経営法務ニュースVol.50｜2025.08

2025.07.30 2025.07.30

壹岐晋大

はじめに

こんにちは。

親知らず抜歯で顔面麻痺が残ってしまったという同業者の話を耳にして、残る左側親知らず抜歯予定を一旦キャンセルした壹岐です。

サウナに入っているような暑さが続きますが、皆様お元気に過ごされていますでしょうか。

日本列島に大災難が起こるという予言の日（私が見た未来）に、噴火が続く新燃岳のふもと霧島市に行ったりしていますが、私は元気に過ごしております。

前回のニュース記事で、M&A仲介業者の悪口注意点を少し書きましたが、面白い本を読みましたので、興味のある方はぜひ。

※前回のクイズの答えは「津地方裁判所」でした。セントレアまで飛んで、そこから津ベルラインという高速船で津市に行くルートです。回答頂いた方ありがとうございました。

今回の記事

経営法務TOPICS: 生成AIの使用と個人情報保護法

内容まとめ

プライバシーポリシーをまず確認！生成AI利用は目的の範囲内？
生成AIに個人データを入力することは、基本的に「第三者提供」になる
本人の同意を得ずに生成AIに個人データを入力する方法とは？

生成AI

ChatGPTをはじめとする生成AI技術が2022年末以降急速に普及しています。

私自身も生成AIを活用しながら業務を行っております（守秘義務情報は入力していません）。

生成AIに関しては多くの法律問題が関連してきますが、今回は生成AIと個人情報保護法に関する点について簡単に説明したいと思います。

主に問題となること

生成AIの利用に関して、個人情報保護法で問題となる主な点は、以下の３点です。

生成AIへの入力が「目的外利用」とならないか
生成AIへの入力は「第三者提供」に該当するのか
「委託」として扱う場合の注意点

生成AIへの入力が「目的外利用」とならないか

生成AIに個人情報を入力することが、そもそも目的外利用とならないかの確認は必要です。

個人情報保護法では、本人の同意を得ず、利用目的の達成に必要な範囲を超えて、個人情報を取り扱うことができないとされています。

また、個人情報を取得した場合は、利用目的を公表した場合を除き、本人に通知又は公表しなければならないとされています。

このようなルールから、個人情報を受け取る都度、利用目的を通知するのが煩雑になるので、利用目的は公表されているケースが多いです。

これがいわゆるプライバシーポリシーです。

そして、基本的にプライバシーポリシーなどで記載されている利用目的の範囲でしか、個人情報を取り扱うことができません。

「生成AIへの入力」まで記載する必要はないですが、記載された利用目的とは異なる理由で生成AIへ個人情報を入力することは目的外利用となるので注意が必要です。

生成AIへの入力は、「第三者提供」に該当するのか

個人情報保護法上、個人データ（「個人情報」とは定義が異なりますが、ここでは省略します。）を第三者に提供する場合には、法令に基づく場合などを除き、基本的に本人の同意が必要になります。

生成AIへの入力が、そもそも「提供」に該当せず、先程の目的外利用の問題をクリアすれば、個人情報保護法上は適法な利用と考えられそうです。

ただ、結論から述べると現時点では、生成AIへの入力は「提供」に該当するという扱いになると解釈されています。

個人情報保護委員会は、SaaS等のクラウドサービスへの個人データの入力が提供に該当するかどうかについては、

契約条項によって当該外部事業者がサーバに保存されたデータを取り扱わない旨が定められていること（契約条項に関する要件）
適切にアクセス制御を行っていること（技術的措置に関する要件）

という要件を満たす必要があるとしておりますが（いわゆる「クラウド例外」といいます。

これは生成AIに限らず、オンラインストレージなども同様です）、生成AIは入力された情報を「処理」していると解されるため、学習利用をさせないとしても提供に該当するとされるのが現時点での考え方です。（今後、クラウド例外の要件などが変更になる可能性はあります。）

「委託」として扱う場合の注意点

では、どうしても本人の同意を得ないと、個人データは生成AIに入力できないのでしょうか。

本人の同意を得ずに、生成AIに個人データを入力するためには「提供」に該当したとしても、「委託」として扱うという方法が考えられます。

「委託」とは、契約の形態・種類を問わず、他の者に個人データの取扱を行わせることをいい、個人データの入力・編集・分析・出力等の処理を行うことを委託すること等が想定されています。

まさに生成AIへの入力は、分析などに該当するので「委託」なのだという扱いが考えられます。

ただ、委託の場合、委託先の監督が必要になります。

生成AIの提供企業が委託先ということになり、これらのビッグテックを監督するというのが現実的ではないですが、実際には利用規約などを確認して委託先として適正なのか（例えば、提供したデータと他のデータを合わせて取り扱っていないか（通称：混ぜるな危険）等）をチェックする必要があります。

なお、学習利用を許可した場合には委託として扱うのは難しいと思います。

さらに注意点は、提供先が「外国」である場合には、越境移転規制といって本人の同意が必要になります。

例えば、アメリカにある事業者の生成AIを利用した場合などは「委託」として扱っても同意が必要になるというものです。（ただ、アメリカの生成AIでも、その日本法人と契約をしているケースは多いと思います）

結局どうする？

現在、生成AIは業務において必要不可欠ともいえる事業者も増えています。

個人情報保護法に関する規制を考える場合には、個人情報や個人データをそもそも入力しない、入力する場合には委託として扱い、学習利用をオフにした上で、信頼性のある日本法人がある生成AIを利用するなどの対応が考えられるでしょう。

社内においても、生成AIの使用について一定の制限を設けたり、ハルシネーション（誤回答）があることを十分理解して使用することなどの教育的な対応も重要になると思います。

※今回は簡潔に説明するために、ある程度説明を省略した部分があるので、詳細を確認したいなどの場合は、ご相談ください。

カテゴリー: NEWSLETTER