改正個人情報保護法、AIを使うときに小さな事業者が押さえることは何ですか？

改正個人情報保護法は、AIを使う小さな事業者にどう関係しますか？

結論、「業務でAIに投げる情報の中に個人情報が含まれていないか」を意識する必要があります。

理由は、改正個人情報保護法では、第三者（AIサービス提供者）への個人情報の「提供」に該当する場合、本人の同意が原則必要だからです。生成AIに業務データを投げる行為が、この「提供」に該当するかどうかは、AIサービス側が学習データに使うかどうかで判断が分かれます。

具体的には、ChatGPT・Claude・Geminiのいずれも、無料プランや個人プランでは入力データが学習に使われる可能性があります（オプトアウト設定でオフにできる場合もあります）。一方、ChatGPT Plus・Claude Pro・Gemini Advanced・ChatGPT Team・Claude for Worksといった有料プランでは、デフォルトで学習に使われない設定になっています。法人の業務利用なら、この有料プラン契約が前提です。

個人情報保護法とAIの関係で、小さな事業者がつまずく原因は？

1つ目は「無料プランで業務利用を始めてしまう」こと。無料プランは学習データに使われる前提です。法人の業務でお客様情報を扱う場合、これだけで法的なリスクが残ります。月20ドルの有料プランに切り替えるだけで、ほぼ解決します。

2つ目は「機微情報の判断基準を社内で共有しない」こと。お客様の氏名・住所・電話番号・口座番号・マイナンバー・健康状態・宗教情報、こういった機微情報は、有料プランでもAIに投げる前に1回考えるべきです。社内に「こういう情報はAIに投げない」というルールを1枚紙に書いて貼っておくのが現実的です。

3つ目は「漏えい時の対応を考えていない」こと。改正個人情報保護法では、一定規模の漏えいが起きた場合、本人通知と個人情報保護委員会への報告が義務化されました。AI経由の漏えいリスクは低いですが、ゼロではありません。漏えい発覚時の連絡先（個人情報保護委員会のフォーム）だけは社内で共有しておくのが安全です。

改正個人情報保護法に、AIを使う小さな事業者が対応する具体的な手順は？

1. 手順1

   業務で使っているAIサービス（ChatGPT・Claude・Gemini等）のプラン状況を一覧にする

2. 手順2

   無料プランで業務利用しているものを、有料プラン（ChatGPT Plus・Claude Pro・Gemini Advanced）に切り替える（月20ドル前後）

3. 手順3

   有料プランの設定画面で「データを学習に使わない（Training off）」になっているかを確認する

4. 手順4

   「AIに投げない情報リスト」をA4・1枚で作る（氏名・住所・電話・口座・マイナンバー・健康情報の6項目で十分）

5. 手順5

   漏えい発覚時の連絡フロー（個人情報保護委員会の報告フォームURL）を社内で共有する

よくある質問

Q. 業務でChatGPTを使っていますが、お客様の名前を入れたら違反ですか？

有料プラン（ChatGPT Plus・Team・Enterprise）でTraining off設定なら、ただちに違反になるわけではありません。ただし、お客様本人から「自分の個人情報をAIに渡してよい」と同意を得ているかは別問題です。氏名だけならグレー、氏名+住所+電話番号など組み合わせると慎重に扱うべき、というのが2026年5月時点の現実的な判断です。

Q. ローカルで動くAI（自社サーバーのLLM）なら個人情報を投げて大丈夫ですか？

クラウド経由でデータが外部に出ない設計のローカルLLMなら、第三者提供に該当しないことが多いです。ただし、適切な安全管理措置（アクセス制御・ログ管理）が必要です。長野県内の小さな事業者でローカルLLMまで運用する例はまだ少ないですが、機微情報の多い士業・医療系で検討する価値があります。

Q. ととのえる屋に頼んだら、個人情報保護法対応のAI利用ルール作りまでやってもらえますか？

やります。業務で使うAIのプラン整理、社内ルールの1枚紙作成、漏えい時の連絡フロー設計まで、長野県内の数名規模の事業者向けに「いま使っているAIサービスに合わせる形」で組み立てます。