集めた個人データを自社の外に渡すとき、個人情報保護法の「第三者提供」のルールが働きます。生成AIサービスへの入力が第三者提供に当たるのかどうかは、AI活用の現場でよく話題になる論点です。この記事で原則と例外を整理しましょう。

📖 ひと言でいうと

第三者提供とは、個人情報取扱事業者が、保有する個人データを本人と自社以外の「第三者」に渡すことです。個人情報保護法では、これを行うには原則として本人の同意が必要とされています。

例えるなら、友人から預かった秘密を別の人に話すには、友人本人の了解を取るのが筋である、という感覚に近いルールです。ただし法律には「委託なら第三者提供に当たらない」など重要な例外の整理があり、そこが試験でも実務でも問われるポイントになります。

🖼 1枚でわかる第三者提供

第三者提供=個人データを外部に渡すこと
  • 原則 — 個人データの第三者提供には本人の同意が必要
  • 例外 — 法令に基づく場合などでは同意なしでも認められる
  • 第三者に当たらない場合 — 利用目的の範囲内での委託など
  • 生成AIとの関係 — 入力情報が学習に使われるなら第三者提供に該当し得る
  • 海外提供 — 外国にある第三者への提供には追加の規律がある
つくもち屋「G検定対策」SUMMARY

📘 公式テキストの説明

個人情報保護法では、個人情報取扱事業者が個人データを他者に渡す際、原則として本人の同意が必要とされている。ただし、利用目的の達成に必要な範囲での委託など、一定の条件下では例外が認められている。AIの開発や運用において、個人情報を含むデータを外部のAIサービスに入力する場合、その行為が「第三者提供」に該当するかが問題となる。例えば、生成AIサービスに個人情報を含むプロンプトを入力する際、当該サービス提供者がその情報を学習データとして使用する場合、個人情報の第三者提供に該当し、本人の同意が求められる可能性がある。一方、サービス提供者が入力された個人情報を学習目的で使用しないと明確にしている場合、第三者提供に該当しないと解釈されることもある。さらに、AIサービス提供者が海外に拠点を置く場合、個人情報の国外提供に関する規制も考慮する必要がある。この場合、提供先の国や地域が個人情報保護委員会の定める基準を満たしているか、または本人の同意を得ているかを確認することが求められる。

前半が「原則同意・例外あり」という基本構造、後半が生成AI時代ならではの論点です。同じ「AIサービスに入力する」という行為でも、提供先がその情報を自社モデルの学習に使うかどうかで、法的な整理が変わり得るという点が最大のポイントです。

🔍 しっかり理解する

原則:本人の同意が必要

第三者提供のルールが対象とするのは「個人データ」(データベース化された個人情報)です。事業者がこれを外部に提供するには、あらかじめ本人の同意を得ることが原則とされています。データは一度外に出ると本人のコントロールが及びにくくなるため、出口の段階で本人の意思を確認させる仕組みといえます。

例外と「第三者に当たらない」場合の区別

同意なしで提供できるケースには、性質の異なる2種類があることを押さえましょう。

💡 ポイント
  • 例外的に同意不要となる場合 — 法令に基づく場合、人の生命・身体・財産の保護のために必要で本人の同意を得ることが困難な場合など、法律が定める一定の場合です。
  • そもそも「第三者」に当たらないとされる場合 — 利用目的の達成に必要な範囲内で個人データの取扱いを委託する場合、合併などの事業承継に伴う場合、あらかじめ本人に一定事項を通知等したうえでの共同利用の場合です。この場合、提供先は法律上「第三者」として扱われません。

このほか、あらかじめ本人に通知等を行い個人情報保護委員会に届け出ることで、本人の求めがあれば提供を停止する前提で同意なく提供できる「オプトアウト方式」もあります。ただし、要配慮個人情報はオプトアウト方式では提供できないとされています。

🅰 第三者提供に当たる例
  • 顧客データを別会社に販売・共有する
  • 入力した個人データを提供先が自らの学習に利用する
  • グループ会社でも共同利用等の手当てがない提供
🅱 第三者提供に当たらない例
  • 利用目的の範囲内でのデータ処理の委託
  • 合併など事業承継に伴う提供
  • 要件を満たした共同利用

海外のAIサービスと国外提供の規律

AIサービスの提供者が海外に拠点を置く場合、「外国にある第三者への提供」として追加のルールが適用されます。提供先の国・地域が個人情報保護委員会の定める基準を満たしているか、提供先事業者が相当の体制を整備しているか、あるいは本人の同意を得ているか、といった確認が求められます。クラウド型のAIサービスはサーバーが海外にあることも多く、実務で見落とされやすい論点です。

💡 具体例で考える

営業部門が、顧客の氏名や商談内容を含むメモを外部の生成AIサービスに入力して提案書の下書きを作らせる場面を考えます。もしそのサービスが「入力内容をモデルの学習に利用する」設定であれば、顧客の個人データをサービス提供者に渡して先方の目的に使わせることになるため、第三者提供に該当し本人同意が必要になる可能性があります。一方、契約や設定で「入力データは学習に使わず、処理のためだけに扱う」ことが明確なら、第三者提供には該当しないと整理される余地があります。企業が生成AIの利用ガイドラインで「学習に使われない法人向けプランを使うこと」を求めるのは、まさにこの論点への対応です。

⚠️ よくある誤解・紛らわしい用語

💡 ポイント
  • 「委託も第三者提供だから同意が要る」は誤り — 利用目的の達成に必要な範囲内での委託であれば、提供先は「第三者」に当たらず本人同意は不要です。ただし委託元には委託先を監督する責任が残ります(「委託」の記事参照)。
  • 「AIサービスに入力したら常に第三者提供」ではない — 提供先が入力情報を自らの学習等に利用するかどうかで整理が変わり得ます。逆に「クラウドだから常にセーフ」でもなく、サービスの規約・設定の確認が重要です。
  • オプトアウトは万能ではない — 届出等の手続が必要なうえ、要配慮個人情報には使えません。
  • 対象は「個人データ」 — 第三者提供の同意ルールは、データベース化された個人データを念頭に置いた規律である点も、概念の階層(個人情報 ⊃ 個人データ)とあわせて覚えておきましょう。

📝 試験でのポイント

💡 ポイント
  • 「第三者提供には原則として本人の同意が必要」という原則と、「委託・事業承継・共同利用は第三者に当たらない」という整理の組み合わせが問われやすいと考えられます。
  • 生成AIへのプロンプト入力が第三者提供に該当するかは「提供先が学習データとして使用するか」が分かれ目、という公式テキストの論理はそのまま出題されそうなポイントです。
  • 要配慮個人情報はオプトアウト方式による第三者提供ができない、という組み合わせ知識にも注意しましょう。
  • 海外の提供先については、個人情報保護委員会の基準または本人同意の確認が必要という点を押さえておきましょう。

📚 まとめ

💡 ポイント
  • 第三者提供は、個人データを本人・自社以外に渡すことで、原則として本人の同意が必要です。
  • 委託・事業承継・共同利用は法律上「第三者」への提供に当たらないと整理されています。
  • 生成AIサービスへの入力は、提供先が学習に使うかどうかで第三者提供該当性が変わり得ます。
  • 海外のAIサービス利用時は、国外提供の追加規律にも注意が必要です。
  • 判断が分かれる場面も多いため、実際の運用ではサービス規約の確認など慎重な対応が求められます。