生成AIサービスの利用と個人情報保護法

Transcript

1. 生成AIサービスの利用と個人情報保護法 2025年9月12日 関原法律事務所 弁護士 関原秀行（Sekihara Hideyuki）

2. 弁護士紹介 関原 秀行（せきはら ひでゆき） 総務省で個人情報保護法・電気通信事業法（通信の秘 密）といったデータプライバシーに関する法制度の解 釈・執行などを担当した後、大手IT企業でインハウス ローヤーとして様々なサービス・機能・システムのレ ビューやインシデント対応、プライバシーガバナンス の構築に関与し、情報通信分野の法制度や企業の運用

   実務、テクノロジーに関する豊富な経験と知識を持つ 弁護士です。

3. Agenda 本日は以下の5つをお話しします。 1. 生成AIとは？ 2. 生成AIサービス利用時のデータフロー 3. 個人情報保護法上の論点の全体像 4. 個別論点

   5. まとめ

4. 生成AIとは？

5. AIとは？ • 人工知能関連技術の研究開発及び活用の推進に関する法律（令和7年法律第53号） ⇒AIの開発・活用を推進するための法律 • 「人工知能関連技術」（同法2条） ⇒人工的な方法により人間の認知、推論及び判断に係る知的な能力を代替する機能 を実現するために必要な技術並びに入力された情報を当該技術を利用して処理し、 その結果を出力する機能を実現するための情報処理システムに関する技術

6. 生成AIとは？ • 日本の法律には生成AI（Generative AI）の定義はない • テキスト、画像、動画等の新しいコンテンツ等を生成できるAIの総称 • テキスト、画像、動画、音声などを生成可能 ⇒企業が様々な生成AIサービスを展開

7. 生成AIサービス利用時のデータフロー

8. 生成AIサービス利用時のデータフローのイメージ① ユーザー データ取得 生成AIを利用する企業 生成AIを提供する企業 インプット アウトプット

9. 生成AIサービス利用時のデータフローのイメージ② 生成AIを利用する企業 生成AIを提供する企業 インプット アウトプット 従業員に関する情報

10. 生成AIサービス利用時のデータフローのイメージ③ 生成AIを利用する企業 生成AIを提供する企業 従業員に関する情報

11. 個人情報保護法上の論点の全体像

12. 生成AIサービスを利用する場合の論点 法的論点はいろいろあるけど 個人情報保護法 利用規約・社内ルール 著作権法 NDA

13. 生成AIサービスを利用する場合の論点 今日は個人情報保護法上の論点を見ていきます 個人情報保護法 利用規約・社内ルール 著作権法 NDA

14. 個人情報保護法上の論点の全体像 生成AIサービスを利用するに当たり主に問題となり得る規律 • 利用目的規制（特定、通知・公表、利用制限） • 第三者提供規制 • 外国にある第三者への提供規制 • 安全管理措置義務（委託先への監督義務を含む）

    • 保有個人データの法定周知事項

15. 個別論点

16. 利用目的規制（特定、通知・公表、利用制限） 外部の生成AIサービスを利用するに当たり主に問題となり得る規律 • 利用目的規制（特定、通知・公表、利用制限） • 第三者提供規制 • 外国にある第三者への提供規制 • 安全管理措置義務（委託先への監督義務を含む）

    • 保有個人データの法定周知事項

17. 利用目的規制（特定、通知・公表、利用制限） 利用目的規制とは？ • 利用目的の特定 ⇒個人情報を取り扱うに当たっては、できる限り利用目的を特定しなければなら ない（法17条1項） • 利用目的の通知・公表 ⇒個人情報を取得した場合は、速やかに、その利用目的を本人に通知・公表しな ければならない（法21条1項）

    • 利用目的の制限 ⇒本人の同意を得ないで、利用目的の達成に必要な範囲を超えて、個人情報を取 り扱ってはならない（法18条1項）

18. 生成AIサービス利用時のデータフローのイメージ① ユーザー データ取得 生成AIを利用する企業 生成AIを提供する企業 インプット アウトプット 取得データが「個人情報」の場合 ・利用目的の特定 ・利用目的の通知・公表

19. 生成AIサービス利用時のデータフローのイメージ① ユーザー データ取得 生成AIを利用する企業 生成AIを提供する企業 インプット アウトプット インプットが「個人情報」の場合 「利用目的の範囲内」で取り扱う

20. 利用目的規制（特定、通知・公表、利用制限） 実務上は • ドキュメント（プライバシーポリシー等）に利用目的を記載し（利用目的の特 定）、当該ドキュメントを本人に対し、通知・公表（利用目的の通知・公表） することが多い。 • その上で、個人情報を生成AIサービスの利用に際して取り扱うことが、上記の 利用目的の達成に必要な範囲内であるかを確認する。

21. 利用目的規制（特定、通知・公表、利用制限） 利用目的規制の論点 • 生成AIの利用についてどこまで利用目的として特定する必要があるか？

22. 利用目的規制（特定、通知・公表、利用制限） 参考：個人情報保護委員会ガイドライン • 従前は、利用目的の特定については、「個々の取扱いプロセスごとにその目的 を特定することを求める趣旨ではなく、あくまで個人情報取扱事業者が一連の 取扱いにより最終的に達成しようとする目的を特定することを求める趣旨」 （園部・藤原「個人情報保護法の解説《第三次改訂版》」（ぎょうせい）147 頁）と解されていた。 • 令和2年改正に伴う個人情報保護委員会ガイドライン（通則編）の改訂により、

    一部のケースについて最終目的に至るまでのプロセスについても特定を求める 事例が追加された（結果に至るまでの分析過程についても特定を要求）。 － ターゲティング広告 － 信用スコア

23. 利用目的規制（特定、通知・公表、利用制限） 利用目的規制の論点 • 生成AIの利用についてどこまで利用目的として特定する必要があるか？

24. 利用目的規制（特定、通知・公表、利用制限） 利用目的規制の論点 • 生成AIの利用についてどこまで利用目的として特定する必要があるか？ • 少なくとも、新規の個人情報の取得については、生成AIの利活用を意識して利 用目的を特定した方がよいのではないか。

25. 第三者提供規制 外部の生成AIサービスを利用する当たり主に問題となり得る規律 • 利用目的規制（特定、通知・公表、利用制限） • 第三者提供規制 • 外国にある第三者への提供規制 • 安全管理措置義務（委託先への監督義務を含む）

    • 保有個人データの法定周知事項

26. 第三者提供規制 第三者提供規制とは？ • 個人データ（例：データベースを構成する個人情報）を第三者に提供するため には、原則として本人の同意が必要（法27条1項） • ただし、委託に伴って個人データを提供する場合には、本人同意なく提供が可 能（法27条5項1号） • また、提供先の事業者が個人データを取り扱わないこととなっている場合

    （例：取り扱わない旨の契約条項＋適切なアクセス制御）には、提供に該当せ ず、本人同意は不要（いわゆるクラウド例外）

27. 生成AIサービス利用時のデータフローのイメージ① ユーザー データ取得 生成AIを利用する企業 生成AIを提供する企業 インプット アウトプット インプットが「個人データ」の場合 以下のような整理が必要 ・通常の第三者提供（同意）

    ・委託 ・クラウド例外

28. 第三者提供規制 AIモデルの学習に利用される場合に「委託」と整理できるか？ • 委託先は、委託された業務以外には、個人データを取り扱うことができない （ガイドライン通則編3-6-3） • 「個別の事例ごとに判断することになりますが、委託先は、委託元の利用目的 の達成に必要な範囲内である限りにおいて、委託元から提供された個人データ を、自社の分析技術の改善のために利用することができます」（個人情報保護 委員会ガイドラインQA7-39）

29. 外国にある第三者への提供規制 外部の生成AIサービスを利用する当たり主に問題となり得る規律 • 利用目的規制（特定、通知・公表、利用制限） • 第三者提供規制 • 外国にある第三者への提供規制 • 安全管理措置義務（委託先への監督義務を含む）

    • 保有個人データの法定周知事項

30. 外国にある第三者への提供規制 外国にある第三者への提供規制とは？ • 個人データの提供先が外国にある第三者（外国法人など）である場合、原則と して本人の同意が必要（法28条1項、2項） • 基準適合体制を整備した上、必要な措置を講じている場合には、本人同意なく 提供することが可能（法28条1項、3項） ＊ 法27条の整理は別途必要

31. 生成AIサービス利用時のデータフローのイメージ① ユーザー データ取得 生成AIを利用する企業 生成AIを提供する企業 インプット アウトプット インプットが「個人データ」であり 提供先が「外国にある第三者」である場合 以下のような整理が必要

    ・本人からの同意取得 ・基準適合体制＋必要な措置

32. 第三者提供規制、外国にある第三者への提供規制 実務上とり得る整理 • 同意スキーム －27条：同意を取得 －28条：同意を取得 • 委託＋基準適合体制（＋必要な措置） －27条：「委託」と整理する －28条：基準適合体制＋必要な措置

    • クラウド例外 －27条：クラウド例外 －28条：クラウド例外

33. 第三者提供規制、外国にある第三者への提供規制 基準適合体制とは？ 典型例は 提供元と提供先との間で、利用規約等を締結することにより、個人情報保護法第 4章第2節の規定の趣旨に沿った措置の実施が確保されていること（ガイドライン 通則編4-2：20項目）。 • 生成AIサービスの利用においては、当該サービス提供者側のドキュメント（利 用規約、プライバシーポリシー、DPA等）の中身を確認する等して、上の要件 を満たすかどうかを検討することになる。

34. 第三者提供規制、外国にある第三者への提供規制 必要な措置とは？ ① 移転先の第三者による相当措置の実施状況及び当該措置の実施に影響を及ぼ すおそれのある移転先の第三者の所在国の制度の有無・内容を適切・合理的 な方法により定期的に確認すること ② 移転先の第三者による相当措置の実施に支障が生じたときは、必要かつ適切 な措置を講ずるとともに、当該相当措置の継続的な実施の確保が困難となっ たときは、個人データの当該第三者への提供を停止すること

35. 安全管理措置義務 外部の生成AIサービスを利用する当たり主に問題となり得る規律 • 利用目的規制（特定、通知・公表、利用制限） • 第三者提供規制 • 外国にある第三者への提供規制 • 安全管理措置義務（委託先への監督義務を含む）

    • 保有個人データの法定周知事項

36. 安全管理措置義務 安全管理措置義務とは？ • 取り扱う個人データの漏えい、滅失、毀損の防止その他の安全管理措置を講じ なければならない（法23条） • 個人データの取り扱いを委託する場合には、委託先を監督しなければならない （法25条）

37. 生成AIサービス利用時のデータフローのイメージ ユーザー データ取得 生成AIを利用する企業 生成AIを提供する企業 インプット アウトプット クラウド例外の場合 →安全管理措置義務に対応

38. 生成AIサービス利用時のデータフローのイメージ ユーザー データ取得 生成AIを利用する企業 生成AIを提供する企業 インプット アウトプット 個人データの取り扱いを委託 →委託先の監督義務に対応 個人データの取り扱いを委託

39. 安全管理措置義務 委託先の監督義務（法25条） 以下の①～③の措置を講じる必要 ① 適切な委託先の選定 ② 委託契約の締結 ③ 委託先における個人データ取扱状況の把握 ＊参考：個人情報保護委員会「クラウドサービス提供事業者が個人情報保護法上の個人情報取扱

    事業者に該当する場合の留意点について（注意喚起）」（令和6年3月25日） https://www.ppc.go.jp/files/pdf/240325_alert_cloud_service_provider.pdf

40. 提供、安全管理措置義務 外部の生成AIサービスを利用する当たり主に問題となり得る規律 • 利用目的規制（特定、通知・公表、利用制限） • 第三者提供規制 • 外国にある第三者への提供規制 • 安全管理措置義務（委託先への監督義務を含む）

    • 保有個人データの法定周知事項

41. 第三者提供規制、外国にある第三者への提供規制 「提供」について実務上とり得る整理 • 同意スキーム －27条：同意を取得 －28条：同意を取得 • 委託＋基準適合体制（＋必要な措置） －27条：「委託」と整理する －28条：基準適合体制＋必要な措置

    • クラウド例外 －27条：クラウド例外 －28条：クラウド例外

42. 第三者提供規制、外国にある第三者への提供規制 同意を取得しない現実的な選択肢 • 同意スキーム －27条：同意を取得 －28条：同意を取得 • 委託＋基準適合体制（＋必要な措置） －27条：「委託」と整理する －28条：基準適合体制＋必要な措置

    • クラウド例外 －27条：クラウド例外 －28条：クラウド例外

43. 第三者提供規制、外国にある第三者への提供規制、安全管理措置 同意を取得しない現実的な選択肢＋安全管理措置 • 同意スキーム －27条：同意を取得 －28条：同意を取得 • 委託＋基準適合体制（＋必要な措置） －27条：「委託」と整理する ＋委託先の監督義務（25条）

    －28条：基準適合体制＋必要な措置 • クラウド例外 －27条：クラウド例外 ＋安全管理措置義務（23条） －28条：クラウド例外

44. 保有個人データの法定周知事項 外部の生成AIサービスを利用する当たり主に問題となり得る規律 • 利用目的規制（特定、通知・公表、利用制限） • 第三者提供規制 • 外国にある第三者への提供規制 • 安全管理措置義務（委託先への監督義務を含む）

    • 保有個人データの法定周知事項

45. 保有個人データの法定周知事項 保有個人データの法定周知事項とは？ • 保有個人データに関し、講じている安全管理措置を本人の知り得る状態に置く 必要（法32条1項・政令10条1号） • 周知事項である安全管理措置には、外的環境の把握も含まれる（保有個人デー タを取り扱う外国の名称を明らかにする必要） • 例えば、以下のようなケースは、外国で取り扱っているものと解される。

    －海外法人への委託・再委託 －クラウド例外（海外法人、海外保管など）

46. 生成AIサービス利用時のデータフローのイメージ① ユーザー データ取得 生成AIを利用する企業 生成AIを提供する企業 インプット アウトプット 委託やクラウド例外の場合 取り扱っている国を把握し 本人の知り得る状態にする必要

47. まとめ

48. まとめ • 新たに個人情報を取得する場合には、生成AIサービスの利用を意識して利用目 的を特定した上、プライバシーポリシー等で本人に通知・公表しましょう。 • 生成AIサービスを利用すること（外部への提供、生成AIを利用した分析等）が、 対象となる個人情報に関して特定した利用目的の範囲内かどうかを確認しま しょう（取得時に通知・公表したドキュメント記載の利用目的の範囲内かどう かを確認する等） •

    同意を取得する等して生成AIサービス提供者に情報をインプットできるか、同 意を取得できない場合には、クラウド例外や委託＋基準適合体制等で整理でき ないかを検討しましょう。 • 保有個人データの法定周知事項も忘れないようにしましょう。

49. ご清聴ありがとうございました 関原秀行（せきはらひでゆき） X（旧Twitter） Mail ：@Hide_Sekihara ：[email protected]

50. 本資料はリーガルアドバイスを目的とするものではなく、個別の案件については当 該案件の個別の事情に応じ、弁護士の適切なアドバイスを求めていただく必要があ ります。 また、本資料に記載の見解にわたる部分は、当職の個人的見解であり、当職が所属 し、または過去に所属した組織の見解ではありません。