← 記 / Journal に戻る

コラム

AIと個人情報保護|APPI・医療データ・生成AIで気をつける実務ポイント

AI 活用が広がる一方、個人情報保護の重要性も増しています。日本の個人情報保護法(APPI)の基本、要配慮個人情報・医療データの扱い、生成 AI 利用時の注意点、海外規制との関係まで、AI を業務利用するときに押さえておきたい実務ポイントを整理しました。

AI を業務に取り入れる動きが加速するほど、「個人情報をどう扱うか」の重要性は増していきます。技術的にできることと、法的・倫理的に許されることは別物です。本記事では、日本の個人情報保護法(APPI)の基本から、AI を使う上で実務的に気をつけたいポイントまで整理します。

※ 本記事は一般的な解説であり、個別案件の法的判断は専門家にご相談ください。

個人情報保護法(APPI)の基本

日本の個人情報保護法(以下、APPI)は、2003 年制定から複数回の改正を経て、2022 年改正で現在の形に近づきました。AI 活用と関わる範囲では、以下の概念を押さえておくのが基本です。

1. 個人情報 氏名・生年月日・連絡先など、特定の個人を識別できる情報。顔写真や音声も含まれます。AI が扱うデータの大半は、何らかの形で個人情報を含む可能性があります。

2. 要配慮個人情報 人種・信条・社会的身分・病歴・犯罪歴など、本人の権利利益に重大な影響を与えうる情報。取得自体に本人同意が原則必要で、扱いが特に厳格です。医療・介護分野のデータは、この区分に該当することが多いです。

3. 仮名加工情報・匿名加工情報 個人を識別できない形に加工した情報。匿名加工情報は外部提供のハードルが下がり、仮名加工情報は内部分析の活用ハードルが下がります。AI モデル学習データの設計でよく出てくる概念です。

4. 個人関連情報 Cookie ID、IP アドレス、デバイス ID など、それ単体では個人を特定できないが、組み合わせると個人と紐づけ得る情報。第三者提供時には本人同意取得が前提となります。

AI 開発・運用での実務ポイント

AI を作る・使う場面で、APPI と直接ぶつかる主要シーンを整理します。

1. 学習データの取得・利用

学習データに個人情報が含まれる場合、取得時の利用目的の中に「AI 学習」が明示されているかが重要です。曖昧な「サービス改善のため」では、AI 学習目的の利用と認められない可能性があります。すでに収集済みのデータを AI 学習に使う場合、利用目的の変更通知や同意取得が必要なケースが多くあります。

2. 第三者からのデータ取得

データセットを購入・提供を受ける場合、提供元が適法に取得・提供しているかの確認が必要です。スクレイピングで集めたデータが含まれる場合、特に注意が必要です。

3. クラウド AI サービスの利用

ChatGPT、Claude、Gemini などのクラウド AI に業務データを送信する場合、

  • 入力データがモデル学習に使われない設定(API・Enterprise プラン等)になっているか
  • データの保管場所・保管期間
  • 委託契約・データ処理契約の有無

を確認するのが基本です。「無料の生成 AI に機密情報をそのまま貼り付ける」は、最もハイリスクな運用パターンです。

4. AI の判断結果の取り扱い

AI が出力した「この人は再発リスクが高い」「この応募者は不適格」といったプロファイリング情報は、それ自体が個人情報として扱われます。出力の保存・共有・利用方法の設計が必要です。

医療データの特殊性

医療・介護データは、APPI 上の「要配慮個人情報」に該当することが多く、扱いが特に厳格です。さらに、医療分野では以下の補足ルールが重なります。

  • 医療法・医師法・薬機法:医療機関での情報取り扱いに関する規定
  • 個人情報保護法施行令:医療分野での要配慮個人情報の範囲を具体化
  • 倫理指針:人を対象とする生命科学・医学系研究に関する倫理指針

医療データを使った AI 研究・開発では、所属機関の倫理審査委員会(IRB)の承認が必要なことが大半です。研究のフェーズと、商用開発のフェーズで、求められる手続きが異なる点も注意が必要です。

医療機器プログラム(SaMD)として開発する場合は、薬機法の規制が別途かかります。診断や治療の意思決定に関わる AI は、開発初期から規制対応を視野に入れる必要があります。

生成 AI ならではの注意点

ChatGPT や Claude のような生成 AI は、APPI の枠組みに加えて、独自の論点が出てきます。

1. プロンプトに含む個人情報

業務で生成 AI を使うとき、プロンプトに顧客・社員・患者の個人情報を含めてしまうケースが多発しています。組織として「入力前に個人情報を除去」のルール・仕組み(マスキング、PII 検出器など)を整えるのが基本です。

2. 出力結果に含まれうる個人情報

学習データに含まれる個人情報が、生成 AI の出力に「漏れ出てくる」現象が報告されています。人物名・住所・電話番号などを生成しないよう、プロンプトとガードレールの設計で対応します。

3. 学習データセットの透明性

商用 LLM の学習データセットは、多くが詳細非公開です。「自社データが意図せず学習に使われていないか」「出力が他者の権利を侵害しないか」のリスクは、業務利用前に検討すべき項目です。

海外規制との関係

事業がグローバルに広がる場合、海外の規制も視野に入れる必要があります。

  • GDPR(EU):APPI より厳格な部分が多い。EU 域内のユーザーデータを扱う場合は適用される
  • EU AI Act:AI システムをリスク分類し、高リスク用途には厳しい規制を課す。2024 年成立、段階的に施行中
  • 米国各州法:CCPA(カリフォルニア州)など、州レベルで規制が分かれる
  • 中国・東南アジア:各国ごとに独自規制が整備されつつある

クロスボーダーでデータが移動する場合、データの保管場所、契約上の扱い、ユーザーへの通知などを設計初期から検討する必要があります。

まとめ——「あとから対応」では間に合わない

AI 活用と個人情報保護は、開発初期から並行して設計するべき領域です。「まず作ってから法的論点を考える」アプローチでは、運用直前に重大なやり直しが発生したり、最悪の場合は事業を止めることになります。

逆に、設計初期から個人情報保護の論点を組み込んだプロジェクトは、運用後のトラブルが少なく、信頼を得られやすい傾向があります。規制対応は競争優位の源泉でもあります。

リサーチコーディネートでは、医療・ヘルスケア・自治体・研究機関など、個人情報の取り扱いが特に重要な領域でのプロジェクトを多く手がけてきました。「データガバナンスを含めた AI プロジェクトの設計から相談したい」というご相談からお受けしています。お気軽にお問い合わせください。