メインコンテンツに移動する
Perspective:
Perspective
2026年3月12日
読了時間 9分

サイバーセキュリティの新潮流:プライバシー×AI

AI利活用とプライバシー保護の両立は、企業の信頼性や法規制遵守、競争力強化に直結する重要課題である。AIによる個人情報の漏えいやバイアス、規制違反リスクが顕在化する中、AI・プライバシーに係るリスクの最新動向と日本企業に求められる対応を解説する。

大場 敏行/Toshiyuki Oba

はじめに~なぜ今AI×プライバシーに注目すべきか

近年、AI技術の急速な発展と社会への浸透により、個人情報がAIによって取り扱われるケースが増加している。企業活動においても、業務効率化のためマーケティングや製品開発、採用活動、規制調査等、幅広い領域でAIの導入・利用が進んでおり、ビジネスにおけるAIの重要性はますます高まっている。一方でAIによるデータ利活用においては、プロファイリングによる個人の不利益や差別、バイアスの再生産等、AIに係る新たなプライバシーリスクも顕在化している。国内外でAIに係る規制の制定が進む中、AI活用におけるプライバシー保護の重要性は高まっており、AI×プライバシーへの対応は、今や重要な経営課題である。

本稿では、AI利活用におけるプライバシーリスクと日本企業に求められる対応について概説する。

AI利活用におけるプライバシーのリスク

企業がAIを開発・利用する際に起こりうるプライバシーに関するリスクは多岐にわたる。例えば、個人情報の不適切な利用や漏えい、AIによるバイアスや差別といった倫理的課題、さらには国内外の規制違反等、複合的かつ高度なリスクが顕在化している。開発者や利用者の知識不足や技術の高度化により、悪意はなくとも意図せず問題が発生してしまうことも少なくない。ここでは、実際に発生したAIに係るプライバシーリスクの事例を紹介する。

  • 個人情報の不適切な利用や漏えい
    • Chat AIの普及により、これらを業務に利用する企業も増加しているが、従業員が会社の機密データを社外のChat AIに入力してしまう事例が報告されている。入力されたデータに個人情報が含まれていた場合、本人の同意を得ることなくAI提供者にデータを渡す行為は、日本の個人情報保護法における第三者提供に係る義務の不履行となる可能性がある。また、AIがこれらのデータから個人の氏名や連絡先をアウトプットとして生成し、外部に公開される恐れもある。
  • プロファイリングによる不利益
    • 個人情報を活用したプロファイリングやターゲティングは広く行われているが、従前から問題が指摘されている。過去には、米国において購入履歴から妊娠の可能性が高いと推測された顧客に対し、ベビー用品をリコメンドし、同居家族が妊娠の事実を知る前に妊娠に関する広告が送付された事例が報告されている。AIの普及により、こうしたプロファイリングやターゲティングが高度化し、同様の事例が増加することが懸念される。人間の判断を介さない個人情報の取扱いは、本人に不利益をもたらす可能性があり、注意を要する。
  • AIによるバイアスや差別等の倫理的課題
    • AIの学習データに含まれるバイアスや差別が評価や選考に影響を及ぼし、公平性が損なわれるケースが発生している。米国の一部の州では、刑事事件の被告に対して再犯の可能性を評価するためにAIアルゴリズムが利用されている。このアルゴリズムでは黒人が白人よりも高リスクと判断される傾向があり、公平性や人種差別について大きな議論を呼んだ。
    • また、採用活動にAIを利用する動きが広がっており、履歴書のスクリーニングや一次面接をAIで行おうとする企業も多く見られる。しかし、過去の学習データに基づくバイアスにより、特定の性別や人種に不利な判断がなされ、公平性を欠く選考結果が問題となった事例も見られる。
  • 国内外の規制違反リスク
    • EUのAI法をはじめ、各国でAIに関する規制が導入されている。2024年5月に成立したEUのAI法では、AIシステムをリスクの程度により分類し、リスクに応じた要件・規制を定めている。日本企業であっても、EU域内でAIシステムを提供する場合、同規制の適用対象となる可能性がある。企業がAIを開発・利用する際には、こうした規制の存在を認識していないと、知らないうちに違反してしまう恐れがある。
    • AIに関する規制だけでなく、従来の個人情報保護規制への対応状況も改めて確認する必要がある。AIの利用においては、当初の利用目的を逸脱した新たな目的で個人情報が利用されたり、クロスリージョン推論等、プロンプト入力されたデータが意図せず他の地域・国に移転されたりすることがある。AIによる新たな処理のプロセスにおいて、気づかないうちに個人情報保護規制に抵触することがないよう十分な対策が求められる。

日本企業に求められる対応

日本企業がAIを利用して個人情報を取り扱う際には、AIに係るプライバシーリスクを十分理解した上で、①AI・プライバシーガバナンスを整備・強化し、②AI・プライバシーに関する国内外規制に適切に対応することが重要となる。
 

① AI・プライバシーガバナンスの整備・強化

AIを利活用する企業においては、AIに係るリスクを回避・低減するために、AIガバナンスを整備・強化することが重要である。具体的には、AI利用の棚卸、リスク評価、管理体制・規程類の整備等が考えられるが、既にプライバシーガバナンスの体制を有する企業であれば、それを応用・拡張することも可能である。

  • AI利用の棚卸
    • 管理部門の認識なくユーザー部門においてAIが独自に利用されていると、そうしたAIがガバナンスのスコープから漏れてしまい、不適切なAIの利用につながる。そのため、AIガバナンスを推進する第一歩として、社内でどのようなAIの利活用が行われているかを整理し、把握することが重要である。
    • AIが活用されているプロジェクトや使用しているモデル、インプットされるデータ、データの流れ等をAIインベントリとして記録し、可視化することで適切なAIガバナンスが実現される。
  • AI利用のリスク評価
    • 棚卸したAI利用について、リスクを特定し、対応することが重要である。特に個人情報をインプットするものは、前述したようなリスクに対応できていることを確かめるため、関連する規制を遵守しているか、差別的な判断がされないよう対策されているか、適切なセキュリティ対策が講じられているか等を事前に評価し、特定されたリスクに対応した上でAIを利用することが望ましい。特に高いリスクが残るものは利用を中止することも考える必要がある。
AIガバナンスにおける主な役割の図。責任者、組織、部門別のビジネス・システム構築におけるAI棚卸・リスク評価のプロセスを記載。
  • AI管理体制・規程類の整備
    • 上記のようなプロセスが適切に運用されるためには、AIに関する責任者や専門組織を設置し、規程やガイドラインを整備することが重要である。AIの棚卸やリスク評価については、「いつ」「誰が」「どのような基準で」実施するかを明確に定め、管理部門が事前にAIリスクを把握し、迅速かつ適切に対処できる体制を構築することが望ましい。また、AI技術は日々進化しているため、これらの体制や基準についても定期的に見直しを行う必要がある。
    • さらに、AIガバナンスの体制およびプロセスを実効的に機能させるためには、AIガバナンスの考え方を組織全体に浸透させていくことが必要である。従業員が自らの役割を認識し、当事者意識を持ってガバナンスに取り組むためには、定期的な教育を実施し、継続的に意識の醸成を図ることが重要である。
  • プライバシーガバナンスの強化
    • 既にプライバシーガバナンスの体制を整備している企業においては、AIガバナンスのプロセスと適切に連携されるよう、既存のプロセスを見直すことが考えられる。また、プライバシーガバナンスの中で既に棚卸や評価を実施している場合、それらのプロセスや仕組みをAIガバナンスに応用することも可能である。
    • 例えば、プライバシー影響評価(PIA)のプロセスを運用している場合は、AIを利用したデータ処理を踏まえ、前述のAIリスク評価と連携したプロセスを整備する等、PIAのプロセスをアップデートすることも考えられる。高い頻度で起こるAIの仕様変更、AIの利用におけるサプライチェーン(サービス提供者への委託等)、プロンプト入力によるAIのアップデートや出力におけるハルシネーション等、AIを利用したデータ処理にかかわるリスク評価には、従来とは異なる視点を加えた評価のあり方が求められる。

なお、総務省や経済産業省が公表している「AI事業者ガイドライン」※1では、AI関連事業者がプライバシー保護のために講じるべき事項が示されており、AIガバナンスを検討する際の参考となるものである(詳細は「AIガバナンス」に係る当社連載「第10回 AIとプライバシー」の中で解説している)。
 

② AI・プライバシーに関する国内外規制への対応

ガバナンスを運用する中では、国内外におけるAIおよびプライバシー関連規制を遵守することが求められる。AIの開発・提供や利用における個人情報の処理には、関連する地域・国のデータ保護規制が適用され、規制上の要求事項への遵守が求められる。従来のデータ処理とは異なり、AIによって新たな処理のプロセスが加わる場合、そうしたプロセスにおいてデータ保護規制に違反してしまうリスクが高まることが考えられるため、要求事項を識別し、適切に対応するための管理体制やルール・手続き、モニタリングの仕組みを整備・運用することが重要である。

なお、アジア太平洋地域のAIに係る規制については各国のデロイトの専門家が「AIにかかわるデータプライバシー:リスク・倫理的課題とイノベーションとのバランス」(近日中に日本語版を公開予定)の中で解説している。

最後に

本稿では、AIに係るプライバシーのリスクを整理し、これらのリスク低減のために考えられる取り組みを紹介した。AIとプライバシーの課題に、他社に先駆けて対応することは、単なるリスク回避にとどまらず、企業の社会的信頼の獲得、競争優位性の確立、さらには新たなビジネス機会の創出にも寄与するものである。今後、これらの取り組みが一般化し、プライバシー保護とAI活用の両立が進展していくことが期待される。

脚注

※1:経済産業省「AI事業者ガイドライン」(参照日:2026/2/20)https://www.meti.go.jp/shingikai/mono_info_service/ai_shakai_jisso/20240419_report.html

執筆者

灰谷 瞳花
デロイトトーマツ サイバー合同会社
マネジャー
 

※記載内容は執筆当時のものです。

Our thinking

Cyber

Deloitteは、お客様のビジネスおよびサイバーセキュリティの課題、事業における好機を深く理解しています。私たちの強力なソリューションは、複雑さを簡素化し、イノベーションを加速させ、変革を推進させます。
Services

AIガバナンス

Deloitteの「Trustworthy AI™」は、安全性・セキュリティ・コンプライアンス・拡張性を備えたAI導入・活用のための統合的なアプローチです。AIの無限の可能性を最大限に引き出すためのガバナンスを可能にします。
サービス