生成AIで個人情報・秘密情報を利用する際のリスク

生成AIで個人情報・秘密情報を利用する際には、個人情報保護・秘密保持の観点で重要となる、以下のリスクがあります。

・生成AI利用時における、利用者本人の個人情報・秘密情報の流出
・生成AI利用時における、顧客などの個人情報・秘密情報の流出
・外部からのサイバー攻撃などによる個人情報・秘密情報の流出

→生成AIは機械学習を基盤としており、プロンプトに入力した情報は学習データとして利用される場合があります。従業員の個人情報や顧客情報、製品開発情報や会計情報などをプロンプトに入力すると、情報漏洩やプライバシー侵害につながるリスクが発生するので、注意が必要です。

---

とくに個人情報を利用する際の注意点

個人情報保護委員会が2023年6月に発表した注意喚起より、個人情報取扱事業者、行政機関等、一般の利用者それぞれの立場における注意点を引用します。

ご参考：個人情報保護委員会｜生成AIサービスの利用に関する注意喚起等について

---

(1) 個人情報取扱事業者における法的注意点

① 個人情報取扱事業者が生成AIサービスに個人情報を含むプロンプトを入力する場合には、特定された当該個人情報の利用目的を達成するために必要な範囲内であることを十分に確認すること。

② 個人情報取扱事業者が、あらかじめ本人の同意を得ることなく生成AIサービスに個人データを含むプロンプトを入力し、当該個人データが当該プロンプトに対する応答結果の出力以外の目的で取り扱われる場合、当該個人情報取扱事業者は個人情報保護法の規定に違反することとなる可能性がある。そのため、このようなプロンプトの入力を行う場合には、当該生成AIサービスを提供する事業者が、当該個人データを機械学習に利用しないこと等を十分に確認すること。

---

(2) 行政機関等における注意点

① 行政機関等が生成AIサービスに個人情報を含むプロンプトを入力する場合には、特定された当該個人情報の利用目的のための必要最小限の利用又は提供であることを十分に確認すること。

② 行政機関等が、生成AIサービスに保有個人情報を含むプロンプトを入力し、当該保有個人情報が当該プロンプトに対する応答結果の出力以外の目的で取り扱われる場合、当該行政機関等は個人情報保護法の規定に違反することとなる可能性がある。そのため、このようなプロンプトの入力を行う場合には、当該生成AI サービスを提供する事業者が、当該保有個人情報を機械学習に利用しないこと等を十分に確認すること。

---

(3) 一般の利用者における留意点

① 生成AIサービスでは、入力された個人情報が、生成AIの機械学習に利用されることがあり、他の情報と統計的に結びついた上で、また、正確又は不正確な内容で、生成AIサービスから出力されるリスクがある。そのため、生成AIサービスに個人情報を入力等する際には、このようなリスクを踏まえた上で適切に判断すること。

② 生成AIサービスでは、入力されたプロンプトに対する応答結果に不正確な内容が含まれることがある。例えば、生成AIサービスの中には、応答結果として自然な文章を出力することができるものもあるが、当該文章は確率的な相関関係に基づいて生成されるため、その応答結果には不正確な内容の個人情報が含まれるリスクがある。そのため、生成AIサービスを利用して個人情報を取り扱う際には、このようなリスクを踏まえた上で適切に判断すること。

③ 生成AIサービスの利用者においては、生成AIサービスを提供する事業者の利用規約やプライバシーポリシー等を十分に確認し、入力する情報の内容等を踏まえ、生成AIサービスの利用について適切に判断すること。

---

推奨される対策

・オプトアウト機能の活用
個人情報・秘密情報をどうしても入力しなければならない場合は、生成AIにデータを学習させないようにするオプトアウト機能を有している生成AIツールを利用することが重要です。

・ガイドラインの策定
特に生成AIを業務利用する場合、個人情報・秘密情報の取り扱いに関するルールの策定が必要です。組織での利用においては、役員・従業員に明確なガイドラインを適用することが重要です。

・セキュリティ性の高いサービスの選択
対策として、機密性の高い情報を入力しない、もしくはセキュリティ性の高い生成AIサービスを利用するなどが挙げられます。

生成AIの活用においては、利便性と個人情報保護・秘密保持のバランスを適切に取りながら、法的要件を満たした運用を心がけることが不可欠です。