生成AIの業務利用が一気に広がる中、個人情報保護法の「3年ごと見直し」が本格的に動き出しています。見直しの焦点は、AI開発を含むデータ利活用における本人関与のあり方や、未成年者データの利用や第三者提供に付随するリスク対応など、AIの普及・発展や個人データの活用が進む昨今、より重視されるようになった領域です。

本記事では、その目的と方向性、これまでの経緯を整理した上で、情シスが中心となって整備すべき、AI利用ポリシーの設計ポイント、ログ管理・監査の実装ポイントを、現場で判断しやすい形に落とし込んで解説します。

【関連記事】AIの規制や法整備について、EUおよび日本のAI戦略を解説

個人情報保護法の「3年ごと見直し」とは何か──制度の目的とこれまでの経緯

そもそも、個人情報保護法の「3年ごと見直し」とは何なのでしょうか？

実は、個人情報保護法（令和2年改正）では附則において、政府が施行後3年ごとに、国際動向やICTの進展等を踏まえて施行状況を検討し、必要に応じて措置を講ずることが定められています。個人情報保護委員会（PPC）がこの規定を踏まえて進めているのが、いわゆる「3年ごと見直し」です。

特にIT・デジタル分野では、個人情報を活用した新たなサービスやデータ利用の形態が次々に生まれています。そのため、法律を一度整備しただけでは、数年後には実態との乖離が生じかねません。3年ごとの見直しは、そうした“制度の陳腐化”を防ぎ、適切なアップデートを進めるための仕組みといえるでしょう。

前回の令和2年改正では、漏えい等が一定の要件に該当する場合のPPCへの報告・本人通知が義務化されました。また、Cookieなどに代表される「個人関連情報」について、提供先で個人データとなることが想定される場合には、第三者提供にあたり本人同意の確認が求められるなど、デジタル広告・分析の実務を意識した整理も進みました。

加えて、海外事業者へのデータ移転、いわゆる越境移転についても、移転先の国や事業者の体制に関する情報提供義務が強化されるなど、グローバルなデータ流通を意識した対応が進められました。

2026年以降の「3年ごと見直し」で焦点となる4本柱とは？

今回の見直しで焦点となる論点は4つあります。それぞれ、詳しく見ていきましょう。

1.適正なデータ利活用の推進

最初に挙げられるのが、生成AIともかかわりの深い「適切なデータ利活用の推進」です。本領域では、個人データを適切に活用できる範囲の再整理が焦点となります。

例えば、個人データの第三者提供や公開されている要配慮個人情報の取得について、「統計情報等の作成」にのみ利用されることが担保されるなど一定条件のもとで、本人同意を不要とする方向性が示されています。

AI開発などで個人データを活用する企業は本領域を深く理解し、制度に合致した個人データの活用範囲や本人関与のあり方を押さえておく必要があります。

2.リスクに適切に対応した規律

この領域では、データの性質や利用シーンによって変わるリスクに合わせて規律を設計する方針が示されています。

具体例として、16歳未満の同意取得や通知の相手を法定代理人とすることの明文化、未成年者の利用停止等請求の要件緩和、未成年者の最善の利益を優先して考慮すべき旨の責務規定などが挙げられます。

また、顔特徴データ等については一定の事項の周知を義務化する、利用停止等請求の要件を緩和する、漏えい等発生時に本人の権利利益の保護に欠ける恐れが少ない場合は通知義務を緩和する、といった方針も示されています。

さらに情シス実務に直結するのが、AIベンダーやBPO等を含む「データ処理等の委託を受けた事業者」に関する規律の見直しです。

3.不適正利用等の防止

ここでは、個人データ等が犯罪行為等に用いられるリスクが高まっていることを踏まえて、悪用されやすい情報の不適正利用・不正取得を抑える方針が示されています。

例えば、特定の個人に働きかけが可能となる個人関連情報等について、不適正利用・不正取得の禁止を掲げるほか、オプトアウト提供時の提供先の身元・利用目的の確認義務化が示されています。

4.規律遵守の実効性確保

ここでは、個人データ等が不適切に取り扱われた場合の是正と、将来の違反の抑止について定める方針が示されています。

速やかな対処を可能にする命令要件の見直しや、本人への通知・公表等を命じ得る仕組み、違反を補助する第三者への中止要請の根拠規定の制定、罰則強化に加え、特に注目されるのが 「課徴金制度」 の導入です。大量の個人情報を扱う悪質な違反行為に対して、違反によって得られた財産的利益等に相当する額の納付を命ずる方向性が示されています。

ここまでの4本柱を、情シスの実務に引き戻すと、今から検討すべきポイントは、生成AIを含むデータ利活用を念頭に置いた個人データ利活用ポリシーの見直しと、リスク対応の規律や実効性確保の強化を見据えたログ・監査の仕組みの整理です。

まずは、適切な「AI利用ポリシー」の実務設計について、要点を押さえていきましょう。

情シスが今すぐ整えるべき「AI利用ポリシー」──生成AI利用ポリシーで必ず定義すべき4つの軸

生成AIを巡る法的整理が進む一方で、足元の現場ではすでにAIの活用が進んでいます。

つまり、法改正を待ってそれに対応するのではなく、現時点でのリスクを前提に実務に即したルールを整えることが、今後のリスクを低減します。

実効性のある「生成AI利用ポリシー」の設計ポイントを4つの軸で整理し、詳しく見ていきましょう。

【関連記事】日本の生成AI利用率は？主要国との差や課題、解決策について解説

生成AIの活用方針を定めている企業は全体の49.7％

『令和7年版情報通信白書（総務省）』によると、生成AIの活用方針を定めている企業は2024年度調査で49.7％と過半数を割り込んでおり、特に中小企業で「方針を明確に定めていない」という回答が目立ちます。

生成AIの活用方針策定状況（国別）

活用方針の決定の立ち遅れは、利用ポリシーの不備に直結します。そもそもどんな軸で方針を定めればよいのか、ポリシーを考えればよいのか、が明確になっていない状況は、その立ち遅れの一因となっているでしょう。そこで、生成AI利用ポリシーの策定で必ず意識すべき4つの軸をご紹介します。

軸1：どのAIを使ってよいか

生成AIには、一般向けチャット、企業向けの管理機能付きサービス、API連携、オンプレミス型など複数の提供形態があり、 同じ“AI利用”でも、データの保存・再学習の扱いや、ログの取得可否、管理者機能の有無が大きく異なるため、利用対象を曖昧にすると統制が効きません。

そのため、以下のような観点でポリシーに沿ったAI活用ができるように整理が必要です。

• 利用を許可するサービス（社内指定のAI、承認済みベンダーなど）
• 禁止する利用形態（個人アカウントでの利用、無許可の外部AIサイトなど）
• API連携・プラグイン導入の扱い
• モデル更新時には再評価を行うか

軸2：何を入力してよいか

「どのAIを利用してよいか」の次に重要なのが、「何をAIに入力してよいか」です。 生成AIのリスクは「出力の誤り」だけでなく、「入力したデータが外部に渡る」ことにもあり、特に個人データや未成年者データの取り扱いについて細かく規定される方針であることは前述の通りです。

まずは最低でも以下の5パターンに情報を分類し、取扱いをポリシーに明記しておきましょう。

• 公開情報（社外に出ても問題ない情報等）
• 社内限定情報（社内資料、社内ルール等）
• 機密情報（契約、財務、設計、ソースコード等）
• 個人情報／個人データ（顧客・従業員等）
• 要配慮個人情報、未成年者データ、顔特徴データ等

例えば「入力してよい」とする場合でも、個人を特定できる要素を削る、伏せ字にする、要約してから投入する、など情報の分類に応じて扱いは変わります。

軸3：出力をどう扱うか

ハルシネーション（情報の誤り）や、著作権・ライセンスの混入など、生成AIの成果物が持つリスクも見逃せません。そのため、以下の観点で出力物の扱いを判別するルールを設け、フローチャートなどで誰もが活用可能にしておくと安心です。

• 出力は“参考情報”か、“成果物”として扱うか
• 提案書など、対外的な出力に使う場合の人手レビューは必要か
• コードへのレビューやチェックの手順は守られているか
• 採用、審査、評価などへの利用では適切な範囲で個人データが利用されているか

まず持っておくべき視点は、‟最終責任は人が持つ”ということです。その上で、人がどこまでAIを道具として使えるのかを定めることが重要となります。

軸4：例外をどのように扱うか

強固なポリシーを設けてもそれが実態に即さなければ、現場は別ルートで使いはじめてしまいます。 そこで現実的には、「原則禁止にする領域」と「例外申請で許可する領域」を分け、正規ルートを用意することが重要です。

• 例外申請が必要なケース（個人情報を含む、対外利用、API連携など）
• 申請時に提出すべき情報（目的、対象データ、利用AI、保存期間、低減策）
• 承認者（情シス＋法務／リスク部門＋事業部責任者）
• 承認後の条件（ログ取得、レビュー必須、期間限定など）

この仕組みを整えることで、現場は「どうすれば使えるのか」が分かり、情シスは「どの利用が起きているか」を把握できるようになります。

ここまでの4軸を定義したら、次のステップは「ポリシーの実運用」です。 ポリシーを机上の空論で終わらせず、実際に守れる状態にするため、また今回の3年ごと見直しでも重視されているデータ活用の「説明可能性」を保証するためにも、ログ管理と監査の仕組みが欠かせません。

リスクに応じたログ管理のポイントと、実務に即した監査設計のコツ

生成AIの業務利用においてますます重視される透明性や説明可能性の確保を支える土台となるのがログです。

重要なのは、ログを「たくさん集めること」ではありません。情シスが目指すべきは、ログ管理の仕組みを設計・運用することでAI利用を“監査可能な業務プロセス”として成立させることにあります。

全文ログの保存はリスクの温床となることも──優先して残すべきデータは何か

生成AIを業務で使う場合、ログ設計は“内容を全部残す”発想から入ると失敗しがちです。

安心のために全文保存が求められる場合が散見されますが、全文ログはそれ自体が高リスクなデータになります。そのため、必要なデータを必要な形で残すことを重視しましょう。

では、その必要なデータとは何か。

真っ先に挙げられるのが「メタデータ（監査ログ）」です。これは「誰が、いつ、どの機能を使い、どの範囲の社内リソースにアクセスしたか」という“行為の記録”で、事故対応や内部監査のベースになります。ここが整っていれば、少なくとも「関係者の特定」「影響範囲の推定」が可能となり、インシデント時の対応が加速します。

次に、必要な領域だけに限定して扱うのが、「プロンプト／応答の内容ログ」です。内容ログは、全社一律ではなく「高リスク業務」「規制・契約上の要請が強い業務」「調査が必要なとき」のように、目的と範囲を絞って運用するのが現実的です。例えば、法務・人事・顧客対応など、入力に個人情報が混ざりやすい領域は“内容を残すより、入れさせない統制を強める”方が効果的なこともあります。

さらに、AI生成物がどこに保存され、誰に共有されたのかを記録しておくことも重要です。その記録の保存に当たっては、DLP (Data Loss Prevention：情報漏えい対策)ツールや外部のログ管理システムが必要になる場合もあります。

平時は軽く回し、異常時に深掘りできる監査設計が重要

ログ監査は、平時に行われる「定期監査」とインシデントや疑義が生じたときに行われる「事後監査」に分けられます。

定期監査では、全件確認を目指すほど運用が破綻しやすいため、リスクベースで「普段と違う動き」を捉え、異常が見えたところだけを深掘りする設計が要点になります。

例えば、利用部門や利用頻度の急増、高リスク機能の利用、ガードレール違反、外部共有につながる操作といったイベントを起点に、監査対象を絞って追える状態にしておくことで、日常業務を止めずに説明責任の中核を押さえられます。

一方、事後監査で重要なのが、内容の正しさを議論する前に、証拠保全とタイムライン復元を優先することです。

対象アカウントや端末、関連するアクセス履歴、共有・ダウンロード履歴などを速やかに確保し、「誰が・いつ・何にアクセスし・どこへ出した可能性があるか」をメタデータ中心に再構成できれば、影響範囲の見立てと対外説明が現実的になります。

加えて、漏えい等報告については個人情報保護法3年見直しの方針にて、第三者確認等を前提とした「合理化」や、近年増加するサイバー攻撃を念頭に“報告様式・窓口の一元化”に向けた調整も示されています。こうした動きに備え、報告要否の一次判断に必要な証跡を、平時からメタデータ中心に復元できるようにしておくことが、負担の軽減につながります

求められるのは“説明できるAI運用”を整えておくこと

検討が進む個人情報保護法の「3年ごと見直し」に対し、情シスとして何に備えておくべきかについて、制度方針とともに整理しました。

生成AIは業務効率を大きく引き上げる一方、データの扱いを誤ると、リスク発生時の影響範囲が広がりやすい技術です。だからこそ情シスは、ポリシーとログを両輪に「何が起きたか」を説明できる運用を標準化し、委託先も含めた統制と証跡を積み上げていく必要があります。

なお、現在示されている内容は、個人情報保護委員会が公表した「制度改正方針」（2026年1月9日）をもとにした方向性です。そのため、今後、条文化・国会審議を経る過程で要件や適用範囲が調整される可能性があります。本記事をベースに体制を整えながら、実際の条文やガイドラインの確定に合わせて、社内ルール・契約条項・監査項目をアップデートしていきましょう。