個人情報保護委員会 生成AI関連公表 2024-2026まとめ

個人情報保護委員会 生成AI関連公表 2024-2026まとめ

個人情報保護委員会（PPC）は、2023年6月のOpenAI宛注意喚起^[1]を起点に、生成AIサービスの個人情報保護法上の整理を継続的にアップデートしてきた。2024年には「生成AIサービスの利用に関する注意喚起等」の改訂とQ&A追加が行われ、2025年には漏えい等報告・利用停止請求権との接続論点が議論され、2026年1月には「3年ごと見直しに係る制度改正方針」^[2]のなかで生成AI時代の本人関与・透明性が明確に位置付けられた。本稿は法務・CISO実務者向けに、PPC公表物を時系列で整理し、企業実務に落とし込むためのチェックリストと打ち手を提示する。

1. PPCの生成AI対応の全体像

PPCの生成AI対応は、大きく3つのレイヤに分かれる。第1に、事業者（OpenAI等）への直接の注意喚起である。2023年6月2日付でOpenAIに対し「要配慮個人情報を本人同意なく取得しないこと」「日本語での通知・公表」などを求めた^[1]。第2に、利用者（一般事業者・国民）への注意喚起であり、入力するプロンプトに個人情報・機密情報を含めない原則、利用目的の特定・通知公表、第三者提供該当性の整理を示している^[3]。第3に、制度改正方針として「3年ごと見直し」のなかで、AI・プロファイリング・スコアリングへの本人関与（利用停止請求権の拡張、透明性義務）を盛り込もうとしている^[2]。

この3層構造を理解せずに、たとえば「ChatGPT Enterpriseは安全だから入力可」と単純化してしまうと、利用目的の特定・通知公表（法17条・21条）や、要配慮個人情報の取得制限（法20条2項）、漏えい等報告（法26条）の解釈を取り違えるリスクがある。PPCは「サービスの安全性」と「適法性」を別軸で評価しており、Enterprise契約で学習に使われない設定にしてあっても、入力した個人データが第三者提供に該当する場面（共同利用・委託の整理）は依然として発生し得る^[4]。

2. 時系列まとめ（2023-2026）

• 2023年6月2日：OpenAIに対する注意喚起^[1]。要配慮個人情報の取得制限、利用目的の日本語通知、本人からの利用停止請求への対応、ペイロードを学習に用いる場合の本人同意またはオプトアウトを求めた。
• 2023年6月2日（同日）：「生成AIサービスの利用に関する注意喚起等」を一般事業者・国民向けに公表^[3]。プロンプトへの個人情報入力の留意点、目的外利用該当性、行政機関等の利用上の留意点を整理。
• 2024年：上記注意喚起を改訂し、生成AIサービスを「個人情報取扱事業者として利用する場面」と「個人として利用する場面」を分け、APIや法人向けプランの委託・共同利用整理を追加^[3][4]。Q&Aには「学習に用いられない設定とした場合の利用目的特定の考え方」が追記されたと整理されている^[5]。
• 2024年6月：PPC「個人情報保護法 いわゆる3年ごと見直しに係る検討の中間整理」^[6]。プロファイリング・AI利活用に対する本人関与のあり方が論点化。
• 2025年：委員会総会で生成AI関連事業者ヒアリング・有識者ヒアリングを継続実施^[7]。Bedrock/Vertex AIなどクラウド事業者経由の生成AI利用について、「クラウドサービス例外（個人データの取扱いに該当しない場合）」^[8]と生成AIの整合が論点となる。
• 2026年1月：「個人情報保護法 いわゆる3年ごと見直しに係る制度改正方針」^[2]を公表。AI・プロファイリングに対する透明性確保措置、利用停止請求権の拡張、課徴金・団体訴訟制度の検討が明示。

3. 2024-2025の重要Q&A改定

PPCのQ&A（個人情報保護法に関するQ&A）^[9]は、生成AIに関連して以下の論点が継続的に追記・改訂されている。第1に、プロンプト入力と利用目的。事業者が業務で生成AIにプロンプトを入力する際、入力データに個人情報が含まれるならば、当該個人情報の利用目的の範囲内である必要がある。「業務効率化のための生成AI利用」を利用目的に含めていない場合、目的外利用となるおそれがある^[3]。

第2に、第三者提供該当性。生成AI事業者が入力データを学習に用いる場合は、原則として個人データの第三者提供（法27条）に該当し、本人同意またはオプトアウトの根拠が必要となる。一方、Enterpriseプラン等で「学習に用いない」「事業者の指示の範囲でのみ取り扱う」場合、委託（法27条5項1号）として整理し得る^[4]。第3に、要配慮個人情報の取得。プロンプト経由で要配慮個人情報を入力した場合、生成AI事業者側での取得には本人同意が必要となるため、Enterprise契約での委託整理が成立していなければ法20条2項違反リスクが発生する^[1][4]。

第4に、漏えい等報告。プロンプトに含まれた個人データが他ユーザーの応答に混入した場合、法26条1項の漏えい等にあたり得る。2023年3月のChatGPT会話履歴漏えい事例^[10]はPPCも認知し、報告対象範囲の整理に影響を与えた。Q&Aは「クラウド利用時の漏えい等報告主体」について、契約・運用実態に即した判定を求めている^[9]。

4. 2026年制度改正方針

2026年1月公表の「3年ごと見直しに係る制度改正方針」^[2]は、生成AI・プロファイリングを意識した複数の論点を含む。(a)透明性確保措置として、AIによる重要な決定（採用・与信・保険引受等）を行う場合に、本人への説明・通知を求める方向性。(b)利用停止請求権の拡張として、現行の限定的な請求権（法35条）を「正当な理由がある場合」に広く認める案。(c)課徴金制度として、悪質・大規模な漏えいや違反への経済的サンクション。(d)団体訴訟制度として、消費者団体等による差止・賠償請求。(e)子どもの個人情報に対する追加保護。

これらは2026年通常国会以降の改正法案として議論される見込みで、生成AIを業務に組み込む事業者にとっては、「説明可能性」「人間の関与」「データの最小化」をシステム設計段階で織り込む必要が一層強まる^[2][6]。

5. 企業実務への影響

第1に、利用目的の見直し。プライバシーポリシー上の利用目的に「業務効率化・分析のための生成AI（クラウドAIを含む）への入力」を明記しているか。明記していない事業者は速やかに改定し、必要に応じて通知・公表を行う^[3]。第2に、委託先管理。ChatGPT Enterprise、Microsoft 365 Copilot、Amazon Bedrock、Google Vertex AIなど、利用するLLM基盤ごとに「学習に用いない設定」「リージョン」「データ保持期間」を確認し、委託契約に反映する^[4]。第3に、要配慮個人情報の取扱。医療・採用・金融等で要配慮情報を扱う場合、プロンプトに含めない原則を技術的に担保する（DLP・マスキング等）^[1]。第4に、漏えい等報告体制。生成AI経由の漏えいを検知・報告するフローを整える^[9]。第5に、説明可能性。重要な決定にAI出力を用いる場合、人間レビューと記録の運用を整備する^[2]。

6. チェックリスト（5項目）

1. 利用目的の特定・通知公表：プライバシーポリシーに「生成AIへの入力」を含む利用目的が明記され、本人への通知・公表が完了しているか^[3]。
2. 委託 vs 第三者提供の整理：利用するLLMサービスごとに「学習に用いない契約」「データ保持・削除条項」「リージョン」を確認し、委託として整理できるエビデンスがあるか^[4]。
3. 要配慮個人情報のブロック：プロンプト入力時のDLP、マスキング、社内ガイドラインで要配慮情報の入力を技術・運用で防いでいるか^[1]。
4. 漏えい等報告フロー：生成AI経由の漏えい・誤出力・他ユーザー混入を検知し、PPCへの法26条報告につなげるエスカレーション体制があるか^[9][10]。
5. 説明可能性・人間関与：採用・与信・保険・人事評価等で生成AI出力を用いる場合、最終判断に人間が関与し、本人説明可能な記録を残しているか^[2]。

7. 打ち手（実務アクション）

短期（90日以内）として、(1)社内で利用される生成AIサービスを棚卸し、Enterprise/API/個人プランを区別、(2)プライバシーポリシーの利用目的に「生成AIへの入力」を反映、(3)要配慮情報のプロンプト入力を禁止する社内規程と教育を整備。中期（6-12カ月）として、(4)主要LLM事業者と委託契約・DPA（データ処理付帯契約）を締結し、データ保持・削除・リージョンを明確化、(5)プロンプトログの保管と監査体制を整備、(6)重要な決定への利用にあたり「人間レビュー必須」のガバナンスを設計。長期（12カ月超）として、(7)2026年制度改正に備え、利用停止請求・透明性確保・説明責任のオペレーションを内製化、(8)課徴金・団体訴訟リスクに備えたインシデント保険や法務予算の確保^[2][3][4]。

「生成AI時代において、個人情報保護法の本質である『本人関与』『透明性』『データ最小化』はむしろ重みを増している。事業者は、AIが何を学習し、何を出力し、誰の権利に影響するのかを、自ら説明できる体制を持たなければならない。」^[2][6]

8. 結論（3点）

1. 「Enterpriseだから安心」は誤解：契約・設定・運用が委託として整っていなければ、第三者提供・要配慮取得・漏えい等報告のリスクは残る^[1][4][9]。
2. 2026年改正は「説明可能性」と「本人関与」の強化：利用停止請求権の拡張、透明性義務、課徴金・団体訴訟が射程に入る^[2]。
3. PPC公表物は継続的アップデート：注意喚起・Q&A・総会資料を四半期ごとにモニタリングし、社内規程を改定する運用が不可欠^[3][7][9]。

9. 経営者視点

経営者にとって、生成AIガバナンスは「攻め（生産性向上）」と「守り（コンプライアンス・信頼）」の両立イシューである。守りを軽視すれば、PPC勧告・課徴金（2026年改正後）・レピュテーション毀損というダウンサイドが、生産性メリットを一気に相殺し得る。一方で過度に守りに振れれば、現場が生成AIを業務外利用（個人プラン・シャドーIT）に逃避し、可視化できない最大のリスクとなる。経営判断として優先すべきは、(1)シャドーITを生まないために業務利用可能なEnterprise基盤を全社員に提供、(2)プロンプトログ・出力ログの監査可能性を仕組みで担保、(3)重要な意思決定への適用範囲を段階的に拡大し、人間関与と説明責任を維持、の3点である。CISO・法務・DX推進部門が連携し、四半期ごとにPPC公表物のレビューと社内規程更新を行うガバナンスサイクルを確立することで、はじめて生成AIは「全社的な競争力」となる^[2][3][4][6]。

参考文献

1. 個人情報保護委員会「OpenAIに対する注意喚起の概要」2023年6月2日 https://www.ppc.go.jp/news/press/2023/230602_alert/
2. 個人情報保護委員会「個人情報保護法 いわゆる3年ごと見直しに係る制度改正方針」2026年1月 https://www.ppc.go.jp/personalinfo/legal/3nengoto_kentou/
3. 個人情報保護委員会「生成AIサービスの利用に関する注意喚起等」2023年6月2日（2024年改訂） https://www.ppc.go.jp/news/press/2023/230602_AI_utilize_alert/
4. 個人情報保護委員会「個人情報の保護に関する法律についてのガイドライン（通則編）」最新版 https://www.ppc.go.jp/personalinfo/legal/guidelines_tsusoku/
5. 個人情報保護委員会「個人情報の保護に関する法律についてのガイドラインに関するQ&A」 https://www.ppc.go.jp/personalinfo/faq/APPI_QA/
6. 個人情報保護委員会「いわゆる3年ごと見直しに係る検討の中間整理」2024年6月 https://www.ppc.go.jp/files/pdf/3nengoto_kentou_chukan.pdf
7. 個人情報保護委員会「委員会開催状況」2024-2026年（議事録・配布資料） https://www.ppc.go.jp/aboutus/minutes/
8. 個人情報保護委員会「いわゆるクラウドサービス提供事業者に関する Q&A」 https://www.ppc.go.jp/personalinfo/faq/2009_APPI_QA/#q7-53
9. 個人情報保護委員会「個人情報保護法ハンドブック・各種Q&A集」 https://www.ppc.go.jp/personalinfo/
10. OpenAI「March 20 ChatGPT outage: Here’s what happened」2023年3月24日 https://openai.com/blog/march-20-chatgpt-outage
11. 経済産業省・総務省「AI事業者ガイドライン（第1.0版）」2024年4月 https://www.meti.go.jp/shingikai/mono_info_service/ai_shakai_jisso/
12. 内閣府「AI戦略会議」資料 https://www8.cao.go.jp/cstp/ai/index.html
13. JIPDEC「個人情報保護とAI利活用に関する報告書」 https://www.jipdec.or.jp/
14. JNSA「生成AI利用におけるセキュリティリスクと対策」 https://www.jnsa.org/