はじめに
弁護士がAIを業務に活用しようとするとき、最初にぶつかるのが「個人情報を入力してよいのか」という問題です。
日本弁護士連合会のAI戦略ワーキンググループが公表した「弁護士業務における生成AIの利活用等に関する注意事項」(2026年2月更新版)でも、生成AIへの情報入力にあたっては「秘密保持義務違反や、個人情報保護法違反、プライバシーの侵害等とならないよう適切な対応を取るべきである」とされています。同資料は会員専用WEBサイトで確認できます(キーワード検索で「生成AI」で検索してください)。
しかし、「個人情報の入力は禁止」というルールを設けてしまうと、実務上AIはほとんど使えなくなります。個人情報の定義は非常に広く、氏名や住所に限られないからです。生成AIと個人情報保護法の関係について、非常に有益な情報を発信しておられる世古修平弁護士も「AIサービスに『個人情報』を入力するにはどうすれば良いか」と題する記事の中で、守れないルールを設けることの弊害を指摘しています。
大切なのは、「禁止」ではなく「法的に整理した上で利用する」という姿勢ではないかと思います。本記事では、私個人のAI利用における個人情報保護法関係の整理と、それを踏まえた見解をまとめます。
個人情報保護法上の3つの論点
弁護士がAIに個人情報(個人データ)を入力して利用する場合、個人情報保護法との関係では主に次の3点を検討する必要があります。
1. AIへの入力は「委託」として整理する
個人情報保護法の枠組みの中で、AIへの個人データの入力をどう位置づけるかが問題になります。
個人データを第三者に渡す場合、原則として本人の同意が必要です(法27条1項)。しかし、個人データの取扱いを「委託」する場合は、本人の同意なく提供できるとされています(法27条5項1号)。
なお、個人情報保護委員会のQ&A(Q7-53)は、クラウドサービス提供事業者が個人データを取り扱わないこととなっている場合は、そもそも個人データの「提供」に当たらないという整理(いわゆるクラウド例外)も示しています。しかし、生成AIサービスでは入力データに対する分析・処理が行われるため、クラウド例外の適用は難しいと考えます。世古修平弁護士の前掲記事でも、「ここでは一旦③(クラウド例外)は採用し得ないという立場を取る」とされています。また、寺門峻佑「生成AI・外部サービス利用における個人情報保護の実務」(弁護士ドットコム株式会社、2026年3月)でも、ChatGPTやClaudeなどの生成AIをクラウド例外として整理することは難しい場合がある旨が述べられています。
本稿でも、生成AIサービス提供者が入力データを取り扱うことを前提に、第三者提供ではなく「委託」として整理する立場を採ります。
この「委託」の整理が成り立つためには、入力データがAI運営会社自身の独自目的で利用されないことが必要です。独自目的利用の有無は、学習への利用だけでなく、契約・利用規約・DPAの定め、データの保持期間、人的アクセスの範囲などを総合的に判断されると考えます。ただ、なかでも入力データがAIの学習(モデルの性能向上)に利用されないことは特に重要な判断要素になると考えます。
2. 委託先の監督義務(法25条)とDPAの役割
個人データの取扱いを委託する場合、委託元には委託先を監督する義務が生じます。
個人情報保護法第25条(委託先の監督)
個人情報取扱事業者は、個人データの取扱いの全部又は一部を委託する場合は、その取扱いを委託された個人データの安全管理が図られるよう、委託を受けた者に対する必要かつ適切な監督を行わなければならない。
個人情報保護法ガイドライン(通則編)では、(a) 適切な委託先の選定、(b) 委託契約の締結、(c) 委託先における個人データ取扱状況の把握、の3点が求められています。
ここで実務上のポイントになるのが、各AIサービスのビジネスプランに付帯するDPA(Data Processing Addendum:データ処理契約)です。DPAは、AI運営会社が個人データをどのように取り扱うか、どのような安全管理措置を講じるかを定めた契約であり、上記の監督義務を果たす上で中心的な資料となります。
ただし、DPAがあれば自動的に監督義務を果たしたことになるわけではありません。DPAの内容に加え、対象サービスの具体的な設定、データの保存先、アクセス制御の状況、監査資料の有無なども含めて評価する必要があります。
3. 外国にある第三者への提供(法28条)と越境移転の問題
本サイトで紹介しているAI(Gemini、ChatGPT、Claude)は、いずれも外国の事業者が運営しており、サーバーも外国にあります。本稿のように委託として整理する場合でも、外国にある事業者への委託には法28条の検討が必要です(個人情報保護委員会Q&A Q12-1参照)。
個人情報保護法第28条(外国にある第三者への提供の制限)
個人情報取扱事業者は、外国にある第三者に個人データを提供する場合には、あらかじめ外国にある第三者への提供を認める旨の本人の同意を得なければならない。
ただし、この同意は、提供先が個人情報保護委員会規則で定める基準に適合する体制を整備している場合には不要です(法28条1項括弧書)。
したがって、AI運営会社がこの「基準適合体制」を備えているかどうかを確認することが必要です。なお、基準適合体制を根拠とする場合でも、相当措置の実施状況や提供先の外国の制度について定期的に確認し、支障が生じた場合には必要な措置を講じる義務があります(法28条3項、ガイドライン外国第三者提供編参照)。
私の見解
以上の3つの論点を踏まえ、私個人の見解を述べます。
ビジネスプランの利用
学習に利用されない設定は、個人契約(無料プランや個人向け有料プラン)でも可能な場合があります。しかし、個人契約のサービスは学習への利用がデフォルトで有効になっていることが多く、設定変更を忘れるリスクがあります。また、学習以外の独自目的利用の有無や、データの保持やアクセスに関する条件も、個人向けプランでは必ずしも明確ではありません。
これに対し、ビジネスプラン(Google Workspace、ChatGPT Business、Claude Team等)では、学習に利用しないことを含め、データの取扱い条件が契約上明示されているのが通常です。
よって、個人情報を含まない業務でしか生成AIを利用しない場合はさておき、個別の事件処理に生成AIを利用するのであれば、ビジネスプランを利用すべきであると考えます。
DPAと監督義務
各AI運営会社のビジネスプランには、DPA(データ処理契約)が付帯しています。このDPAの内容が、個人情報保護法25条が求める「必要かつ適切な監督」を果たしていると評価できるかが問題になります。
この点について、私は各社のDPAは監督義務の基礎として十分に機能し得る水準にあると考えています。Google、OpenAI、Anthropicといった各社は、世界各国でビジネス向けにAIサービスを展開しており、各国の個人情報保護法制に対応する体制の整備は事業上の必須事項です。実際に各社のDPAは、データの利用範囲の限定、安全管理措置、データ削除、監査への対応といった事項を詳細に定めています。
もっとも、監督義務の充足はDPA単体で自動的に決まるものではなく、対象サービスの設定状況、保存先、アクセス制御、監査資料等を含めた総合的な評価が必要です。DPAは出発点であり、それだけで対応が完了するわけではない点には留意が必要です。
なお、DPAの具体的な内容と個人情報保護法25条との関係について、世古修平弁護士が若手法務担当者必見!増え続けるSaaS, 生成AIサービス利用時の法務チェックポイントという記事で詳細に検討されています。DPAのチェックの具体的な流れに関心のある方は、あわせてご確認ください。
DPAと越境移転
外国にある第三者への提供(法28条)との関係でも、問題はAI各社のDPAの内容が「個人情報保護委員会規則で定める基準に適合する体制を整備している」と評価できるかです。
この点についても、論点3と同様、各社のDPAは基準適合体制の基礎として機能し得ると考えています。各社は日本を含む世界各国の企業にサービスを提供しており、越境移転に関する規制への対応はビジネスの前提となっているからです。この点に関しては、前掲「生成AI・外部サービス利用における個人情報保護の実務」でも、「有名なツールであれば、利用規約とセキュリティホワイトペーパーをしっかりと確認すると、基準適合体制の整備が認められるケースが多いところです。」とされています。
ただし、基準適合体制を根拠とする場合、DPAの締結だけで対応が完了するわけではありません。ガイドライン(外国第三者提供編)は、相当措置の実施状況と提供先の外国の制度について定期的に確認し、支障が生じた場合には必要措置を講じ、継続確保が困難な場合には提供を停止することまで求めています。DPAは出発点であり、継続的な確認と対応まで含めて初めて法28条への対応として評価されるものです。
この点についても、上記の世古弁護士の記事で詳細に検討されていますので、詳しく知りたい方はそちらをご確認ください。
まとめ
弁護士がAIに個人データを入力して利用する場合の個人情報保護法上のポイントを整理すると、次のとおりです。
| 論点 | 内容 | 私の見解 |
|---|---|---|
| 委託と独自目的利用 | 本稿では「委託」の立場を採る。独自目的利用がないことの確認が前提 | ビジネスプランの利用を推奨 |
| 監督義務(法25条) | DPAは監督義務の中心的な資料 | 各社のDPAは十分に機能し得る水準。ただしDPA単体で完結するものではない |
| 越境移転(法28条) | DPAは基準適合体制の基礎となる | 各社のDPAは基礎として機能し得る。ただし継続的な確認と対応が必要 |
個人情報保護法の問題があるからAIは使えない、と結論づけるのではなく、法的な整理を行った上で適切に利用するという姿勢が重要です。日弁連の注意事項でも、「信用できるサービスを選定し、利用規約などを確認し、適切な設定をして、入力した情報が別用途に利用されないようにすべき」とされており、禁止ではなく適切な対応をした上での利用が想定されています。
また、個人情報保護法以外にも、弁護士には守秘義務(弁護士法23条)の問題があります。守秘義務との関係については、別の記事で整理しています。
参考資料
- 世古修平「AIサービスに『個人情報』を入力するにはどうすれば良いか」(2026年3月22日)
- 日本弁護士連合会 AI戦略ワーキンググループ「弁護士業務における生成AIの利活用等に関する注意事項」(2026年2月更新版)
- 個人情報の保護に関する法律についてのガイドライン(通則編)
- 個人情報の保護に関する法律についてのガイドライン(外国にある第三者への提供編)
- 「個人情報の保護に関する法律についてのガイドライン」に関するQ&A(Q1-19、Q7-53、Q10-25、Q12-1、Q12-8等)