以前、プライバシーマーク——いわゆるPマーク——の取得業務に携わったことがある。
個人情報保護方針の策定、社内規程の整備、従業員教育、審査対応。あの一連の作業を経験した人間として、今のAI活用の現場を見ていると、ひとつの懸念がずっと頭から離れない。
今日はその話を書く。少し地味なテーマかもしれないが、これを読んでおいて損はないと思っている。
Pマークが前提としていた世界
Pマークの審査基準は、個人情報を「集める・使う・管理する・捨てる」という流れで管理することを求める。誰がどの情報にアクセスできるか。情報をどこに保管するか。不要になったらどう廃棄するか。この流れを文書化し、運用し、定期的に見直す。
この仕組みが想定していたのは、情報が「社内に留まる」世界だ。サーバーがあり、アクセス権限があり、情報の出入り口が管理されている。その前提の上に、Pマークの体系は成り立っている。
AIツールは、その前提を静かに崩している。
情報はどこへ行くのか
社員がChatGPTに顧客の氏名と相談内容を貼り付けて「この返信メールを書いてくれ」と頼む。悪意はない。効率化のためだ。でもその瞬間、顧客の個人情報は社外のサーバーに送信されている。
その情報がどう扱われるか、どこに保存されるか、学習データに使われるかどうか——利用規約を読まない限りわからない。読んだとしても、法律の専門家でなければ正確に理解できない。そして現実には、ほとんどの社員は利用規約を読まない。
Pマークの審査で必ず確認されるのは「個人情報の第三者提供」の管理だ。原則として、本人の同意なく第三者に個人情報を提供してはいけない。AIツールへの入力が「第三者提供」に当たるかどうか——これは今、法的にグレーな領域にある。でもグレーだからといって、リスクがないわけではない。
一番怖いのは「誰も気づいていない」こと
情報漏洩というと、外部からの攻撃や内部の悪意ある行為をイメージする人が多い。でも私が今一番心配しているのは、そこではない。
善意の、効率化のための、何気ない操作によって、個人情報が意図せず外部に渡っている状況だ。しかも当事者が全員、それをリスクだと認識していない。
Pマークの取得・運用で痛感したことがある。規程を作っても、教育をしても、人間は「これがその規程に該当する行為だ」と気づかない場面で動く。ルールは知っている。でも目の前の行為がルールに抵触するとは思っていない。AIツールへの情報入力は、まさにその状況だ。
では、何をすればいいか
難しいことを言うつもりはない。
まず、AIツールに入力してはいけない情報を明示する。顧客の氏名・連絡先・取引内容、従業員の個人情報、未公開の財務情報——これをリストにして、「AIツール利用ルール」として一枚の紙にまとめる。難しい法律用語は要らない。「これは入れるな」のリストで十分だ。
次に、そのルールを全員に伝える。メールでもいい。朝礼でもいい。大事なのは「会社としてこの問題を認識している」という意思表示をすることだ。それだけで、社員の意識は変わる。
Pマークを持っている会社は、既存の個人情報保護規程にAIツールの利用に関する条項を追加することを検討してほしい。審査機関も、この問題への対応を今後求めてくる可能性がある。早めに動いた方がいい。
次回は、5人の会社がAIでサービスを作るという話を書く。理屈ではなく、実際にやってみてわかったことを書くつもりだ。
株式会社スポルアップ CFO 加藤
AI・経営・数字まわりのことを、思ったことをそのまま書いています。
