若手法務担当者必見！増え続けるSaaS, 生成AIサービス利用時の法務チェックポイント

by SEKO_Shuhei

Embed

Start on current slide

Slide 1

Slide 1 text

#SaaS生成AIの法務チェックポイント増え続けるSaaS, 生成AIサービス利用時の法務チェックポイント 2025.4.10 於 BUSINESS LAWYERS

Slide 2

Slide 2 text

#SaaS生成AIの法務チェックポイント「インターネット企業」と「法律事務所LEACT」で兼業をしています 2 世古修平（せこしゅうへい） ◼ インターネット企業（インハウス・正社員） ◼ 法律事務所LEACT（弁護士 66期） ◼ IPA（試験委員） ◼ 経済産業省（電子商取引及び情報財取引等に関する準則研究会委員）

Slide 3

Slide 3 text

#SaaS生成AIの法務チェックポイント【@ インターネット企業】法務部門ではなく、プライバシー部門でインハウスとして働いています 3 投影のみ

Slide 4

Slide 4 text

#SaaS生成AIの法務チェックポイント【@ 法律事務所LEACT】プライバシー領域に絞ってサービスを提供しています 4

Slide 5

Slide 5 text

#SaaS生成AIの法務チェックポイント感想はぜひ、随時X（旧Twitter）でハッシュタグを付けて教えてください 5 #SaaS生成AIの法務チェックポイント

Slide 6

Slide 6 text

#SaaS生成AIの法務チェックポイント本日のお品書き ◼ 導入 ➢ SaaS, 生成AIを取り巻く状況 ➢ 本日の議論の全体像整理 ◼ SaaS, 生成AIサービスにおける個情法の論点 ➢ 委託先の監督（第25条） ➢ 外国にある第三者への提供の制限（第28条）

Slide 7

Slide 7 text

Slide 8

Slide 8 text

#SaaS生成AIの法務チェックポイント SaaSや生成AIサービスを使いたいという相談は、定期的に来ますよね 8

Slide 9

Slide 9 text

#SaaS生成AIの法務チェックポイントデータは自社内で完結することが減り、社外に連携することが増えました 9 出所：https://corp.freee.co.jp/news/0717bundle_by_freee.html

Slide 10

Slide 10 text

#SaaS生成AIの法務チェックポイント一方、たくさんの漏えいが発生し、その数は増加傾向にあります 10 出所：https://www.nikkei.com/article/DGXZQOUA110P40R10C24A6000000/

Slide 11

Slide 11 text

#SaaS生成AIの法務チェックポイント【ケース①】社労夢事件 11 出所：https://www.ppc.go.jp/files/pdf/240325_houdou.pdf

Slide 12

Slide 12 text

#SaaS生成AIの法務チェックポイント【ケース②】セールスフォース事件 12 出所：https://www.ppc.go.jp/news/careful_information/salesforce_guestuser/

Slide 13

Slide 13 text

Slide 14

Slide 14 text

#SaaS生成AIの法務チェックポイント本日のお品書き ◼ 導入 ➢ SaaS, 生成AIを取り巻く状況 ➢ 本日の議論の全体像整理 ➢ 個人情報の定義 ➢ 個人データの提供 ➢ 提供元基準 ◼ SaaS, 生成AIサービスにおける個情法の論点 ➢ 委託先の監督（第25条） ➢ 外国にある第三者への提供の制限（第28条）

Slide 15

Slide 15 text

Slide 16

Slide 16 text

#SaaS生成AIの法務チェックポイント難しさの主たる原因は、日常用語と法律用語で定義に乖離があることです 16 法律用語での「個人情報」日常用語での「個人情報」

Slide 17

Slide 17 text

#SaaS生成AIの法務チェックポイント日常用語として使う「個人情報」との間で定義に差異があるために 17 氏名や住所のことですよね

Slide 18

Slide 18 text

#SaaS生成AIの法務チェックポイントこのような誤解を防ぎ切ることが難しいと感じます氏名や住所のことですよね個人情報（＝氏名や住所）は含まれていません 18

Slide 19

Slide 19 text

#SaaS生成AIの法務チェックポイント条文を読んでみましょう 19 第二条この法律において「個人情報」とは、生存する個人に関する情報であって、次の各号のいずれかに該当するものをいう。一当該情報に含まれる氏名、生年月日その他の記述等（中略）により特定の個人を識別することができるもの（他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。）二個人識別符号が含まれるもの

Slide 20

Slide 20 text

#SaaS生成AIの法務チェックポイント 20 まずは「生存する個人に関する情報」であることが個人情報の要件です第二条この法律において「個人情報」とは、生存する個人に関する情報であって、次の各号のいずれかに該当するものをいう。一当該情報に含まれる氏名、生年月日その他の記述等（中略）により特定の個人を識別することができるもの（他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。）二個人識別符号が含まれるもの

Slide 21

Slide 21 text

#SaaS生成AIの法務チェックポイント 21 この点について、ガイドラインの解説を読んでみると… 第二条この法律において「個人情報」とは、生存する個人に関する情報であって、次の各号のいずれかに該当するものをいう。一当該情報に含まれる氏名、生年月日その他の記述等（中略）により特定の個人を識別することができるもの（他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。）二個人識別符号が含まれるもの「個人に関する情報」とは、氏名、住所、性別、生年月日、顔画像等個人を識別する情報に限られず、ある個人の身体、財産、職種、肩書等の属性に関して、事実、判断、評価を表す全ての情報であり、評価情報、公刊物等によって公にされている情報や、映像、音声による情報も含まれ、暗号化等によって秘匿化されているかどうかを問わない。ガイドライン重要ポイント①

Slide 22

Slide 22 text

#SaaS生成AIの法務チェックポイント 22 この点について、ガイドラインの解説を読んでみると… 第二条この法律において「個人情報」とは、生存する個人に関する情報であって、次の各号のいずれかに該当するものをいう。一当該情報に含まれる氏名、生年月日その他の記述等（中略）により特定の個人を識別することができるもの（他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。）二個人識別符号が含まれるもの「個人に関する情報」とは、氏名、住所、性別、生年月日、顔画像等個人を識別する情報に限られず、ある個人の身体、財産、職種、肩書等の属性に関して、事実、判断、評価を表す全ての情報であり、評価情報、公刊物等によって公にされている情報や、映像、音声による情報も含まれ、暗号化等によって秘匿化されているかどうかを問わない。ガイドライン重要ポイント②

Slide 23

Slide 23 text

#SaaS生成AIの法務チェックポイント 23 この点について、ガイドラインの解説を読んでみると… 第二条この法律において「個人情報」とは、生存する個人に関する情報であって、次の各号のいずれかに該当するものをいう。一当該情報に含まれる氏名、生年月日その他の記述等（中略）により特定の個人を識別することができるもの（他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。）二個人識別符号が含まれるもの「個人に関する情報」とは、氏名、住所、性別、生年月日、顔画像等個人を識別する情報に限られず、ある個人の身体、財産、職種、肩書等の属性に関して、事実、判断、評価を表す全ての情報であり、評価情報、公刊物等によって公にされている情報や、映像、音声による情報も含まれ、暗号化等によって秘匿化されているかどうかを問わない。ガイドライン重要ポイント③

Slide 24

Slide 24 text

#SaaS生成AIの法務チェックポイント 24 このように、生存する個人に関する情報は非常に範囲が広いです第二条この法律において「個人情報」とは、生存する個人に関する情報であって、次の各号のいずれかに該当するものをいう。一当該情報に含まれる氏名、生年月日その他の記述等（中略）により特定の個人を識別することができるもの（他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。）二個人識別符号が含まれるものアクセスログ推定属性情報写真基本4情報（氏名・住所・生年月日・性別）デモグラ情報（年齢、居住地域、所得、職業、家族構成）注文履歴

Slide 25

Slide 25 text

#SaaS生成AIの法務チェックポイント 25 日常用語では、基本4情報だけを個人情報と呼んだりもしますが第二条この法律において「個人情報」とは、生存する個人に関する情報であって、次の各号のいずれかに該当するものをいう。一当該情報に含まれる氏名、生年月日その他の記述等（中略）により特定の個人を識別することができるもの（他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。）二個人識別符号が含まれるものアクセスログ推定属性情報写真基本4情報（氏名・住所・生年月日・性別）デモグラ情報（年齢、居住地域、所得、職業、家族構成）注文履歴

Slide 26

Slide 26 text

#SaaS生成AIの法務チェックポイント 26 法律上はこれら全てが個人情報になり得ます第二条この法律において「個人情報」とは、生存する個人に関する情報であって、次の各号のいずれかに該当するものをいう。一当該情報に含まれる氏名、生年月日その他の記述等（中略）により特定の個人を識別することができるもの（他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。）二個人識別符号が含まれるものアクセスログ推定属性情報写真基本4情報（氏名・住所・生年月日・性別）デモグラ情報（年齢、居住地域、所得、職業、家族構成）注文履歴

Slide 27

Slide 27 text

#SaaS生成AIの法務チェックポイント第二条この法律において「個人情報」とは、生存する個人に関する情報であって、次の各号のいずれかに該当するものをいう。一当該情報に含まれる氏名、生年月日その他の記述等（中略）により特定の個人を識別することができるもの（他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。）二個人識別符号が含まれるもの 27 その上で、条文は個人情報に「次の各号」への該当性を求めています

Slide 28

Slide 28 text

Slide 29

Slide 29 text

Slide 30

Slide 30 text

#SaaS生成AIの法務チェックポイント第二条この法律において「個人情報」とは、生存する個人に関する情報であって、次の各号のいずれかに該当するものをいう。一当該情報に含まれる氏名、生年月日その他の記述等（中略）により特定の個人を識別することができるもの（他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。）二個人識別符号が含まれるもの 30 こちらも同時に満たしたものが、法律上の「個人情報」になるわけですかつ

Slide 31

Slide 31 text

#SaaS生成AIの法務チェックポイント第二条この法律において「個人情報」とは、生存する個人に関する情報であって、次の各号のいずれかに該当するものをいう。一当該情報に含まれる氏名、生年月日その他の記述等（中略）により特定の個人を識別することができるもの（他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。）二個人識別符号が含まれるもの 31 一号と二号がありますが、今日は一号について掘り下げて説明します

Slide 32

Slide 32 text

Slide 33

Slide 33 text

Slide 34

Slide 34 text

Slide 35

Slide 35 text

Slide 36

Slide 36 text

#SaaS生成AIの法務チェックポイント第二条この法律において「個人情報」とは、生存する個人に関する情報であって、次の各号のいずれかに該当するものをいう。一当該情報に含まれる氏名、生年月日その他の記述等（中略）により特定の個人を識別することができるもの（他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。）二個人識別符号が含まれるもの 36 具体のイメージを持ってもらうため、実際の申し込みフォームで見てみます

Slide 37

Slide 37 text

#SaaS生成AIの法務チェックポイント 37 出所：https://biz.businesslawyers.jp/l/1024691/2024-11-21/wdhck5 今回、皆さんはこんなページからお申し込みをいただいたと思うので

Slide 38

Slide 38 text

#SaaS生成AIの法務チェックポイント 38 こちらのフォームを例に取って説明してみます

Slide 39

Slide 39 text

#SaaS生成AIの法務チェックポイント第二条この法律において「個人情報」とは、生存する個人に関する情報であって、次の各号のいずれかに該当するものをいう。一当該情報に含まれる氏名、生年月日その他の記述等（中略）により特定の個人を識別することができるもの（他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。）二個人識別符号が含まれるもの 39 前提として、これらの項目は全て「生存する個人に関する情報」ですよね

Slide 40

Slide 40 text

#SaaS生成AIの法務チェックポイント第二条この法律において「個人情報」とは、生存する個人に関する情報であって、次の各号のいずれかに該当するものをいう。一当該情報に含まれる氏名、生年月日その他の記述等（中略）により特定の個人を識別することができるもの（他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。）二個人識別符号が含まれるもの 40 その上で、これらの情報が一号本文「にも」該当するかを検討します

Slide 41

Slide 41 text

#SaaS生成AIの法務チェックポイント第二条この法律において「個人情報」とは、生存する個人に関する情報であって、次の各号のいずれかに該当するものをいう。一当該情報に含まれる氏名、生年月日その他の記述等（中略）により特定の個人を識別することができるもの（他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。）二個人識別符号が含まれるもの 41 この時、どうしても「氏名」に注目してしまいがちなのですが氏名

Slide 42

Slide 42 text

#SaaS生成AIの法務チェックポイント第二条この法律において「個人情報」とは、生存する個人に関する情報であって、次の各号のいずれかに該当するものをいう。一当該情報に含まれる氏名、生年月日その他の記述等（中略）により特定の個人を識別することができるもの（他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。）二個人識別符号が含まれるもの 42 条文には、「もの」全体が個人情報に該当すると書いてありますもの

Slide 43

Slide 43 text

#SaaS生成AIの法務チェックポイント第二条この法律において「個人情報」とは、生存する個人に関する情報であって、次の各号のいずれかに該当するものをいう。一当該情報に含まれる氏名、生年月日その他の記述等（中略）により特定の個人を識別することができるもの（他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。）二個人識別符号が含まれるもの 43 むしろ「氏名、生年月日その他の」を消す方が読みやすいかもしれませんもの

Slide 44

Slide 44 text

#SaaS生成AIの法務チェックポイント第二条この法律において「個人情報」とは、生存する個人に関する情報であって、次の各号のいずれかに該当するものをいう。一当該情報に含まれる氏名、生年月日その他の記述等（中略）により特定の個人を識別することができるもの（他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。）二個人識別符号が含まれるもの 44 つまり、この「氏名」の部分が個人情報なのではなく氏名

Slide 45

Slide 45 text

#SaaS生成AIの法務チェックポイント第二条この法律において「個人情報」とは、生存する個人に関する情報であって、次の各号のいずれかに該当するものをいう。一当該情報に含まれる氏名、生年月日その他の記述等（中略）により特定の個人を識別することができるもの（他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。）二個人識別符号が含まれるもの 45 「もの」全体が個人情報に該当すると読まなければいけない訳ですもの

Slide 46

Slide 46 text

#SaaS生成AIの法務チェックポイント第二条この法律において「個人情報」とは、生存する個人に関する情報であって、次の各号のいずれかに該当するものをいう。一当該情報に含まれる氏名、生年月日その他の記述等（中略）により特定の個人を識別することができるもの（他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。）二個人識別符号が含まれるもの 46 その結果、「もの」に含まれるのであれば構成要素も個人情報に該当します法務歴職種

Slide 47

Slide 47 text

#SaaS生成AIの法務チェックポイント第二条この法律において「個人情報」とは、生存する個人に関する情報であって、次の各号のいずれかに該当するものをいう。一当該情報に含まれる氏名、生年月日その他の記述等（中略）により特定の個人を識別することができるもの（他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。）二個人識別符号が含まれるもの 47 【中間まとめ】氏名、生年月日と同じまとまりの中にある情報は個人情報に該当しますアクセスログ推定属性情報写真基本4情報（氏名・住所・生年月日・性別）デモグラ情報（年齢、居住地域、所得、職業、家族構成）注文履歴氏名、生年月日個人情報

Slide 48

Slide 48 text

Slide 49

Slide 49 text

#SaaS生成AIの法務チェックポイントユーザーID 氏名電話番号メールアドレス 00001 00002 ユーザーID Aサービス利用履歴情報 00001 00002 ユーザー登録情報利用履歴情報第二条この法律において「個人情報」とは、生存する個人に関する情報であって、次の各号のいずれかに該当するものをいう。一当該情報に含まれる氏名、生年月日その他の記述等（中略）により特定の個人を識別することができるもの（他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。）二個人識別符号が含まれるもの 49 ここで「ユーザー登録情報」と「利用履歴情報」のテーブルを想定します

Slide 50

Slide 50 text

#SaaS生成AIの法務チェックポイントユーザーID 氏名電話番号メールアドレス 00001 00002 ユーザー登録情報第二条この法律において「個人情報」とは、生存する個人に関する情報であって、次の各号のいずれかに該当するものをいう。一当該情報に含まれる氏名、生年月日その他の記述等（中略）により特定の個人を識別することができるもの（他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。）二個人識別符号が含まれるもの 50 ユーザー登録情報は氏名を含み、先ほどの説明の通り全体が個人情報ですがアクセスログ推定属性情報写真基本4情報（氏名・住所・生年月日・性別）デモグラ情報（年齢、居住地域、所得、職業、家族構成）注文履歴氏名、生年月日個人情報

Slide 51

Slide 51 text

#SaaS生成AIの法務チェックポイントユーザーID Aサービス利用履歴情報 00001 00002 利用履歴情報第二条この法律において「個人情報」とは、生存する個人に関する情報であって、次の各号のいずれかに該当するものをいう。一当該情報に含まれる氏名、生年月日その他の記述等（中略）により特定の個人を識別することができるもの（他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。）二個人識別符号が含まれるもの 51 利用履歴情報のテーブルには、氏名が含まれていないのが注目ポイントですアクセスログ推定属性情報写真基本4情報（氏名・住所・生年月日・性別）デモグラ情報（年齢、居住地域、所得、職業、家族構成）注文履歴氏名、生年月日個人情報

Slide 52

Slide 52 text

#SaaS生成AIの法務チェックポイントユーザーID Aサービス利用履歴情報 00001 00002 利用履歴情報第二条この法律において「個人情報」とは、生存する個人に関する情報であって、次の各号のいずれかに該当するものをいう。一当該情報に含まれる氏名、生年月日その他の記述等（中略）により特定の個人を識別することができるもの（他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。）二個人識別符号が含まれるもの 52 ここで、利用履歴情報は「個人情報」になるのでしょうか？アクセスログ推定属性情報写真基本4情報（氏名・住所・生年月日・性別）デモグラ情報（年齢、居住地域、所得、職業、家族構成）注文履歴氏名、生年月日個人情報

Slide 53

Slide 53 text

#SaaS生成AIの法務チェックポイントユーザーID 氏名電話番号メールアドレス 00001 00002 ユーザーID Aサービス利用履歴情報 00001 00002 ユーザー登録情報利用履歴情報第二条この法律において「個人情報」とは、生存する個人に関する情報であって、次の各号のいずれかに該当するものをいう。一当該情報に含まれる氏名、生年月日その他の記述等（中略）により特定の個人を識別することができるもの（他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。）二個人識別符号が含まれるもの 53 かっこがきは、「容易に照合」できるものは個人情報に含むといっています

Slide 54

Slide 54 text

#SaaS生成AIの法務チェックポイントユーザーID 氏名電話番号メールアドレス 00001 00002 ユーザーID Aサービス利用履歴情報 00001 00002 ユーザー登録情報利用履歴情報第二条この法律において「個人情報」とは、生存する個人に関する情報であって、次の各号のいずれかに該当するものをいう。一当該情報に含まれる氏名、生年月日その他の記述等（中略）により特定の個人を識別することができるもの（他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。）二個人識別符号が含まれるもの 54 企業は一般に、データを活用する上でユーザーに対してIDを割り振りますが

Slide 55

Slide 55 text

#SaaS生成AIの法務チェックポイントユーザーID 氏名電話番号メールアドレス 00001 00002 ユーザーID Aサービス利用履歴情報 00001 00002 ユーザー登録情報利用履歴情報第二条この法律において「個人情報」とは、生存する個人に関する情報であって、次の各号のいずれかに該当するものをいう。一当該情報に含まれる氏名、生年月日その他の記述等（中略）により特定の個人を識別することができるもの（他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。）二個人識別符号が含まれるもの 55 ユーザーIDはテーブル間での照合を容易にする機能を果たしていますユーザーIDで容易に照合

Slide 56

Slide 56 text

#SaaS生成AIの法務チェックポイントユーザーID 氏名電話番号メールアドレス 00001 00002 ユーザーID Aサービス利用履歴情報 00001 00002 ユーザー登録情報利用履歴情報第二条この法律において「個人情報」とは、生存する個人に関する情報であって、次の各号のいずれかに該当するものをいう。一当該情報に含まれる氏名、生年月日その他の記述等（中略）により特定の個人を識別することができるもの（他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。）二個人識別符号が含まれるもの 56 そのため、「ユーザー登録情報」が個人情報であることは当然の前提としてこちらだけでなく

Slide 57

Slide 57 text

#SaaS生成AIの法務チェックポイントユーザーID 氏名電話番号メールアドレス 00001 00002 ユーザーID Aサービス利用履歴情報 00001 00002 ユーザー登録情報利用履歴情報第二条この法律において「個人情報」とは、生存する個人に関する情報であって、次の各号のいずれかに該当するものをいう。一当該情報に含まれる氏名、生年月日その他の記述等（中略）により特定の個人を識別することができるもの（他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。）二個人識別符号が含まれるもの 57 「利用履歴情報」も、かっこがきにより個人情報に該当することになりますこちらも個人情報

Slide 58

Slide 58 text

#SaaS生成AIの法務チェックポイントユーザーID 氏名電話番号メールアドレス 00001 00002 ユーザー登録情報第二条この法律において「個人情報」とは、生存する個人に関する情報であって、次の各号のいずれかに該当するものをいう。一当該情報に含まれる氏名、生年月日その他の記述等（中略）により特定の個人を識別することができるもの（他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。）二個人識別符号が含まれるもの 58 ユーザーIDに紐づく個人に関する情報は、基本的に全て個人情報です

Slide 59

Slide 59 text

#SaaS生成AIの法務チェックポイント本日のお品書き ◼ 導入 ➢ SaaS, 生成AIを取り巻く状況 ➢ 本日の議論の全体像整理 ➢ 個人情報の定義 ➢ 個人データの提供 ➢ 提供元基準 ◼ SaaS, 生成AIサービスにおける個情法の論点 ➢ 委託先の監督（第25条） ➢ 外国にある第三者への提供の制限（第28条） ➢ 漏えい等の報告義務（第26条）

Slide 60

Slide 60 text

#SaaS生成AIの法務チェックポイント社外に個人データを「提供」するには法的な根拠が必要になります 60

Slide 61

Slide 61 text

#SaaS生成AIの法務チェックポイントこの「提供」の段階で選択しうる法的根拠は、主として3つあります 61 1 ◼ 第三者提供提供先にデータをあげてしまう（＝管理権限が提供先に移る）その後の適用プラポリは、提供先同意取得が必要だが、提供元に監督義務は残らない２ ◼ 委託提供先にデータを預ける（＝管理権限は提供元に残る）その後の適用プラポリは、提供元同意取得は不要だが、提供元に監督義務が残る 3 ◼ 「取り扱わないこととなっている場合」（クラウド例外）提供先にデータを預ける（＝管理権限が提供元に残る）その後の適用プラポリは、提供元同意取得等は不要だが、提供元に監督義務は残らない同意取得同意取得同意取得自社プラポリ自社プラポリ自社プラポリ監督義務監督義務監督義務

Slide 62

Slide 62 text

#SaaS生成AIの法務チェックポイント第三者提供は、提供先にデータをあげてしまうことです 62 1 ◼ 第三者提供提供先にデータをあげてしまう（＝管理権限が提供先に移る）その後の適用プラポリは、提供先同意取得が必要だが、提供元に監督義務は残らない２ ◼ 委託提供先にデータを預ける（＝管理権限は提供元に残る）その後の適用プラポリは、提供元同意取得は不要だが、提供元に監督義務が残る 3 ◼ 「取り扱わないこととなっている場合」（クラウド例外）提供先にデータを預ける（＝管理権限が提供元に残る）その後の適用プラポリは、提供元同意取得等は不要だが、提供元に監督義務は残らない同意取得同意取得同意取得自社プラポリ自社プラポリ自社プラポリ監督義務監督義務監督義務第三者提供委託クラウド例外

Slide 63

Slide 63 text

#SaaS生成AIの法務チェックポイント委託は、自社の責任の下で提供先にデータを預けることです 63 1 ◼ 第三者提供提供先にデータをあげてしまう（＝管理権限が提供先に移る）その後の適用プラポリは、提供先同意取得が必要だが、提供元に監督義務は残らない２ ◼ 委託提供先にデータを預ける（＝管理権限は提供元に残る）その後の適用プラポリは、提供元同意取得は不要だが、提供元に監督義務が残る 3 ◼ 「取り扱わないこととなっている場合」（クラウド例外）提供先にデータを預ける（＝管理権限が提供元に残る）その後の適用プラポリは、提供元同意取得等は不要だが、提供元に監督義務は残らない同意取得同意取得同意取得自社プラポリ自社プラポリ自社プラポリ監督義務監督義務監督義務第三者提供委託クラウド例外

Slide 64

Slide 64 text

#SaaS生成AIの法務チェックポイントここでいう個人データの取扱いの「委託」は、個人情報保護法独自の概念なので 64 出所：https://www.ppc.go.jp/personalinfo/legal/guidelines_tsusoku/#a3-4-4 第三者提供委託クラウド例外

Slide 65

Slide 65 text

#SaaS生成AIの法務チェックポイント SaaS利用契約など、民法上の業務委託契約以外でも該当し得ます 65 個人情報保護法上の「個人データの取扱いの委託」民法上の業務委託第三者提供委託クラウド例外

Slide 66

Slide 66 text

#SaaS生成AIの法務チェックポイントクラウド例外は、委託の特殊パターンだと理解するのが良いと思います 66 1 ◼ 第三者提供提供先にデータをあげてしまう（＝管理権限が提供先に移る）その後の適用プラポリは、提供先同意取得が必要だが、提供元に監督義務は残らない２ ◼ 委託提供先にデータを預ける（＝管理権限は提供元に残る）その後の適用プラポリは、提供元同意取得は不要だが、提供元に監督義務が残る 3 ◼ 「取り扱わないこととなっている場合」（クラウド例外）提供先にデータを預ける（＝管理権限が提供元に残る）その後の適用プラポリは、提供元同意取得等は不要だが、提供元に監督義務は残らない同意取得同意取得同意取得自社プラポリ自社プラポリ自社プラポリ監督義務監督義務監督義務第三者提供委託クラウド例外

Slide 67

Slide 67 text

#SaaS生成AIの法務チェックポイントクラウド例外は、委託の特殊パターンだと理解するのが良いと思います 67 1 ◼ 第三者提供提供先にデータをあげてしまう（＝管理権限が提供先に移る）その後の適用プラポリは、提供先同意取得が必要だが、提供元に監督義務は残らない２ ◼ 委託提供先にデータを預ける（＝管理権限は提供元に残る）その後の適用プラポリは、提供元同意取得は不要だが、提供元に監督義務が残る 3 ◼ 「取り扱わないこととなっている場合」（クラウド例外）提供先にデータを預ける（＝管理権限が提供元に残る）その後の適用プラポリは、提供元同意取得等は不要だが、提供元に監督義務は残らない同意取得同意取得同意取得自社プラポリ自社プラポリ自社プラポリ監督義務監督義務監督義務第三者提供委託クラウド例外

Slide 68

Slide 68 text

#SaaS生成AIの法務チェックポイントクラウド例外は、自社環境の拡張であると理解するのもいいかもしれません 68 出所：https://www.ppc.go.jp/all_faq_index/faq1-q7-54/ FAQの記載第三者提供委託クラウド例外

Slide 69

Slide 69 text

#SaaS生成AIの法務チェックポイントデータに対する、提供元/提供先それぞれの影響力の度合いが異なります 69 提供元の影響力提供先の影響力オプション3 クラウド例外オプション２委託オプション1 第三者提供提供元提供先

Slide 70

Slide 70 text

#SaaS生成AIの法務チェックポイントクラウド例外は、提供元の影響力が一番強いオプションです 70 提供元の影響力提供先の影響力オプション3 クラウド例外オプション２委託オプション1 第三者提供提供元提供先

Slide 71

Slide 71 text

#SaaS生成AIの法務チェックポイント委託は、3つのオプションの中でちょうど中間地点に位置します 71 提供元の影響力提供先の影響力オプション3 クラウド例外オプション２委託オプション1 第三者提供提供元提供先

Slide 72

Slide 72 text

#SaaS生成AIの法務チェックポイント第三者提供は、提供先の影響力が一番強いオプションです 72 提供元の影響力提供先の影響力オプション3 クラウド例外オプション２委託オプション1 第三者提供提供元提供先

Slide 73

Slide 73 text

#SaaS生成AIの法務チェックポイント現状は混迷を深めていますが… 73 出所：https://www.ppc.go.jp/files/pdf/241217_sankoushiryou-1-2.pdf 個人情報保護委員会ヒアリング（板倉先生）

Slide 74

Slide 74 text

#SaaS生成AIの法務チェックポイント基本的には、SaaSや生成AIは委託であると整理するのをお勧めします 74 1 ◼ 第三者提供提供先にデータをあげてしまう（＝管理権限が提供先に移る）その後の適用プラポリは、提供先同意取得が必要だが、提供元に監督義務は残らない２ ◼ 委託提供先にデータを預ける（＝管理権限は提供元に残る）その後の適用プラポリは、提供元同意取得は不要だが、提供元に監督義務が残る 3 ◼ 「取り扱わないこととなっている場合」（クラウド例外）提供先にデータを預ける（＝管理権限が提供元に残る）その後の適用プラポリは、提供元同意取得等は不要だが、提供元に監督義務は残らない同意取得同意取得同意取得自社プラポリ自社プラポリ自社プラポリ監督義務監督義務監督義務

Slide 75

Slide 75 text

#SaaS生成AIの法務チェックポイント実際、自社環境と同等の安全管理措置を講じるのって難しいのでは？ 75 FAQの記載

Slide 76

Slide 76 text

Slide 77

Slide 77 text

#SaaS生成AIの法務チェックポイント個人情報保護法では、「提供元基準」が採用されていますユーザーID Aサービス利用履歴情報 00001 00002 ユーザーID 氏名電話番号メールアドレス 00001 00002 ユーザー登録情報利用履歴情報

Slide 78

Slide 78 text

#SaaS生成AIの法務チェックポイントつまり、氏名自体をSaaSや生成AIサービスに入力しないとしてもユーザーID Aサービス利用履歴情報 00001 00002 ユーザーID 氏名電話番号メールアドレス 00001 00002 ユーザー登録情報利用履歴情報こちらだけでなく

Slide 79

Slide 79 text

#SaaS生成AIの法務チェックポイント自社にとって個人データであれば、提供には法的根拠が必要ということですユーザーID Aサービス利用履歴情報 00001 00002 ユーザーID 氏名電話番号メールアドレス 00001 00002 ユーザー登録情報利用履歴情報こちらも個人データ

Slide 80

Slide 80 text

#SaaS生成AIの法務チェックポイントユーザーID 氏名電話番号メールアドレス 00001 00002 ユーザーID Aサービス利用履歴情報 00001 00002 ユーザー登録情報利用履歴情報第二条この法律において「個人情報」とは、生存する個人に関する情報であって、次の各号のいずれかに該当するものをいう。一当該情報に含まれる氏名、生年月日その他の記述等（中略）により特定の個人を識別することができるもの（他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。）二個人識別符号が含まれるもの 80 「利用履歴情報」も、かっこがきにより個人情報に該当することになりますこちらも個人情報

Slide 81

Slide 81 text

Slide 82

Slide 82 text

#SaaS生成AIの法務チェックポイント次の章では、「委託」の場合に必要になる対応についてみてみましょう 82 1 ◼ 第三者提供提供先にデータをあげてしまう（＝管理権限が提供先に移る）その後の適用プラポリは、提供先同意取得が必要だが、提供元に監督義務は残らない２ ◼ 委託提供先にデータを預ける（＝管理権限は提供元に残る）その後の適用プラポリは、提供元同意取得は不要だが、提供元に監督義務が残る 3 ◼ 「取り扱わないこととなっている場合」（クラウド例外）提供先にデータを預ける（＝管理権限が提供元に残る）その後の適用プラポリは、提供元同意取得等は不要だが、提供元に監督義務は残らない同意取得同意取得同意取得自社プラポリ自社プラポリ自社プラポリ監督義務監督義務監督義務

Slide 83

Slide 83 text

Slide 84

Slide 84 text

Slide 85

Slide 85 text

#SaaS生成AIの法務チェックポイント「委託」によって個人データを提供する場合、委託先の監督が必要です 85 委託元委託先監督

Slide 86

Slide 86 text

#SaaS生成AIの法務チェックポイント「必要かつ適切な監督」の内容は、ガイドラインで詳細化されています出所：https://www.ppc.go.jp/personalinfo/legal/guidelines_tsusoku/#a3-4-4

Slide 87

Slide 87 text

#SaaS生成AIの法務チェックポイント「必要かつ適切な監督」の内容は、ガイドラインで詳細化されています

Slide 88

Slide 88 text

#SaaS生成AIの法務チェックポイント「必要かつ適切な監督」の内容は、ガイドラインで詳細化されています

Slide 89

Slide 89 text

#SaaS生成AIの法務チェックポイント「必要かつ適切な監督」の内容は、ガイドラインで詳細化されています

Slide 90

Slide 90 text

#SaaS生成AIの法務チェックポイント本日のお品書き ◼ 導入 ➢ SaaS, 生成AIを取り巻く状況 ➢ 本日の議論の全体像整理 ◼ SaaS, 生成AIサービスにおける個情法の論点 ➢ 委託先の監督（第25条） ➢ 適切な委託先の選定 ➢ 委託契約の締結 ➢ 委託先における個人データの取扱状況の把握 ➢ 外国にある第三者への提供の制限（第28条）

Slide 91

Slide 91 text

Slide 92

Slide 92 text

#SaaS生成AIの法務チェックポイントガイドライン通則編 10（別添）の実施状況をチェックすることになります

Slide 93

Slide 93 text

#SaaS生成AIの法務チェックポイントガイドライン通則編 10（別添）の実施状況をチェックすることになります

Slide 94

Slide 94 text

#SaaS生成AIの法務チェックポイント自社でチェックシートを作成して、回答を依頼する方法もありますが出所：https://note.com/nocoinc/n/n9e7760661f81

Slide 95

Slide 95 text

#SaaS生成AIの法務チェックポイント公開されている情報を元に自社でチェックすることもありますチェックシート DPA 出所：https://www.sakura.ad.jp/corporate/wp-content/themes/sakura-corporate/assets/pdf/security_checksheet.pdf https://cloud.google.com/terms/data-processing-addendum?hl=ja 95

Slide 96

Slide 96 text

#SaaS生成AIの法務チェックポイント今出てきた「DPA」という言葉、みなさん聞いたことあるでしょうか？チェックシート DPA 96

Slide 97

Slide 97 text

#SaaS生成AIの法務チェックポイント DPAは、日本でいう「個人情報の取扱いに関する覚書」のような文書です 97 DPA： ①Data Processing Addendum ②Data Processing Agreement

Slide 98

Slide 98 text

#SaaS生成AIの法務チェックポイントとりわけ海外企業の場合、検索すればウェブ上で出てくることも多いです 98 DPA 企業名

Slide 99

Slide 99 text

#SaaS生成AIの法務チェックポイント GoogleのDPAは、General Termsと複数のAppendixから構成されており 99

Slide 100

Slide 100 text

#SaaS生成AIの法務チェックポイント GoogleのDPAは、General Termsと複数のAppendixから構成されており 100

Slide 101

Slide 101 text

#SaaS生成AIの法務チェックポイント GoogleのDPAは、General Termsと複数のAppendixから構成されており 101

Slide 102

Slide 102 text

#SaaS生成AIの法務チェックポイントメイン部分であるGeneral Termsは、14の章から成り立っています 102 1. Overview 2. Definitions 3. Duration 4. Roles; Legal Compliance 5. Data Processing 6. Data Deletion 7. Data Security 8. Impact Assessments and Consultations 9. Access; Data Subject Rights; Data Export 10. Data Processing Locations 11. Subprocessors 12. Cloud Data Protection Team; Processing Records 13. Notices 14. Interpretation General Terms Appendix

Slide 103

Slide 103 text

#SaaS生成AIの法務チェックポイントこの辺りの章は、比較的形式的な記載がなされているに留まるので 103 1. Overview 2. Definitions 3. Duration 4. Roles; Legal Compliance 5. Data Processing 6. Data Deletion 7. Data Security 8. Impact Assessments and Consultations 9. Access; Data Subject Rights; Data Export 10. Data Processing Locations 11. Subprocessors 12. Cloud Data Protection Team; Processing Records 13. Notices 14. Interpretation General Terms Appendix

Slide 104

Slide 104 text

#SaaS生成AIの法務チェックポイント実際に皆さんがチェックするのは、この辺りの章が中心になるはずです 104 1. Overview 2. Definitions 3. Duration 4. Roles; Legal Compliance 5. Data Processing 6. Data Deletion 7. Data Security 8. Impact Assessments and Consultations 9. Access; Data Subject Rights; Data Export 10. Data Processing Locations 11. Subprocessors 12. Cloud Data Protection Team; Processing Records 13. Notices 14. Interpretation General Terms Appendix

Slide 105

Slide 105 text

#SaaS生成AIの法務チェックポイントまた、OpenAIも同様にDPAを公開してくれており 105 出所：https://openai.com/policies/data-processing-addendum/

Slide 106

Slide 106 text

#SaaS生成AIの法務チェックポイント「本文 8章」と「Exhibit A,B」から構成されています 106 ◼ 1. Processing Requirements ◼ 2. Notice to Customer ◼ 3. Assistance to Customer ◼ 4. Required Processing ◼ 5. Security ◼ 6. Obligations of Customer ◼ 7. International Data Transfers ◼ 8. Term; Data Return and Deletion ◼ Exhibit A ➢ A. LIST OF PARTIES ➢ B. DESCRIPTION OF TRANSFER ➢ C. COMPETENT SUPERVISORY AUTHORITY ◼ Exhibit B （TECHNICAL AND ORGANIZATIONAL MEASURES） General Terms Exhibit

Slide 107

Slide 107 text

#SaaS生成AIの法務チェックポイント「本文 8章」と「Exhibit A,B」から構成されています 107 ◼ 1. Processing Requirements ◼ 2. Notice to Customer ◼ 3. Assistance to Customer ◼ 4. Required Processing ◼ 5. Security ◼ 6. Obligations of Customer ◼ 7. International Data Transfers ◼ 8. Term; Data Return and Deletion ◼ Exhibit A ➢ A. LIST OF PARTIES ➢ B. DESCRIPTION OF TRANSFER ➢ C. COMPETENT SUPERVISORY AUTHORITY ◼ Exhibit B （TECHNICAL AND ORGANIZATIONAL MEASURES） General Terms Exhibit

Slide 108

Slide 108 text

#SaaS生成AIの法務チェックポイントなおDPAでは、安全管理措置の詳細は「別紙の2つ目」の章に書かれることが 108 ◼ 1. Processing Requirements ◼ 2. Notice to Customer ◼ 3. Assistance to Customer ◼ 4. Required Processing ◼ 5. Security ◼ 6. Obligations of Customer ◼ 7. International Data Transfers ◼ 8. Term; Data Return and Deletion ◼ Exhibit A ➢ A. LIST OF PARTIES ➢ B. DESCRIPTION OF TRANSFER ➢ C. COMPETENT SUPERVISORY AUTHORITY ◼ Exhibit B （TECHNICAL AND ORGANIZATIONAL MEASURES） General Terms Exhibit

Slide 109

Slide 109 text

#SaaS生成AIの法務チェックポイント比較的多い、ということも覚えておくと今後の助けになります 109

Slide 110

Slide 110 text

#SaaS生成AIの法務チェックポイントそれでは今日は、DPAから「別添」の要件を読み取ってみましょう 110 講ずべき安全管理措置詳細 1 基本方針の策定個人情報取扱事業者は、個人データの適正な取扱いの確保について組織として取り組むために、基本方針を策定することが重要である。 2 規律の整備個人情報取扱事業者は、その取り扱う個人データの漏えい等の防止その他の個人データの安全管理のために、個人データの具体的な取扱いに係る規律を整備しなければならない。 3 組織的安全管理措置個人情報取扱事業者は、組織的安全管理措置として、次に掲げる措置を講じなければならない。 4 人的安全管理措置個人情報取扱事業者は、人的安全管理措置として、次に掲げる措置を講じなければならない。 5 物理的安全管理措置個人情報取扱事業者は、物理的安全管理措置として、次に掲げる措置を講じなければならない。 6 技術的安全管理措置個人情報取扱事業者は、情報システム（パソコン等の機器を含む。）を使用して個人データを取り扱う場合（インターネット等を通じて外部と送受信等する場合を含む。）、技術的安全管理措置として、次に掲げる措置を講じなければならない。 7 外的環境の把握個人情報取扱事業者が、外国において個人データを取り扱う場合、当該外国の個人情報の保護に関する制度等を把握した上で、個人データの安全管理のために必要かつ適切な措置を講じなければならない。

Slide 111

Slide 111 text

#SaaS生成AIの法務チェックポイント参考までに、DPAから対応する記載を探す難易度を信号機で示してみます 111 ほとんどのDPA等に対応する記載がある DPA等によっては直接的な記載がないこともある

Slide 112

Slide 112 text

#SaaS生成AIの法務チェックポイントまた、「本日話すこと」と「本日話さないこと」を明確にしておきます 112 本日話すこと本日話さないこと ◼ 「ガイドライン通則編 10（別添）」の要件*が、本日サンプルとして取り上げるDPA（Google, OpenAI）のどこから読み取れるか ◼ DPA上に直接的な記載がない場合に、どのような解釈を挟めば、「ガイドライン通則編 10（別添）」の要件を充足しているとの評価が可能かのTips * 後ほど「外国にある第三者への提供の制限（第28条）」にも言及しますが、本ページの記載内容は同様に妥当します

Slide 113

Slide 113 text

#SaaS生成AIの法務チェックポイントまた、「本日話すこと」と「本日話さないこと」を明確にしておきます 113 本日話すこと本日話さないこと ◼ 「ガイドライン通則編 10（別添）」の要件*が、本日サンプルとして取り上げるDPA（Google, OpenAI）のどこから読み取れるか ◼ DPA上に直接的な記載がない場合に、どのような解釈を挟めば、「ガイドライン通則編 10（別添）」の要件を充足しているとの評価が可能かのTips ◼ 今日サンプルとして取り上げるDPAが、法的に問題ないという保証 ◼ Google / Open AIの特定のサービス利用が「委託」に該当するのか「クラウド例外」に該当するか ◼ Google / Open AIの特定のサービス利用がいわゆる越境移転に該当するか ◼ 越境移転における基準適合体制の整備と、他のオプションの使い分け * 後ほど「外国にある第三者への提供の制限（第28条）」にも言及しますが、本ページの記載内容は同様に妥当します

Slide 114

Slide 114 text

#SaaS生成AIの法務チェックポイントまずは最初に、基本方針の策定が求められています 114 組織的外的環境 3 7 人的 4 基本方針の策定物理的 1 5 規律の整備技術的 2 6 OpenAI Google ガイドライン

Slide 115

Slide 115 text

#SaaS生成AIの法務チェックポイント Googleでは、Privacy & Termsのページに関連情報がまとめられています 115 組織的外的環境 3 7 人的 4 基本方針の策定物理的 1 5 規律の整備技術的 2 6 出所：https://cloud.google.com/terms/data-processing-addendum OpenAI Google ガイドライン

Slide 116

Slide 116 text

#SaaS生成AIの法務チェックポイント Googleでは、Privacy & Termsのページに関連情報がまとめられています 116 組織的外的環境 3 7 人的 4 基本方針の策定物理的 1 5 規律の整備技術的 2 6 OpenAI Google ガイドライン

Slide 117

Slide 117 text

#SaaS生成AIの法務チェックポイント OpenAIでも同様に、Privacy policyのページが公開されています 117 組織的外的環境 3 7 人的 4 基本方針の策定物理的 1 5 規律の整備技術的 2 6 出所：https://openai.com/policies/row-privacy-policy/ OpenAI Google ガイドライン

Slide 118

Slide 118 text

#SaaS生成AIの法務チェックポイントガイドラインでは、個人データに関する規律の整備が求められています 118 組織的外的環境 3 7 人的 4 基本方針の策定物理的 1 5 規律の整備技術的 2 6 OpenAI Google ガイドライン

Slide 119

Slide 119 text

#SaaS生成AIの法務チェックポイントとはいえ、社内規程を対外公表することは（とりわけ大手は）稀ですよね 119 組織的外的環境 3 7 人的 4 基本方針の策定物理的 1 5 規律の整備技術的 2 6 OpenAI Google ガイドライン

Slide 120

Slide 120 text

#SaaS生成AIの法務チェックポイントそこで、7.Data Securityの章を見てみましょう 120 組織的外的環境 3 7 人的 4 基本方針の策定物理的 1 5 規律の整備技術的 2 6 OpenAI Google ガイドライン 1. Overview 2. Definitions 3. Duration 4. Roles; Legal Compliance 5. Data Processing 6. Data Deletion 7. Data Security 8. Impact Assessments and Consultations 9. Access; Data Subject Rights; Data Export 10. Data Processing Locations 11. Subprocessors 12. Cloud Data Protection Team; Processing Records 13. Notices 14. Interpretation General Terms Appendix

Slide 121

Slide 121 text

#SaaS生成AIの法務チェックポイントここでは、技術的・組織的・物理的な対策を取っていることを表明しており 121 組織的外的環境 3 7 人的 4 基本方針の策定物理的 1 5 規律の整備技術的 2 6 OpenAI Google ガイドライン

Slide 122

Slide 122 text

#SaaS生成AIの法務チェックポイントここでは、技術的・組織的・物理的な対策を取っていることを表明しており 122 組織的外的環境 3 7 人的 4 基本方針の策定物理的 1 5 規律の整備技術的 2 6 OpenAI Google ガイドライン

Slide 123

Slide 123 text

#SaaS生成AIの法務チェックポイントその詳細はAppendix 2に飛ばしています 123 組織的外的環境 3 7 人的 4 基本方針の策定物理的 1 5 規律の整備技術的 2 6 OpenAI Google ガイドライン

Slide 124

Slide 124 text

#SaaS生成AIの法務チェックポイントそしてAppendix 2では、具体的なセキュリティ対策が記載されています 124 組織的外的環境 3 7 人的 4 基本方針の策定物理的 1 5 規律の整備技術的 2 6 OpenAI Google ガイドライン 1.Data Center and Network Security (a) Data Centers (b) Networks and Transmission. 2. Access and Site Controls (a) Site Controls (b) Access Control 3. Data (a) Data Storage, Isolation and Logging (b) Decommissioned Disks and Disk Erase Policy 4. Personnel Security 5. Subprocessor Security General Terms Appendix 2

Slide 125

Slide 125 text

#SaaS生成AIの法務チェックポイントこの構成はOpenAIも同様で 125 組織的外的環境 3 7 人的 4 基本方針の策定物理的 1 5 規律の整備技術的 2 6 OpenAI Google ガイドライン ◼ 1. Processing Requirements ◼ 2. Notice to Customer ◼ 3. Assistance to Customer ◼ 4. Required Processing ◼ 5. Security ◼ 6. Obligations of Customer ◼ 7. International Data Transfers ◼ 8. Term; Data Return and Deletion ◼ Exhibit A ➢ A. LIST OF PARTIES ➢ B. DESCRIPTION OF TRANSFER ➢ C. COMPETENT SUPERVISORY AUTHORITY ◼ Exhibit B （TECHNICAL AND ORGANIZATIONAL MEASURES） General Terms Exhibit

Slide 126

Slide 126 text

#SaaS生成AIの法務チェックポイント DPA本体の”5.Security”で組織的・技術的な安全管理措置に言及した上で 126 組織的外的環境 3 7 人的 4 基本方針の策定物理的 1 5 規律の整備技術的 2 6 OpenAI Google ガイドライン

Slide 127

Slide 127 text

#SaaS生成AIの法務チェックポイント DPA本体の”5.Security”で組織的・技術的な安全管理措置に言及した上で 127 組織的外的環境 3 7 人的 4 基本方針の策定物理的 1 5 規律の整備技術的 2 6 OpenAI Google ガイドライン

Slide 128

Slide 128 text

#SaaS生成AIの法務チェックポイントその詳細を”Exhibit B”に飛ばしており 128 組織的外的環境 3 7 人的 4 基本方針の策定物理的 1 5 規律の整備技術的 2 6 OpenAI Google ガイドライン

Slide 129

Slide 129 text

#SaaS生成AIの法務チェックポイント Exhibit Bで、取り組んでいる安全管理措置の詳細に言及しています 129 組織的外的環境 3 7 人的 4 基本方針の策定物理的 1 5 規律の整備技術的 2 6 OpenAI Google ガイドライン

Slide 130

Slide 130 text

#SaaS生成AIの法務チェックポイント Exhibit Bで、取り組んでいる安全管理措置の詳細に言及しています 130 組織的外的環境 3 7 人的 4 基本方針の策定物理的 1 5 規律の整備技術的 2 6 OpenAI Google ガイドライン

Slide 131

Slide 131 text

#SaaS生成AIの法務チェックポイントなお、OpenAIのDPAはGoogleよりも比較的詳細に記載してくれています 131 組織的外的環境 3 7 人的 4 基本方針の策定物理的 1 5 規律の整備技術的 2 6 OpenAI Google ガイドライン ◼ Corporate Identity, Authentication, and Authorization Controls ◼ Customer Identity, Authentication, and Authorization Controls ◼ System and Workstation Control ◼ Data Access Control ◼ Disclosure Control ◼ Availability control ◼ Segregation control ◼ Risk Management ◼ Personnel ◼ Physical Access Control ◼ Third Party Risk Management ◼ Security Incident Response ◼ Security Evaluations General Terms Exhibit B

Slide 132

Slide 132 text

#SaaS生成AIの法務チェックポイント組織的安全管理措置は、全部で5つの項目が列挙されていています 132 組織的外的環境 3 7 人的 4 基本方針の策定物理的 1 5 規律の整備技術的 2 6 OpenAI Google ガイドライン

Slide 133

Slide 133 text

#SaaS生成AIの法務チェックポイント組織的安全管理措置は、全部で5つの項目が列挙されていています 133 組織的外的環境 3 7 人的 4 基本方針の策定物理的 1 5 規律の整備技術的 2 6 OpenAI Google ガイドライン

Slide 134

Slide 134 text

#SaaS生成AIの法務チェックポイント組織的安全管理措置は、全部で5つの項目が列挙されていています 134 組織的外的環境 3 7 人的 4 基本方針の策定物理的 1 5 規律の整備技術的 2 6 OpenAI Google ガイドライン

Slide 135

Slide 135 text

#SaaS生成AIの法務チェックポイント組織的安全管理措置は、全部で5つの項目が列挙されていています 135 組織的外的環境 3 7 人的 4 基本方針の策定物理的 1 5 規律の整備技術的 2 6 OpenAI Google ガイドライン

Slide 136

Slide 136 text

#SaaS生成AIの法務チェックポイント組織的安全管理措置は、全部で5つの項目が列挙されていています 136 組織的外的環境 3 7 人的 4 基本方針の策定物理的 1 5 規律の整備技術的 2 6 OpenAI Google ガイドライン

Slide 137

Slide 137 text

#SaaS生成AIの法務チェックポイント組織的安全管理措置は、全部で5つの項目が列挙されていています 137 組織的外的環境 3 7 人的 4 基本方針の策定物理的 1 5 規律の整備技術的 2 6 OpenAI Google ガイドライン

Slide 138

Slide 138 text

#SaaS生成AIの法務チェックポイント組織的安全管理措置は、全部で5つの項目が列挙されていています 138 組織的外的環境 3 7 人的 4 基本方針の策定物理的 1 5 規律の整備技術的 2 6 OpenAI Google ガイドライン

Slide 139

Slide 139 text

#SaaS生成AIの法務チェックポイントが、これらを全て網羅的に記載してくれているDPAは滅多にありません 139 組織的外的環境 3 7 人的 4 基本方針の策定物理的 1 5 規律の整備技術的 2 6 OpenAI Google ガイドライン

Slide 140

Slide 140 text

#SaaS生成AIの法務チェックポイントが、これらを全て網羅的に記載してくれているDPAは滅多にありません 140 組織的外的環境 3 7 人的 4 基本方針の策定物理的 1 5 規律の整備技術的 2 6 OpenAI Google ガイドライン結構ある結構ある結構ある

Slide 141

Slide 141 text

#SaaS生成AIの法務チェックポイントが、これらを全て網羅的に記載してくれているDPAは滅多にありません 141 組織的外的環境 3 7 人的 4 基本方針の策定物理的 1 5 規律の整備技術的 2 6 OpenAI Google ガイドラインあまりない GDPR文脈なら

Slide 142

Slide 142 text

#SaaS生成AIの法務チェックポイント漏れがある場合、セキュリティ認証を前提に認定するのも一つの方法です 142 組織的外的環境 3 7 人的 4 基本方針の策定物理的 1 5 規律の整備技術的 2 6 OpenAI Google ガイドライン

Slide 143

Slide 143 text

#SaaS生成AIの法務チェックポイント GoogleのDPAでは第12章に一定の記載があります 143 組織的外的環境 3 7 人的 4 基本方針の策定物理的 1 5 規律の整備技術的 2 6 OpenAI Google ガイドライン 1. Overview 2. Definitions 3. Duration 4. Roles; Legal Compliance 5. Data Processing 6. Data Deletion 7. Data Security 8. Impact Assessments and Consultations 9. Access; Data Subject Rights; Data Export 10. Data Processing Locations 11. Subprocessors 12. Cloud Data Protection Team; Processing Records 13. Notices 14. Interpretation General Terms Appendix

Slide 144

Slide 144 text

#SaaS生成AIの法務チェックポイント GoogleのDPAでは第12章に一定の記載があります 144 組織的外的環境 3 7 人的 4 基本方針の策定物理的 1 5 規律の整備技術的 2 6 OpenAI Google ガイドライン

Slide 145

Slide 145 text

#SaaS生成AIの法務チェックポイント GoogleのDPAでは第12章に一定の記載があります 145 組織的外的環境 3 7 人的 4 基本方針の策定物理的 1 5 規律の整備技術的 2 6 OpenAI Google ガイドライン

Slide 146

Slide 146 text

#SaaS生成AIの法務チェックポイントまた、ホワイトペーパーにはもう少し網羅性のある記載があります 146 組織的外的環境 3 7 人的 4 基本方針の策定物理的 1 5 規律の整備技術的 2 6 出所：https://cloud.google.com/docs/security/overview/whitepaper?hl=ja OpenAI Google ガイドライン

Slide 147

Slide 147 text

#SaaS生成AIの法務チェックポイントまた、ホワイトペーパーにはもう少し網羅性のある記載があります 147 組織的外的環境 3 7 人的 4 基本方針の策定物理的 1 5 規律の整備技術的 2 6 出所：https://cloud.google.com/docs/security/overview/whitepaper?hl=ja OpenAI Google ガイドライン

Slide 148

Slide 148 text

#SaaS生成AIの法務チェックポイント他方OpenAIはDPA上に目立った記載はなく、Trust Portalに記載があります 148 組織的外的環境 3 7 人的 4 基本方針の策定物理的 1 5 規律の整備技術的 2 6 出所：https://trust.openai.com/ OpenAI Google ガイドライン

Slide 149

Slide 149 text

#SaaS生成AIの法務チェックポイント他方OpenAIはDPA上に目立った記載はなく、Trust Portalに記載があります 149 組織的外的環境 3 7 人的 4 基本方針の策定物理的 1 5 規律の整備技術的 2 6 出所：https://trust.openai.com/ OpenAI Google ガイドライン

Slide 150

Slide 150 text

#SaaS生成AIの法務チェックポイント続いて、人的安全管理措置としては「従業員の教育」が挙げられています 150 組織的外的環境 3 7 人的 4 基本方針の策定物理的 1 5 規律の整備技術的 2 6 OpenAI Google ガイドライン

Slide 151

Slide 151 text

#SaaS生成AIの法務チェックポイント続いて、人的安全管理措置としては「従業員の教育」が挙げられています 151 組織的外的環境 3 7 人的 4 基本方針の策定物理的 1 5 規律の整備技術的 2 6 OpenAI Google ガイドライン

Slide 152

Slide 152 text

#SaaS生成AIの法務チェックポイント GoogleのDPAではAppendix 2の4.Personnel Securityで 152 組織的外的環境 3 7 人的 4 基本方針の策定物理的 1 5 規律の整備技術的 2 6 OpenAI Google ガイドライン 1.Data Center and Network Security (a) Data Centers (b) Networks and Transmission. 2. Access and Site Controls (a) Site Controls (b) Access Control 3. Data (a) Data Storage, Isolation and Logging (b) Decommissioned Disks and Disk Erase Policy 4. Personnel Security 5. Subprocessor Security General Terms Appendix 2

Slide 153

Slide 153 text

#SaaS生成AIの法務チェックポイント従業員教育について言及しています 153 組織的外的環境 3 7 人的 4 基本方針の策定物理的 1 5 規律の整備技術的 2 6 OpenAI Google ガイドライン

Slide 154

Slide 154 text

#SaaS生成AIの法務チェックポイント OpenAIも同様に、Exhibit Bの中のPersonnelとして記載があります 154 組織的外的環境 3 7 人的 4 基本方針の策定物理的 1 5 規律の整備技術的 2 6 OpenAI Google ガイドライン ◼ Corporate Identity, Authentication, and Authorization Controls ◼ Customer Identity, Authentication, and Authorization Controls ◼ System and Workstation Control ◼ Data Access Control ◼ Disclosure Control ◼ Availability control ◼ Segregation control ◼ Risk Management ◼ Personnel ◼ Physical Access Control ◼ Third Party Risk Management ◼ Security Incident Response ◼ Security Evaluations General Terms Exhibit B

Slide 155

Slide 155 text

#SaaS生成AIの法務チェックポイント物理的安全管理措置は、4つの項目が挙げられていますが 155 組織的外的環境 3 7 人的 4 基本方針の策定物理的 1 5 規律の整備技術的 2 6 OpenAI Google ガイドライン

Slide 156

Slide 156 text

#SaaS生成AIの法務チェックポイント総じて各社とも記載が薄い傾向があります 156 組織的外的環境 3 7 人的 4 基本方針の策定物理的 1 5 規律の整備技術的 2 6 OpenAI Google ガイドライン直接的な記載はあまりない直接的な記載はあまりないある直接的な記載はあまりない

Slide 157

Slide 157 text

#SaaS生成AIの法務チェックポイントここも、もし記載が薄い場合はセキュリティ認証から推測するのはありです 157 組織的外的環境 3 7 人的 4 基本方針の策定物理的 1 5 規律の整備技術的 2 6 OpenAI Google ガイドライン

Slide 158

Slide 158 text

#SaaS生成AIの法務チェックポイント GoogleのDPAでは、Appendix 2にAccess and Site Controlsの章を置いていて 158 組織的外的環境 3 7 人的 4 基本方針の策定物理的 1 5 規律の整備技術的 2 6 OpenAI Google ガイドライン 1.Data Center and Network Security (a) Data Centers (b) Networks and Transmission. 2. Access and Site Controls (a) Site Controls (b) Access Control 3. Data (a) Data Storage, Isolation and Logging (b) Decommissioned Disks and Disk Erase Policy 4. Personnel Security 5. Subprocessor Security General Terms Appendix 2

Slide 159

Slide 159 text

#SaaS生成AIの法務チェックポイントデータセンターの物理セキュリティついては一定の記載しています 159 組織的外的環境 3 7 人的 4 基本方針の策定物理的 1 5 規律の整備技術的 2 6 OpenAI Google ガイドライン

Slide 160

Slide 160 text

#SaaS生成AIの法務チェックポイント OpenAIは、Exhibit Bに物理的なアクセス制御の章を独立して置いており 160 組織的外的環境 3 7 人的 4 基本方針の策定物理的 1 5 規律の整備技術的 2 6 OpenAI Google ガイドライン ◼ Corporate Identity, Authentication, and Authorization Controls ◼ Customer Identity, Authentication, and Authorization Controls ◼ System and Workstation Control ◼ Data Access Control ◼ Disclosure Control ◼ Availability control ◼ Segregation control ◼ Risk Management ◼ Personnel ◼ Physical Access Control ◼ Third Party Risk Management ◼ Security Incident Response ◼ Security Evaluations General Terms Exhibit B

Slide 161

Slide 161 text

#SaaS生成AIの法務チェックポイント同業他社のDPAの中では、比較的記載が充実している方だと思います 161 組織的外的環境 3 7 人的 4 基本方針の策定物理的 1 5 規律の整備技術的 2 6 OpenAI Google ガイドライン

Slide 162

Slide 162 text

#SaaS生成AIの法務チェックポイント技術的安全管理措置も、同じく4項目挙げられており 162 組織的外的環境 3 7 人的 4 基本方針の策定物理的 1 5 規律の整備技術的 2 6 OpenAI Google ガイドライン

Slide 163

Slide 163 text

#SaaS生成AIの法務チェックポイントこれらの項目は、どれも基本的にはDPAの中で言及があるものが多いです 163 組織的外的環境 3 7 人的 4 基本方針の策定物理的 1 5 規律の整備技術的 2 6 OpenAI Google ガイドライン基本ある基本ある基本ある基本ある

Slide 164

Slide 164 text

#SaaS生成AIの法務チェックポイント GoogleのDPAでは、Appendix 2の2つの箇所に分かれて記載があります 164 組織的外的環境 3 7 人的 4 基本方針の策定物理的 1 5 規律の整備技術的 2 6 OpenAI Google ガイドライン 1.Data Center and Network Security (a) Data Centers (b) Networks and Transmission. 2. Access and Site Controls (a) Site Controls (b) Access Control 3. Data (a) Data Storage, Isolation and Logging (b) Decommissioned Disks and Disk Erase Policy 4. Personnel Security 5. Subprocessor Security General Terms Appendix 2

Slide 165

Slide 165 text

#SaaS生成AIの法務チェックポイント GoogleのDPAでは、Appendix 2の2つの箇所に分かれて記載があります 165 組織的外的環境 3 7 人的 4 基本方針の策定物理的 1 5 規律の整備技術的 2 6 OpenAI Google ガイドライン 1.Data Center and Network Security (a) Data Centers (b) Networks and Transmission. 2. Access and Site Controls (a) Site Controls (b) Access Control 3. Data (a) Data Storage, Isolation and Logging (b) Decommissioned Disks and Disk Erase Policy 4. Personnel Security 5. Subprocessor Security General Terms Appendix 2

Slide 166

Slide 166 text

#SaaS生成AIの法務チェックポイント Access Controlの章では (1)アクセス制御と (2)アクセス者の識別と認証が 166 組織的外的環境 3 7 人的 4 基本方針の策定物理的 1 5 規律の整備技術的 2 6 OpenAI Google ガイドライン

Slide 167

Slide 167 text

#SaaS生成AIの法務チェックポイント Access Controlの章では (1)アクセス制御と (2)アクセス者の識別と認証が 167 組織的外的環境 3 7 人的 4 基本方針の策定物理的 1 5 規律の整備技術的 2 6 OpenAI Google ガイドライン

Slide 168

Slide 168 text

#SaaS生成AIの法務チェックポイント Networks and Transmissionの章では、残りの部分に言及されています 168 組織的外的環境 3 7 人的 4 基本方針の策定物理的 1 5 規律の整備技術的 2 6 OpenAI Google ガイドライン 1.Data Center and Network Security (a) Data Centers (b) Networks and Transmission. 2. Access and Site Controls (a) Site Controls (b) Access Control 3. Data (a) Data Storage, Isolation and Logging (b) Decommissioned Disks and Disk Erase Policy 4. Personnel Security 5. Subprocessor Security General Terms Appendix 2

Slide 169

Slide 169 text

#SaaS生成AIの法務チェックポイント Networks and Transmissionの章では、残りの部分に言及されています 169 組織的外的環境 3 7 人的 4 基本方針の策定物理的 1 5 規律の整備技術的 2 6 OpenAI Google ガイドライン

Slide 170

Slide 170 text

#SaaS生成AIの法務チェックポイント Networks and Transmissionの章では、残りの部分に言及されています 170 組織的外的環境 3 7 人的 4 基本方針の策定物理的 1 5 規律の整備技術的 2 6 OpenAI Google ガイドライン

Slide 171

Slide 171 text

#SaaS生成AIの法務チェックポイント他方OpenAIのDPAでは、冒頭のCorporate Identity…で 171 組織的外的環境 3 7 人的 4 基本方針の策定物理的 1 5 規律の整備技術的 2 6 OpenAI Google ガイドライン ◼ Corporate Identity, Authentication, and Authorization Controls ◼ Customer Identity, Authentication, and Authorization Controls ◼ System and Workstation Control ◼ Data Access Control ◼ Disclosure Control ◼ Availability control ◼ Segregation control ◼ Risk Management ◼ Personnel ◼ Physical Access Control ◼ Third Party Risk Management ◼ Security Incident Response ◼ Security Evaluations General Terms Exhibit B

Slide 172

Slide 172 text

#SaaS生成AIの法務チェックポイント会社側のアクセスコントロール等について言及があります 172 組織的外的環境 3 7 人的 4 基本方針の策定物理的 1 5 規律の整備技術的 2 6 OpenAI Google ガイドライン

Slide 173

Slide 173 text

#SaaS生成AIの法務チェックポイント最後の項目、外的環境の把握は他の項目に比べて抽象度が高いです 173 組織的外的環境 3 7 人的 4 基本方針の策定物理的 1 5 規律の整備技術的 2 6 OpenAI Google ガイドライン

Slide 174

Slide 174 text

#SaaS生成AIの法務チェックポイント最後の項目、外的環境の把握は他の項目に比べて抽象度が高いです 174 組織的外的環境 3 7 人的 4 基本方針の策定物理的 1 5 規律の整備技術的 2 6 OpenAI Google ガイドライン

Slide 175

Slide 175 text

#SaaS生成AIの法務チェックポイント GoogleのDPAでは、Data Processing Locationsに記載があります 175 組織的外的環境 3 7 人的 4 基本方針の策定物理的 1 5 規律の整備技術的 2 6 OpenAI Google ガイドライン 1. Overview 2. Definitions 3. Duration 4. Roles; Legal Compliance 5. Data Processing 6. Data Deletion 7. Data Security 8. Impact Assessments and Consultations 9. Access; Data Subject Rights; Data Export 10. Data Processing Locations 11. Subprocessors 12. Cloud Data Protection Team; Processing Records 13. Notices 14. Interpretation General Terms Appendix

Slide 176

Slide 176 text

#SaaS生成AIの法務チェックポイントここだけだと少し記載が薄いのですが 176 組織的外的環境 3 7 人的 4 基本方針の策定物理的 1 5 規律の整備技術的 2 6 OpenAI Google ガイドライン

Slide 177

Slide 177 text

#SaaS生成AIの法務チェックポイント Appendix 3にはGDPR含めた各国法での対応状況が書かれているので 177 組織的外的環境 3 7 人的 4 基本方針の策定物理的 1 5 規律の整備技術的 2 6 OpenAI Google ガイドライン

Slide 178

Slide 178 text

#SaaS生成AIの法務チェックポイント Appendix 3にはGDPR含めた各国法での対応状況が書かれているので 178 組織的外的環境 3 7 人的 4 基本方針の策定物理的 1 5 規律の整備技術的 2 6 OpenAI Google ガイドライン European Data Protection Law 1. Additional Definitions 2. Instruction Notifications 3. Customer’s Audit Rights 4. Data Transfers 5. Requirements for Subprocessor Engagement CCPA 1. Additional Definitions 2. Prohibitions 3. Compliance 4. Customer Intervention General Terms Appendix 3

Slide 179

Slide 179 text

#SaaS生成AIの法務チェックポイント Appendix 3にはGDPR含めた各国法での対応状況が書かれているので 179 組織的外的環境 3 7 人的 4 基本方針の策定物理的 1 5 規律の整備技術的 2 6 OpenAI Google ガイドライン European Data Protection Law 1. Additional Definitions 2. Instruction Notifications 3. Customer’s Audit Rights 4. Data Transfers 5. Requirements for Subprocessor Engagement CCPA 1. Additional Definitions 2. Prohibitions 3. Compliance 4. Customer Intervention General Terms Appendix 3

Slide 180

Slide 180 text

#SaaS生成AIの法務チェックポイント GDPR対応の過程で必要な対応は実施済みでは？との推測は立ちます 180 組織的外的環境 3 7 人的 4 基本方針の策定物理的 1 5 規律の整備技術的 2 6 OpenAI Google ガイドライン

Slide 181

Slide 181 text

#SaaS生成AIの法務チェックポイントこれはOpenAIのDPAも同様で、7. International Data Transfersの中に 181 組織的外的環境 3 7 人的 4 基本方針の策定物理的 1 5 規律の整備技術的 2 6 OpenAI Google ガイドライン ◼ 1. Processing Requirements ◼ 2. Notice to Customer ◼ 3. Assistance to Customer ◼ 4. Required Processing ◼ 5. Security ◼ 6. Obligations of Customer ◼ 7. International Data Transfers ◼ 8. Term; Data Return and Deletion General Terms Exhibit

Slide 182

Slide 182 text

#SaaS生成AIの法務チェックポイント GDPR上の対応についての言及があります 182 組織的外的環境 3 7 人的 4 基本方針の策定物理的 1 5 規律の整備技術的 2 6 OpenAI Google ガイドライン

Slide 183

Slide 183 text

Slide 184

Slide 184 text

#SaaS生成AIの法務チェックポイント委託先の監督のために必要な2つ目の項目は、委託契約の締結です

Slide 185

Slide 185 text

#SaaS生成AIの法務チェックポイントとはいえ、利用規約は動かせないことが多いので個別対応は結構難しいですよね 185

Slide 186

Slide 186 text

Slide 187

Slide 187 text

#SaaS生成AIの法務チェックポイントここでは、「定期的に監査を行う等」の対応が求められていますが

Slide 188

Slide 188 text

#SaaS生成AIの法務チェックポイント定期的に監査 = 立入検査ではないので、一定の問い合わせも代替可能です 188 出所：https://www.ppc.go.jp/personalinfo/faq/APPI_QA/#q5-9

Slide 189

Slide 189 text

#SaaS生成AIの法務チェックポイントなお監査権は、大手企業は（GDPR上の要請もあり）比較的記載があります 1. Overview 2. Definitions 3. Duration 4. Roles; Legal Compliance 5. Data Processing 6. Data Deletion 7. Data Security 8. Impact Assessments and Consultations 9. Access; Data Subject Rights; Data Export 10. Data Processing Locations 11. Subprocessors 12. Cloud Data Protection Team; Processing Records 13. Notices 14. Interpretation General Terms Appendix

Slide 190

Slide 190 text

#SaaS生成AIの法務チェックポイントなお監査権は、大手企業は（GDPR上の要請もあり）比較的記載があります

Slide 191

Slide 191 text

Slide 192

Slide 192 text

#SaaS生成AIの法務チェックポイント委託先が外国の事業者の場合、同意取得または… 192 委託元委託先同意

Slide 193

Slide 193 text

#SaaS生成AIの法務チェックポイント委託先が基準に適合していることのチェックが必要になります 193 委託元委託先基準に適合

Slide 194

Slide 194 text

#SaaS生成AIの法務チェックポイントここでも、基準適合体制をDPAからチェックしてみましょう基準適合体制（28条） 194 出所：https://www.ppc.go.jp/personalinfo/legal/guidelines_offshore/

Slide 195

Slide 195 text

#SaaS生成AIの法務チェックポイントなお、これらの項目は事実上チェック不要になるので省略します基準適合体制（28条） 195

Slide 196

Slide 196 text

#SaaS生成AIの法務チェックポイントガイドラインでは、利用目的の特定が求められています 196 不適正利用第三者提供制限１９条 27条利用目的特定委託先の監督 17条 25条利用目的制限漏えい等報告 18条 26条従業者の監督 24条安全管理措置外国第三者 23条 28条 OpenAI Google ガイドライン

Slide 197

Slide 197 text

#SaaS生成AIの法務チェックポイント GoogleのDPAでは、5. Data Processingのところに記載があります 197 不適正利用第三者提供制限１９条 27条利用目的特定委託先の監督 17条 25条利用目的制限漏えい等報告 18条 26条従業者の監督 24条安全管理措置外国第三者 23条 28条 OpenAI Google ガイドライン 1. Overview 2. Definitions 3. Duration 4. Roles; Legal Compliance 5. Data Processing 6. Data Deletion 7. Data Security 8. Impact Assessments and Consultations 9. Access; Data Subject Rights; Data Export 10. Data Processing Locations 11. Subprocessors 12. Cloud Data Protection Team; Processing Records 13. Notices 14. Interpretation General Terms Appendix

Slide 198

Slide 198 text

#SaaS生成AIの法務チェックポイント基本的には、サービスの提供と「その他」的な記載があるのが一般的です 198 不適正利用第三者提供制限１９条 27条利用目的特定委託先の監督 17条 25条利用目的制限漏えい等報告 18条 26条従業者の監督 24条安全管理措置外国第三者 23条 28条 OpenAI Google ガイドライン

Slide 199

Slide 199 text

#SaaS生成AIの法務チェックポイント基本的には、サービスの提供と「その他」的な記載があるのが一般的です 199 不適正利用第三者提供制限１９条 27条利用目的特定委託先の監督 17条 25条利用目的制限漏えい等報告 18条 26条従業者の監督 24条安全管理措置外国第三者 23条 28条 OpenAI Google ガイドライン

Slide 200

Slide 200 text

#SaaS生成AIの法務チェックポイント基本的には、サービスの提供と「その他」的な記載があるのが一般的です 200 不適正利用第三者提供制限１９条 27条利用目的特定委託先の監督 17条 25条利用目的制限漏えい等報告 18条 26条従業者の監督 24条安全管理措置外国第三者 23条 28条 OpenAI Google ガイドライン

Slide 201

Slide 201 text

#SaaS生成AIの法務チェックポイント OpenAIのDPAでは1. Processing Requirementsに記載があり 201 不適正利用第三者提供制限１９条 27条利用目的特定委託先の監督 17条 25条利用目的制限漏えい等報告 18条 26条従業者の監督 24条安全管理措置外国第三者 23条 28条 OpenAI Google ガイドライン ◼ 1. Processing Requirements ◼ 2. Notice to Customer ◼ 3. Assistance to Customer ◼ 4. Required Processing ◼ 5. Security ◼ 6. Obligations of Customer ◼ 7. International Data Transfers ◼ 8. Term; Data Return and Deletion General Terms Exhibit

Slide 202

Slide 202 text

#SaaS生成AIの法務チェックポイントサービス提供と「その他」のキャッチオール的な内容が書かれています 202 不適正利用第三者提供制限１９条 27条利用目的特定委託先の監督 17条 25条利用目的制限漏えい等報告 18条 26条従業者の監督 24条安全管理措置外国第三者 23条 28条 OpenAI Google ガイドライン

Slide 203

Slide 203 text

#SaaS生成AIの法務チェックポイントサービス提供と「その他」のキャッチオール的な内容が書かれています 203 不適正利用第三者提供制限１９条 27条利用目的特定委託先の監督 17条 25条利用目的制限漏えい等報告 18条 26条従業者の監督 24条安全管理措置外国第三者 23条 28条 OpenAI Google ガイドライン

Slide 204

Slide 204 text

#SaaS生成AIの法務チェックポイントサービス提供と「その他」のキャッチオール的な内容が書かれています 204 不適正利用第三者提供制限１９条 27条利用目的特定委託先の監督 17条 25条利用目的制限漏えい等報告 18条 26条従業者の監督 24条安全管理措置外国第三者 23条 28条 OpenAI Google ガイドライン

Slide 205

Slide 205 text

#SaaS生成AIの法務チェックポイント続いて、先ほど特定した利用目的の範囲内でのみ取り扱うことが必要で 205 不適正利用第三者提供制限１９条 27条利用目的特定委託先の監督 17条 25条利用目的制限漏えい等報告 18条 26条従業者の監督 24条安全管理措置外国第三者 23条 28条 OpenAI Google ガイドライン

Slide 206

Slide 206 text

#SaaS生成AIの法務チェックポイント該当箇所としては、利用目的の特定と同様になることが多いです 206 不適正利用第三者提供制限１９条 27条利用目的特定委託先の監督 17条 25条利用目的制限漏えい等報告 18条 26条従業者の監督 24条安全管理措置外国第三者 23条 28条 OpenAI Google ガイドライン

Slide 207

Slide 207 text

#SaaS生成AIの法務チェックポイント該当箇所としては、利用目的の特定と同様になることが多いです 207 不適正利用第三者提供制限１９条 27条利用目的特定委託先の監督 17条 25条利用目的制限漏えい等報告 18条 26条従業者の監督 24条安全管理措置外国第三者 23条 28条 OpenAI Google ガイドライン

Slide 208

Slide 208 text

#SaaS生成AIの法務チェックポイント一般条項的なので、直接的に対応する記載を見つけることに苦労します 208 不適正利用第三者提供制限１９条 27条利用目的特定委託先の監督 17条 25条利用目的制限漏えい等報告 18条 26条従業者の監督 24条安全管理措置外国第三者 23条 28条 OpenAI Google ガイドライン

Slide 209

Slide 209 text

#SaaS生成AIの法務チェックポイント GoogleのDPAの場合には、4. Roles; Legal Complianceが参考になります 209 不適正利用第三者提供制限１９条 27条利用目的特定委託先の監督 17条 25条利用目的制限漏えい等報告 18条 26条従業者の監督 24条安全管理措置外国第三者 23条 28条 OpenAI Google ガイドライン 1. Overview 2. Definitions 3. Duration 4. Roles; Legal Compliance 5. Data Processing 6. Data Deletion 7. Data Security 8. Impact Assessments and Consultations 9. Access; Data Subject Rights; Data Export 10. Data Processing Locations 11. Subprocessors 12. Cloud Data Protection Team; Processing Records 13. Notices 14. Interpretation General Terms Appendix

Slide 210

Slide 210 text

#SaaS生成AIの法務チェックポイント一般条項的な箇所や、DPAの全趣旨などから認定することが多いです 210 不適正利用第三者提供制限１９条 27条利用目的特定委託先の監督 17条 25条利用目的制限漏えい等報告 18条 26条従業者の監督 24条安全管理措置外国第三者 23条 28条 OpenAI Google ガイドライン

Slide 211

Slide 211 text

#SaaS生成AIの法務チェックポイント OpenAIの場合には、前文の一般条項的な記載を引いてくるのも一案です 211 不適正利用第三者提供制限１９条 27条利用目的特定委託先の監督 17条 25条利用目的制限漏えい等報告 18条 26条従業者の監督 24条安全管理措置外国第三者 23条 28条 OpenAI Google ガイドライン

Slide 212

Slide 212 text

#SaaS生成AIの法務チェックポイント安全管理措置については、委託先の監督の「規律の整備」と同内容なので 212 不適正利用第三者提供制限１９条 27条利用目的特定委託先の監督 17条 25条利用目的制限漏えい等報告 18条 26条従業者の監督 24条安全管理措置外国第三者 23条 28条 OpenAI Google ガイドライン

Slide 213

Slide 213 text

#SaaS生成AIの法務チェックポイント DPA本体のSecurityに関する部分と、Appendixで認定するのが良いです 213 不適正利用第三者提供制限１９条 27条利用目的特定委託先の監督 17条 25条利用目的制限漏えい等報告 18条 26条従業者の監督 24条安全管理措置外国第三者 23条 28条 OpenAI Google ガイドライン

Slide 214

Slide 214 text

#SaaS生成AIの法務チェックポイント DPA本体のSecurityに関する部分と、Appendixで認定するのが良いです 214 不適正利用第三者提供制限１９条 27条利用目的特定委託先の監督 17条 25条利用目的制限漏えい等報告 18条 26条従業者の監督 24条安全管理措置外国第三者 23条 28条 OpenAI Google ガイドライン

Slide 215

Slide 215 text

#SaaS生成AIの法務チェックポイントこちらも委託先の監督の「人的安全管理措置」と共通する部分が多いので 215 不適正利用第三者提供制限１９条 27条利用目的特定委託先の監督 17条 25条利用目的制限漏えい等報告 18条 26条ガイドラインの記載従業者の監督 24条安全管理措置外国第三者 23条 28条 OpenAI Google ガイドライン

Slide 216

Slide 216 text

#SaaS生成AIの法務チェックポイント GoogleのDPAの場合、Appendix2にある4.Personnel Securityを 216 不適正利用第三者提供制限１９条 27条利用目的特定委託先の監督 17条 25条利用目的制限漏えい等報告 18条 26条従業者の監督 24条安全管理措置外国第三者 23条 28条 OpenAI Google ガイドライン 1.Data Center and Network Security (a) Data Centers (b) Networks and Transmission. 2. Access and Site Controls (a) Site Controls (b) Access Control 3. Data (a) Data Storage, Isolation and Logging (b) Decommissioned Disks and Disk Erase Policy 4. Personnel Security 5. Subprocessor Security General Terms Appendix 2

Slide 217

Slide 217 text

#SaaS生成AIの法務チェックポイント OpenAIのDPAの場合、Exhibit BにあるPersonnelを引くのが良いと思います 217 不適正利用第三者提供制限１９条 27条利用目的特定委託先の監督 17条 25条利用目的制限漏えい等報告 18条 26条従業者の監督 24条安全管理措置外国第三者 23条 28条 OpenAI Google ガイドライン ◼ Corporate Identity, Authentication, and Authorization Controls ◼ Customer Identity, Authentication, and Authorization Controls ◼ System and Workstation Control ◼ Data Access Control ◼ Disclosure Control ◼ Availability control ◼ Segregation control ◼ Risk Management ◼ Personnel ◼ Physical Access Control ◼ Third Party Risk Management ◼ Security Incident Response ◼ Security Evaluations General Terms Exhibit B

Slide 218

Slide 218 text

#SaaS生成AIの法務チェックポイント委託先における委託先の監督、つまり再委託先への監督が必要です 218 不適正利用第三者提供制限１９条 27条利用目的特定委託先の監督 17条 25条利用目的制限漏えい等報告 18条 26条従業者の監督 24条安全管理措置外国第三者 23条 28条 OpenAI Google ガイドライン

Slide 219

Slide 219 text

#SaaS生成AIの法務チェックポイント GoogleのDPAでは、General Termsの11. Subprocessorsと 219 不適正利用第三者提供制限１９条 27条利用目的特定委託先の監督 17条 25条利用目的制限漏えい等報告 18条 26条従業者の監督 24条安全管理措置外国第三者 23条 28条 OpenAI Google ガイドライン 1. Overview 2. Definitions 3. Duration 4. Roles; Legal Compliance 5. Data Processing 6. Data Deletion 7. Data Security 8. Impact Assessments and Consultations 9. Access; Data Subject Rights; Data Export 10. Data Processing Locations 11. Subprocessors 12. Cloud Data Protection Team; Processing Records 13. Notices 14. Interpretation General Terms Appendix

Slide 220

Slide 220 text

#SaaS生成AIの法務チェックポイント Appendix 2の5. Subprocessor Securityに同趣旨の記載があり 220 不適正利用第三者提供制限１９条 27条利用目的特定委託先の監督 17条 25条利用目的制限漏えい等報告 18条 26条従業者の監督 24条安全管理措置外国第三者 23条 28条 OpenAI Google ガイドライン 1.Data Center and Network Security (a) Data Centers (b) Networks and Transmission. 2. Access and Site Controls (a) Site Controls (b) Access Control 3. Data (a) Data Storage, Isolation and Logging (b) Decommissioned Disks and Disk Erase Policy 4. Personnel Security 5. Subprocessor Security General Terms Appendix 2

Slide 221

Slide 221 text

#SaaS生成AIの法務チェックポイント OpenAIの場合には、冒頭の1. Processing Requirementsに記載があり 221 不適正利用第三者提供制限１９条 27条利用目的特定委託先の監督 17条 25条利用目的制限漏えい等報告 18条 26条従業者の監督 24条安全管理措置外国第三者 23条 28条 OpenAI Google ガイドライン ◼ 1. Processing Requirements ◼ 2. Notice to Customer ◼ 3. Assistance to Customer ◼ 4. Required Processing ◼ 5. Security ◼ 6. Obligations of Customer ◼ 7. International Data Transfers ◼ 8. Term; Data Return and Deletion General Terms Exhibit

Slide 222

Slide 222 text

#SaaS生成AIの法務チェックポイントそこで本DPAと同等レベルの契約を、再委託先と締結する旨述べています 222 不適正利用第三者提供制限１９条 27条利用目的特定委託先の監督 17条 25条利用目的制限漏えい等報告 18条 26条従業者の監督 24条安全管理措置外国第三者 23条 28条 OpenAI Google ガイドライン

Slide 223

Slide 223 text

#SaaS生成AIの法務チェックポイント漏えい等の報告における役割分担を明確にすることが求められています 223 不適正利用第三者提供制限１９条 27条利用目的特定委託先の監督 17条 25条利用目的制限漏えい等報告 18条 26条従業者の監督 24条安全管理措置外国第三者 23条 28条 OpenAI Google ガイドライン

Slide 224

Slide 224 text

#SaaS生成AIの法務チェックポイント Googleでは、7. Data Securityの中にData Incidentsについての記載があり 224 不適正利用第三者提供制限１９条 27条利用目的特定委託先の監督 17条 25条利用目的制限漏えい等報告 18条 26条従業者の監督 24条安全管理措置外国第三者 23条 28条 OpenAI Google ガイドライン 1. Overview 2. Definitions 3. Duration 4. Roles; Legal Compliance 5. Data Processing 6. Data Deletion 7. Data Security 8. Impact Assessments and Consultations 9. Access; Data Subject Rights; Data Export 10. Data Processing Locations 11. Subprocessors 12. Cloud Data Protection Team; Processing Records 13. Notices 14. Interpretation General Terms Appendix

Slide 225

Slide 225 text

#SaaS生成AIの法務チェックポイントインシデント発生時にはGoogleが顧客に通知することになっており 225 不適正利用第三者提供制限１９条 27条利用目的特定委託先の監督 17条 25条利用目的制限漏えい等報告 18条 26条従業者の監督 24条安全管理措置外国第三者 23条 28条 OpenAI Google ガイドライン

Slide 226

Slide 226 text

#SaaS生成AIの法務チェックポイントインシデント発生時にはGoogleが顧客に通知することになっており 226 不適正利用第三者提供制限１９条 27条利用目的特定委託先の監督 17条 25条利用目的制限漏えい等報告 18条 26条従業者の監督 24条安全管理措置外国第三者 23条 28条 OpenAI Google ガイドライン

Slide 227

Slide 227 text

#SaaS生成AIの法務チェックポイント OpenAIのDPFでは、Exhibit BにおけるSecurity Incident Responseの章で 227 不適正利用第三者提供制限１９条 27条利用目的特定委託先の監督 17条 25条利用目的制限漏えい等報告 18条 26条従業者の監督 24条安全管理措置外国第三者 23条 28条 OpenAI Google ガイドライン ◼ Corporate Identity, Authentication, and Authorization Controls ◼ Customer Identity, Authentication, and Authorization Controls ◼ System and Workstation Control ◼ Data Access Control ◼ Disclosure Control ◼ Availability control ◼ Segregation control ◼ Risk Management ◼ Personnel ◼ Physical Access Control ◼ Third Party Risk Management ◼ Security Incident Response ◼ Security Evaluations General Terms Exhibit B

Slide 228

Slide 228 text

#SaaS生成AIの法務チェックポイントインシデント発生時に、顧客に通知する旨が書かれています 228 不適正利用第三者提供制限１９条 27条利用目的特定委託先の監督 17条 25条利用目的制限漏えい等報告 18条 26条従業者の監督 24条安全管理措置外国第三者 23条 28条 OpenAI Google ガイドライン

Slide 229

Slide 229 text

#SaaS生成AIの法務チェックポイント第三者提供は世界共通的な規制ではないため、対応する記載が乏しいです 229 不適正利用第三者提供制限１９条 27条利用目的特定委託先の監督 17条 25条利用目的制限漏えい等報告 18条 26条ガイドラインの記載従業者の監督 24条安全管理措置外国第三者 23条 28条 OpenAI Google ガイドライン

Slide 230

Slide 230 text

#SaaS生成AIの法務チェックポイント GoogleのDPAから対応する記載を見つけ出す場合、7. Data Securityで 230 不適正利用第三者提供制限１９条 27条利用目的特定委託先の監督 17条 25条利用目的制限漏えい等報告 18条 26条従業者の監督 24条安全管理措置外国第三者 23条 28条 OpenAI Google ガイドライン 1. Overview 2. Definitions 3. Duration 4. Roles; Legal Compliance 5. Data Processing 6. Data Deletion 7. Data Security 8. Impact Assessments and Consultations 9. Access; Data Subject Rights; Data Export 10. Data Processing Locations 11. Subprocessors 12. Cloud Data Protection Team; Processing Records 13. Notices 14. Interpretation General Terms Appendix

Slide 231

Slide 231 text

#SaaS生成AIの法務チェックポイント指示に従うために必要な場合にのみアクセスするとしている点を拾うか 231 不適正利用第三者提供制限１９条 27条利用目的特定委託先の監督 17条 25条利用目的制限漏えい等報告 18条 26条従業者の監督 24条安全管理措置外国第三者 23条 28条 OpenAI Google ガイドライン

Slide 232

Slide 232 text

#SaaS生成AIの法務チェックポイント CCPA上の要求事項を満たすために書かれている 232 不適正利用第三者提供制限１９条 27条利用目的特定委託先の監督 17条 25条利用目的制限漏えい等報告 18条 26条従業者の監督 24条安全管理措置外国第三者 23条 28条 OpenAI Google ガイドライン European Data Protection Law 1. Additional Definitions 2. Instruction Notifications 3. Customer’s Audit Rights 4. Data Transfers 5. Requirements for Subprocessor Engagement CCPA 1. Additional Definitions 2. Prohibitions 3. Compliance 4. Customer Intervention General Terms Appendix 3

Slide 233

Slide 233 text

#SaaS生成AIの法務チェックポイント共有や開示の制限についての記載を拾うことになると思います 233 不適正利用第三者提供制限１９条 27条利用目的特定委託先の監督 17条 25条利用目的制限漏えい等報告 18条 26条従業者の監督 24条安全管理措置外国第三者 23条 28条 OpenAI Google ガイドライン

Slide 234

Slide 234 text

#SaaS生成AIの法務チェックポイント OpenAIの場合には、Data Access Controlの章で 234 不適正利用第三者提供制限１９条 27条利用目的特定委託先の監督 17条 25条利用目的制限漏えい等報告 18条 26条従業者の監督 24条安全管理措置外国第三者 23条 28条 OpenAI Google ガイドライン ◼ Corporate Identity, Authentication, and Authorization Controls ◼ Customer Identity, Authentication, and Authorization Controls ◼ System and Workstation Control ◼ Data Access Control ◼ Disclosure Control ◼ Availability control ◼ Segregation control ◼ Risk Management ◼ Personnel ◼ Physical Access Control ◼ Third Party Risk Management ◼ Security Incident Response ◼ Security Evaluations General Terms Exhibit B

Slide 235

Slide 235 text

#SaaS生成AIの法務チェックポイント DPA等で許された場合にしかデータにアクセスしない、としている部分か 235 不適正利用第三者提供制限１９条 27条利用目的特定委託先の監督 17条 25条利用目的制限漏えい等報告 18条 26条従業者の監督 24条安全管理措置外国第三者 23条 28条 OpenAI Google ガイドライン

Slide 236

Slide 236 text

#SaaS生成AIの法務チェックポイント General Termsにおける1. Processing Requirementsの中で 236 不適正利用第三者提供制限１９条 27条利用目的特定委託先の監督 17条 25条利用目的制限漏えい等報告 18条 26条従業者の監督 24条安全管理措置外国第三者 23条 28条 OpenAI Google ガイドライン ◼ 1. Processing Requirements ◼ 2. Notice to Customer ◼ 3. Assistance to Customer ◼ 4. Required Processing ◼ 5. Security ◼ 6. Obligations of Customer ◼ 7. International Data Transfers ◼ 8. Term; Data Return and Deletion General Terms Exhibit

Slide 237

Slide 237 text

#SaaS生成AIの法務チェックポイント DPAで定めた目的のためにしか開示をしない、としている部分を拾います 237 不適正利用第三者提供制限１９条 27条利用目的特定委託先の監督 17条 25条利用目的制限漏えい等報告 18条 26条従業者の監督 24条安全管理措置外国第三者 23条 28条 OpenAI Google ガイドライン

Slide 238

Slide 238 text

#SaaS生成AIの法務チェックポイント再委託先が外国にある第三者の場合に、法第4章第2節の措置を求めています 238 不適正利用第三者提供制限１９条 27条利用目的特定委託先の監督 17条 25条利用目的制限漏えい等報告 18条 26条従業者の監督 24条安全管理措置外国第三者 23条 28条 OpenAI Google ガイドライン

Slide 239

Slide 239 text

#SaaS生成AIの法務チェックポイントここでも、基準適合体制をDPAからチェックしてみましょう基準適合体制（28条） 239

Slide 240

Slide 240 text

#SaaS生成AIの法務チェックポイント GoogleのDPAだと、General Termsの11. Subprocessorsの章で 240 不適正利用第三者提供制限１９条 27条利用目的特定委託先の監督 17条 25条利用目的制限漏えい等報告 18条 26条従業者の監督 24条安全管理措置外国第三者 23条 28条 OpenAI Google ガイドライン 1. Overview 2. Definitions 3. Duration 4. Roles; Legal Compliance 5. Data Processing 6. Data Deletion 7. Data Security 8. Impact Assessments and Consultations 9. Access; Data Subject Rights; Data Export 10. Data Processing Locations 11. Subprocessors 12. Cloud Data Protection Team; Processing Records 13. Notices 14. Interpretation General Terms Appendix

Slide 241

Slide 241 text

#SaaS生成AIの法務チェックポイント再委託先に対して、このDPAと同様の義務を課すとしている部分が使えます 241 不適正利用第三者提供制限１９条 27条利用目的特定委託先の監督 17条 25条利用目的制限漏えい等報告 18条 26条従業者の監督 24条安全管理措置外国第三者 23条 28条 OpenAI Google ガイドライン

Slide 242

Slide 242 text

#SaaS生成AIの法務チェックポイント OpenAIのDPAの場合、General Termsの1. Processing Requirementsで 242 不適正利用第三者提供制限１９条 27条利用目的特定委託先の監督 17条 25条利用目的制限漏えい等報告 18条 26条従業者の監督 24条安全管理措置外国第三者 23条 28条 OpenAI Google ガイドライン ◼ 1. Processing Requirements ◼ 2. Notice to Customer ◼ 3. Assistance to Customer ◼ 4. Required Processing ◼ 5. Security ◼ 6. Obligations of Customer ◼ 7. International Data Transfers ◼ 8. Term; Data Return and Deletion General Terms Exhibit

Slide 243

Slide 243 text

#SaaS生成AIの法務チェックポイントサブプロセッサーに対して、DPAと同レベルの義務を課すとしています 243 不適正利用第三者提供制限１９条 27条利用目的特定委託先の監督 17条 25条利用目的制限漏えい等報告 18条 26条従業者の監督 24条安全管理措置外国第三者 23条 28条 OpenAI Google ガイドライン

Slide 244

Slide 244 text

#SaaS生成AIの法務チェックポイントどうでしょう、これでDPAをうまく読み解いていけそうでしょうか？ 244

Slide 245

Slide 245 text

#SaaS生成AIの法務チェックポイントご清聴いただきありがとうございました！世古修平（せこしゅうへい） Website（事務所）：https://www.leact.law/ Website（個人）：https://www.seko-law.info/ X（旧Twitter）：@seko_law Mail ：[email protected] 245