履歴書をChatGPTに入力しても大丈夫?人事部がAIを使うと違法になる5つのケース
履歴書をChatGPTに入力しても大丈夫?
人事部がAIを使うと違法になる5つのケース
人事部がChatGPTなどの生成AIを利用すること自体は違法ではありません。しかし、扱う情報の種類とAIの関与度合いによっては、個人情報保護法をはじめとする複数の法令に抵触するおそれがあります。
- 1応募者の履歴書をAIに入力する
- 2ハラスメント相談内容をAIに入力する
- 3従業員の人事評価をAIに作成させる
- 4解雇理由の文案をAIに起案させる
- 5AIによる採用選考を行う
最近、人事部門の業務効率化のために生成AIを導入する企業が増えています。求人票の作成、面接質問の設計、評価コメントのドラフトなど、AIが「あると便利」な場面は確かに多いでしょう。
ところが、人事情報は従業員や応募者の個人情報の塊です。「便利だから」と安易にAIに入力すると、思わぬ法令違反につながる可能性があります。本記事では、人事部門がAIを業務に用いる際に特にリスクが高い5つのケースを、根拠法令とともに整理します。
人事部でAIが使われる典型的な場面
人事部門がChatGPTやClaudeなどの生成AIを使う場面は、大きく「個人情報を含まない業務」と「個人情報を含む業務」に分かれます。
| 比較的安全な業務 | リスクが高い業務 |
|---|---|
| 求人票テンプレートの作成 | 応募者の履歴書を入力して評価 |
| 面接質問リストの設計 | 従業員名を含む評価コメント生成 |
| 就業規則の表現チェック | ハラスメント相談のやり取り入力 |
| 社内研修資料の草案作成 | 解雇通知書の理由文面の起案 |
| 労務FAQのたたき台作成 | AI単独での採用可否判定 |
左列のような業務であれば、AIに入力する情報は一般的な文書テンプレートにとどまるため、法的リスクは限定的です。問題は右列の業務。ここに踏み込むと、以下に解説する5つのケースに直結します。
違法リスクのある5つのケース
履歴書をChatGPTに入力すると個人情報保護法違反になる?
リスク:高
採用業務では、応募者の氏名・住所・学歴・職歴といった個人情報が大量に取り扱われます。これらをクラウドベースの生成AIに入力することは、以下の観点から法的リスクが生じます。
(1)利用目的の制限(個人情報保護法18条1項)
個人情報取扱事業者は、あらかじめ特定した利用目的の達成に必要な範囲を超えて個人情報を取り扱ってはなりません。採用選考の補助目的でAIを利用すること自体が直ちに目的外利用になるとは限りません。もっとも、応募時に本人へ示した利用目的の記載内容に「外部AIサービスによる分析」が含まれていなければ、利用目的の範囲を超えると評価される余地があります。
(2)クラウドAI利用は常に「第三者提供」になるのか
クラウドAIサービスに個人データを入力する場合、それが個人情報保護法27条1項の「第三者提供」に当たるのか、同法25条の「委託」に当たるのか、あるいはそもそも提供に当たらないのかは、AI事業者が当該個人データを取り扱うこととなっているかどうかを、契約内容・利用規約・保存先・学習設定・運用実態に即して個別に判断する必要があります。
たとえば、クラウド事業者がサーバ保守等のためにデータへアクセスし得るだけで、契約上も実態上も当該個人データを取り扱わないこととなっている場合には、個人情報保護委員会の整理上、第三者提供にも委託にも当たらない場合があります。他方、AI事業者が入力データを解析・保存・再利用し得る設計になっている場合には、委託又は第三者提供として整理すべき場面が生じ得ます。
したがって、人事情報を生成AIへ入力する前には、サービスが「法人向けAPI」「エンタープライズ契約」「一般向けUI」のいずれであるかという外形だけで判断するのではなく、当該個人データをAI事業者が取り扱うこととなっているかを仕様と契約の両面から確認することが重要です。
(3)安全管理措置義務(個人情報保護法23条)
人事情報のような機微性の高いデータは、個人データ化の前後を問わず、実務上厳格な統制が必要です。加えて、個人情報保護委員会は2026年1月公表の「3年ごと見直しの制度改正方針」において、課徴金制度の導入や委託先規律の見直しを示しており、今後は外部AIサービス利用に対する説明責任・管理水準がさらに重くなる可能性があります。
また、AIサービスの利用規約、学習利用設定、API利用か通常利用か、エンタープライズ契約か否かによって、入力データの取扱いは大きく異なります。人事情報を扱う場合は、サービス仕様を確認せずに一般向け設定のまま利用しないことが重要です。
個人情報保護法18条1項(利用目的による制限)、同法23条(安全管理措置)、同法25条(委託先の監督)、同法27条1項(第三者提供の制限)
個人情報保護委員会は、2026年1月公表の「3年ごと見直しの制度改正方針」において、課徴金制度の導入や、委託を受けた事業者に係る規律の見直しなどを示しています。現時点で具体的な法改正の内容は確定していませんが、外部AIサービスに個人データを入力する場面では、今後、説明責任や委託先管理の水準がさらに重くなる可能性があります。
リスク:高
ハラスメント相談には、被害者・行為者の氏名、行為の具体的内容、精神的な健康状態など、極めて機微度の高い情報が含まれます。
(1)要配慮個人情報の問題
ハラスメント相談のすべてが要配慮個人情報に当たるわけではありません。しかし、被害者の健康状態、精神疾患の診断歴、通院歴、妊娠・出産関連情報等が含まれる場合には、「要配慮個人情報」(個人情報保護法2条3項)に該当し得ます。要配慮個人情報の取得にはあらかじめ本人の同意が必要であり(同法20条2項)、AIサービスへの入力がこの同意取得の範囲を超えていないか、慎重な確認が求められます。
(2)ハラスメント相談窓口の守秘義務
労働施策総合推進法(パワハラ防止法)に基づく指針(令和2年厚生労働省告示第5号)では、相談窓口担当者がプライバシーを保護するために必要な措置を講じることが求められています。相談内容を外部のクラウドAIに入力する行為は、この守秘義務に反する可能性があります。
個人情報保護法2条3項・20条2項(要配慮個人情報)、労働施策総合推進法30条の2(パワハラ防止措置義務)、男女雇用機会均等法11条(セクハラ防止措置義務)、同法11条の3(マタハラ防止措置義務)
パワハラ23選+セクハラ23選+カスハラ30本
リスク:中〜高
AIに人事評価のコメントを作成させること自体は違法ではありません。しかし、以下の2つの点に大きなリスクがあります。
(1)ハルシネーション(誤情報生成)による評価の不正確性
生成AIは事実に基づかない内容をもっともらしく生成することがあります(ハルシネーション)。AIが生成した評価コメントに実際の勤務実態と異なる記載が含まれたまま正式な評価に反映されれば、人事評価の合理性が問われます。
(2)降格・減給の根拠としての脆弱性
人事評価が降格・配置転換・減給などの不利益変更の根拠とされる場合、その評価プロセスには合理性と透明性が求められます。AI生成の評価をそのまま用いていたことが判明すれば、「客観的な評価基準に基づいているか」が裁判で争われたときに、使用者側が不利になる可能性があります。
労働契約法3条(労働契約の原則・均衡考慮)、同法8条〜10条(労働条件の変更に関する合意原則・就業規則変更の合理性)
リスク:高
日本の解雇規制は極めて厳格です。労働契約法16条は「解雇は、客観的に合理的な理由を欠き、社会通念上相当であると認められない場合は、その権利を濫用したものとして、無効とする」と規定しています。
(1)AIは「事実」を知らない
解雇の有効性は、当該従業員の具体的な勤務実態、過去の改善指導の記録、他の従業員との比較など、個別具体的な事実に基づいて判断されます。AIはこれらの事実を把握しておらず、法的にもっともらしい文章を生成しているに過ぎません。
(2)「理由を作って」は本末転倒
解雇が正当かどうかは、「まず客観的な事実(=理由)が存在し、それに基づいて手続きを進める」という順序で判断されます。AIに「理由を作らせる」行為は、因果関係が逆転しており、後に労働審判や訴訟で争われた際に、「結論先にありきの恣意的な解雇であった」との評価を受けるリスクがあります。
(3)弁護士法72条との関係
解雇理由の有効性判断は高度な法的評価を伴うため、生成AIの出力をそのまま法的結論として採用すべきではありません。特に、社内での一次整理を超えて、個別事案の法的妥当性をAIに実質判断させるような運用は、弁護士法72条(非弁行為の禁止)との関係も含め慎重な検討が必要です。最終的な法的判断は人間(人事責任者・顧問弁護士)が責任をもって行う「Human-in-the-loop」の体制が不可欠です。
「AIの案をチラ見してOKを出す」だけでは、法的に「人間が判断した」とは言えません。AIの出力と、根拠となる一次資料(評価シート・面談記録・改善指導書等)を突き合わせ、人間が修正を加えたプロセスを記録に残すことがセットで求められます。
労働契約法16条(解雇権濫用法理)、労働基準法20条(解雇予告)、弁護士法72条(非弁行為の禁止)
リスク:中〜高
(1)AIバイアスと差別リスク
AIは学習データに含まれるバイアスを再現・増幅する傾向があります。たとえば、過去の採用データを学習させた場合、歴史的に特定の性別・年齢・出身校に偏った選考が行われていたなら、AIもその傾向を引き継ぎます。これは男女雇用機会均等法5条(募集・採用における性差別の禁止)や労働施策総合推進法9条(年齢制限の禁止)に抵触する可能性があります。
特に注意すべきなのは、AIの判定基準が外形上は中立に見えても、結果として特定の属性の応募者に不利益を及ぼす可能性があることです。日本法上、募集・採用における性差別は禁止されており、また、間接差別についても均等法7条および関係省令・指針の枠内で規制があります。ただし、日本の間接差別規制はEU法のような一般条項ではなく、対象場面が限定されています。したがって、AI選考のリスクを論じる際は、均等法上の直接差別・間接差別の問題に加え、選考基準の合理性、公正採用、説明可能性の欠如といった論点をあわせて検討する必要があります。
(2)日本の法制度の現状
EUでは「EU AI規制法(AI Act)」において、採用選考に用いるAIを「ハイリスク」に分類し、リスク管理やデータガバナンス、人的監視措置などを義務づけています。日本では2025年に人工知能関連技術の研究開発及び活用の推進に関する法律(AI推進法)が成立し、AI政策の基本枠組みが整備されました。もっとも、同法は基本法的な性格であり、EUのような採用AI固有の詳細義務までは設けられていません。
ただし、日本でもAIが人権侵害につながり得るとの問題意識は高まっており、採用におけるAI利用は、既存の労働法制(均等法・労推法)のもとで差別禁止規定の適用を受けます。「AIが判定したから」は免責の根拠になりません。
男女雇用機会均等法5条(募集・採用時の性差別禁止)、労働施策総合推進法9条(年齢制限の禁止)、職業安定法5条の5(求職者等の個人情報の取扱い)
関係法令の全体マップ
ここまでの5つのケースで言及した法令を一覧に整理します。個別の法令の詳細は各リンク先の記事もご参照ください。
| 法令 | 関連条文 | 主な論点 |
|---|---|---|
| 個人情報保護法 | 18条・20条2項・23条・25条・27条 | 利用目的制限、要配慮個人情報、安全管理措置、委託先監督、第三者提供 |
| 労働契約法 | 3条・8条〜10条・16条 | 人事評価の合理性、解雇権濫用法理 |
| 男女雇用機会均等法 | 5条・11条・11条の3 | 採用時の性差別禁止、セクハラ・マタハラ防止措置 |
| 労働施策総合推進法 | 9条・30条の2 | 年齢差別の禁止、パワハラ防止措置 |
| 職業安定法 | 5条の5 | 求職者の個人情報取扱い |
| 弁護士法 | 72条 | 非弁行為の禁止(法的判断のAI依存に注意) |
| 不正競争防止法 | 2条6項 | 営業秘密(社内人事情報の漏洩防止) |
AIプロンプト集 42選
企業が策定すべきAI利用ルール(人事部門向け)
リスクを洗い出したら、次は対策です。人事部門のAI利用について、社内で定めるべきルールの骨格を示します。
禁止すべき利用
以下の行為は、上記の法的リスクを踏まえ、社内ルールで原則禁止とすることを推奨します。
| 禁止事項 | 理由 |
|---|---|
| 応募者の個人情報を含む履歴書・ESの入力 | 個人情報保護法(利用目的制限・安全管理措置・委託先監督) |
| ハラスメント相談内容の入力 | 要配慮個人情報・相談窓口の守秘義務 |
| 従業員の実名を含む人事評価情報の入力 | 個人情報保護法・評価の合理性確保 |
| 解雇・懲戒処分の理由生成の丸投げ | 解雇権濫用法理・非弁リスク |
| AIのみによる採用合否判定 | 差別禁止法制・均等法 |
条件付きで許容できる利用
以下は、適切な運用ルールのもとで許容できる領域です。
| 許容できる利用 | 条件 |
|---|---|
| 求人票・募集要項の文案作成 | 個人情報を含まない汎用テンプレとして利用 |
| 面接質問リストの設計 | 差別的な質問が含まれないかの人的レビュー |
| 就業規則の文言チェック | 個人名・社名を含めない/最終判断は人事責任者 |
| 社内研修資料の草案 | 公開前に法務部門が内容を確認 |
| 労務FAQのたたき台 | 社内限定情報を入力しない |
入力前の判断フロー
人事担当者が「この情報をAIに入力してよいか」を判断する際のフローを示します。
STEP 1 で「No」(個人情報を含まない)であれば、基本的にAIへの入力は可能です。ただし、社内秘情報や営業秘密に該当するかは別途確認してください。
人事部AI利用チェックリスト
現場で使える実務チェックリストです。AI利用のたびに確認してください。
- 入力データに氏名・社員番号・住所など個人情報が含まれていないか
- 要配慮個人情報(健康情報・信条・犯歴等)が含まれていないか
- ハラスメント相談など守秘義務のある情報が含まれていないか
- 営業秘密・社外秘に該当する情報を入力していないか
- AIの「学習への利用」設定がOFF(Opt-out済み)であるか
- AIの出力をそのまま最終判断として利用しないルールが守られているか
- 出力結果を人事責任者または法務部門が確認するフローが設けられているか
- 利用履歴(何を入力し、何が出力されたか)を記録・保存しているか
まとめ ── AIは便利だが、人事判断はAIに任せてはいけない
人事部がChatGPTなどの生成AIを使うこと自体は、もちろん違法ではありません。しかし、入力する情報の種類とAIの出力をどこまで信頼するかによって、個人情報保護法・労働契約法・均等法など複数の法令に抵触するリスクがあります。
特に重要なのは、「AIはあくまで下書き作成ツールであり、最終判断は必ず人間が行う」という原則の徹底です。ここでいう「人間が判断した」とは、AI出力をチラ見してOKを出すことではありません。AIの出力と根拠資料(面談記録・評価シート・勤怠データ等)を突き合わせ、修正を加え、そのプロセスを記録に残すことまでがセットです。解雇理由であれ、人事評価であれ、採用判定であれ、このHuman-in-the-loop(人間の介在)を欠いたAI依存は、法的紛争において使用者側を著しく不利にします。
「便利さ」と「法的安全性」のバランスをとるために、社内ルールの策定と定期的な見直しを行いましょう。
※ 本記事は2026年3月時点の法令・公表資料に基づいています。個人情報保護委員会は2026年1月に「3年ごと見直しの制度改正方針」を公表しており、今後の立法・政省令・ガイドラインの動向を引き続き注視してください。具体的な法的判断については、顧問弁護士にご相談ください。
本記事に関連する有料プロンプト集
| プロンプト集 | 収録数 | 主な用途 |
|---|---|---|
| 法務AIプロンプト集100選 | 100本 | 契約・法改正・コンプラ全般 |
| 個人情報保護法プロンプト集 | 42本 | 規程整備・漏えい対応・委託先管理 |
| ハラスメント対応セット | 76本 | パワハラ・セクハラ・カスハラ調査 |
| 労働基準法改正対応プロンプト集 | 45本 | 勤務間インターバル・固定残業代対応 |
| 契約書AIレビュー プロンプト集 | 10STEP | 契約レビューの標準化 |
🔍 関連ガイドへ進む
この記事と関連度の高い実務ガイドをまとめています。次に読むならこちら。
