生成AIと個人情報の今：各国の厳格規制と実務ガイド（2025年版）

※本稿は一般的な情報提供であり、法的助言ではありません。2025年9月8日現在の公知情報に基づきます。

1) なぜ「個人情報×生成AI」は難しいのか

生成AIは、**収集 → 学習（前処理・強化学習を含む） → 配布（API/SaaS） → 利用（推論・ログ保存）という長いライフサイクルの中で個人データが関与します。訓練用データはスクレイピングや購入データ、社内ログなど出自が多様で、モデル重みや派生データに“個人情報の痕跡”が残るリスクもあります。EU当局は、「個人データで学習したAIモデルが常に匿名とは限らない」**と明言し、適法化・透明性・削除対応（アンラーニング等）の要請を強めています。

2) まず押さえる定義と原則

• 個人データ（GDPR）：識別された／可能な個人に関するあらゆる情報（IPやオンライン識別子も含む）。**要配慮データ（Art.9）**は原則処理禁止で、例外要件が厳格。
• 目的限定・データ最小化：EUはGDPR、米カリフォルニアもCPRAで「合理的に必要・比例」な範囲に限定する旨を規定。
• 法的根拠：EUでは同意・契約・法的義務等に加え正当利益（Art.6(1)(f)）の適用要件をEDPBが再整理（3要件：正当な利益／必要性／利益衡量）。生成AI学習への適用は厳格な前提評価と文書化が必要です。

3) 生成AIのデータフローとリスク点

1. 収集：スクレイピング、データ購入、社内データ。EUでは著作物のTDM（テキスト・データマイニング）例外がある一方、権利者の機械判読によるオプトアウトがあれば商用TDMは不可。
2. 学習・評価：EDPBは正当利益の適用可能性やモデルに個人情報が内在する可能性を指摘。再識別や“幻覚”による名誉侵害にも注意。
3. 提供（API/SaaS）・利用（推論・ログ）：自動化された重要決定（採用/融資等）では、透明性・人の関与・説明権・オプトアウトなどの義務が各国で強化。

4) 国・地域別：規制の要点

欧州連合（EU）— GDPR ＋ EU AI Act

• AI Actの時系列：2024年8月1日施行。2025年2月2日から禁止用途の適用が開始、2025年8月2日からはGPAI（汎用AI）の透明性義務（訓練データ要約、著作権順守等）が段階的に始まり、高リスクAIは2026年8月以降本格適用。
• GDPRの適用：モデル開発・配備の各段階で法的根拠、目的限定、データ最小化、DPIAが必要。EDPBはデータスクレイピングや学習の正当利益の可否に厳格な条件を示しました。
• 著作権とTDM：DSM指令Art.3/4により研究目的と一般TDMの例外。ただし商用TDMは権利留保（機械判読）があると不可。クローラはopt-out尊重が前提。

英国— UK GDPR（DPA 2018）＋ICOガイダンス

• 英国は“プロイノベーション”方針の下、個人データでの生成AI訓練に関する一連のICOコンサル結果を公表。意味のある透明性、訓練データの精度と利用目的の説明、権利行使の実効性などを重視。
• 政府は2025年にAI規律を前進させる計画（各業規制当局主導）。

米国— 州法パッチワーク（CPRA/CCPA, Colorado AI法, WA My Health My Data ほか）

• カリフォルニア：CPPAがADMT（自動化意思決定技術）規則を2025年7月24日に承認。事前通知、オプトアウト、説明請求への対応、リスクアセスメント等を要求（OAL審査等の実務タイムラインに留意）。
• コロラドAI法（SB24-205）：高リスクAIの差別リスク低減を義務化。施行は2026年2月1日→2026年6月30日に延期。開発者・導入者に合理的配慮、事後監視、開示義務。
• ワシントン州 My Health My Data Act：2024年3月31日（中小は6/30）施行。健康関連データの同意・販売禁止（原則）・専用ポリシー掲示などを要求。ヘルス系生成AIやチャットボットは影響大。

日本— APPI（個人情報保護法）＋TDM例外（著作権法30条の4）

• APPI改正（2022施行）：漏えい報告義務の強化、仮名加工情報、第三国移転の説明強化・同意など。EUと相互十分性により日EU間移転は容易。
• TDM（データ解析）例外：著作権法30条の4により、“享受目的でない”情報解析のための利用を広く許容。ただし人格権・不正競争やプライバシー、APPI等の他法令は別途遵守が必要。

中国— PIPL＋アルゴリズム/生成AI規制

• PIPLは越境移転にセキュリティ審査、標準契約、認証等を要求。**生成AI暫定措置（2023/8/15施行）やディープ合成規制（2022）**で、データの真偽表示、違法情報の拡散防止、個人情報の合法取得等を義務付け。

インド— DPDPA 2023（実装ルール整備中）

• DPDPAは2023年成立も、2025年にドラフト実施規則が公表・審議中。**越境移転は“原則自由・政府のブラックリストで制限”**という設計。SDF（重要データ受託者）の強化義務も想定。運用開始時期と細則の最終化に留意。

シンガポール— PDPA＋Model AI Governance Framework for GenAI（2024）

• 規制当局PDPCは生成AI向けの実務フレームワークやAI Verifyを展開。トレーニングデータの透明性、リスク管理、責任分担の明確化を推奨。

ブラジル— LGPD＋ANPDの執行枠組み

• LGPDは包括法。ANPDが**制裁の算定基準（RDASA, 2023）を制定し、2024年には国際移転規則（19/2024）**も整備。AIと国際移転の実務は整合化が進展。

5) よくある論点と“落とし穴”

• 学習データの出所：公知＝自由利用ではありません。EUでは**権利留保（機械判読のopt-out）**を尊重する義務、個人データの適法取得・透明性が要件。
• モデルからの削除要求：EDPBは「モデルが匿名とは限らない」立場。完全な“忘却”が難しい場合でも、再学習・アンラーニング、出力抑制などの合理的措置・説明が必要。
• 自動化された重要決定：EU AI Act・米州法で事前通知・説明・人の関与・異議申立て／オプトアウトが拡大中（CAのADMT規則等）。

6) 実務者のためのコンプライアンス実装チェックリスト

1. データマップ：収集源（スクレイピング/購入/社内）・個人/要配慮の有無・越境先を可視化。
2. 法的根拠の割当（段階別）：収集・学習・配布・推論ログで別々にArt.6/9やCPRA要件を判定。正当利益を使う場合は三要件の文書化と代替手段検討を必須に。
3. 権利者・権利者以外のオプトアウト尊重：EUのTDMオプトアウト検知（robots.txt/メタデータ）をクロール基盤に実装。
4. DPIA/リスクアセスメント：用途別（採用・融資・医療など）に差別・安全・プライバシーの評価、緩和策、再評価計画。CA/COの要求とも整合。
5. 透明性：プライバシー通知＋生成AI用の補足通知（訓練データの種類、出所、権利行使方法、問い合わせ窓口、モデル用途の説明）。ICOが求める**“意味のある透明性”**に合致させる。
6. データ最小化・保管期間：学習前の前処理でPII除去・一般化、プロンプト／出力ログは保管目的と期間を明記（CPRAの目的限定・保存制限）。
7. サプライヤー管理：モデル提供者/訓練データブローカー/注釈BPO等に契約上の順守義務（越境移転、再委託、安全管理、削除支援、監査権）。
8. 越境移転：EUはSCC/十分性、日本↔EUは相互十分性、中国はセキュリティ審査/標準契約、インドはブラックリスト方式の方針に注意。
9. 権利対応運用：アクセス・訂正・削除・異議にSLAを設定。モデル学習データ由来の請求には**合理的対応（検索、再学習/重み抑制等）**の方針を整備。
10. 社内統制：AIガバナンス委員会、モデルカード、評価報告、重大インシデント報告（EU AI Actの枠組み）を標準化。

7) 主要ユースケース別の“赤信号”

• 採用・雇用管理：自動化された重要決定（スクリーニング、評価、解雇）では事前通知/説明/オプトアウトが急速に義務化（CA ADMT、CO AI法）。バイアス評価と人の関与は必須。
• ヘルスケア/ウェルネス：Washington My Health My Data Actが広義の健康データを強規制。アプリの専用ポリシー・同意・販売禁止に注意。
• 生成コンテンツ配信：EUのTDMオプトアウトと著作権、出力の誤情報による人格権侵害の二重リスク。

8) まとめ：方針の立て方（最短ルート）

1. 「学習」と「利用」を分けて設計（別の法的根拠・通知・保存期間）。
2. 欧州準拠の“最高水準”で統一（EDPB・AI Actの透明性/評価要件を先取り）。
3. クローラにTDMオプトアウト遵守を実装し、権利者対応プロセスを整備。
4. CA/CO対応の雛形（ADMT通知・オプトアウト・説明手順、リスク評価テンプレ）を全社標準に。
5. 越境移転の着地：EU十分性・SCC、日本APPI、中国PIPL、インドDPDPAの各レーンを契約・技術で切り分け。

付録：参照しやすい一次情報

• EU AI Actの適用スケジュール（禁止用途=2025/2、GPAI=2025/8、高リスク=2026/8…）。
• EDPB Opinion 28/2024（AIモデルと個人データ、正当利益、匿名性の扱い）。
• EU TDM（DSM指令Art.3/4）と機械判読オプトアウト。
• UK ICOの生成AIコンサル結果（透明性の実効性）。
• CAのADMT規則（2025/7承認）。
• CO AI法（SB24-205, 2026/6/30施行に延伸）。
• 日本APPI（第三国移転説明・同意、EU相互十分性）と著作権法30条の4（解析目的利用）。
• 中国の生成AI暫定措置／PIPL越境枠組み。
• インドDPDPA（2025ドラフト規則、越境“ブラックリスト”方式）。

必要なら、あなたの業界・ユースケースに合わせてDPIAテンプレートや**ADMT通知文例（日本語/英語）**まで落とし込んだ実装版を作ります。具体的な利用シーン（採用、カスタマーサポート、医療、金融など）を教えてください。