# 企業の生成AI活用で重要な3つのコンプライアンス - 著作権・プライバシー・説明可能性

公開日: 2026-05-13 / 執筆者: 箕輪　旭 / カテゴリ: 生成AI, リテラシー

生成AIの活用が広がるにつれて、法的なリスクへの不安も高まっています。ただ、何が問題で、何が問題でないのかが整理されていないまま、漠然とした不安だけが残っているケースも少なくありません。

本記事では、生成AI活用において特に重要な3つの法的テーマである、著作権・プライバシー・説明可能性について、日本とEUの規制を対比しながら整理します。「うちは何に気をつければいいのか」の判断材料として、ぜひお役立てください。

## 著作権 - 「学習に使っていいか」と「出力して大丈夫か」は別の話

### 日本：学習は原則OK、「但し書き」に注意

日本の著作権法第30条の4は、AIの学習を念頭に置いて2018年に整備された規定です。「情報解析の用に供する場合」には、著作物を著作権者の許諾なく利用できると明示されています。つまり、**他者の著作物であっても、AIの学習に利用することは可能**ということです。

ただし、条文には「**著作権者の利益を不当に害することとなる場合は、この限りでない**」という但し書きがあります。判断の基準は、著作権者の現在の利用市場と衝突するか、将来の販路を阻害するかどうかです。たとえば、特定の作家の作風を模倣した文章を大量生成するためにその著作物を学習させる、といったケースは、この但し書きに引っかかる可能性があると議論されています。「学習だけなら何でもOK」ではなく、**「何のために学習させるか」が問われる**点に注意が必要です。

また、学習段階は他者の著作物を利用可能でも、出力段階は別の話です。AIが生成したテキストや画像が既存の著作物と実質的に同一・類似している場合、出力物の利用が著作権侵害となるリスクは残ります。学習と出力は別の問題として、それぞれ確認する必要があります。

### EU：学習は「権利者がNOと言っていなければ」OK

EUでは、2019年のデジタル単一市場著作権指令（DSM指令）がテキスト・データマイニングへの権利制限を定めています。日本と同様に、情報解析目的での著作物利用を認める仕組みです。ただし、日本との重要な違いがあります。**EUでは権利者が「オプトアウト」を明示した場合、その著作物を学習に使うことができません**。「使えるが例外あり」の日本に対し、EUは「使えるが権利者がNOと言ったら使えない」という構造になっています。

さらに、2024年に発効したEU AI法（AI Act）は、汎用AIモデルの提供者に対して新たな義務を課しました。学習に使用したコンテンツに関する詳細な要約を作成し、公開することが義務付けられています。「何を学習させたか」の透明性を、企業が積極的に示さなければならない時代になっています。

また、EU AI法には、EU域内でサービスを提供する企業は所在地を問わず適用される、という域外適用のルールがあります。日本に拠点を置く企業であっても、EUのユーザーにAIサービスを提供している場合は無関係ではありません。

## プライバシー - AIの入力に潜むリスク

生成AIを業務で使う際、顧客の氏名や連絡先、社内の機密情報をそのままプロンプトに貼り付けることは、多くの企業で禁止しています。これは入力したデータがAIサービス提供者のサーバーに送信され、場合によっては学習データとして利用される可能性があることに配慮したものです。しかし実は、生成AIへの個人情報の書き込みは、モラルの問題だけでなく、コンプライアンス面でもリスクがあることをご存じでしょうか。

### 日本：個人情報保護法が適用される

日本の個人情報保護法は、AIを介した個人データの取り扱いにも適用されます。取得した個人情報は利用目的の範囲内でのみ使用できるため、**顧客から取得したデータを「AIの学習・分析に使う」と事前に明示していなければ、目的外利用となるリスク**があります。

同様に、**外部から取得したデータをAIサービス提供者に送信する行為は「第三者提供」に該当する可能性**があり、原則として本人の同意が必要です。従前からの契約でも、クラウドのストレージサービス等には配慮されているでしょう。生成AIへの入力がどう解釈されるか、改めて契約文面の確認が大切です。

### EU：GDPRは「設計段階からプライバシーを組み込む」を求める

EUのGDPR（一般データ保護規則）は、個人データの取り扱いに関して世界で最も厳しい規制のひとつです。違反した場合の制裁金は最大で全世界年間売上高の4%または2,000万ユーロの高い方とされており、2019年にはGoogleがフランスの規制当局から5,000万ユーロの制裁金を科されています。

GDPRで特に重要なのが「プライバシー・バイ・デザイン」という考え方です。プライバシー保護をシステムの後付けではなく、設計の段階から組み込むことを求めています。AIシステムの開発においても、必要最低限のデータしか収集しない、目的の限定、保存期間の管理などを最初から設計に反映させる必要があります。

### テーマ③　説明可能性 - 「なぜそう判断したか」を答えられるか

現代の生成AIのほとんどはニューラルネットワークで動いており、精度は高くても「なぜこの結果が出たか」を説明することが構造上難しくなっています。この点は昨今のAI規制において重要な論点となっており、AIが出したアウトプットに対する人間の責任が問われます。

### 日本：義務化は未整備、ガイドラインで方向性

日本では現時点で、AIの判断根拠の開示を直接義務付ける法律はありません。ただし、個人情報保護法の「保有個人データに関する本人の開示請求権」は、AIを介した個人情報の取り扱いにも及びます。AIが個人に関する判断を行っている場合、その判断に使われたデータの開示を求められる可能性はあります。

また、内閣府や経済産業省が公表しているAI活用に関するガイドラインは、**説明可能性の確保を推奨事項**として掲げています。法的義務ではありませんが、業界標準として浸透しつつある考え方です。

### EU：ハイリスクAIには説明義務が法定化される

EU AI法は、AIをリスクの高さで4段階に分類しています。そのうち「ハイリスクAI」に分類されるシステム「採用・昇進判断」「融資審査」「教育評価」「保険・医療」などには義務が課されています。なかでも説明可能性に関わるのが、**人的監視の義務と透明性要件**です。ハイリスクAIは人間が内容を理解・確認・修正できる設計でなければならず、AIが行った判断の根拠をユーザーや対象者が把握できる情報提供が求められます。

さらにGDPRのArticle 22は、個人に対して法的効果または重大な影響を及ぼす**完全自動化された意思決定について、本人がその決定に異議を唱え、人による再審査を求める権利を保障**しています。「AIが決めた」を最終判断とすることは、EU法の下では許されません。

## 法対応は「守り」だけではない

著作権・プライバシー・説明可能性。これら3つの法的テーマは、企業にとってコンプライアンス上の「守り」として語られることが多い論点です。しかし、「自社のAI利用ポリシーを明示できる」「学習データの出所を説明できる」「AIの判断根拠を問われたら答えられる」という対応は、生成AIの活用に対するガバナンスが整っていない現代において、**取引先や顧客からの信頼を得るための「攻め」の要素**でもあります。ぜひコンプライアンスを前提に、積極的なAI活用を推進してください。

---

出典: スタディメーター株式会社 — https://studymeter.jp/insights/bxk_ati94

執筆者プロフィール: スタディメーター株式会社　代表取締役。オンライン学習サービス「Udemy」にて、非エンジニア向けの分かりやすく実践的なIT講座がベストセラーとなり、 これまでに25万人以上を指導。さらに活動の幅を広げるため、2020年にスタディメーター株式会社を創業。 「挑戦したくなる世界」の実現を目指して、新しい一歩を踏み出したい人のサポートに取り組んでいます。
