HANAWA行政書士事務所のロゴ HANAWA行政書士事務所 建設・製造・産廃業向け 許認可 × 外国人雇用 × 補助金 × 福利厚生
090-3718-2803 9:00-23:00 年中無休(土日祝日・20時以降は事前予約)

生成AIを業務で使う場面が増えると、「社内情報をどこまで入力してよいのか」「個人情報や顧客情報を含む資料はどう扱えばよいのか」という不安が出てきます。AI導入は、便利なツールを選ぶだけではなく、情報の扱い方を整理し、関係部署と確認しながら進める実務テーマです。このセクションでは、AIコンプライアンスの入口として、事業会社でまず確認しておきたい法務・コンプライアンス上の基本論点を整理します。

このセクションで学ぶこと
  • AI導入時に確認したい個人情報・機密情報・顧客情報の基本的な考え方
  • 外部の生成AIサービスと社内環境で、情報の扱いを分けて考える理由
  • 著作権、利用規約、守秘義務、出力物の利用に関する確認ポイント
  • 担当者だけで抱え込まず、法務・情報システム・管理部門と相談する進め方
  • 不安で止まるのではなく、安全に使える範囲を決めるための整理方法

基本解説:AIコンプライアンスは、使える範囲を決めるための整理です

AIコンプライアンスとは、AIを業務で利用する際に、法令、社内規程、契約、情報管理ルール、倫理的な配慮などを踏まえて、適切な利用方法を整理する考え方です。初級段階で大切なのは、すべての法的論点を詳しく判断することではありません。まずは、どのような情報を扱い、どの場面で確認が必要になりそうかを見える化することです。

生成AIは、文章の要約、議事録作成、問い合わせ対応案の作成、資料のたたき台作成など、さまざまな業務に使えます。一方で、入力する情報の中に個人情報、顧客情報、取引先との契約内容、未公開の営業情報、社内の人事情報などが含まれることがあります。こうした情報をどのような環境で扱うのかを確認しておくと、社内で説明しやすくなります。

ここでいう個人情報は、一般的な意味だけでなく、個人情報保護法上の考え方も意識しておく必要があります。個人情報保護法では、個人情報は、生存する個人に関する情報であって、氏名などにより特定の個人を識別できるもの、または個人識別符号が含まれるものなどを指します。さらに、病歴、信条、社会的身分、犯罪の経歴など、本人に対する不当な差別や偏見が生じないよう特に配慮を要する情報は、要配慮個人情報として扱われます。

AI導入時には、「AIに入力する情報」と「AIから出力された情報」の両方に確認事項があります。入力側では、個人情報や機密情報を含めてよいかが問題になります。出力側では、生成された文章、画像、コード、提案内容などをそのまま社外資料や顧客向け回答に使ってよいか、著作権、利用規約、正確性、説明責任の観点から確認が必要になる場合があります。

図解:AI利用時に確認したい「入力・環境・出力・確認」の流れ

AIコンプライアンスは、入力情報だけでなく、利用環境、出力物の使い道、人による確認まで含めて整理すると考えやすくなります。

STEP 1 入力情報

個人情報、要配慮個人情報、顧客情報、機密情報、契約情報などが含まれていないかを確認します。

STEP 2 利用環境

外部サービスで使うのか、法人契約や社内環境で扱うのかを分けて考えます。

STEP 3 出力物

回答案、要約文、資料案などを、社内利用にとどめるのか社外利用するのかを確認します。

STEP 4 人による確認

事実関係、権利関係、誤情報、社内ルールとの整合性を確認します。

この図では、「何を入力するか」だけでなく、「どの環境で扱い、出力をどう使い、誰が確認するか」までを一連の流れとして捉えることがポイントです。

個人情報・機密情報・顧客情報は、まず分類して考える

生成AIに社内情報を入力するとき、最初に整理したいのが情報の種類です。たとえば、氏名、住所、電話番号、メールアドレス、顧客番号、問い合わせ履歴、契約内容などは、個人や顧客に関する情報として扱いに注意が必要です。また、売上計画、価格交渉の内容、未公開の商品情報、社内の意思決定資料などは、会社の機密情報に該当する可能性があります。

ここで大切なのは、担当者が一人で「入力してよい」「入力してはいけない」と断定しないことです。まずは、業務でAIに使いたい情報を洗い出し、個人情報、要配慮個人情報に該当しそうな情報、顧客情報、社内機密、公開情報、一般的な業務知識などに分けてみましょう。分類できると、法務部門や情報システム部門に相談するときも、確認したい内容が伝わりやすくなります。

匿名化・マスキングは、法的な意味の違いに注意する

AI利用の検討では、「氏名を削除すれば匿名化できるのではないか」と考えることがあります。実務上、氏名や電話番号を削除したり、顧客番号を伏せたりするマスキングは、情報管理の工夫として有効な場合があります。ただし、単なるマスキングが直ちに個人情報保護法上の匿名加工情報に該当するとは限りません。

個人情報保護法上は、匿名加工情報や仮名加工情報といった概念があり、それぞれ加工方法や取り扱いに関する要件があります。たとえば、他の情報と照合すると個人を識別できる状態が残る場合や、社内で復元できる対応表を管理している場合には、通常の意味で「名前を伏せた」だけでは十分ではないことがあります。AI導入の初期段階では、「法的に匿名化済み」と言い切るのではなく、「入力前に個人を特定しにくくする加工を行う。ただし、法的な匿名加工情報に当たるかは別途確認する」と整理しておくと安全です。

外部サービスと社内環境は、同じAI利用でも分けて考える

AI利用ルールを考えるうえでは、外部の生成AIサービスに入力する場合と、自社で契約・管理している環境で扱う場合を分けて考えることが大切です。外部サービスでは、入力内容の取り扱い、モデル学習への利用の有無、保存期間、管理者機能、監査ログ、契約条件などを確認します。

一方で、外部サービスだから一律に同じ扱いになるわけではありません。サービスによっては、API利用、法人契約、エンタープライズ契約などにより、入力データがモデル学習に利用されない設定や契約形態が用意されている場合があります。確認したいのは、サービス名だけではなく、自社がどの契約形態で、どの設定を使い、どのデータを入力するのかという具体的な条件です。

また、クラウドサービスを利用する場合は、データの保存場所や国外サーバの利用、外国にある第三者への提供に該当し得るかといった観点も確認対象になります。個人情報を含むデータを扱う場合には、個人情報保護法上の越境移転の考え方や、委託先管理、利用者への説明の要否などについて、法務部門や情報管理部門と相談しながら整理するとよいでしょう。

著作権・利用規約・出力物の扱いも確認する

AI導入時のコンプライアンスでは、入力情報だけでなく、参照資料や出力物の扱いも確認対象になります。たとえば、社外の資料、書籍、記事、画像、契約上利用制限のある資料などをAIに読み込ませる場合、その資料をAI処理に使ってよいかを確認した方がよいケースがあります。利用規約やライセンス条件に反する利用、取引先との契約上の守秘義務に反する利用となる可能性もあるため、資料の出所と利用条件を確認しておくことが大切です。

また、AIが作成した文章や企画案を、営業資料、Web記事、顧客向け回答、社外プレゼン資料などに利用する場合は、内容の正確性や権利関係、利用規約との整合性を確認します。AIの出力物については、常に著作権が発生するわけではなく、人の創作的関与の程度などにより、著作物として保護されるかどうかの考え方が変わる場合があります。反対に、既存の著作物と似た出力をそのまま使うと、権利侵害が問題になることもあります。

AIの出力は便利なたたき台になりますが、誤情報、いわゆるハルシネーションが含まれることもあります。特に、顧客への説明、広告表示、契約に関わる文書、社外公表資料では、事実関係、数字、固有名詞、法的表現、出典の確認を人が行う前提で考えると、社内ルールを設計しやすくなります。

補足:このセクションでは、個別法令の詳細解釈、契約書レビュー、著作権侵害の成否判断、個人情報保護法上の最終判断は扱いません。実際の可否判断が必要な場合は、自社の法務部門、情報システム部門、管理部門、または外部専門家に確認する前提で進めると安心です。

実務での考え方:顧客問い合わせの要約を例に整理する

ここでは、カスタマーサポート部門で「顧客問い合わせの内容をAIで要約したい」という場面を考えてみます。問い合わせ本文には、顧客の氏名、連絡先、契約内容、購入履歴、困っている内容などが含まれることがあります。担当者としては、要約によって対応スピードを上げたい一方で、どの情報をAIに入力してよいか迷うこともあるでしょう。

この場合、最初に行うとよいのは、業務の流れと情報の種類を分けて整理することです。問い合わせ文をそのまま外部サービスに入力するのか、氏名や連絡先を除いたうえで要約するのか、社内で管理されたAI環境を使うのかによって、確認すべき内容は変わります。氏名などを削除する場合でも、それが法的な匿名加工情報に当たるかどうかは別問題として扱い、まずは入力前の情報削減策として位置づけると説明しやすくなります。

図解:顧客問い合わせ要約で整理したい判断ポイント

同じ「問い合わせ要約」でも、入力情報、利用環境、出力物の使い道、記録の残し方によって確認項目が変わります。

1 情報の中身

氏名、連絡先、契約内容、問い合わせ履歴、要配慮個人情報に当たり得る情報が含まれているかを整理します。

2 入力前の加工

マスキング、不要情報の削除、要約前の加工などができるかを検討します。ただし法的な匿名加工情報とは区別します。

3 利用環境

外部サービスか、法人契約か、社内環境か、学習利用の有無や保存場所はどうなっているかを確認します。

4 出力物の用途

社内メモに使うのか、顧客への回答案に使うのかで確認の深さが変わります。

5 人による確認

要約漏れ、誤情報、表現の不適切さ、契約条件とのずれがないかを確認します。

6 記録と相談先

誰が、いつ、どの種類のデータを入力したかを記録し、関係部署へ相談できる形にします。

この図では、AI利用の可否を一気に決めるのではなく、業務単位で「どの情報を、どの環境で、何のために使い、どう記録するか」を分解して考えることがポイントです。

たとえば、社内メモ用に問い合わせ内容の概要を作るだけであれば、個人を特定しにくい形に加工してからAIに入力する方法が考えられます。一方、顧客への回答文をAIに作らせる場合は、内容の正確性、契約条件との整合性、表示内容としての適切さ、人による確認がより重要になります。

実務では、最初から完璧なルールを作ろうとするよりも、利用場面を限定し、扱う情報の種類を整理し、関係部署と確認しながら範囲を広げていく方が進めやすい場合があります。AI導入の初期段階では、「まずは社内資料のたたき台作成に使う」「顧客情報を含む内容はマスキングしてから使う」「外部送信用の文章は必ず人が確認する」「利用ログを残す」といった運用から始めることも考えられます。

利用場面ごとに確認項目を変える

AI利用ルールを作るときは、すべての業務を同じ基準で扱おうとすると、かえって検討が進みにくくなることがあります。社内向けの文章作成、公開情報の要約、顧客情報を含む問い合わせ対応、契約に関わる文書作成では、確認すべき観点が異なります。

利用場面 主な確認観点 進め方の例
社内向けの文章作成 機密情報の有無、社内規程との整合性、出力内容の正確性 公開しても差し支えない一般情報から試し、必要に応じて入力ルールを整理する
顧客問い合わせの要約 個人情報、要配慮個人情報、顧客情報、契約内容、利用環境、ログ管理 氏名や連絡先を除く、要約用途を限定する、法人契約や社内環境の利用可否を確認する
営業資料・提案書の作成 未公開情報、競合情報、著作権、利用規約、出力物の確認責任 たたき台として利用し、社外提出前に担当者と責任者が確認する
社外資料・第三者資料の参照 著作権、ライセンス、利用規約、契約上の守秘義務、AI処理への利用可否 資料の出所と利用条件を確認し、必要に応じて法務部門へ相談する
契約・法務に関わる文書 法的判断の扱い、契約上の制限、専門部署の確認、誤情報リスク 要点整理や論点洗い出しにとどめ、判断は法務部門や専門家に確認する

AIコンプライアンスでは、「全社で一律に禁止するか、自由に使うか」という二択ではなく、業務の性質に応じて確認項目を整理していくことが大切です。安全に使える範囲が見えてくると、現場も責任者も判断しやすくなります。

よくあるつまずき:担当者だけで判断しようとしてしまう

AI導入の検討でよくあるつまずきは、現場担当者が「どこまで入力してよいのか」を一人で判断しようとしてしまうことです。現場は業務内容に詳しい一方で、個人情報、契約、情報セキュリティ、著作権、社内規程のすべてを判断する立場ではないこともあります。迷ったときは、判断を抱え込むのではなく、相談しやすい形に整理することが大切です。

相談しやすい形にするには、抽象的に「AIを使ってよいですか」と聞くよりも、「カスタマーサポートで、問い合わせ文を要約するために、氏名と連絡先を除いた文章を、法人契約のAI環境に入力したい」といった形で、業務、情報、環境、目的を分けて説明するとよいでしょう。相談内容がまとまっていなくても大丈夫です。まずは、現在の状況を整理してみることが出発点になります。

つまずき1:情報の種類を分けずに検討してしまう

「社内情報をAIに使ってよいか」という問いは、範囲が広すぎるため、そのままでは判断しにくい場合があります。公開済みの会社案内、社内限定の業務マニュアル、顧客の契約情報、人事評価資料、病歴や信条などを含み得る情報では、確認すべき観点が異なります。まずは情報を分類し、どの情報について確認したいのかを明確にしましょう。

つまずき2:マスキングをすれば十分だと思い込んでしまう

氏名や電話番号を削除することは、入力情報を減らすうえで有効な工夫になり得ます。しかし、ほかの情報と組み合わせると個人を識別できる場合や、社内で復元できる情報を持っている場合には、法的な意味で匿名加工情報といえるかは別途確認が必要です。実務上は、「個人を特定しにくくする加工」と「個人情報保護法上の匿名加工情報・仮名加工情報」を分けて説明することが大切です。

つまずき3:外部サービスと社内環境を同じものとして扱ってしまう

同じ生成AIでも、個人が使う外部サービス、自社で契約している法人向けサービス、API利用、社内に閉じた環境では、情報の取り扱い条件が異なることがあります。利用規約、契約内容、学習利用の有無、データ保存場所、ログ、アクセス権限を確認すると、どの業務にどの環境を使うべきかを検討しやすくなります。

つまずき4:出力物の確認を忘れてしまう

AIが作成した文章は自然に見えるため、そのまま使いたくなることがあります。ただし、事実関係、数字、固有名詞、契約条件、法的な表現、社外向けの言い回しなどは、人による確認が欠かせません。AIはたたき台を作るもの、人が確認して業務に使える形に整えるもの、という役割分担で考えると運用しやすくなります。

つまずき5:記録を残さずに利用が広がってしまう

AI利用が現場で広がると、誰が、いつ、どの種類のデータを入力し、どの出力を業務に使ったのかが分かりにくくなることがあります。すべての入力内容を細かく保存する必要があるとは限りませんが、監査対応や内部統制の観点から、利用者、利用日時、利用目的、扱ったデータの種類、社外利用の有無などを記録する仕組みを検討すると、後から説明しやすくなります。

つまずき6:不安が大きくなり、検討が止まってしまう

法務・コンプライアンスの話になると、どうしても慎重になります。その慎重さは大切ですが、不安だけで検討を止める必要はありません。確認項目を整理し、利用場面を限定し、関係部署と相談しながら進めることで、安全に使える範囲を少しずつ見つけることができます。

経営者・責任者向けの確認ポイント

経営者や部門責任者にとって、AI導入時の法務・コンプライアンス確認は、現場の利用を止めるためのものではなく、安心して活用するための土台づくりです。現場が個別に試行錯誤しているだけでは、便利な使い方が広がる一方で、情報管理や説明責任が曖昧になることがあります。

まず確認したいのは、自社でどのようなAI利用がすでに行われているかです。公式に導入しているツールだけでなく、現場が個別に利用している外部サービスがあるかもしれません。責めるために調べるのではなく、現在の状況を把握し、必要な手続きや確認した方がよい内容を一緒に整理していく姿勢が大切です。

責任者が見ておきたい主な観点

  • AI利用の目的が、業務改善や顧客対応品質の向上など、事業上の目的と結びついているか
  • 個人情報、要配慮個人情報、顧客情報、機密情報を扱う業務で、利用環境や入力ルールが整理されているか
  • 外部サービスの利用規約、法人契約の条件、モデル学習への利用有無、データ保存場所が確認されているか
  • クラウドサービス利用時に、国外サーバや外国第三者提供に関する確認が必要かを整理しているか
  • AIの出力をそのまま社外に出さず、人が確認する運用になっているか
  • 誰が、いつ、どの種類のデータを入力したかを確認できるログや記録の方針があるか
  • 法務、情報システム、管理部門、現場部門の役割分担が見えているか
  • AI利用ポリシー、情報セキュリティ規程、秘密情報管理規程などの整備・改定が必要かを検討しているか
  • 禁止事項だけでなく、利用可能な範囲や相談窓口が示されているか

責任者の役割は、すべての細かな判断を自分で行うことではありません。現場が判断に迷ったときの相談先を明確にし、必要な部署と連携しながら、業務に合ったAI利用ルールを整えていくことです。特に初期段階では、利用範囲を限定した試行、記録の残し方、社外利用前の確認フロー、社内規程の見直し要否などを決めるだけでも、検討を進めやすくなります。

AI導入支援者としての着眼点

AI導入コンサルタントや支援者を目指す人にとって、法務・コンプライアンスの話題は慎重に扱うべき領域です。支援者が個別の法的判断を断定するのではなく、顧客企業が自社の関係部署や専門家に確認しやすいよう、論点を整理する役割を意識するとよいでしょう。

特に、行政書士やコンサルタントとしてAI導入支援を行う場合、契約書の法的評価、著作権侵害の成否、個人情報保護法上の適法性などを、権限なく断定的に判断・提供することは避けるべきです。いわゆる非弁リスクや業務範囲の問題にもつながり得るため、「確認すべき論点を整理する」「関係部署や弁護士等の専門家に相談する材料を整える」という立ち位置を明確にすると、支援の品質を保ちやすくなります。

ヒアリングでは、いきなり「この情報は入力できますか」と聞くよりも、業務の目的、扱う情報、利用したいAI環境、出力物の使い道、確認者の有無、ログ管理の要否を順に確認します。これにより、法務部門や情報システム部門へ相談するための材料が整います。

避けたい進め方

  • 利用可否や法的評価を支援者だけで断定する
  • 法務確認を後回しにしたまま本番利用を広げる
  • 現場の不安を「気にしすぎ」と扱う
  • 禁止事項だけを並べ、使える範囲を示さない
  • マスキング済みであれば法的にも匿名化済みだと説明する

進めやすい支援の仕方

  • 業務・情報・環境・用途・記録を分けて整理する
  • 関係部署に確認するための論点表を作る
  • 初期利用の範囲を小さく設計する
  • 安全に使える業務から始める提案を行う
  • 法的判断は専門部署・専門家確認へつなげる

支援者としては、「AIを使うべきです」と押し切るのではなく、「どこなら安全に試せそうか」「どの情報は確認が必要か」「誰に相談すれば判断しやすいか」を一緒に整理する姿勢が信頼につながります。法務・コンプライアンスは、導入のブレーキではなく、継続的に活用するための設計条件として扱うとよいでしょう。

ミニチェックリスト

自社で生成AIの利用ルールを検討する前に、まずは次の項目を確認してみましょう。すべてを一度に決める必要はありません。確認できる項目から整理していくと、関係部署への相談もしやすくなります。

  • AIに入力したい情報の中に、個人情報、要配慮個人情報、顧客情報、契約情報、機密情報が含まれているかを確認した
  • マスキングや入力前加工を行う場合でも、法的な匿名加工情報・仮名加工情報とは区別して整理している
  • 外部サービスに入力する情報と、法人契約・API・社内環境で扱う情報を分けて考えている
  • 利用するAIサービスの契約条件、利用規約、学習利用の有無、データ保存場所を確認する必要があるか整理した
  • クラウドサービス利用時に、国外サーバや外国第三者提供に関する確認が必要かを検討した
  • AIの出力物を、社内メモ、社外資料、顧客向け回答のどれに使うのかを整理した
  • 著作権、利用規約、契約上の守秘義務について、確認が必要な資料があるかを確認した
  • 誤情報やハルシネーションに備え、人が確認する対象と確認者を決めている
  • 誰が、いつ、どの種類のデータを入力したかを記録する方針を検討した
  • 法務、情報システム、管理部門など、相談すべき部署を洗い出した
  • AI利用ポリシーや情報セキュリティ規程など、社内規程の整備・改定が必要かを確認した
  • 禁止事項だけでなく、安全に使えそうな範囲や試行できる業務を整理した

まとめ:確認項目を整理すると、AI導入は進めやすくなる

AI導入時の法務・コンプライアンス確認では、個人情報、要配慮個人情報、機密情報、顧客情報、著作権、利用規約、守秘義務、越境移転、ログ管理、出力物の扱いなど、複数の論点があります。ただし、初級段階で大切なのは、すべてを専門的に判断することではありません。まずは、どの業務で、どの情報を、どの環境に入力し、出力物を何に使い、どのように確認・記録するのかを整理することです。

担当者だけで判断しようとせず、法務部門、情報システム部門、管理部門などと確認しながら進めると、社内で説明しやすくなります。不安を理由に検討を止めるのではなく、確認項目を見える化し、安全に使える範囲を決めていくことが、実務的なAIコンプライアンスの第一歩です。

次回は、AI導入プロジェクトで「何をもって成功とするか」を整理します。ここまで学んできた業務、データ、情報管理の視点をもとに、Chapter 5のワークフロー設計へつながる成功条件の定義を考えていきます。

あわせて確認したいこと

契約書・通知書などの文書を確認したい方へ

契約書、通知書、内容証明、行政機関へ提出する書面では、形式だけでなく、誰が、何を、いつまでに行うのかが伝わることが大切です。文書の内容を整理したい方は、関連するご案内をご覧ください。

契約書、通知書、内容証明、提出書類の表現に不安がある場合は、文書の目的と伝えるべき内容を整理できます。

前のページに戻る