0. 重要用語の定義

本記事で使用する主要な用語を個人情報保護法およびガイドライン(通則編)に基づき定義します。

0-1. 基本用語

  • 個人情報: 生存する個人に関する情報であって、特定の個人を識別できるもの(氏名、生年月日、住所、顔写真等)。他の情報と容易に照合でき、それにより特定の個人を識別できるものを含む(法2条1項)。
  • 個人データ: 個人情報データベース等を構成する個人情報(法16条3項)。
  • 保有個人データ: 個人情報取扱事業者が、開示、内容の訂正、追加または削除、利用の停止、消去及び第三者への提供の停止を行うことのできる権限を有する個人データ(法16条4項)。
  • 個人情報取扱事業者: 個人情報データベース等を事業の用に供している者(法16条2項)。
  • 委託: 個人情報取扱事業者が、利用目的の達成に必要な範囲内において個人データの取扱いの全部または一部を他の者に委託すること(法25条)。
  • 再委託: 委託先(受託者)が、委託された業務の全部または一部をさらに第三者に委託すること。
  • 仮名加工情報: 他の情報と照合しない限り特定の個人を識別できないように個人情報を加工したもの(法2条5項)。内部利用に限定され、第三者提供は原則禁止。
  • 匿名加工情報: 特定の個人を識別できないように個人情報を加工し、かつ当該個人情報を復元できないようにした情報(法2条6項)。適切な加工と安全管理措置を講じた上で、第三者提供が可能。

0-2. 生成AI関連用語

  • 生成AI: テキスト、画像、音声等のコンテンツを自動生成する人工知能技術の総称(例:ChatGPT、Claude、Midjourney等)。
  • 学習データ: AIモデルの訓練に使用されるデータセット。個人情報が含まれる場合、個人情報保護法の適用対象となる。
  • RAG(検索拡張生成): 外部データベースやドキュメントを検索して生成AIの回答に反映させる技術。プロンプトと外部データの結合により個人情報が漏洩するリスクがある。
参照: 個人情報保護委員会「個人情報の保護に関する法律についてのガイドライン(通則編)」、「匿名加工情報に関するガイドライン」

1. 委託契約で必須にすべき条項一覧

以下は必ず契約書に明記すべき必須項目です。理由と条文例を併せて示します。

1-1. 目的明示(利用目的の限定)

重要性: 個人情報の利用範囲を明確にし、目的外利用を防止する民間実務での基本原則です。

第○条(利用目的)
本契約に基づき委託先(乙)が取り扱う個人情報の利用目的は、
別紙A「利用目的一覧表」記載の範囲に限定する。
乙は当該目的の範囲外で個人情報を利用してはならない。
実務ポイント: 別紙で具体的なプロジェクト名・期間・アクセス権限者を明記すると実効性が高まります。

1-2. 再委託の可否・条件

重要性: 再委託により管理の複雑化とリスクが増大するため、事前承諾制と基準の明確化が不可欠です。

第△条(再委託の制限)
1. 乙は、本契約に基づく業務の全部または一部を第三者に再委託することは
   原則として禁止する。
   
2. 乙が再委託を行う必要がある場合、事前に甲(委託元)の書面による
   承諾を得なければならない。承諾申請には以下を記載する:
   (1) 再委託先の名称、所在地、連絡先
   (2) 再委託する業務の範囲と仕様
   (3) 再委託先が満たすべきセキュリティ基準(ISO27001、Pマーク等)
   
3. 前項の承諾がある場合、乙は再委託先に対して本契約と同等の
   個人情報保護義務を課し、再委託先の履行を監督する責任を負う。
   乙は再委託先の違反について甲に対して直接責任を負う。

1-3. 監査権(立入・報告・ログ閲覧)— 再委託対応・費用明確化版

重要性: 委託元が説明責任を果たすために、委託先(再委託先を含む)の管理状況を確認できる権利が必要です。

第□条(監査)
1. 甲は乙に対し、合理的な範囲で書面による事前通知(14日前)の上、
   当該業務に関するオンサイト監査またはリモート監査を実施する権利を有する。
   監査対象には、乙が再委託を行っている場合の再委託先を含む。
   
2. 監査の頻度および方法:
   (1) 定期監査: 年1回を原則とする
   (2) 臨時監査: 重大事案発生時、定期監査で重大問題発見時、
       再委託先の管理体制に疑義がある場合に実施
   
3. 監査時の提示資料:
   ・アクセスログ(直近1年分)
   ・個人情報の保管場所および取扱者リスト
   ・従業員教育の実施記録
   ・再委託先との契約書および監督記録
   
4. 監査費用負担:
   定期監査→甲負担 / 臨時監査(重大違反起因)→乙負担

1-4. 技術的・組織的安全管理措置

重要性: 改正個人情報保護法では、安全管理措置の対象が個人データだけでなく、データベース化予定の個人情報にも拡大されています。

第◇条(安全管理措置)
【技術的安全管理措置】
(1) アクセス制御・認証システムの実装(多要素認証推奨)
(2) データの暗号化(保管時・通信時)
(3) ファイアウォール等のセキュリティ対策
(4) 不正プログラム対策の実施
(5) アクセスログの記録と定期監査

【組織的安全管理措置】
(1) 個人情報保護責任者の設置
(2) 取扱い規程の策定・遵守
(3) 定期的な研修の実施
(4) 監査体制の構築

【生成AI利用における追加措置】
(1) 個人情報の入力データのマスキング/フィルタリング
(2) 学習データへの取り込み禁止の保証
(3) AIベンダーとの契約における学習利用の明示的禁止
(4) 出力結果の人間による検証義務

1-5. AI学習への利用禁止(実効性強化版)

重要性: 生成AI時代の最重要条項。学習データ化や出力物の無断転用を防ぎ、実効性を監査・証明で担保します。

第●条(AI学習への利用禁止)
1. 乙は、甲が提供する個人情報を、いかなる形態(匿名化の有無を問わない)であれ、
   乙または第三者のAIモデルの学習データとして利用し、当該学習済みモデルを
   作成、再利用、第三者へ提供してはならない。
   
2. 乙が業務遂行上やむを得ず生成AIを利用する場合は、事前に甲の書面による
   承諾を得るものとし、以下を遵守する:
   (1) 学習データ化の具体的方法、保管場所、保管期間、アクセス権限等を
       甲に書面で通知すること
   (2) 学習済みモデルまたは派生物を第三者に提供することを禁止すること
   
3. 【実効性担保措置】乙は、学習利用禁止の遵守を担保するため、以下を実施する:
   (1) 学習利用禁止を遵守する旨の書面による確約を毎年提出すること
   (2) 第三者監査報告書(SOC2 Type2相当、またはISMS認証等)を年次で提出し、
       または甲によるオンサイト/リモート監査を許諾すること
   (3) 汎用クラウド(外部生成AIプラットフォーム)を利用する場合、
       当該プラットフォームが学習に利用しないことを証する書面
       (ベンダーポリシーの写し、契約書の該当条項の抜粋)を添付すること
参考: 経済産業省「AI・データの利用に関する契約ガイドライン」、個人情報保護委員会「生成AIサービスの利用に関する注意喚起」

1-6. 第三者提供・国外移転(国際対応強化版)

第■条(第三者提供・国外移転)
1. 乙は、個人データを第三者に提供する場合、事前に甲の書面による承諾を得、
   本人同意の取得または適用除外事由の該当性を確認する。
   
2. 乙が個人データを国外のサーバで保管または処理する場合、以下を遵守する:
   (1) 移転先国・地域の個人情報保護制度に関する情報を甲に提供すること
   (2) 必要に応じて甲が求める追加的な補完措置(契約条項・技術的措置)を講じること
   
3. EU一般データ保護規則(GDPR)または英国データ保護法の適用を受ける
   個人データを取り扱う場合、標準契約条項(SCC)の締結または
   拘束的企業準則(BCR)の策定、移転影響評価(TIA)の実施を行う。

1-7. インシデント対応(厳格化版)

第▲条(インシデント対応)
1. 乙は、個人情報の漏えい等の事案(法令に定める報告対象事態を含む)を
   認識した場合、当該事案を認識した時点から遅滞なく、かつ遅くとも
   3営業日以内に甲に対し速報を行い、初期報告を文書で提出するものとする。
   
2. 乙は初期報告後、原因分析及び再発防止策の詳細報告を30日以内
   (やむを得ない場合は理由を付して甲との協議の上延長可)に提出する義務を負う。
   
3. 乙の責に帰すべき事由により漏えい等が発生した場合、乙は甲が被った
   損害を賠償し、相当額の賠償責任保険(サイバー保険等)に加入する。
実務ポイント: 委託先での事案発生時の報告範囲は、改正個人情報保護法施行規則7条3号に合わせて契約書を修正してください。「遅滞なく、かつ遅くとも3営業日以内」の併記により、証跡性と実効性を確保します。

1-8. データの返還・消去(クラウド対応・証跡重視版)

第★条(契約終了時の措置)
1. 契約終了時、乙は甲からの指示に従い、速やかに(30日以内に)甲の個人情報を
   甲に返還し、または甲の指定する方法により完全に消去する。
   
2. 消去の方法は以下を原則とし、消去操作を証するログ(操作者、実行日時、
   対象データ、API応答等)を提出する:
   (1) 紙媒体: 細断処理(クロスカット方式等)、焼却または溶解
   (2) 電子媒体(ローカル): 事前に合意した復元不能化手順(例:DOD 5220.22-M、
       NIST SP800-88相当)に従い消去を実施
   (3) クラウド環境: クラウド事業者の削除API実行ログおよびバックアップ消去
       ポリシー(最大保持期間を明示)を添付
   
3. バックアップ等で自動的に保持されたデータについては、最大90日以内に
   削除することを原則とし、その間は以下を遵守する:
   (1) 当該データへのアクセスを物理的・技術的に隔離
   (2) 本契約の秘密保持義務および安全管理措置義務の継続

2. 生成AIの出力に関する取り扱い

2-1. 学習データ化のリスク

外部提供型の生成AIサービスを利用する場合、入力したデータがモデルの学習に用いられる可能性があります。

対策:
  • サービス提供者のポリシーを確認(学習利用の有無)
  • 契約で「学習利用しない」旨の保証を明記
  • 個人情報を入力する前に仮名化・匿名化を実施
  • 社内利用規程でAI利用時の承認フローを整備

2-2. AI出力の帰属と二次利用

AIが生成した成果物について「誰が所有し、どう再利用できるか」を契約で定める必要があります。

契約で定めるべき事項:

  1. 出力物の著作権の帰属
  2. 第三者への提供・販売の可否
  3. モデル改変後の販売・再配布の禁止
  4. 出力物に個人情報が含まれる場合の取扱い

2-3. RAG・外部データ参照のリスク

検索拡張生成(RAG)やベクトルDBを用いる運用では、プロンプトと外部DBの結合により個人情報が流出するリスクがあります。

対策:
  • システム設計段階でのアクセス制御の精緻化
  • 外部DBに格納するデータの匿名化・仮名化
  • クエリログの監視と定期監査

3. チェックリスト(発注前に確認すべき25項目)

No項目期待される契約条項・運用優先度
1利用目的の明確化別紙目的表記・目的外利用禁止★★★★★
2個人情報の定義取扱範囲(ログ含む)を明記★★★★☆
3再委託の可否事前承諾制 or 禁止(基準明示)★★★★★
4監査権監査方法・頻度・費用負担★★★★★
5技術的安全措置暗号化・アクセス制御・ログ管理★★★★★
6AI学習利用禁止学習データ化の明示的禁止★★★★★
7出力の二次利用制限再配布、販売禁止等★★★★★
8第三者提供/国外移転条件・届出・同意手続★★★★☆
9事故時通知期限遅滞なく+3営業日以内+詳細30日★★★★★
10データ返還・消去消去証明+ログ提出義務化★★★★★
11損害賠償責任範囲・上限額・保険★★★★☆
12秘密保持義務範囲・期間・例外事由★★★★★
13契約期間・更新自動更新の可否・解除条件★★★☆☆
14データ保管場所国内/国外、クラウド/オンプレ★★★★☆
15要配慮個人情報特別な安全管理措置★★★★★
16本人開示請求対応委託先の協力義務★★★☆☆
17規程・ガイドライン遵守業界固有ルールの適用★★★☆☆
18従業員教育定期研修の実施義務★★★☆☆
19反社会的勢力排除表明保証・解除事由★★★★☆
20紛争解決管轄裁判所・準拠法★★★☆☆
21プライバシー影響評価PoC・運用変更時の評価★★★★☆
22ログの改ざん防止WORM等・保存期間★★★★☆
23監査結果改善期限是正計画→実施確認★★★★☆
24従業員アクセス制御最小権限・退職時失効★★★★★
25SLA・セキュリティKPI可用性・応答時間・指標★★★☆☆

注: 優先度は個人情報の性質・事業リスクに応じて変動します。

4. 実務フロー(発注→評価→監査→契約解除)

  1. 要件定義(発注前):取り扱うデータの分類、利用目的の確定、匿名加工情報の手続確認、法令上の制約の洗い出し
  2. RFP/契約交渉:必須条項を含むRFPの作成、再委託の範囲と承諾基準の明示、監査スケジュール・SLAの設定
  3. 導入前評価(PoC含む):セキュリティ評価、プライバシー影響評価(PIA/DPIA相当)、RAG等AI特有機構のレビュー
  4. 契約締結:契約書本体+別紙(業務仕様書、監査方針等)の締結、運用プロセスの文書化
  5. 運用(定常監査):定期監査(年1回以上)、臨時監査権の留保、監査結果に基づく改善要求
  6. 契約解除・終了処理:解除基準の適用判断、データ移行計画、データ消去の実施と証明書取得

FAQ(よくある質問)

Q1: 生成AIに個人情報を入力してはいけない?

A: 原則として慎重に扱うべきです。外部の生成AIサービスは入力データを学習に使う可能性があり、これを防止するには以下が必要です:

  • 「学習利用しない」旨の契約上の保証
  • 技術的排除措置(オプトアウト設定等)
  • 入力前の仮名化・匿名化
  • 社内承認フローの整備

Q2: 匿名加工情報にすれば問題ない?

A: 匿名加工情報は一定の基準と手続を満たす必要があります。匿名加工として扱うには、個人情報保護委員会の定める基準に従った加工、適切な安全管理措置、必要に応じた届出・公表が必要です。匿名加工の不備があれば個人情報として扱われますので、専門家による検証が必須です。

Q3: インシデントの通知期限は?

A: 通則ガイドラインは「速やかに」等の表現を使用しており、実務目安として委託先が事案把握後概ね3営業日以内に委託元へ速報を出す運用が一般的です。契約では「遅滞なく(例:3営業日以内)」等で具体化するのが望ましいです。

Q4: クラウドサービス利用時の注意点は?

A: クラウドサービスの利用に関しては、個人情報保護委員会から注意喚起が出されています。確認すべき事項: (1) クラウド事業者が個人情報取扱事業者に該当するか、(2) データの保管場所(国内/国外)、(3) 責任分界点の明確化、(4) 安全管理措置の実施状況、(5) 契約による監督義務の履行

Q5: 委託先での漏えいは誰の責任?

A: 法的責任は最終的に委託元(個人情報取扱事業者)に帰属します。ただし、契約により委託先に損害賠償義務を課すことは可能です。委託先の管理が不十分な場合、委託元も「委託先の監督義務違反」を問われる可能性があります。適切な委託先選定と監督が重要です。

参考(主要根拠・実務ガイド)

法令・ガイドライン(出典付き)

  1. 個人情報保護委員会「個人情報の保護に関する法律についてのガイドライン(通則編)」
    https://www.ppc.go.jp/personalinfo/legal/guidelines_tsusoku/
    委託先の監督(3-4-4)、安全管理措置(3-4-2)、漏えい等発生時の対応(3-5-2)
  2. 個人情報保護委員会「匿名加工情報に関するガイドライン」
    https://www.ppc.go.jp/personalinfo/legal/guidelines_anonymous/
    匿名加工情報の作成基準・取扱基準・第三者提供時の届出
  3. 個人情報保護委員会「生成AIサービスの利用に関する注意喚起」
    https://www.ppc.go.jp/
    生成AI利用時の学習データ化リスク・個人情報保護上の留意点
  4. 個人情報保護法施行規則7条(報告対象事態)
    https://elaws.e-gov.go.jp/
    漏えい等事案の報告要件(不正アクセス、1000人超、要配慮個人情報等)
  5. 経済産業省「AI・データの利用に関する契約ガイドライン(AI編)」
    https://www.meti.go.jp/
    契約上の責任配分・学習データの扱い・知的財産権の帰属
  6. 経済産業省「DX時代における企業のプライバシーガバナンスガイドブック」
    プライバシー影響評価(PIA)の実施方法・プライバシーガバナンス体制
  7. IPA「生成AI運用ガイド」
    https://www.ipa.go.jp/
    RAG・運用留意点・セキュリティ対策

改正動向(2025年以降)

  • 個人情報保護委員会「個人情報保護法いわゆる3年ごと見直しに係る検討の中間整理」(2024年6月)
    課徴金制度・同意規制の見直し・漏えい通知義務の緩和等を検討中
  • 個人情報保護委員会「制度的課題に対する考え方」(2025年2月)
    統計作成等での同意例外・本人通知義務の緩和・子供の個人情報保護を具体化

: 法改正は継続検討中のため、最新情報は個人情報保護委員会のウェブサイトで確認してください。