個人情報は、生存する個人に関する情報のうち、氏名・生年月日などにより特定の個人を識別できるものなどを指す基本概念です。本記事は個人情報保護法の条文解説ではなく、用語の定義と関連概念の地図——何が個人情報か、何と混同しやすいか——に焦点を当てます。生成AIのプロンプト入力判断の土台になります。
試験で問われる見方
生成AIパスポートでは、個人情報の定義そのもの(TF-0295)に加え、個人データとの区別(TF-0297)、要配慮個人情報の取扱い(TF-0310)が頻出です。
「入力前に個人情報かどうか確認する」は○、「精度向上のためなら要配慮個人情報も自由に入力してよい」は×、という実務判断も問われます(TF-0276)。
個人情報の定義
日本の個人情報保護法における個人情報の骨格は、次のとおりです(試験向けの要約)。
個人情報 — 生存する個人に関する情報で、氏名・生年月日・住所・電話番号・顔写真・メールアドレスなどにより特定の個人を識別できるもの(ほか、個人識別符号を含む情報など)。
「識別できる」とは、単独でも、他の情報と容易に照合して特定できる場合も含みます。匿名だと思っても、組み合わせで特定されるリスクに注意が必要です。
関連概念の整理
試験で混同しやすい用語を、概念の地図として並べます。
| 用語 | 要点(試験向け) | 生成AIとの関係 |
|---|---|---|
| 個人情報 | 広い概念。識別できる個人に関する情報 | プロンプト入力の可否判断の起点 |
| 個人データ | 個人情報のうち、個人データベース等で扱われるもの(法令上の区分) | 事業者のデータベース管理と関連(TF-0297) |
| 要配慮個人情報 | 人種・信条・病歴など、特に配慮が必要な個人情報 | 安易な入力は×(TF-0310) |
| 匿名加工情報 | 特定個人を識別できないよう加工し、復元できないようにした情報 | 個人情報の定義そのものではない(HQ-0661系の区別問題と関連) |
| 機密情報 | 社内規程・契約上の非公開情報(法令用語とは別枠) | 個人情報でなくても入力禁止のことが多い |
個人情報=個人データと同一視する選択肢は誤りになりやすいです(TF-0297)。また、要配慮個人情報の説明にインターネットリテラシーや匿名加工情報の定義が混ざる問題にも注意(HQ-0670)。
要配慮個人情報
要配慮個人情報は、人種、信条、社会的身分、病歴、犯罪の経歴、被害の事実など、本人に不利益が生じないよう特に配慮が必要な個人情報です。
生成AIの精度向上を理由に、同意や利用目的の確認なしにプロンプトへ入力してよい、という考え方は試験では×です。倫理(AI倫理のプライバシー)と法令(個人情報保護法)の両面で問題になります。
生成AIへの入力判断
個人情報かどうかの判断は、次の3層で行うと実務・試験の両方に役立ちます。
- 法令・契約 — 個人情報保護法、委託・第三者提供の枠組み
- 社内ルール — 生成AI利用ポリシー、入力禁止リスト(TF-0376)
- 技術的リスク — 外部API送信、ログ保存、再識別の可能性(TF-0276)
| 入力例 | 判断の目安 |
|---|---|
| 顧客の氏名+購買履歴 | 個人情報。原則入力を避ける |
| 社員のメール全文 | 個人・機密が含まれるため要注意 |
| 架空のサンプル人物 | 実在個人と無関係ならリスク低(社内規程は別途確認) |
| 病歴・信条など | 要配慮個人情報。特に慎重に |
入力しなくても、ハルシネーションにより学習データ由来の個人名が出力に現れることはあります。入力対策と出力確認の両方がAIリテラシーに含まれます。
個人情報保護法との関係
個人情報は法律が規律する対象の概念、個人情報保護法はその取扱いルールを定める法律です。本記事で定義を押さえたうえで、事業者義務・生成AI入力の詳細は個人情報保護法の記事へ進んでください。
| 個人情報(本記事) | 個人情報保護法 | |
|---|---|---|
| 性質 | データ・情報の種類 | 国内法(APPI) |
| 焦点 | 何が個人情報か、関連概念の区別 | 事業者の義務、生成AI利用の線引き |