個人情報保護法(APPI)は、日本で個人情報の適正な取扱いを定める基本法です。本記事は著作権の話ではなく、生成AIに何を入力してよいか——業務利用の線引き——に焦点を当てます。AI倫理の「プライバシー」原則を、日本の法制として具体化したものがこの法律です。
試験で問われる見方
生成AIパスポートでは、個人情報・機密情報を入力前に確認する(○)、精度向上のためなら要配慮個人情報も自由に入力してよい(×)などが出ます。個人情報と個人データは区別して理解する必要がある、という論点もあります。
演習で確認する
生成AIパスポート:TF-0295(個人情報の定義)、TF-0297(個人情報と個人データ)、TF-0310(要配慮個人情報)、TF-0276(入力前確認)
G検定:G-482(個人情報保護法)
個人情報保護法とは
個人情報保護法は、個人情報を取り扱う事業者に対し、利用目的の明示、安全管理、第三者提供の制限などを求める法律です。2020年代の改正で、個人関連情報・仮名加工情報などの概念も拡張されています(試験範囲では定義問題として押さえる程度でよい場合もあります)。
生成AIサービスはクラウド上の第三者サービスであることが多く、入力データが送信・保存・学習に使われる可能性があるため、従来の社内システムより入力管理がシビアになります。
個人情報の定義
試験で覚える定義の骨格は次のとおりです(TF-0295)。
個人情報 — 生存する個人に関する情報で、氏名・生年月日・住所・顔写真などにより特定の個人を識別できるもの(ほか、個人識別符号を含む情報など)。
より広い概念として個人情報と、事業者がデータベース等で扱う個人データは、法令上区別して理解します(TF-0297)。定義と関連概念の地図は個人情報の記事を参照してください。
| 入力例 | 生成AIプロンプトへの入力 |
|---|---|
| 顧客の氏名+購買履歴 | 原則として避ける/匿名化・マスキング |
| 社員のメール全文 | 個人・機密が含まれるため要注意 |
| 架空のサンプルデータ | 実在個人と無関係ならリスク低(ただし社内規程は別) |
生成AIへの入力で注意すること
法令・契約・社内ルールの三点セットで判断します。試験では次が繰り返し問われます。
要配慮個人情報
要配慮個人情報は、人種、信条、病歴、犯罪の経歴など、本人に不利益が生じないよう特に配慮が必要な個人情報です。
「AIの精度向上に役立つから自由に入力してよい」は誤りです(TF-0310)。同意・利用目的・社内規程を無視した入力は、倫理・法令の両面で問題になります。
事業者としての基本義務(概要)
試験では条文の丸暗記より、事業者が何をすべきかの姿勢が問われます。
利用目的
何のために個人情報を使うか明示・通知
安全管理
漏えい・滅失・毀損の防止措置
第三者提供
原則制限、同意・法例外の理解
本人の権利
開示・訂正・利用停止などへの対応
生成AIベンダーへのデータ送信は、第三者提供・委託の枠組みで契約・DPAを確認するのが実務です(詳細は法務判断)。