はじめに　AI活用における個人情報保護の実践的疑問

学会事務局がAIツールを活用する際、最も慎重に扱うべきなのが個人情報保護です。会員管理、委員会運営、広報活動など、あらゆる業務で会員の個人情報に触れる機会があります。学会や学術団体及びその事務局や業務委託を受ける団体（企業・各種機関）は機微な情報を取り扱いますので、関連スタッフ及び学会大会のボランティアに至るまで厳格に遵守すべき内容が含まれます。このFAQでは、AI活用時の個人情報保護に関する具体的な疑問にお答えします。※このFAQは、2025年10月時点での公開情報に基づくものです。

Q1：クラウド型AIツールに会員情報を入力しても大丈夫ですか?

A：個人を特定できる情報は、原則として入力すべきではありません。

ChatGPT、Claude、Copilot、Geminiなどの汎用AIツールの無料版は、入力データが学習に使用される可能性があります。個人情報保護委員会（内閣府の外局として設置）の見解では、AI学習への利用も「個人情報の利用」に該当するため、本人の同意なく個人情報をAIに入力することは個人情報保護法違反となる可能性があります。

安全な利用方法：

• 氏名、メールアドレス、電話番号などは「会員A」「会員B」と匿名化
• 住所は「関東地方」「○○県」など広域表記に変更
• 所属機関は「国立大学」「私立大学」など一般化

有料版での対応：

ChatGPT Team/Enterprise、Claude for Work、Microsoft 365 Copilotなどの企業向けプランでは、入力データを学習に使用しない設定が可能です。ただし、有料版でも匿名化を推奨します。

【参考】

・個人情報の保護に関する法律についてのガイドライン（通則編）｜個人情報保護委員会
・OpenAI におけるエンタープライズプライバシー｜OpenAI
・Updates to Consumer Terms and Privacy Policy｜Anthropic

Q2：特化型AIツール(HubSpotCRM、NotionAIなど)の個人情報保護は?

A：各ツールのプライバシーポリシーを確認し、データ保存場所とセキュリティ対策を把握してください。

特化型ツールは汎用AIツールとは異なる個人情報管理体制を持っています。

主要ツールの状況:

• HubSpotCRM:GDPRおよびCCPA準拠、ISO27001認証取得、データセンターはアメリカ、ヨーロッパ、日本から選択可能
• NotionAI:データは暗号化して保存。AI機能使用時のデータは学習に使用しないと明示
• Microsoft 365 Copilot:エンタープライズグレードのセキュリティ。データはMicrosoft365テナント内に保存。日本国内でのデータレジデンシーオプションあり
• GoogleWorkspace(Forms、Drive含む):ISO27001、SOC2/3認証取得。データセンターの地域選択が可能(日本含む)。GDPR準拠

【参考】

・HubSpotSecurityandPrivacy｜HubSpot　※英文サイトです
・Notion Security and Privacy： GDPR / SOC2準拠｜Notion
・Google Workspace で仕事をより安全に｜Google
・AI・データの利用に関する 契約ガイドライン｜経済産業省

Q3：セキュリティ強化型・組織向け生成AIプラットフォームはありますか？

A：はい。

一般のクラウドサービスよりも厳格なセキュリティとデータ管理体制を持つプラットフォームが存在します。学会のような機密性の高い情報を取り扱う組織には、入力データの学習利用禁止はもちろん、アクセス管理やデータレジデンシー（データ保存場所）が明確なプラットフォームの利用が推奨されます。

主要な選択肢:

• クローズドな環境で利用する生成AI:AWSSageMakerJumpStart、GoogleVertexAI、AzureOpenAIServiceなどのクラウドベンダーのサービス。お客様専用の環境でモデルを利用でき、データ流出やモデル学習のリスクが最小限に抑えられます。
• プライベートクラウド/オンプレミス型AI:外部ネットワークから遮断された環境でAIモデルを動作させるため、最高レベルのセキュリティを確保できます。

選定のポイント:

• データレジデンシー:データの保存場所を日本国内などに指定できるか。
• ゼロトラスト原則:AIへのアクセス・利用履歴を厳格に監査・管理できるか。

【参考】

・クラウドサービス提供における情報セキュリティ対策ガイドライン｜総務省

Q4：データ匿名化・マスキング専門AIツールを教えてください。

A：個人情報保護を目的として、データを自動的に匿名化・マスキング処理することに特化した専門的なAI/ITツールやサービスがあります。これらのツールは、Q1で推奨した手動による匿名化作業を効率的かつ高精度に自動化します。

主な機能と技術:

• 識別情報抽出・置換（マスキング）:氏名、住所などの直接識別子をAIが自動で検出し、「会員A」や「[マスキング]」などのダミーデータに置換します。
• 匿名化加工（一般化・削除）:「年齢」「所属機関」などの間接識別子を、個人が特定されない範囲で「20代」「大学教員」のように一般化したり、特定のリスクが高い属性情報を削除したりします。
• 合成データ生成:元のデータの統計的特性を保ちつつ、完全に架空の合成データをAIで生成し、これを分析に用いることで、個人情報のリスクをゼロにします。

【参考】

・匿名加工情報制度について｜個人情報保護委員会

Q5：特定の業務プロセスでセキュリティを確保する関連ツール・技術とはどのようなものですか？

A：AIの利用以前に、データやアクセスを保護するためのITセキュリティ基盤技術の導入が、学会業務全体のセキュリティを確保するために不可欠です。

主要な関連技術・ツール:

技術・ツール	目的と学会業務での関連性
DLP(DataLossPrevention)ツール	データ漏洩防止。機密情報がAIツールへの入力や外部へのメール送信などによって意図せず流出するのを自動で検知・ブロックします。
IRM(InformationRightsManagement)/EDRM	情報アクセス権限管理。文書ファイル自体に閲覧・編集・印刷などの権限を設定し、ファイルが流出しても権限のないユーザーは内容を見られなくします。
CASB(CloudAccessSecurityBroker)	クラウドサービス利用の制御。学会が許可したクラウドサービス(AIツール)のみアクセスを許可し、未承認のシャドーIT利用を防ぎます。
ゼロトラスト・ネットワークアクセス(ZTNA)	すべてのアクセスを検証。「学内だから安全」という前提を廃止し、アクセスごとにセキュリティチェックを行い、リスクを最小化します。

【参考】

・情報セキュリティ対策｜情報処理推進機構(IPA)

Q6：議事録作成でOtter.aiなどの音声認識AIを使う場合の注意点は?

A：音声データは機密性の高い個人情報であり、慎重な取り扱いが必要です。音声データには、発言内容だけでなく、声紋という生体情報も含まれます。個人情報保護法では、生体情報は「要配慮個人情報」（個人情報保護法第2条第3項）に該当する可能性があります。

安全な運用方法:

• 事前の同意取得：会議参加者全員に、音声認識AI使用を事前通知し、反対者がいる場合は使用を控える
• データの取り扱い：音声ファイルは文字起こし後、速やかに削除。文字起こしテキストから個人を特定できる情報を削除
• ツール選定の基準：データ保存場所、データ削除ポリシー、セキュリティ認証（ISO27001など）の有無を確認

【参考】

・Privacy & Security｜Otter.ai※英文サイトです
・Microsoft Teams会議でライブ文字起こしを表示する｜Microsoft
・Google Meet で文字起こしを使用する｜Google Meet
・「要配慮個人情報」とはどのようなものを指しますか。また「要配慮個人情報」にかかる留意点は何でしょうか｜個人情報保護委員会
・情報セキュリティ10大脅威 2025｜情報処理推進機構(IPA)

Q7：学会誌や会員名簿のデータをAIで分析する場合の注意点は?

A：「既に公開されている情報」でも、AI分析には新たな同意が必要な場合があります。学会誌に掲載された会員の氏名や所属は公開情報ですが、これをAIに入力して分析することは、当初の利用目的(学会誌掲載)とは異なる「新たな利用」に該当する可能性があります。

実践的な対応：

• 学会のAI利用規程の整備:「会員情報をAI分析に利用する場合がある」旨を会員規約に明記し、オプトアウト（拒否）の機会を提供
• 分析前の匿名加工:氏名、所属機関を仮IDに置換し、分析後は元のデータとの紐付けを削除

【参考】

・個人情報の保護に関する法律についてのガイドライン（仮名加工情報・匿名加工情報編）｜個人情報保護委員会
・学術研究分野における 個人情報保護の規律の考え方｜個人情報保護委員会

Q8：広報業務でAIを使う際、会員の写真や受賞情報は使えますか?

A：本人の同意がある場合のみ使用可能です。ただし、AIへの入力は最小限に。

写真の取り扱い:

• 顔写真は「個人識別符号」に該当する可能性がある生体情報
• 画像認識機能に会員の顔写真を入力することは避ける
• 写真を使用する場合は、事前に本人の同意を取得

受賞情報の取り扱い:

• 公開された受賞情報（プレスリリースなど）は利用可能
• ただし、AIに入力する際は氏名を仮名化し、生成された文章に氏名を後から挿入する

【参考】

・肖像権ガイドライン｜デジタルアーカイブ学会
・写真著作権と肖像権｜公益社団法人日本写真家協会

Q9：学会独自の「AI利用ガイドライン」には何を盛り込むべきですか?

A：最低限、以下の5項目を含めることを推奨します。

1. 利用可能なAIツールの範囲(学会として推奨/禁止するツール)
2. 入力禁止情報の明確化(個人を特定できる情報のリストと匿名化の方法)
3. AI生成コンテンツの取り扱い(人間による確認プロセスの義務化、著作権)
4. インシデント発生時の対応(報告フロー、担当者の連絡先)
5. 定期的な見直し(ガイドライン更新の頻度)

【参考】

・生成AI（ChatGPT等）関連情報｜東京大学
・生成AIなどの利用について｜早稲田大学
・生成AI利用に関するガイドライン｜京都外国語大学
・生成AIの活用に関するガイドライン｜明治大学

Q10：海外の会員がいる場合、GDPRなど海外の規制も考慮すべきですか?

A：はい。

EU在住の会員がいる場合、GDPR（EU一般データ保護規則）への対応が必要です。日本の学会でも、EU在住の会員がいる場合はGDPR対応が求められます。

GDPR対応の主要ポイント:

• データ処理の法的根拠:会員規約で個人データの利用目的（AI分析を含む）を明示
• データ主体の権利保障:アクセス権、削除権、データポータビリティ権の保障
• データ保護影響評価(DPIA):AI活用がプライバシーに与える影響を評価

【参考】

・EU（外国制度）GDPR（General Data Protection Regulation：一般データ保護規則）｜個人情報保護委員会
・特集 EU一般データ保護規則（GDPR）について｜日本貿易振興機構(JETRO)

Q11：AIツール利用による個人情報漏洩が発生した場合、どう対応すべきですか?

A：速やかな事実確認、関係機関への報告、会員への通知が必要です。

AIツール利用に起因する個人情報漏洩が発生した場合の対応手順：

1. 初動対応(発覚から24時間以内)：漏洩の範囲と原因の特定、AIツールの使用を一時停止
2. 報告義務の履行：個人情報保護委員会への報告（「要配慮個人情報」や1,000人以上の漏洩など）
3. 本人への通知：漏洩したデータの項目、原因、二次被害防止のための措置を通知
4. 再発防止策：AI利用ガイドラインの見直し、職員研修の実施

【参考】

・漏えい等報告について｜個人情報保護委員会
・漏えい時の対応について（行政機関等編）　｜個人情報保護委員会
・テレワークセキュリティガイドライン｜総務省
・インシデント損害額調査レポート 別紙 2025年版｜日本ネットワークセキュリティ協会

Q12：無料版と有料版、個人情報保護の観点でどちらを選ぶべきですか?

A：個人情報を扱う可能性がある業務では、有料版の導入を強く推奨します。

無料版のリスク：入力データが学習に使用される可能性、データ削除ポリシーが不明確など。

有料版(エンタープライズプラン)の利点：

• データを学習に使用しない保証
• データレジデンシー（保存場所）の選択が可能
• セキュリティ認証取得（ISO27001、SOC2など）
• SLA（サービス品質保証契約）、監査ログの保存

【参考】

・価格設定 – Claude Docs｜Anthropic
・Microsoft 365 Business のプランと価格｜Microsoft
・柔軟な価格プラン オプションの比較 | Google Workspace

Q13：会員から「AIに自分のデータを使わないでほしい」と要望があった場合は?

A：オプトアウト（利用拒否）の権利を尊重し、該当会員のデータはAI分析から除外してください。

個人情報保護法では、本人から利用停止の請求があった場合、正当な理由がない限り、これに応じる義務があります。

実務的な対応手順：

• オプトアウトの受付体制整備：会員マイページに選択肢を設置し申し出を受け付ける
• データベースでの管理:会員データベースに「AI利用可否」のフラグを追加
• 会員への情報提供:AI活用の目的と方法を透明に説明し、オプトアウトしてもサービスに不利益がないことを明示

【参考】

・「貴社が保有する私の情報全てを開示せよ」という請求があった場合には、どのように対応したらよいですか。｜個人情報保護委員会
・保有個人データ等の開示等の請求手続について｜日本弁護士連合会

まとめ

AI活用における個人情報保護は、「使わない」ことではなく、「適切に使う」ことが重要です。匿名化、適切なツール選定、学会独自のガイドライン整備により、個人情報を保護しながらAIの恩恵を受けることが可能です。

実践のための3つのステップ:

• 現状把握:学会が保有する個人情報の種類と量を整理
• ガイドライン策定:本FAQを参考に学会独自のAI利用ルールを作成
• 段階的導入:リスクの低い業務(匿名化済みデータの分析など)から開始

【実践チェックリスト】AI活用開始前の10項目確認

学会事務局がAI活用を開始する前に次の項目を確認してください:

• ガイドライン：学会独自のAI利用ガイドラインを作成した
• 会員規約：会員規約にAI利用の可能性を明記した
• 匿名化ルール：個人情報の匿名化基準を定めた
• ツール選定：使用するAIツールのプライバシーポリシーを確認した
• 有料版検討：個人情報を扱う場合、有料版導入を検討した
• 担当者設置：個人情報保護担当者を決めた
• 研修実施：事務局スタッフ向けにAI利用研修を行った
• オプトアウト：会員がAI利用を拒否できる仕組みを作った
• インシデント対応：漏洩発生時の連絡フローを整備した
• 定期見直し：ガイドライン見直しのスケジュールを決めた

【規模別の推奨対応】

学会の規模に応じた現実的な対応策:

規模	会員数	推奨対応策
小規模学会	100名以下	無料版ツール＋徹底した匿名化。簡易版ガイドライン（A4用紙1枚程度）。
中規模学会	100〜500名	有料版ツールの部分的導入。詳細なガイドライン（5〜10ページ）。個人情報保護担当者の設置。
大規模学会	500名以上	エンタープライズプランの全面導入。包括的なガイドライン＋運用マニュアル。個人情報保護委員会の設置。

個人情報保護とAI活用は対立するものではなく両立可能です。適切な知識と対策により、安全で効果的なAI活用を実現してください。

会員と社会の信頼を損なわないよう、透明性と誠実さを持って取り組むことが持続可能なAI活用の鍵となります。

【参考】

・個人情報の保護に関する法律（平成15年5月30日法律第57号）｜e-GOV法令検索
・AI利活用ガイドライン｜総務省（ＡＩネットワーク社会推進会議）