
- 「東京都渋谷区〇〇1-2-3」→「東京都内」
- 「090-XXXX-XXXX」→「電話番号削除」
- 「yamada@example.com」→「メールアドレス削除」
AIへの入力前に実施すべき処理チェックリスト
- □ 氏名(フルネーム)を削除または「顧客A」等に置換した
- □ メールアドレス・電話番号・住所を削除した
- □ 生年月日・年齢(特定につながる場合)を削除または年代に変換した
- □ 口座番号・クレジットカード番号を削除した
- □ マイナンバー・健康保険番号等を削除した
- □ 削除後、残った情報から個人が特定できないことを確認した
プライバシーポリシーへの「AI活用」記載の実務
現在のプライバシーポリシーに「AI活用」が明記されていない企業は、早急な対応が必要です。
追記すべき主な内容と文例
① 利用目的への追記例:
当社は、お預かりした個人情報を以下の目的で利用します。 (既存の利用目的に追加) ・AIツールを活用した業務処理(顧客対応、書類作成等)および サービス品質向上のための分析
② 第三者提供(委託)への追記例:
当社は、業務の一部を外部事業者に委託することがあります。 委託にあたっては、個人情報の適切な取り扱いについて 契約を締結し、必要な監督を行います。 委託先にはAIサービス提供事業者が含まれる場合があります。
③ 安全管理措置への追記例:
AIツールへの個人情報の入力にあたっては、 ・業務用プラン(データ学習に利用されない契約)のみを使用 ・入力前の匿名化・仮名化処理の実施 ・委託先との適切な契約締結 等の安全管理措置を講じています。
2024年改正個人情報保護法のAI活用への影響
2024年改正(一部は2025年施行)で特にAI活用に関係する主な変更点を整理します。
① 不適正利用の禁止規定の強化
「個人の権利利益を不当に侵害するおそれがある方法による利用の禁止」が明確化されました。AIを使った個人の行動・特性の不当なプロファイリングや、差別的な意思決定への活用は、この規定に抵触する可能性があります。
② 漏洩等の報告・通知義務の適用範囲
一定規模以上の個人情報の漏洩・不正アクセス等の発生時には、個人情報保護委員会への報告と本人への通知が義務化されています。AIサービスへの入力情報が外部に漏洩した場合も、この義務の対象となる可能性があります。
③ 外国にある第三者への提供規制
OpenAI(米国)・Anthropic(米国)・Google(米国)等の外国のAIサービスへの個人情報の提供は、「外国にある第三者への提供」(同法第28条)として、より厳格な規制が適用されます。
対応:外国のAIサービスを利用する場合は、プライバシーポリシーに「外国への提供先の国名・当該国の制度・講じている措置」の情報を記載することが求められます。ただし、適切なDPAを締結し「委託」として整理できる場合は、第28条の適用外となります。
業種別の特別な注意事項
医療・介護業
医療情報は要配慮個人情報に該当し、法令上最も厳格な取り扱いが求められます。診断情報・処方情報・検査結果等をAIに入力することは、たとえ業務効率化目的であっても、患者本人の同意取得と利用目的の明示が原則として必要です。医療法・薬機法等との関係も考慮が必要なため、専門家への確認が不可欠です。
金融・保険業
融資審査・保険引受・信用スコアリング等に個人情報を使うAIは、個人情報保護法に加えて各業法(銀行法・保険業法・貸金業法等)や金融庁の監督指針との整合性確認が必要です。またAIによる与信判断の根拠を本人に説明できる体制(説明可能なAI)の整備も求められます。
人材・採用業
採用候補者の個人情報は、採用目的以外への利用が厳しく制限されます。AI採用ツールの利用にあたっては、候補者への説明・同意取得と、AIによる選考プロセスの透明性確保が重要です。EU展開がある場合はEU AI Act(高リスクAI)の観点からの確認も必要です(→「EU AI Act完全対応ガイド」参照)。
教育業
未成年者(18歳未満)の個人情報は特別な配慮が必要です。保護者の同意取得が必要なケースが多く、学習データ・成績情報等をAIに活用する際は利用規約・同意フローの整備が求められます。
個人情報保護委員会のガイダンスと最新動向
個人情報保護委員会は2023年〜2024年にかけて、生成AIの利用に関する注意喚起・ガイダンスを複数発表しています。
主な公表内容(要旨):
- 生成AIサービスへの個人情報入力は第三者提供に該当し得る
- 利用規約でデータ学習への利用が認められているサービスへの個人情報入力は、利用目的の範囲・第三者提供の観点から問題になり得る
- 従業員向けの適切なAI利用ルールの策定を推奨
最新のガイダンスは個人情報保護委員会公式サイト(ppc.go.jp)で確認してください。
今すぐ実施すべき実務チェックリスト
【フェーズ1:現状確認(今週中)】
- □ 社内で使用しているAIツールをすべてリストアップした
- □ 各AIツールへの個人情報の入力有無を確認した
- □ 使用しているAIサービスが無料プランか業務用プランかを確認した
- □ プライバシーポリシーに「AI活用」の記載があるかを確認した
【フェーズ2:即時対応(今月中)】
- □ 無料プランへの個人情報入力を停止し、業務用プランに切り替えた
- □ プライバシーポリシーに「AI活用」「外国への提供」の記載を追記した
- □ 社内の「AI入力禁止情報リスト」を作成し、全社員に共有した
- □ 使用中のAIサービスとのDPA(データ処理契約)の有無を確認した
【フェーズ3:体制整備(3ヶ月以内)】
- □ 社内AI利用ガイドラインに個人情報保護の章を追加した
- □ 個人情報の匿名化・仮名化の手順を社内マニュアルに整備した
- □ AIに関する個人情報漏洩発生時のインシデント対応手順を策定した
- □ 社員向けのAI×個人情報保護研修を実施した
- □ 業種特有の規制(医療・金融等)への対応状況を専門家に確認した
よくある質問(FAQ)
Q1. 社員の氏名・所属をAIに入力してもよいですか?
社員情報も個人情報に該当します。社内業務処理の文脈で社員情報をAIに入力する場合は、①業務用プランの使用、②就業規則・社内規程への明記、③社員への説明が必要です。「〇〇さんの業務分担を整理して」という用途であれば、氏名を「担当者A」に置換するだけで多くのリスクを回避できます。
Q2. 顧客から届いたメールをそのままAIに貼り付けてもよいですか?
顧客のメールには氏名・メールアドレス等の個人情報が含まれます。ビジネスプランを使用し、プライバシーポリシーにAI活用が明記されている場合は一定の根拠が整いますが、最低限、氏名・メールアドレス・連絡先を削除または仮名化してから入力することを強く推奨します。
Q3. AIが生成した文章に誤った個人情報が含まれていた場合、責任は誰が負いますか?
AIが生成した情報の利用に関する責任は、最終的にその情報を使用した事業者・個人が負います。「AIが生成したから」という言い訳は法的に通用しません。AIの出力を公開・使用する前に必ず人間が確認する体制を整えることが必須です。
Q4. GDPRとの関係は?EU域内の顧客情報を日本でAI処理してもよいですか?
EU域内の個人(顧客・従業員等)に関する情報をAI処理する場合、GDPRの適用を受ける可能性があります。GDPRは日本の個人情報保護法より要件が厳格な部分が多く、適法性根拠の確認・データ処理の記録・データ主体の権利対応等が必要です。EU展開がある場合は「EU AI Act完全対応ガイド」とあわせて専門家への相談を推奨します。
Q5. 小規模な事業者でも個人情報保護法は適用されますか?
2022年の改正により、規模に関わらずすべての個人情報取扱事業者に個人情報保護法が適用されます(従前あった5,000件以下の小規模事業者の適用除外は廃止されました)。従業員1名の個人事業主でも、顧客情報を扱っていれば法律上の義務が生じます。
Q6. 社内のAI利用ガイドラインにはどんな内容を盛り込めばよいですか?
個人情報保護の観点では最低限、①AI入力禁止情報のリスト、②使用を認めるAIサービスの一覧と対応プラン、③匿名化・仮名化の手順、④違反時の報告手順、の4点を盛り込むことを推奨します。ガイドライン全体の作り方は「社内AI利用ガイドラインの作り方」をご参照ください。
まとめ——「後から困らない」ためのAI×個人情報保護の3原則
生成AIの業務活用と個人情報保護は、正しく理解すれば「どちらかを諦めなければならない」関係ではありません。適切なルールと手順を整えれば、AI活用の効率化と法令遵守は両立できます。
本記事のポイントをまとめると、
まず、「無料プランへの個人情報入力禁止」は今日から徹底できる最重要ルールです。これだけで多くのリスクを一気に下げられます。
次に、プライバシーポリシーへの「AI活用」記載は、利用目的の範囲を守るための最低限の対応です。すでにAIを業務利用しているにもかかわらず記載がない場合は、早急な対応が必要です。
そして、入力前の匿名化・仮名化の習慣化が、個人情報保護法上のリスクを最も効率的に下げる実務対応です。「削除できる個人情報は削除してから入力する」というシンプルなルールを社内に浸透させてください。
⚠️ 法的対応が特に急がれる場合
以下に該当する場合は、専門家(弁護士・個人情報保護士)への早期相談を推奨します。
・医療・介護・金融など要配慮個人情報・センシティブ情報を扱っている
・EU域内の顧客・従業員の情報をAI処理している(GDPR対応)
・採用AIツールを本格導入している、または検討している
・すでに個人情報をAIに入力しており、プライバシーポリシーへの記載がない
・個人情報の漏洩・不正アクセスが発生したまたは発生が疑われる
社内AI利用ルールの整備については「社内AI利用ガイドラインの作り方」を、AIセキュリティリスクの全体像は「AIセキュリティとOWASP Top 10 for LLM」を、EU規制対応は「EU AI Act完全対応ガイド(日本企業向け)」も合わせてご覧ください。
※本記事は一般的な情報提供を目的としており、法的アドバイスを提供するものではありません。個別の状況に応じた判断については、必ず専門家(弁護士・個人情報保護士等)にご相談ください。本記事の情報は2026年2月時点のものです。個人情報保護法の改正・個人情報保護委員会のガイダンスは随時更新されるため、最新情報は個人情報保護委員会公式サイト(ppc.go.jp)をご確認ください。
コメント