AIの進化により、私たちの生活は便利になった。しかし、自分自身に関する情報、プライバシーが、AIによって、どこでどう使われているか把握することは困難になっている。個人のプライバシーをめぐり、どんな問題が起きているのか、それらに対する有効な対処法は何か。慶應義塾大学総合政策学部の新保史生教授による論考。

いつの間にかAIに囲まれている

朝、スマートフォンの音声アシスタントに今日の天気を尋ねる。通勤中、SNSのタイムラインには絶妙に自分の好みに合った投稿が並ぶ。仕事では生成AIに資料の要約やプレゼン資料の作成を頼む。夜は動画配信サービスがお薦め動画を再生してくれる。

いつの間にか、私たちの暮らしはAIに支えられている。AIの進化によって便利になったことは間違いない。一方で、自分に関する情報が、いつ、どこで、誰によって集められ、誰に提供され、何のために使われているのか、その全体像を把握することは、技術の進歩に比例して難しくなっている。

「個人情報を適正に取り扱う」とともに「個人のプライバシーを保護する」ことが、なぜAI時代にはこれほど難しくなっているのか。私たちの身の回りで起きている問題を整理しながら、世界と日本がどのようにルールづくりに取り組んでいるのか、そして一人ひとりに何ができるのかを考えるうえで押さえておきたい事柄を、以下に挙げてみたい。

AIは「データを集めて学ぶ」仕組みである

現在広く使われているAIは、大量のデータを読み込み、その中からパターンや規則性を見つけ出して、新しい入力に対する答えを導き出す仕組みである。写真を見分けるAIには何百万枚もの画像、文章を生成するAIにはウェブ上の膨大な文章、話しかければ答えてくれるAIの背景には、誰かが書いた質問とその答えの蓄積がある。

AIは様々なデータを学習しているが、それらのデータには個人に関する情報が含まれていることがある。顔写真、声、文章、購買履歴、位置情報、検索履歴。このような情報は私たちが自らSNSにアップロードしたものに限らない。「無料」で使えるサービスの多くは、私たち自身のデータが対価となって成り立っていることを日頃意識することはあるだろうか。

ここで重要なのは、AIは私たちのデータを単に「使う」のではなく、「学ぶ」ということである。使うだけならば、利用をやめれば終わる。しかし一度学ばれたデータはAIの中に取り込まれ、別のかたちで出力に影響を与え続ける。便利さの背後には必ずデータの取扱いがあること、そして「使う」と「学ぶ」とでは性質が異なることを、忘れてはならない。

身近に起きているプライバシーの問題

プライバシーという概念は抽象的であり、その問題の本質や深刻さは伝わりにくい。そこで、私たちの身の回りで起きている具体的な場面をいくつか挙げてみたい。

(1) 生成AIに入力した情報の行方

業務上の確認や調査が必要な事項、名簿、内部資料などを生成AIに入力した場合、それらの情報の行方について考えたことはあるだろうか。面識のない外部の業者にそれらの情報が記された書類を渡す場面を思い浮かべてほしい。相手はその書類をどのように取り扱うのか、無断でコピーをとらないか、別の仕事に流用しないか、不安になるであろう。

生成AIに情報を入力するということは、これに近い状況を、しかも一日に何度も繰り返していることになる。社内で取り扱っている機密情報や個人に関する情報が外部に漏えいしてしまう事故につながりかねない。

(2) ディープフェイクと「なりすまし」

ディープフェイクと「なりすまし」の問題も意識しなければならない。SNSにアップロードした自分や家族の写真・声が、別人の発言や行動と組み合わされ、本物と区別がつかない動画として拡散される。著名人だけの問題ではなく、一般の人々や子どもまで巻き込まれる事案が、今後さらに増えるおそれがある。

顔の画像や声は、それ自体が個人を識別しうる情報であり、個人情報保護法に基づいて保護される対象でもある。本人が同意していない提供や、本人になりすました情報の流通は、プライバシー侵害であると同時に、社会の信頼の基盤を損なう問題でもある。

顔や声は、その人を最も端的に表す情報そのものであり、それが本人の知らないところで別人として動かされる事態は、単なる情報の漏えいを超え、人格そのものへの侵害ともいえる。

(3) AIによる審査とバイアス

人材採用の選考、金融取引の審査、保険料の算定など、人生の岐路でAIが判断を下すケースが増えている。便利な反面、過去のデータに含まれていた偏りをAIが「学習」してしまい、特定の属性の人が知らないうちに不利に扱われるおそれがある。

プライバシーとは、自分に関する情報を秘匿することにとどまらず、自分の情報をどう扱われるかを自分で決め、自分の人生を自分で選び取っていく権利でもある。誰がどのデータをもとに自分を評価したのかを知ることもできず、結果に反論することもできない。そのような状況は、「自己決定としてのプライバシー」の侵害といえる。

(4) 子どもとデータ

ゲーム、オンライン学習サービス、SNSなど、子どもたちが日々利用するサービスは、本人が理解する以上に多くのデータを集めている。子どもから個人情報を取得する場合の問題として、これまでは、事理弁識能力の観点から利用目的などを適切に理解できない状態で情報が取り扱われることへの懸念が、一般に認識されてきた。

しかし、AI時代における子どもの個人情報保護の本質は、長年にわたって蓄積され続けるデータが、将来どのような形で使われるか、現時点では誰も完全には予測できないことにある。今日の何気ない入力が、十年後、二十年後の本人の進路や評価に影響を及ぼす可能性すら否定できない。

「忘れられる権利」と「学ばれない権利」

インターネットの普及以来、個人情報をめぐる議論の中心にあったのは、「一度ネット上に公表された情報は容易には消せない」という問題であった。人の評判を左右する書き込みや写真が拡散すると、それらを完全に消し去ることは至難である。事後にどれだけ救済を求めても、完全な原状回復は望みにくい。

欧州連合（EU）は、個人データ保護のための「一般データ保護規則（GDPR）」（注1） において「忘れられる権利」（注2） を定めている。大量の個人データが取得され、ビッグデータとして利用されることを念頭に置いたものである。取得されたデータから忘れられることで個人の権利利益を保護しようとする考え方であるが、AI時代には一度学習されたデータは、人間の学習とは異なり忘れられることがない。

それに加えて、「自分の顔や声をはじめ、個人に関する情報をAIに学習されない」権利を保障することが重要になっている。

2023年3月には、イタリアのデータ保護当局が、対話型AIの代表格であるChatGPTについて、GDPRに照らして学習に用いる個人データの取扱いの根拠が不明確であること、子どもへの配慮が不十分であることなどを理由に、自国内での利用を一時停止する命令を出した（同年4月にOpenAIが対応策を示し、この措置は解除された・注3） 。

クリエイターが自身の作品の無断利用に声を上げる事例、報道機関がコンテンツの取扱いをめぐって提訴する事例も相次いでいる。米国ではニューヨーク・タイムズ紙が大手AI企業を提訴し、日本でも2025年夏以降、読売新聞、日本経済新聞、朝日新聞が、生成AI検索サービスを提供する米国企業に対して記事の無断利用などを理由に提訴している（注4） 。

「忘れてもらう」だけでなく「学ばないでもらう」ためのルールづくりが、世界的な課題となっている。

しかし、「学ばれない権利」を保障することは容易ではない。AIの学習に必要な大量のデータは、ネット上から自動的に収集される。これを「データ・スクレイピング」と呼ぶ。検索エンジンが情報を集める仕組みに似ているが、生成AIの場合、集められたデータが学習に取り込まれ、別の場面で出力されてしまう点が異なる。

一度学習されたデータを、後から完全に取り除くことは技術的に難しい。だからこそ、「集められる前に、学習対象から除外しておく」仕組み、すなわち「学ばれない権利」を保障するための制度と、それを実現する技術を構築できるか否かが、今後の鍵を握る。

夏井高人『ネットワーク社会の文化と法』（日本評論社、1997年）189頁・191頁では、「個人情報をデジタル化させないで放置してもらうことを求める権利」を「現代的な意味で個人の静穏を維持する権利」と説明していた（注5） 。本書が公刊されて四半世紀が経った現在、AIによる学習から放置してもらう権利がいかに重要になるかを、すでに見通していたかのようである。 

世界におけるAI統治に向けたルール検討の現状

AIをめぐる課題への対応は、一国の制度だけで完結するものではない。世界では「AI統治（AIガバナンス）」という枠組みのもとで、さまざまな取り組みが進められている（注6） 。

AI統治とは、AIを健全に活用するための総合的な仕組みのことであり、法律による規制だけでなく、国際的な合意、業界のガイドラインなどの自主規制、ISOやJIS規格などの標準規格、技術的な対策、企業内部における管理体制、そして社会的受容性といった社会の中での合意形成までを含む幅広い概念である。

経済協力開発機構（OECD）が2019年に採択した「AIに関する理事会勧告（AI原則） 」（注7）、2023年5月のG7広島サミットで日本が主導した「広島AIプロセス」 （高度なAIシステムに関する国際的なルールづくりを目指す枠組み・注8）、各国の国家戦略、国際標準・国内標準など、その層は何重にも及ぶ。

法規制を重視する欧州、柔軟なガイドラインを中心とする日本、体制維持の観点から急速に法整備を進めた中国、テック企業と政府の役割分担を模索する米国。いずれも完成形ではなく、各国・各地域がそれぞれの事情に応じて、AI統治に向けた試行錯誤を続けている現在進行形の取り組みである。

とりわけ、いち早く包括的な取り組みに着手したのがEUである。EUは個人データの保護についてGDPRを定め、世界各国の個人情報保護制度に大きな影響を与えてきた。

そして2024年には、世界で初めての包括的なAI統治のための「AI法」（注9） を制定した。AI法は、AIシステムを「リスクの高さ」で分類するのが特徴である。

人を点数付けして社会的に格付けするような、人の尊厳を傷つける用途は原則禁止する。医療や雇用、教育のように人生に大きな影響を及ぼす場面で使われるAIは「高リスク」と位置づけ、安全性確認や記録保存などの厳しい義務を課す。一般的なチャットボットなどは情報開示を求めるといった段階的な仕組みである。

EUが定めたルールは、EU域内にAIを利用した製品やサービスを提供する世界中の事業者に影響する。日本企業もEUで事業を展開しているため無関係ではいられない。EUのルールが事実上の世界標準として機能する現象は、「ブリュッセル効果」（注10）と呼ばれている。

なお、EUは2025年11月にデジタル分野の規制を整理し、事業者の負担を軽減するための見直し案を「オムニバス・パッケージ」（注11） として公表している。

「オムニバス」とは、複数の関連法令を一括して改正する手法のことを指す。今回の見直しでは、GDPR、AI法、サイバーセキュリティに関する法令など、デジタル分野の複数の法令にまたがって発生していた手続の重複や過度に煩雑な書類作成などが対象となっている。

法規制は一度検討が終われば完結というものではなく、技術と社会の変化に合わせて改善され続けるものであることを、EUの動向は示しているとも言える。

 日本における取り組み

日本では、個人情報の適正な取扱いと保護については、「個人情報保護法」が社会の変化に合わせて改正を重ねてきた。

個人情報の有用性に配慮しつつ適正な取扱いを確保するために事業者に必要な義務を課す一方で、本人を特定できないように加工した「匿名加工情報」、本人の特定を困難にした「仮名加工情報」など、データを安全に活用するための仕組みも整備されている。

さらに、本稿執筆時点（2026年5月）で審議がなされている個人情報保護法の改正案においては、AI開発等のためにデータを横断的に解析するニーズが高まっている現状を踏まえ、統計作成等、特定の個人との対応関係が排斥された一般的・汎用的な情報の分析結果の獲得と利用のみを目的とした取扱いを実施する場合に本人同意要件を緩和するための法改正が検討されている。

個人情報保護については監督機関も設置されており、「個人情報保護委員会」が法令違反への指導・勧告・命令などの法執行に対応するとともに、各種の相談に応じており、海外当局との協力も担っている。

AI統治については、日本の取り組みはガイドラインを軸とする柔軟な運用を選択してきた。総務省と経済産業省が公表した「AI事業者ガイドライン」（注12） は、AIの開発・提供・利用に関する包括的な指針として、国際的にも精緻な内容と評価されている。

2025年には「人工知能関連技術の研究開発及び活用の推進に関する法律」（AI推進法・注13 ）が制定され、研究開発から活用までの政策を一体的に進めるための法的な礎も整備されている。

一方、製品の安全性を確保するための規格（JIS）の世界では、AIマネジメントシステムに関する規格（JIS Q 42001・注14 ）が整備されるなど、安心してAIを開発・運用するための「品質保証」の枠組みが整いつつある。「ものづくり」と「品質管理」を伝統として育んできた日本にとって、AIの安全と信頼を保証する仕組みづくりは本来得意とする領域でもある。

おわりに ― AIと共に生きる社会への心構え

AIとプライバシーは、対立するものとして語られがちである。便利さを取るか、プライバシーを取るかという二者択一で。しかし実際には、両者を両立しなければ、急速な進化を続けるAIへの信頼は得られず、長期的にはAIの恩恵そのものが損なわれることにもなりかねない。

「事後にどう救済するか」より「事前にどう防ぐか」を重視する考え方を、プライバシー保護の分野では「プライバシー・バイ・デザイン」と呼ぶ。

サービスを設計するとき、最初からプライバシー保護の仕組みを組み込む。データを利用する際には、その範囲を必要最小限にとどめる。問題が発生した際には、止められる仕組みを準備しておく。難しい技術論に見えるが、個人情報の適正な取扱いと保護を実現することによって、結果的に個人のプライバシーをも守ろうとする取り組みである。

便利な技術は、安心して使うことができてはじめて、社会で広く受け入れられるということを忘れてはならない。

（本研究は、JSTムーンショット型研究開発事業、JPMJMS2215の支援を受けたものである。）

注１　Regulation (EU) 2016/679 of the European Parliament and of the Council of 27 April 2016 on the protection of natural persons with regard to the processing of personal data and on the free movement of such data (General Data Protection Regulation), OJ L 119, 4.5.2016.

注２　GDPR第17条。同条は「削除権（消去権）」を本則とし、いわゆる「忘れられる権利」を制度化したものとされる。

注３　Garante per la protezione dei dati personali, Provvedimento del 30 marzo 2023 [doc. web. n. 9870832]. なお、同年4月28日にOpenAIによる対応策の提示を受けて当該措置は解除されている。

注４　米国における代表事例として、The New York Times Co. v. Microsoft Corp. & OpenAI, Inc., S.D.N.Y., Case No. 1:23-cv-11195（2023年12月27日提訴）。日本における事例として、読売新聞社等によるPerplexity AI, Inc.に対する提訴（2025年8月7日）、日本経済新聞社・朝日新聞社による同社に対する提訴（2025年8月26日）。

注５　夏井高人『ネットワーク社会の文化と法』（日本評論社、1997年）189頁・191頁。

注６　これまでの諸外国における取り組みについては、新保史生「AI規制の国際動向」都市問題115巻2号18-25頁（2024年）。新保史生「EUのAI法（AI整合規則提案）の制定に向けた検討とその影響について」日本経済研究センター欧州研究プロジェクト報告書61-80頁（日本経済研究センター、2023年）を参照されたい。

注７　経済協力開発機構（OECD）「AIに関する理事会勧告」（Recommendation of the Council on Artificial Intelligence, OECD/LEGAL/0449, 2019年5月22日採択）。

注８　G7広島サミットの首脳声明（2023年5月20日）を受けて開始された、生成AIに関する国際的なルール形成を目指す枠組み。同年12月に「広島AIプロセス包括的政策枠組み」が承認された。

注９　Regulation (EU) 2024/1689 of the European Parliament and of the Council of 13 June 2024 laying down harmonised rules on artificial intelligence (Artificial Intelligence Act), OJ L, 2024/1689, 12.7.2024.

注10　 Anu Bradford, The Brussels Effect: How the European Union Rules the World (Oxford Univ. Press, 2020). 邦訳として、アニュ・ブラッドフォード（著）、庄司克宏（監修・翻訳）『ブリュッセル効果 EUの覇権戦略－いかに世界を支配しているのか』（白水社、2022年）。

注11　 European Commission, Proposal for a Regulation amending EU digital legislation (Digital Omnibus), COM(2025) 837 final; European Commission, Proposal for a Regulation amending the AI Act (Digital Omnibus on AI), COM(2025) 836 final（いずれも2025年11月19日公表）。

注12　総務省・経済産業省「AI事業者ガイドライン（第1.0版）」（令和6年4月19日）。その後、第1.01版（令和6年11月22日）、第1.1版（令和7年3月28日）に改訂されている。

注13　人工知能関連技術の研究開発及び活用の推進に関する法律（令和7年法律第53号）。

注14 　JIS Q 42001:2025「情報技術－人工知能－マネジメントシステム」。解説は、髙村博紀・杉村領一・原田要之助・新保史生・畔津布枝・坂本静生・保木野昌稔・若井秀子・江川尚志『ISO/IEC 42001:2023（JIS Q 42001:2025）情報技術－人工知能－マネジメントシステム 要求事項の解説』日本規格協会（2025年）。

＜執筆者略歴＞
新保 史生（しんぽ・ふみお）
慶應義塾大学総合政策学部教授。総務省情報通信政策研究所特別研究員。個人情報保護委員会委員。
1994年法政大学経済学部卒業。1999年駒澤大学大学院法学研究科公法専攻博士課程修了。博士（法学・駒澤大学 プライバシーの権利の実体的研究：憲法学上の新視座）。
研究分野は公法学、新領域法学。
監訳書に「ロボット法」（ウゴ・パガロ著・2018・勁草書房）編著に「公共政策と変わる法制度」（2023・慶應義塾大学出版会）など。

【調査情報デジタル】
1958年創刊のTBSの情報誌「調査情報」を引き継いだデジタル版のWebマガジン（TBSメディア総研発行）。テレビ、メディア等に関する多彩な論考と情報を掲載。原則、毎週土曜日午前中に2本程度の記事を公開・配信している。　

・「コバエが、料理に一瞬だけ止まってしまった！」その料理、衛生的に大丈夫？専門家に聞いた
・“ポカリ”と“アクエリ” 実は飲むべき時が違った！ “何となく”で選んでいませんか？効果的な飲み分けを解説【Nスタ解説】
・55歳母親を暴行死させた37歳男は“ヤングケアラー”だった　10歳から家事に追われた男と母親の「狂気の関係」