AI・データ利活用と法規制 | 中小企業診断士1次試験経営法務

経営法務でAI関連の問題が増えてきていると聞いて、個人情報保護法の改正とAI利活用の関係を整理してみました。「AIが書いた文章は誰の著作物か？」という問いが著作権法の根幹を揺るがしていて、試験でも出題が増えると感じています。

2022年の個人情報保護法改正、そして生成AIの急速な普及により、経営法務科目のAI・データ関連の出題比重が高まっています。「情報を集める・使う・共有する」という企業活動のすべてに法律が絡む時代。試験対策として、個人情報の3分類とAI著作権の論点を中心に整理します。

個人情報保護法の2022年改正ポイント

2022年4月に全面施行された改正個人情報保護法（いわゆる「2020年改正」の施行版）は、デジタル社会の実態に合わせて大幅に強化されました。以下の4つの改正ポイントは試験頻出です。

POINT 01

仮名加工情報の新設

他の情報と照合しなければ個人を識別できないよう加工した情報の類型を新設。内部分析には活用しやすく、第三者提供は原則禁止

POINT 02

データポータビリティ（利用停止等の強化）

個人が自分のデータの利用停止・消去を請求できる権利を拡大。「不正取得」以外の理由でも利用停止請求が可能に

POINT 03

漏洩報告義務の強化

個人情報の漏洩が発生した場合、個人情報保護委員会への報告と本人通知が義務化。報告期限は原則として「速やかに（概ね3〜5日以内）」の初報、30日以内の確報

POINT 04

外国第三者提供規制の強化

外国の第三者へ個人データを提供する場合、移転先国の体制確認・契約締結・本人への情報提供が必要に。クラウド利用でも適用される場合がある

「72時間以内」報告について：試験では漏洩報告の期限が問われることがあります。個人情報保護法の報告義務は「速やかに（概ね3〜5日以内）」の初報と「30日以内（不正アクセス等は60日以内）」の確報の2段階です。EUのGDPRが「72時間以内」と規定していることと混同しないよう注意が必要です。

AIと著作権の論点

生成AIが普及する中で、「AIが生み出したコンテンツの著作権は誰にあるのか」という問いが重要な論点になっています。著作権法の基本原則から整理しましょう。

論点	現行法の考え方（日本）	実務上のポイント
AI生成物の著作物性	著作物の要件は「人の思想・感情を創作的に表現したもの」。AIのみが生成したものは著作権なし	人間が創作的に関与した場合は、その人に著作権が発生しうる
学習データの著作権（30条の4）	情報解析目的でのAI学習用データ利用は、著作権者の許諾不要（非享受利用）	学習に使うことはOKだが、その出力物が元の著作物に類似していると侵害になりうる
AI出力物と元データの類似	出力物が学習データと実質的に類似している場合、著作権侵害の可能性あり	生成AIを使う際は「類似確認」の仕組みが重要になる

著作権法30条の4（柔軟な権利制限）：2018年の著作権法改正で設けられた規定で、AI開発・機械学習等の情報解析目的での著作物利用を、著作権者の同意なく可能にする規定です。ただし「著作物の享受」を目的としない場合に限られます。試験では「AI学習での無許諾利用が認められる根拠規定」として問われることがあります。

データ利活用の法的スキーム：3分類の比較

個人情報保護法では、データの加工・利用可能性に応じて3つの類型が設けられています。それぞれの違いを正確に理解することが試験の要です。

類型	個人の識別	第三者提供	利用目的の制限	特徴・用途
個人データ	識別可能	原則、本人同意が必要	取得時に明示した目的の範囲内	通常の顧客情報・購買履歴など
仮名加工情報	他情報との照合なしに識別不可	第三者提供は原則禁止	制限あり（当初と別目的での内部利用は可）	社内分析・AIモデル開発向け。2021年改正で新設
匿名加工情報	識別不可（復元も不可）	公表・提供は可能	制限なし（目的外利用も可）	データ流通・第三者提供向け。加工基準が厳格

仮名加工情報と匿名加工情報の違いを一言で：仮名加工情報は「社内での分析には使えるが外部には出せない」、匿名加工情報は「外部に提供できるが加工が厳格」というイメージで整理してください。試験では「仮名加工情報の第三者提供の可否」と「新設された年（2021年改正）」がよく問われます。

AI倫理ガイドラインと規制動向

AIの急速な普及を受け、各国・各機関がガイドラインや規制を整備しています。試験で問われる可能性があるのは、日本の総務省ガイドラインとEUのAI規制法です。

規制・ガイドライン	概要	特徴
総務省「AI利活用ガイドライン」10原則	2019年策定。AIを適切に利活用するための10の行動原則（透明性・アカウンタビリティ・セキュリティ等）	法的拘束力なし。ソフトロー（自主的な行動規範）として機能
EU AI Act（AI規制法）	2024年成立。AIをリスクレベル（許容不可・高リスク・限定リスク・最小リスク）に分類し規制	高リスクAI（採用・信用審査等）には厳格な事前要件。世界初の包括的AI法規制
日本のAI推進政策	2023年「AI戦略会議」設置、「広島AIプロセス」でG7が国際的ガイドラインに合意	「人間中心のAI」を基本方針に、イノベーション促進と安全のバランスを模索

EU AI Actの「高リスクAI」とは：EU AI Actでは、採用・昇進判断、信用スコアリング、重要インフラ管理、法執行などに使われるAIを「高リスクAI」と分類し、透明性・データガバナンス・人間による監視などの厳格な要件を課しています。日本企業でもEUに展開する場合は対応が必要です。

身近な例：AIチャットボット導入の法務チェック

顧客対応にAIチャットボットを導入する場面は、中小企業でも現実のものになっています。実際に導入するとき、法務的に確認すべき5つのポイントを整理します。

CHECK 01

個人情報の取扱い

チャットで収集する個人情報（氏名・メールアドレス等）の利用目的を明示し、プライバシーポリシーに記載しているか確認する
CHECK 02

利用規約・免責事項

AIによる回答の正確性・信頼性の限界について利用規約に明記し、重要な意思決定は人間が判断するよう案内しているか確認する
CHECK 03

著作権・知的財産

AIが生成する回答に既存著作物と類似するコンテンツが含まれる可能性を考慮し、知財侵害リスクを把握しているか確認する
CHECK 04

説明責任・アカウンタビリティ

AIが自動的に判断・提案した内容について、顧客から説明を求められたときに対応できる体制があるか確認する
CHECK 05

差別・公平性の問題

AIが特定の属性（性別・年齢・国籍等）に対して不公平な応答をしていないか、定期的にモニタリングする仕組みがあるか確認する

試験頻出ポイントの整理

経営法務のAI・データ関連問題は、定義の正確な理解と年号・機関名の組み合わせを問う形式が中心です。以下のポイントを最終確認しておきましょう。

仮名加工情報は2021年改正で新設

匿名加工情報との違いは「識別可能性の程度」と「第三者提供の可否」。仮名は提供禁止・匿名は公表・提供可能という逆の制度設計
漏洩報告義務は2022年施行の改正で義務化

個人情報保護委員会への報告と本人通知の2段階が義務。EUのGDPR「72時間以内」との混同に注意
AI生成物に著作権は発生しない（原則）

著作権の要件は「人の思想・感情の創作的表現」。AIのみが生成した場合は著作権者なし。ただし人間の創作的関与がある場合は別
AI学習データの無許諾利用は著作権法30条の4で認められる

情報解析目的（非享受目的）なら許諾不要。ただし出力物が元著作物と類似する場合は侵害になりうる