AI に個人情報を入力する行為は、日本の個人情報保護法(APPI)や EU のGDPRなどの規制対象になりえます。とくに海外の AI サービスへデータを送る、入力内容が学習に使われる、といった点は事故につながりやすい論点です。本記事は、初めての人でも判断できるよう「何が問題になるのか」「実務でどう守るのか」を、規制の最新動向(2026年時点)とともに整理します。なお本記事は一般的な解説であり、法的助言ではありません。実際の判断は必ず最新の一次情報と専門家に確認してください。
まず大前提として、「氏名・住所・メールアドレス・顔写真・マイナンバー・購買履歴」など、特定の個人を識別できる情報はすべて個人情報です。これを AI のプロンプトに貼る・ファイルで渡す・API に送る——どの形でも、規制上は「個人データの取扱い」にあたります。便利だからと安易に入れると、本人の同意範囲や安全管理の義務に抵触するおそれがあります。
FIG.1 個人情報を海外の AI に送ると「越境移転」という別の規制が重なる
01まず押さえる4つの論点
個人情報を AI で扱うときに必ず確認したいのは、次の4点です。どれか一つでも引っかかるなら、入力する前に立ち止まる合図だと考えてください。
利用目的の範囲
その個人情報を取得したときに本人へ示した目的の中に、「AI への入力・分析」が含まれているか。含まれないなら原則は目的外利用。
第三者提供・委託
外部の AI ベンダーへデータを渡す行為が、第三者提供や業務委託にあたらないか。あたるなら契約と本人の扱いの整理が要る。
越境移転
サーバーが海外にある AI に送ると、外国への個人データ移転のルールが追加で適用される。送り先の国と保護水準の確認が必要。
