この記事で分かること
- PII(個人識別情報)とは何か、身近な例で理解できる
- ChatGPTなどのAIに個人情報を入力することの具体的なリスク
- 「AIが学習に使う」は本当かどうか
- 法的に問題になる入力例(マイナンバー・顧客データ・病歴など)
- 安全にAIを使うための実践的な対策
AIに「この情報」を入れていませんか?
日常業務でChatGPTやClaudeを使う機会が増えました。メールの文面を作ってもらったり、契約書を要約してもらったり、非常に便利です。
でも、こんな使い方をしていませんか?
- 「田中太郎さん(連絡先:090-xxxx-xxxx)との契約書を要約して」
- 「患者:山田花子、生年月日:1978年3月12日、診断名は…」
- 「この見積書(顧客名・住所・金額入り)を英訳して」
これらは、PII(個人識別情報)をAIに入力している状態です。一見便利そうですが、重大なリスクが潜んでいます。
PIIとは何か?
PII(Personally Identifiable Information)とは、特定の個人を識別できる情報のことです。日本語では「個人識別情報」や「個人情報」に相当します。
| カテゴリ | 具体例 |
|---|---|
| 基本情報 | 氏名、生年月日、住所 |
| 連絡先 | 電話番号、メールアドレス |
| 識別番号 | マイナンバー、パスポート番号、運転免許証番号 |
| 金融情報 | 銀行口座番号、クレジットカード番号 |
| 健康情報 | 病名、投薬記録、遺伝情報 |
| 生体情報 | 顔画像、指紋データ |
| オンライン情報 | IPアドレス、Cookie ID |
日本の個人情報保護法(APPI)では、氏名・住所・生年月日の組み合わせや、マイナンバーなどは「個人情報」として厳格な取り扱いが求められています。
「AIが学習に使う」は本当か?
「入力したデータがAIの学習に使われる」という話を聞いたことがあるかもしれません。これは一部本当で、一部は誤解です。
OpenAI(ChatGPT)の場合
- 無料プラン・Plus:デフォルトではチャット履歴がモデル改善に使用される設定になっています(オフにすることも可能)
- APIプラン・チーム・エンタープライズ:学習に使用しないと明記
Anthropic(Claude)の場合
- 一般的な会話データは安全レビューのために使用される可能性あり
- エンタープライズ契約では学習に使わないよう契約可能
つまり、無料・個人プランでは個人情報の入力は避けるべきです。しかし、仮に「学習に使わない」サービスだとしても、問題はそれだけではありません。
個人情報を入れると起きる3つのリスク
リスク1:情報漏洩インシデント
2025年から2026年にかけて、AIサービスのセキュリティインシデントが相次ぎました。外部に情報が流出した場合、入力したPIIが含まれていれば被害は甚大です。AIサービス自体がどれだけセキュリティに注力していても、利用者が入力した情報はそのサービスのサーバー上に保存されるという事実は変わりません。
リスク2:法的リスク(個人情報保護法・GDPR)
顧客や患者の個人情報をAIサービスに入力することは、第三者提供にあたる可能性があります。
- 個人情報保護法(日本): 本人の同意なく個人情報を第三者に提供することは原則禁止
- GDPR(EU): 欧州の個人情報を扱う場合、適切なデータ保護措置が必要
- 守秘義務: 弁護士・医師・会計士は職業的な守秘義務があり、顧客情報をAIに入力することは義務違反になりえる
2025年には、従業員がChatGPTに社内の顧客リストを入力したことで、欧州のDPA(データ保護当局)から制裁を受けた企業も出ています。
リスク3:「シャドーAI」問題
多くの企業では、ITポリシーで定められたツール以外の使用を禁じています。しかし現実には、社員が業務効率化のために個人でChatGPTを使い、顧客情報を入力するケースが後を絶ちません。これが「シャドーAI」問題です。経営者・IT担当者が把握できないところでPIIが社外に流出する、非常に厄介なリスクです。
では、どう対策すればいいのか?
対策1:AI使用ルールを明文化する
「個人情報をAIに入力してはいけない」というルールをポリシーとして定め、全社員に周知する。シンプルですが、意識啓発として効果的です。
対策2:匿名化・マスキングして使う
AIに送るテキストから個人情報を取り除いてから入力する方法です。「田中太郎」→「顧客A」のように置き換えるだけでも効果があります。ただし、手作業では抜け漏れが発生します。
対策3:PII保護ツールを導入する
最も確実な方法は、自動でPIIを検知・マスキングするツールを介してAIを利用することです。
PII Firewall は、AIへの送信前にテキスト内のPIIを自動検知し、マスキング処理を行うサービスです。24種類のPII(日本語・英語対応)を検知し、処理後に元のデータに復元することもできます。
- 氏名・住所・電話番号・マイナンバーなどを自動マスキング
- ChatGPT・Claude・Geminiなど主要AIに対応
- SDK / REST API で既存システムへの統合が容易
- 個人情報保護法・GDPR・HIPAAなど各国規制に対応
まとめ:AIは「個人情報を入れずに使う」が原則
| 状況 | リスクレベル |
|---|---|
| 自分の考えを整理する | ほぼリスクなし |
| 架空の事例で練習 | ほぼリスクなし |
| 実名・連絡先を含む文書を処理 | 高リスク |
| 患者・顧客・従業員の情報を入力 | 非常に高リスク |
| マイナンバー・口座情報を入力 | 法的リスクあり |
AIは業務を大きく効率化する力を持っています。しかし、個人情報の取り扱いには細心の注意が必要です。「まず匿名化・マスキングしてからAIに渡す」というワークフローを標準にすることが、安全なAI活用への第一歩です。
関連用語
- 個人情報保護法(APPI): 日本における個人情報の取り扱いを規定した法律
- GDPR: EU一般データ保護規則。欧州市民のデータを扱う場合に適用
- 匿名化・仮名化: 個人を特定できないよう処理すること
- シャドーAI: 企業のIT管理外で社員が勝手に使うAIツール
- マスキング: 個人情報の一部または全部を隠す処理