Embedded Files
2025年9月9日
弁護士会会派のPTに出席したら、よう知らん若いのがnottaで文字起こししとった。そして、ベテランにいかにnottaが便利かを講釈しとった。びっくらこいた。
nottaのプライバシーポリシーを見てみましょう。「本サービスの操作に関する情報(録音、シェア、編集、削除を含みますがこれらに限られません。)」「本サービスの利用にあたり当社に送信した音声データ、動画データ、当社がユーザーの音声データを処理して生成したテキストデータ、翻訳データ及び音声合成データ等」を「本サービスの内容を改良・改善し、または新サービスの研究開発のため。」に使われることが確認できました。
たしかに、生成AIといっても文字起こしですから、学習されたところで、よそで会議の内容が出力されるリスクは低いとは考えられます。また、一応、サーバーは東京にあるとうたっています。
一旦、nottaの話から離れますが、AIサービス業者が自由に扱える形で個人データを入力することは、個人データの提供になります。第三者の個人データを預かっている場合、第三者提供には同意が必要です。日本国内のAIサーバーに個人データを入力するならば、提供先における利用目的がサービス提供のためならば、委託として提供が許されます。ここが結構面白い条文操作で、誤解している方がとても多いので確認します。
個人情報保護法
(第三者提供の制限)
第二十七条 個人情報取扱事業者は、次に掲げる場合を除くほか、あらかじめ本人の同意を得ないで、個人データを第三者に提供してはならない。
…
5 次に掲げる場合において、当該個人データの提供を受ける者は、前各項の規定の適用については、第三者に該当しないものとする。
一 個人情報取扱事業者が利用目的の達成に必要な範囲内において個人データの取扱いの全部又は一部を委託することに伴って当該個人データが提供される場合
委託の場合も提供は提供、しかし受託者は第三者ではない、という整理がなされているのですね。
問題は海外サーバーの場合です。
(外国にある第三者への提供の制限)
第二十八条 個人情報取扱事業者は、外国…(個人の権利利益を保護する上で我が国と同等の水準にあると認められる個人情報の保護に関する制度を有している外国として個人情報保護委員会規則で定めるものを除く。以下この条及び同号において同じ。)にある第三者(個人データの取扱いについてこの節の規定により個人情報取扱事業者が講ずべきこととされている措置に相当する措置(第三項において「相当措置」という。)を継続的に講ずるために必要なものとして個人情報保護委員会規則で定める基準に適合する体制を整備している者を除く。以下この項及び次項並びに同号において同じ。)に個人データを提供する場合には、前条第一項各号に掲げる場合を除くほか、あらかじめ外国にある第三者への提供を認める旨の本人の同意を得なければならない。この場合においては、同条の規定は、適用しない。
ちゃんとした国かちゃんとした業者だと個人情報保護委員会が認める者以外に提供する場合は同意が必要で、委託であっても同意が必要、ということになります。ちゃんとした国、というのは次の通り。
個人情報の保護に関する法律施行規則
(個人の権利利益を保護する上で我が国と同等の水準にあると認められる個人情報の保護に関する制度を有している外国)
第十五条 法第二十八条第一項の規定による個人情報の保護に関する制度を有している外国として個人情報保護委員会規則で定めるものは、次の各号のいずれにも該当する外国として個人情報保護委員会が定めるものとする。
…
個人の権利利益を保護する上で我が国と同等の水準にあると認められる個人情報の保護に関する制度を有している外国等(平成31年個人情報保護委員会告示第1号)
2 個人情報の保護に関する法律施行規則(平成二十八年個人情報保護委員会規則第三号。以下「規則」という。)第十一条第一項各号のいずれにも該当する外国として個人情報保護委員会が定めるものは、次のとおりとする。
次に掲げる平成三十一年一月二十三日時点における欧州経済領域協定に規定された国
アイスランド、アイルランド、イタリア、英国、エストニア、オーストリア、オランダ、キプロス、ギリシャ、クロアチア、スウェーデン、スペイン、スロバキア、スロベニア、チェコ、デンマーク、ドイツ、ノルウェー、ハンガリー、フィンランド、フランス、ブルガリア、ベルギー、ポーランド、ポルトガル、マルタ、ラトビア、リトアニア、リヒテンシュタイン、ルーマニア及びルクセンブルク
要するにEUと英国ですな。GDPRのカウンターであるわけだ。アメリカちゃんとしてない。これ重要。
ちなみにちゃんとした体制については次の通り。
個人情報の保護に関する法律施行規則
(個人情報取扱事業者が講ずべきこととされている措置に相当する措置を継続的に講ずるために必要な体制の基準)
第十六条 法第二十八条第一項の個人情報保護委員会規則で定める基準は、次の各号のいずれかに該当することとする。
一 個人情報取扱事業者と個人データの提供を受ける者との間で、当該提供を受ける者における当該個人データの取扱いについて、適切かつ合理的な方法により、法第四章第二節の規定の趣旨に沿った措置の実施が確保されていること。
二 個人データの提供を受ける者が、個人情報の取扱いに係る国際的な枠組みに基づく認定を受けていること。
大したことは書いてありませんな。私は使ったことがありませんが、字面からは割と認められやすいのではなかろうか。
いずれにせよ、アメリカを含む、EU以外の外国のAIサービスに第三者の個人データを本人の同意なく入力してしまえば、それが提供に該当する限りアウト、というわけです。
ここで提供の概念が問題になるわけですが、個人情報保護委員会のQ&Aには次のように書いてあります。
(第三者に該当しない場合)
Q7-53
個人情報取扱事業者が、個人データを含む電子データを取り扱う情報システムに関して、クラウドサービス契約のように外部の事業者を活用している場合、個人データを第三者に提供したものとして、「本人の同意」(法第27条第1項柱書)を得る必要がありますか。または、「個人データの取扱いの全部又は一部を委託」(法第27条第5項第1号)しているものとして、法第25条に基づきクラウドサービス事業者を監督する必要がありますか。
A7-53
クラウドサービスには多種多様な形態がありますが、クラウドサービスの利用が、本人の同意が必要な第三者提供(法第27条第1項)又は委託(法第27条第5項第1 号)に該当するかどうかは、保存している電子データに個人データが含まれているかどうかではなく、クラウドサービスを提供する事業者において個人データを取り扱うこととなっているのかどうかが判断の基準となります。
当該クラウドサービス提供事業者が、当該個人データを取り扱わないこととなっている場合には、当該個人情報取扱事業者は個人データを提供したことにはならないため、「本人の同意」を得る必要はありません。
…
当該クラウドサービス提供事業者が、当該個人データを取り扱わないこととなっている場合とは、契約条項によって当該外部事業者がサーバに保存された個人データを取り扱わない旨が定められており、適切にアクセス制御を行っている場合等が考えられます。
提供に該当しない場合について記載されているのにタイトルに(第三者に該当しない場合)(2025年9月9日時点)となっているところがお茶目さんですが、「Gemini アプリでのチャットの内容やアップロード済みのファイルが、人間のレビュアーによってレビューされたり、生成 AI モデルの改良のために使用されたりすることはない。」ならOK(提供にあたらない)と言えるわけです。
また、外国のAIサービスを使う場合で、サーバーにチャットログや入力ファイルが保存される場合には、別途、対応が必要になります。これも個人情報保護委員会のQ&Aに書いてあります。本当にお世話になっています。
(技術的安全管理措置)
Q10-25
「外的環境の把握」について、外国にある第三者の提供するクラウドサービスを利用し、その管理するサーバに個人データを保存する場合、当該外国の個人情報の保護に関する制度等を把握する必要がありますか。
また、この場合、「法第23条の規定により保有個人データの安全管理のために講じた措置」(法第32条第1項第4号・施行令第10条第1号)として、どのような事項を本人の知り得る状態に置く必要がありますか。
A10-25
外国にある第三者の提供するクラウドサービスを利用する場合において、クラウドサービス提供事業者が個人データを取り扱わないこととなっている場合には、個人データの第三者への「提供」には該当しませんが、個人情報取扱事業者は、自ら果たすべき安全管理措置の一環として、適切な安全管理措置を講じる必要があります(Q7-53、Q7-54、Q12-3参照)。
この場合、個人情報取扱事業者は、外国において個人データを取り扱うこととなるため、当該外国の個人情報の保護に関する制度等を把握した上で、安全管理措置を講じる必要があります。日本国内に所在するサーバに個人データが保存される場合においても同様です。
かかる場合には、「保有個人データの安全管理のために講じた措置」として、クラウドサービス提供事業者が所在する外国の名称及び個人データが保存されるサーバが所在する外国の名称を明らかにし、当該外国の制度等を把握した上で講じた措置の内容を本人の知り得る状態に置く必要があります。他方、個人データが保存されるサーバが所在する国を特定できない場合には、サーバが所在する外国の名称に代えて、①サーバが所在する国を特定できない旨及びその理由、及び、②本人に参考となるべき情報を本人の知り得る状態に置く必要があります。②本人に参考となるべき情報としては、例えば、サーバが所在する外国の候補が具体的に定まっている場合における当該候補となる外国の名称等が考えられます。
(保有個人データの開示)
Q9-3
「法第23条の規定により保有個人データの安全管理のために講じた措置」(法第32条第1項第4号・施行令第10条第1号)について、ホームページにおいては、安全管理措置の概要及び問合せ窓口を掲載し、安全管理措置の具体的な内容については、本人からの問合せに応じて遅滞なく回答する、という対応を取ることはできますか。
A9-3
個人情報取扱事業者は、「保有個人データの安全管理のために講じた措置」について、「本人の知り得る状態」に置く必要がありますが、「本人の知り得る状態」は、「本人の求めに応じて遅滞なく回答する場合」を含みます。
例えば、ホームページにおいて、安全管理措置の概要及び問合せ窓口を掲載し、本人からの問合せがあれば、安全管理措置の具体的な内容を遅滞なく回答する体制を構築している場合には、保有個人データの安全管理のために講じた措置について、「本人の知り得る状態(本人の求めに応じて遅滞なく回答する場合を含む。)」に置いたこととなります。
閑話休題、nottaは個人情報を自己利用すると言っています。会議の主催者あるいは録音者は、会議参加者の音声を無断でnottaに第三者提供しているということです。国内サーバーとはいえ、委託にはならんから、はいアウト。
問題は個人情報だけではありません。nottaは中国ファンドから資金調達していると自らプレスリリースを出している企業です。なぜ日本に本社を置くのか、なぜ資本金の額を抑えているのか、疑念はつきません。そしてなにより、代表者は中国籍です。個人情報保護委員会がまとめている「外国制度(中華人民共和国)」の記載を見てみましょう。
事業者に対し政府の情報収集活動への協力義務を課す制度であって、本人の権利利益に重大な影響を及ぼす可能性のあるもの
① サイバーセキュリティ法(中华人民共和国网络安全法)
ネットワーク運営者に対し、公安機関や国家安全機関による国の安全の維持・保護及び犯罪捜査に係る活動に対する技術的支援及び協力を義務付け。
同法に基づく民間事業者が保有する個人情報へのアクセスに関しては、例えば、以下の点に関する規定が存在しない。
・アクセスの実施に関する制限及び手続
・法令において特定された目的(又は当該目的と矛盾しない正当な目的)の達成に必要な範囲でのアクセス実施
・アクセスの実施に関する独立した機関からの承認
・取得された情報の取扱いの制限・安全管理
・アクセスの実施に関する透明性の確保
② データセキュリティ法(中华人民共和国数据安全法)
関係する組織又は個人に対し、公安機関や国家安全機関が、国の安全の維持・保護又は犯罪を捜査する必要により行うデータの取り調べに対する協力を義務付け。
同法に基づく事業者が保有する個人情報へのアクセスに関しては、例えば、以下の点に関する規定が存在しない。
・アクセスの実施に関する制限
・法令において特定された目的(又は当該目的と矛盾しない正当な目的)の達成に必要な範囲でのアクセス実施
・アクセスの実施に関する透明性の確保
③ 中華人民共和国国家情報法(中华人民共和国国家情报法)
関係する機関・組織・国民に対し、国家安全機関、公安機関の情報部門及び軍の情報部門が行う国家情報活動に対して必要な支持・援助・協力行うことを義務付け。
同法に基づく事業者が保有する個人情報へのアクセスに関しては、例えば、以下の点に関する規定が存在しない。
・アクセスの実施に関する制限及び手続
・法令において特定された目的(又は当該目的と矛盾しない正当な目的)の達成に必要な範囲でのアクセス実施
・アクセスの実施に関する独立した機関からの承認
・取得された情報の取扱いの制限・安全管理
・アクセスの実施に関する透明性の確保
※上記のとおり、これらの法令によって、中華人民共和国の国家安全機関、公安機関等は、国家安全保障や犯罪捜査の目的に限らず、広範な情報収集活動の目的のもと、企業や個人に対して、その保有する、個人情報を含む様々な情報を提供させ、収集・監視することが可能とされている。したがって、同国企業が提供するデジタルサービス等を本邦国民が利用する際、同国企業によって収集される利用者個人に関する情報も、当該国家安全機関、公安機関等による収集・監視の対象となり得るものと考えられる。
人種差別とかそういう話じゃありません。中国籍の方には中国に対するスパイ活動協力義務が課されているので、個人情報や営業秘密を預けることには情報漏洩の懸念がつきまとうのです。中国籍の日本法弁護士についても、職業上の守秘義務と国家情報法上のスパイ活動協力義務のどちらが勝るか、私にはわかりません。
中国に生まれてしまったばかりに、常に法的な疑念がつきまとうというのは可愛そうだなと思いますが、いずれにせよ、私は企業のリーガルリスク緩和が仕事ですから、中国にはピリピリしています。
弁護士全般に対していつも思うのですが、法律の勉強をしなさすぎる。
私は法務部員に対して、法律以外も学ばなあかんで、と諭していますが、法律を学ぶことは当然の前提です。
弁護士は、眼の前の案件を解決するための法律は学ぶのですが、広く制度を学ぶ視点が全く無い。トラブルシューターなのだから当然だと言われればそれまでなのですが、私は予防法務が本籍ですから、個人情報保護法とか必死こいで日々勉強しとるわけです。だから弁護士が不勉強に見えてしまう。
ノーガード戦法で足りるときにはChatGPTもnottaも便利なサービスだと思いますが、守りたい情報を扱うときはやめとこうな。リアルガチで懲戒あるで。
2025年9月11日追記
クライアントがClaudeの売り込みを受けたらしいのですが、営業資料をみたら、サーバーは世界に分散配置され、アジアも含まれるそうです。
だから外国サーバーに個人情報を保管する際には「クラウドサービス提供事業者が所在する外国の名称及び個人データが保存されるサーバが所在する外国の名称を明らかにし、当該外国の制度等を把握した上で講じた措置の内容を本人の知り得る状態に置く必要があります。」とあれほど。そして、アジアって要するに中国ですよね。国家情報法ですよね。
さらに、anthropicは、例の2300億円和解の件で、著作物の海賊版を学習させていたことが発覚している企業です。AIに倫理観をもたせると標榜しておきながらです。クライアントには事実のみをお伝えしておきました。信用って大切ですね。
Page updated
Report abuse