若手法務担当者必見！増え続けるSaaS, 生成AIサービス利用時の法務チェックポイント

#SaaS生成AIの法務チェックポイント増え続けるSaaS, 生成AIサービス利用時の法務チェックポイント 2025.4.10 於 BUSINESS LAWYERS

#SaaS生成AIの法務チェックポイント「インターネット企業」と「法律事務所LEACT」で兼業をしています 2 世古修平（せこしゅうへい） ◼ インターネット企業（インハウス・正社員） ◼
法律事務所LEACT（弁護士 66期） ◼ IPA（試験委員） ◼ 経済産業省（電子商取引及び情報財取引等に関する準則研究会委員）

#SaaS生成AIの法務チェックポイント【@ インターネット企業】法務部門ではなく、プライバシー部門でインハウスとして働いています 3 投影のみ

#SaaS生成AIの法務チェックポイント【@ 法律事務所LEACT】プライバシー領域に絞ってサービスを提供しています 4

#SaaS生成AIの法務チェックポイント感想はぜひ、随時X（旧Twitter）でハッシュタグを付けて教えてください 5 #SaaS生成AIの法務チェックポイント

#SaaS生成AIの法務チェックポイント本日のお品書き ◼ 導入 ➢ SaaS, 生成AIを取り巻く状況 ➢ 本日の議論の全体像整理 ◼
SaaS, 生成AIサービスにおける個情法の論点 ➢ 委託先の監督（第25条） ➢ 外国にある第三者への提供の制限（第28条）

#SaaS生成AIの法務チェックポイント SaaSや生成AIサービスを使いたいという相談は、定期的に来ますよね 8

#SaaS生成AIの法務チェックポイントデータは自社内で完結することが減り、社外に連携することが増えました 9 出所：https://corp.freee.co.jp/news/0717bundle_by_freee.html

#SaaS生成AIの法務チェックポイント一方、たくさんの漏えいが発生し、その数は増加傾向にあります 10 出所：https://www.nikkei.com/article/DGXZQOUA110P40R10C24A6000000/

#SaaS生成AIの法務チェックポイント【ケース①】社労夢事件 11 出所：https://www.ppc.go.jp/files/pdf/240325_houdou.pdf

#SaaS生成AIの法務チェックポイント【ケース②】セールスフォース事件 12 出所：https://www.ppc.go.jp/news/careful_information/salesforce_guestuser/

#SaaS生成AIの法務チェックポイント本日のお品書き ◼ 導入 ➢ SaaS, 生成AIを取り巻く状況 ➢ 本日の議論の全体像整理 ➢
個人情報の定義 ➢ 個人データの提供 ➢ 提供元基準 ◼ SaaS, 生成AIサービスにおける個情法の論点 ➢ 委託先の監督（第25条） ➢ 外国にある第三者への提供の制限（第28条）

#SaaS生成AIの法務チェックポイント難しさの主たる原因は、日常用語と法律用語で定義に乖離があることです 16 法律用語での「個人情報」日常用語での「個人情報」

#SaaS生成AIの法務チェックポイント日常用語として使う「個人情報」との間で定義に差異があるために 17 氏名や住所のことですよね

#SaaS生成AIの法務チェックポイントこのような誤解を防ぎ切ることが難しいと感じます氏名や住所のことですよね個人情報（＝氏名や住所）は含まれていません 18

#SaaS生成AIの法務チェックポイント条文を読んでみましょう 19 第二条この法律において「個人情報」とは、生存する個人に関する情報であって、次の各号のいずれかに該当するものをいう。一当該情報に含まれる氏名、生年月日その他の記述等（中略）により特定の個人を識別することができるもの（他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。）二個人識別符号が含まれるもの

#SaaS生成AIの法務チェックポイント 20 まずは「生存する個人に関する情報」であることが個人情報の要件です第二条この法律において「個人情報」とは、生存する個人に関する情報であって、次の各号のいずれかに該当するものをいう。一当該情報に含まれる氏名、生年月日その他の記述等（中略）により特定の個人を識別することができるもの（他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。）二個人識別符号が含まれるもの

#SaaS生成AIの法務チェックポイント 21 この点について、ガイドラインの解説を読んでみると… 第二条この法律において「個人情報」とは、生存する個人に関する情報であって、次の各号のいずれかに該当するものをいう。一当該情報に含まれる氏名、生年月日その他の記述等（中略）により特定の個人を識別することができるもの（他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。）二個人識別符号が含まれるもの「個人に関する情報」とは、氏名、住所、性別、生年月日、顔画像等個人を識別する情報に限
られず、ある個人の身体、財産、職種、肩書等の属性に関して、事実、判断、評価を表す全ての情報であり、評価情報、公刊物等によって公にされている情報や、映像、音声による情報も含まれ、暗号化等によって秘匿化されているかどうかを問わない。ガイドライン重要ポイント①

られず、ある個人の身体、財産、職種、肩書等の属性に関して、事実、判断、評価を表す全ての情報であり、評価情報、公刊物等によって公にされている情報や、映像、音声による情報も含まれ、暗号化等によって秘匿化されているかどうかを問わない。ガイドライン重要ポイント②

られず、ある個人の身体、財産、職種、肩書等の属性に関して、事実、判断、評価を表す全ての情報であり、評価情報、公刊物等によって公にされている情報や、映像、音声による情報も含まれ、暗号化等によって秘匿化されているかどうかを問わない。ガイドライン重要ポイント③

#SaaS生成AIの法務チェックポイント 24 このように、生存する個人に関する情報は非常に範囲が広いです第二条この法律において「個人情報」とは、生存する個人に関する情報であって、次の各号のいずれかに該当するものをいう。一当該情報に含まれる氏名、生年月日その他の記述等（中略）により特定の個人を識別することができるもの（他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。）二個人識別符号が含まれるものアクセスログ
推定属性情報写真基本4情報（氏名・住所・生年月日・性別）デモグラ情報（年齢、居住地域、所得、職業、家族構成）注文履歴

#SaaS生成AIの法務チェックポイント 25 日常用語では、基本4情報だけを個人情報と呼んだりもしますが第二条この法律において「個人情報」とは、生存する個人に関する情報であって、次の各号のいずれかに該当するものをいう。一当該情報に含まれる氏名、生年月日その他の記述等（中略）により特定の個人を識別することができるもの（他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。）二個人識別符号が含まれるものアクセスログ

#SaaS生成AIの法務チェックポイント 26 法律上はこれら全てが個人情報になり得ます第二条この法律において「個人情報」とは、生存する個人に関する情報であって、次の各号のいずれかに該当するものをいう。一当該情報に含まれる氏名、生年月日その他の記述等（中略）により特定の個人を識別することができるもの（他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。）二個人識別符号が含まれるものアクセスログ

#SaaS生成AIの法務チェックポイント第二条この法律において「個人情報」とは、生存する個人に関する情報であって、次の各号のいずれかに該当するものをいう。一当該情報に含まれる氏名、生年月日その他の記述等（中略）により特定の個人を識別することができるもの（他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。）二個人識別符号が含まれるもの 27 その上で、条文は個人情報に「次の各号」への該当性を求めています

#SaaS生成AIの法務チェックポイント第二条この法律において「個人情報」とは、生存する個人に関する情報であって、次の各号のいずれかに該当するものをいう。一当該情報に含まれる氏名、生年月日その他の記述等（中略）により特定の個人を識別することができるもの（他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。）二個人識別符号が含まれるもの 28 つまり、ここの条件を満たした上で

#SaaS生成AIの法務チェックポイント第二条この法律において「個人情報」とは、生存する個人に関する情報であって、次の各号のいずれかに該当するものをいう。一当該情報に含まれる氏名、生年月日その他の記述等（中略）により特定の個人を識別することができるもの（他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。）二個人識別符号が含まれるもの 29 かつ、かつ

#SaaS生成AIの法務チェックポイント第二条この法律において「個人情報」とは、生存する個人に関する情報であって、次の各号のいずれかに該当するものをいう。一当該情報に含まれる氏名、生年月日その他の記述等（中略）により特定の個人を識別することができるもの（他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。）二個人識別符号が含まれるもの 30 こちらも同時に満たしたものが、法律上の「個人情報」になるわけですかつ

#SaaS生成AIの法務チェックポイント第二条この法律において「個人情報」とは、生存する個人に関する情報であって、次の各号のいずれかに該当するものをいう。一当該情報に含まれる氏名、生年月日その他の記述等（中略）により特定の個人を識別することができるもの（他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。）二個人識別符号が含まれるもの 31 一号と二号がありますが、今日は一号について掘り下げて説明します

#SaaS生成AIの法務チェックポイント第二条この法律において「個人情報」とは、生存する個人に関する情報であって、次の各号のいずれかに該当するものをいう。一当該情報に含まれる氏名、生年月日その他の記述等（中略）により特定の個人を識別することができるもの（他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。）二個人識別符号が含まれるもの 32 一号は、

#SaaS生成AIの法務チェックポイント第二条この法律において「個人情報」とは、生存する個人に関する情報であって、次の各号のいずれかに該当するものをいう。一当該情報に含まれる氏名、生年月日その他の記述等（中略）により特定の個人を識別することができるもの（他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。）二個人識別符号が含まれるもの 33 本文部分（一行目）と

#SaaS生成AIの法務チェックポイント第二条この法律において「個人情報」とは、生存する個人に関する情報であって、次の各号のいずれかに該当するものをいう。一当該情報に含まれる氏名、生年月日その他の記述等（中略）により特定の個人を識別することができるもの（他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。）二個人識別符号が含まれるもの 34 かっこがき部分（二行目）に分かれます

#SaaS生成AIの法務チェックポイント第二条この法律において「個人情報」とは、生存する個人に関する情報であって、次の各号のいずれかに該当するものをいう。一当該情報に含まれる氏名、生年月日その他の記述等（中略）により特定の個人を識別することができるもの（他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。）二個人識別符号が含まれるもの 35 まずは一号の本文部分から読んでいきましょう

#SaaS生成AIの法務チェックポイント第二条この法律において「個人情報」とは、生存する個人に関する情報であって、次の各号のいずれかに該当するものをいう。一当該情報に含まれる氏名、生年月日その他の記述等（中略）により特定の個人を識別することができるもの（他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。）二個人識別符号が含まれるもの 36 具体のイメージを持ってもらうため、実際の申し込みフォームで見てみます

#SaaS生成AIの法務チェックポイント 37 出所：https://biz.businesslawyers.jp/l/1024691/2024-11-21/wdhck5 今回、皆さんはこんなページからお申し込みをいただいたと思うので

#SaaS生成AIの法務チェックポイント 38 こちらのフォームを例に取って説明してみます

#SaaS生成AIの法務チェックポイント第二条この法律において「個人情報」とは、生存する個人に関する情報であって、次の各号のいずれかに該当するものをいう。一当該情報に含まれる氏名、生年月日その他の記述等（中略）により特定の個人を識別することができるもの（他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。）二個人識別符号が含まれるもの 39 前提として、これらの項目は全て「生存する個人に関する情報」ですよね

#SaaS生成AIの法務チェックポイント第二条この法律において「個人情報」とは、生存する個人に関する情報であって、次の各号のいずれかに該当するものをいう。一当該情報に含まれる氏名、生年月日その他の記述等（中略）により特定の個人を識別することができるもの（他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。）二個人識別符号が含まれるもの 40 その上で、これらの情報が一号本文「にも」該当するかを検討します

#SaaS生成AIの法務チェックポイント第二条この法律において「個人情報」とは、生存する個人に関する情報であって、次の各号のいずれかに該当するものをいう。一当該情報に含まれる氏名、生年月日その他の記述等（中略）により特定の個人を識別することができるもの（他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。）二個人識別符号が含まれるもの 41 この時、どうしても「氏名」に注目してしまいがちなのですが氏名

#SaaS生成AIの法務チェックポイント第二条この法律において「個人情報」とは、生存する個人に関する情報であって、次の各号のいずれかに該当するものをいう。一当該情報に含まれる氏名、生年月日その他の記述等（中略）により特定の個人を識別することができるもの（他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。）二個人識別符号が含まれるもの 42 条文には、「もの」全体が個人情報に該当すると書いてありますもの

#SaaS生成AIの法務チェックポイント第二条この法律において「個人情報」とは、生存する個人に関する情報であって、次の各号のいずれかに該当するものをいう。一当該情報に含まれる氏名、生年月日その他の記述等（中略）により特定の個人を識別することができるもの（他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。）二個人識別符号が含まれるもの 43 むしろ「氏名、生年月日その他の」を消す方が読みやすいかもしれませんもの

#SaaS生成AIの法務チェックポイント第二条この法律において「個人情報」とは、生存する個人に関する情報であって、次の各号のいずれかに該当するものをいう。一当該情報に含まれる氏名、生年月日その他の記述等（中略）により特定の個人を識別することができるもの（他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。）二個人識別符号が含まれるもの 44 つまり、この「氏名」の部分が個人情報なのではなく氏名

#SaaS生成AIの法務チェックポイント第二条この法律において「個人情報」とは、生存する個人に関する情報であって、次の各号のいずれかに該当するものをいう。一当該情報に含まれる氏名、生年月日その他の記述等（中略）により特定の個人を識別することができるもの（他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。）二個人識別符号が含まれるもの 45 「もの」全体が個人情報に該当すると読まなければいけない訳ですもの

#SaaS生成AIの法務チェックポイント第二条この法律において「個人情報」とは、生存する個人に関する情報であって、次の各号のいずれかに該当するものをいう。一当該情報に含まれる氏名、生年月日その他の記述等（中略）により特定の個人を識別することができるもの（他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。）二個人識別符号が含まれるもの 46 その結果、「もの」に含まれるのであれば構成要素も個人情報に該当します法務歴
職種

#SaaS生成AIの法務チェックポイント第二条この法律において「個人情報」とは、生存する個人に関する情報であって、次の各号のいずれかに該当するものをいう。一当該情報に含まれる氏名、生年月日その他の記述等（中略）により特定の個人を識別することができるもの（他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。）二個人識別符号が含まれるもの 47 【中間まとめ】氏名、生年月日と同じまとまりの中にある情報は個人情報に該当します
アクセスログ推定属性情報写真基本4情報（氏名・住所・生年月日・性別）デモグラ情報（年齢、居住地域、所得、職業、家族構成）注文履歴氏名、生年月日個人情報

#SaaS生成AIの法務チェックポイント第二条この法律において「個人情報」とは、生存する個人に関する情報であって、次の各号のいずれかに該当するものをいう。一当該情報に含まれる氏名、生年月日その他の記述等（中略）により特定の個人を識別することができるもの（他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。）二個人識別符号が含まれるもの 48 続いて、一号のかっこがきを読んでいきましょう

#SaaS生成AIの法務チェックポイントユーザーID 氏名電話番号メールアドレス 00001 00002 ユーザーID Aサービス利用履歴情報
00001 00002 ユーザー登録情報利用履歴情報第二条この法律において「個人情報」とは、生存する個人に関する情報であって、次の各号のいずれかに該当するものをいう。一当該情報に含まれる氏名、生年月日その他の記述等（中略）により特定の個人を識別することができるもの（他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。）二個人識別符号が含まれるもの 49 ここで「ユーザー登録情報」と「利用履歴情報」のテーブルを想定します

#SaaS生成AIの法務チェックポイントユーザーID 氏名電話番号メールアドレス 00001 00002 ユーザー登録情報第二条この法律において「個人情報」とは、生存する個人に関する情報であって、次の各号のいずれかに該当するものを
いう。一当該情報に含まれる氏名、生年月日その他の記述等（中略）により特定の個人を識別することができるもの（他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。）二個人識別符号が含まれるもの 50 ユーザー登録情報は氏名を含み、先ほどの説明の通り全体が個人情報ですがアクセスログ推定属性情報写真基本4情報（氏名・住所・生年月日・性別）デモグラ情報（年齢、居住地域、所得、職業、家族構成）注文履歴氏名、生年月日個人情報

#SaaS生成AIの法務チェックポイントユーザーID Aサービス利用履歴情報 00001 00002 利用履歴情報第二条この法律において「個人情報」とは、生存する個人に関する情報であって、次の各号のいずれかに該当するものをいう。
一当該情報に含まれる氏名、生年月日その他の記述等（中略）により特定の個人を識別することができるもの（他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。）二個人識別符号が含まれるもの 51 利用履歴情報のテーブルには、氏名が含まれていないのが注目ポイントですアクセスログ推定属性情報写真基本4情報（氏名・住所・生年月日・性別）デモグラ情報（年齢、居住地域、所得、職業、家族構成）注文履歴氏名、生年月日個人情報

#SaaS生成AIの法務チェックポイントユーザーID Aサービス利用履歴情報 00001 00002 利用履歴情報第二条この法律において「個人情報」とは、生存する個人に関する情報であって、次の各号のいずれかに該当するものをいう。
一当該情報に含まれる氏名、生年月日その他の記述等（中略）により特定の個人を識別することができるもの（他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。）二個人識別符号が含まれるもの 52 ここで、利用履歴情報は「個人情報」になるのでしょうか？アクセスログ推定属性情報写真基本4情報（氏名・住所・生年月日・性別）デモグラ情報（年齢、居住地域、所得、職業、家族構成）注文履歴氏名、生年月日個人情報

00001 00002 ユーザー登録情報利用履歴情報第二条この法律において「個人情報」とは、生存する個人に関する情報であって、次の各号のいずれかに該当するものをいう。一当該情報に含まれる氏名、生年月日その他の記述等（中略）により特定の個人を識別することができるもの（他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。）二個人識別符号が含まれるもの 53 かっこがきは、「容易に照合」できるものは個人情報に含むといっています

00001 00002 ユーザー登録情報利用履歴情報第二条この法律において「個人情報」とは、生存する個人に関する情報であって、次の各号のいずれかに該当するものをいう。一当該情報に含まれる氏名、生年月日その他の記述等（中略）により特定の個人を識別することができるもの（他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。）二個人識別符号が含まれるもの 54 企業は一般に、データを活用する上でユーザーに対してIDを割り振りますが

00001 00002 ユーザー登録情報利用履歴情報第二条この法律において「個人情報」とは、生存する個人に関する情報であって、次の各号のいずれかに該当するものをいう。一当該情報に含まれる氏名、生年月日その他の記述等（中略）により特定の個人を識別することができるもの（他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。）二個人識別符号が含まれるもの 55 ユーザーIDはテーブル間での照合を容易にする機能を果たしていますユーザーIDで容易に照合

00001 00002 ユーザー登録情報利用履歴情報第二条この法律において「個人情報」とは、生存する個人に関する情報であって、次の各号のいずれかに該当するものをいう。一当該情報に含まれる氏名、生年月日その他の記述等（中略）により特定の個人を識別することができるもの（他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。）二個人識別符号が含まれるもの 56 そのため、「ユーザー登録情報」が個人情報であることは当然の前提としてこちらだけでなく

00001 00002 ユーザー登録情報利用履歴情報第二条この法律において「個人情報」とは、生存する個人に関する情報であって、次の各号のいずれかに該当するものをいう。一当該情報に含まれる氏名、生年月日その他の記述等（中略）により特定の個人を識別することができるもの（他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。）二個人識別符号が含まれるもの 57 「利用履歴情報」も、かっこがきにより個人情報に該当することになりますこちらも個人情報

#SaaS生成AIの法務チェックポイントユーザーID 氏名電話番号メールアドレス 00001 00002 ユーザー登録情報第二条この法律において「個人情報」とは、生存する個人に関する情報であって、次の各号のいずれかに該当するものを
いう。一当該情報に含まれる氏名、生年月日その他の記述等（中略）により特定の個人を識別することができるもの（他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。）二個人識別符号が含まれるもの 58 ユーザーIDに紐づく個人に関する情報は、基本的に全て個人情報です

個人情報の定義 ➢ 個人データの提供 ➢ 提供元基準 ◼ SaaS, 生成AIサービスにおける個情法の論点 ➢ 委託先の監督（第25条） ➢ 外国にある第三者への提供の制限（第28条） ➢ 漏えい等の報告義務（第26条）

#SaaS生成AIの法務チェックポイント社外に個人データを「提供」するには法的な根拠が必要になります 60

#SaaS生成AIの法務チェックポイントこの「提供」の段階で選択しうる法的根拠は、主として3つあります 61 1 ◼ 第三者提供提供先にデータをあげてしまう（＝管理権限が提供先に移る）その後の適用プラポリは、提供先同意取得が必要だが、提供元に監督義務は残らない２
◼ 委託提供先にデータを預ける（＝管理権限は提供元に残る）その後の適用プラポリは、提供元同意取得は不要だが、提供元に監督義務が残る 3 ◼ 「取り扱わないこととなっている場合」（クラウド例外）提供先にデータを預ける（＝管理権限が提供元に残る）その後の適用プラポリは、提供元同意取得等は不要だが、提供元に監督義務は残らない同意取得同意取得同意取得自社プラポリ自社プラポリ自社プラポリ監督義務監督義務監督義務

#SaaS生成AIの法務チェックポイント第三者提供は、提供先にデータをあげてしまうことです 62 1 ◼ 第三者提供提供先にデータをあげてしまう（＝管理権限が提供先に移る）その後の適用プラポリは、提供先同意取得が必要だが、提供元に監督義務は残らない２
◼ 委託提供先にデータを預ける（＝管理権限は提供元に残る）その後の適用プラポリは、提供元同意取得は不要だが、提供元に監督義務が残る 3 ◼ 「取り扱わないこととなっている場合」（クラウド例外）提供先にデータを預ける（＝管理権限が提供元に残る）その後の適用プラポリは、提供元同意取得等は不要だが、提供元に監督義務は残らない同意取得同意取得同意取得自社プラポリ自社プラポリ自社プラポリ監督義務監督義務監督義務第三者提供委託クラウド例外

#SaaS生成AIの法務チェックポイント委託は、自社の責任の下で提供先にデータを預けることです 63 1 ◼ 第三者提供提供先にデータをあげてしまう（＝管理権限が提供先に移る）その後の適用プラポリは、提供先同意取得が必要だが、提供元に監督義務は残らない２

#SaaS生成AIの法務チェックポイントここでいう個人データの取扱いの「委託」は、個人情報保護法独自の概念なので 64 出所：https://www.ppc.go.jp/personalinfo/legal/guidelines_tsusoku/#a3-4-4 第三者提供委託クラウド例外

#SaaS生成AIの法務チェックポイント SaaS利用契約など、民法上の業務委託契約以外でも該当し得ます 65 個人情報保護法上の「個人データの取扱いの委託」民法上の業務委託第三者提供委託クラウド例外

#SaaS生成AIの法務チェックポイントクラウド例外は、委託の特殊パターンだと理解するのが良いと思います 66 1 ◼ 第三者提供提供先にデータをあげてしまう（＝管理権限が提供先に移る）その後の適用プラポリは、提供先同意取得が必要だが、提供元に監督義務は残らない２

#SaaS生成AIの法務チェックポイントクラウド例外は、委託の特殊パターンだと理解するのが良いと思います 67 1 ◼ 第三者提供提供先にデータをあげてしまう（＝管理権限が提供先に移る）その後の適用プラポリは、提供先同意取得が必要だが、提供元に監督義務は残らない２

#SaaS生成AIの法務チェックポイントクラウド例外は、自社環境の拡張であると理解するのもいいかもしれません 68 出所：https://www.ppc.go.jp/all_faq_index/faq1-q7-54/ FAQの記載第三者提供委託クラウド例外

#SaaS生成AIの法務チェックポイントデータに対する、提供元/提供先それぞれの影響力の度合いが異なります 69 提供元の影響力提供先の影響力オプション3 クラウド例外オプション２委託オプション1
第三者提供提供元提供先

#SaaS生成AIの法務チェックポイントクラウド例外は、提供元の影響力が一番強いオプションです 70 提供元の影響力提供先の影響力オプション3 クラウド例外オプション２委託オプション1

#SaaS生成AIの法務チェックポイント委託は、3つのオプションの中でちょうど中間地点に位置します 71 提供元の影響力提供先の影響力オプション3 クラウド例外オプション２委託オプション1

#SaaS生成AIの法務チェックポイント第三者提供は、提供先の影響力が一番強いオプションです 72 提供元の影響力提供先の影響力オプション3 クラウド例外オプション２委託オプション1

#SaaS生成AIの法務チェックポイント現状は混迷を深めていますが… 73 出所：https://www.ppc.go.jp/files/pdf/241217_sankoushiryou-1-2.pdf 個人情報保護委員会ヒアリング（板倉先生）

#SaaS生成AIの法務チェックポイント基本的には、SaaSや生成AIは委託であると整理するのをお勧めします 74 1 ◼ 第三者提供提供先にデータをあげてしまう（＝管理権限が提供先に移る）その後の適用プラポリは、提供先同意取得が必要だが、提供元に監督義務は残らない２

#SaaS生成AIの法務チェックポイント実際、自社環境と同等の安全管理措置を講じるのって難しいのでは？ 75 FAQの記載

個人情報の定義 ➢ 個人データの提供 ➢ 提供元基準 ◼ SaaS, 生成AIサービスにおける個情法の論点 ➢ 委託先の監督（第25条） ➢ 外国にある第三者への提供の制限（第28条） ➢ 漏えい等の報告義務（第26条）

#SaaS生成AIの法務チェックポイント個人情報保護法では、「提供元基準」が採用されていますユーザーID Aサービス利用履歴情報 00001 00002 ユーザーID 氏名電話番号
メールアドレス 00001 00002 ユーザー登録情報利用履歴情報

#SaaS生成AIの法務チェックポイントつまり、氏名自体をSaaSや生成AIサービスに入力しないとしてもユーザーID Aサービス利用履歴情報 00001 00002 ユーザーID 氏名電話番号
メールアドレス 00001 00002 ユーザー登録情報利用履歴情報こちらだけでなく

#SaaS生成AIの法務チェックポイント自社にとって個人データであれば、提供には法的根拠が必要ということですユーザーID Aサービス利用履歴情報 00001 00002 ユーザーID 氏名電話番号
メールアドレス 00001 00002 ユーザー登録情報利用履歴情報こちらも個人データ

00001 00002 ユーザー登録情報利用履歴情報第二条この法律において「個人情報」とは、生存する個人に関する情報であって、次の各号のいずれかに該当するものをいう。一当該情報に含まれる氏名、生年月日その他の記述等（中略）により特定の個人を識別することができるもの（他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。）二個人識別符号が含まれるもの 80 「利用履歴情報」も、かっこがきにより個人情報に該当することになりますこちらも個人情報

#SaaS生成AIの法務チェックポイント自社にとって個人データであれば、提供には法的根拠が必要ということですユーザーID Aサービス利用履歴情報 00001 00002 ユーザーID 氏名電話番号
メールアドレス 00001 00002 ユーザー登録情報利用履歴情報こちらも個人データ

#SaaS生成AIの法務チェックポイント次の章では、「委託」の場合に必要になる対応についてみてみましょう 82 1 ◼ 第三者提供提供先にデータをあげてしまう（＝管理権限が提供先に移る）その後の適用プラポリは、提供先同意取得が必要だが、提供元に監督義務は残らない２

#SaaS生成AIの法務チェックポイント「委託」によって個人データを提供する場合、委託先の監督が必要です 85 委託元委託先監督

#SaaS生成AIの法務チェックポイント「必要かつ適切な監督」の内容は、ガイドラインで詳細化されています出所：https://www.ppc.go.jp/personalinfo/legal/guidelines_tsusoku/#a3-4-4

#SaaS生成AIの法務チェックポイント「必要かつ適切な監督」の内容は、ガイドラインで詳細化されています

SaaS, 生成AIサービスにおける個情法の論点 ➢ 委託先の監督（第25条） ➢ 適切な委託先の選定 ➢ 委託契約の締結 ➢ 委託先における個人データの取扱状況の把握 ➢ 外国にある第三者への提供の制限（第28条）

#SaaS生成AIの法務チェックポイントガイドライン通則編 10（別添）の実施状況をチェックすることになります

#SaaS生成AIの法務チェックポイント自社でチェックシートを作成して、回答を依頼する方法もありますが出所：https://note.com/nocoinc/n/n9e7760661f81

#SaaS生成AIの法務チェックポイント公開されている情報を元に自社でチェックすることもありますチェックシート DPA 出所：https://www.sakura.ad.jp/corporate/wp-content/themes/sakura-corporate/assets/pdf/security_checksheet.pdf https://cloud.google.com/terms/data-processing-addendum?hl=ja 95

#SaaS生成AIの法務チェックポイント今出てきた「DPA」という言葉、みなさん聞いたことあるでしょうか？チェックシート DPA 96

#SaaS生成AIの法務チェックポイント DPAは、日本でいう「個人情報の取扱いに関する覚書」のような文書です 97 DPA： ①Data Processing Addendum ②Data Processing Agreement

#SaaS生成AIの法務チェックポイントとりわけ海外企業の場合、検索すればウェブ上で出てくることも多いです 98 DPA 企業名

#SaaS生成AIの法務チェックポイント GoogleのDPAは、General Termsと複数のAppendixから構成されており 99

#SaaS生成AIの法務チェックポイントメイン部分であるGeneral Termsは、14の章から成り立っています 102 1. Overview 2. Definitions 3. Duration
4. Roles; Legal Compliance 5. Data Processing 6. Data Deletion 7. Data Security 8. Impact Assessments and Consultations 9. Access; Data Subject Rights; Data Export 10. Data Processing Locations 11. Subprocessors 12. Cloud Data Protection Team; Processing Records 13. Notices 14. Interpretation General Terms Appendix

#SaaS生成AIの法務チェックポイントこの辺りの章は、比較的形式的な記載がなされているに留まるので 103 1. Overview 2. Definitions 3. Duration 4.
Roles; Legal Compliance 5. Data Processing 6. Data Deletion 7. Data Security 8. Impact Assessments and Consultations 9. Access; Data Subject Rights; Data Export 10. Data Processing Locations 11. Subprocessors 12. Cloud Data Protection Team; Processing Records 13. Notices 14. Interpretation General Terms Appendix

#SaaS生成AIの法務チェックポイント実際に皆さんがチェックするのは、この辺りの章が中心になるはずです 104 1. Overview 2. Definitions 3. Duration 4.
Roles; Legal Compliance 5. Data Processing 6. Data Deletion 7. Data Security 8. Impact Assessments and Consultations 9. Access; Data Subject Rights; Data Export 10. Data Processing Locations 11. Subprocessors 12. Cloud Data Protection Team; Processing Records 13. Notices 14. Interpretation General Terms Appendix

#SaaS生成AIの法務チェックポイントまた、OpenAIも同様にDPAを公開してくれており 105 出所：https://openai.com/policies/data-processing-addendum/

#SaaS生成AIの法務チェックポイント「本文 8章」と「Exhibit A,B」から構成されています 106 ◼ 1. Processing Requirements ◼
2. Notice to Customer ◼ 3. Assistance to Customer ◼ 4. Required Processing ◼ 5. Security ◼ 6. Obligations of Customer ◼ 7. International Data Transfers ◼ 8. Term; Data Return and Deletion ◼ Exhibit A ➢ A. LIST OF PARTIES ➢ B. DESCRIPTION OF TRANSFER ➢ C. COMPETENT SUPERVISORY AUTHORITY ◼ Exhibit B （TECHNICAL AND ORGANIZATIONAL MEASURES） General Terms Exhibit

#SaaS生成AIの法務チェックポイント「本文 8章」と「Exhibit A,B」から構成されています 107 ◼ 1. Processing Requirements ◼
2. Notice to Customer ◼ 3. Assistance to Customer ◼ 4. Required Processing ◼ 5. Security ◼ 6. Obligations of Customer ◼ 7. International Data Transfers ◼ 8. Term; Data Return and Deletion ◼ Exhibit A ➢ A. LIST OF PARTIES ➢ B. DESCRIPTION OF TRANSFER ➢ C. COMPETENT SUPERVISORY AUTHORITY ◼ Exhibit B （TECHNICAL AND ORGANIZATIONAL MEASURES） General Terms Exhibit

#SaaS生成AIの法務チェックポイントなおDPAでは、安全管理措置の詳細は「別紙の2つ目」の章に書かれることが 108 ◼ 1. Processing Requirements ◼ 2. Notice
to Customer ◼ 3. Assistance to Customer ◼ 4. Required Processing ◼ 5. Security ◼ 6. Obligations of Customer ◼ 7. International Data Transfers ◼ 8. Term; Data Return and Deletion ◼ Exhibit A ➢ A. LIST OF PARTIES ➢ B. DESCRIPTION OF TRANSFER ➢ C. COMPETENT SUPERVISORY AUTHORITY ◼ Exhibit B （TECHNICAL AND ORGANIZATIONAL MEASURES） General Terms Exhibit

#SaaS生成AIの法務チェックポイント比較的多い、ということも覚えておくと今後の助けになります 109

#SaaS生成AIの法務チェックポイントそれでは今日は、DPAから「別添」の要件を読み取ってみましょう 110 講ずべき安全管理措置詳細 1 基本方針の策定個人情報取扱事業者は、個人データの適正な取扱いの確保について組織として取り組むために、基本方針を策定することが重要である。 2
規律の整備個人情報取扱事業者は、その取り扱う個人データの漏えい等の防止その他の個人データの安全管理のために、個人データの具体的な取扱いに係る規律を整備しなければならない。 3 組織的安全管理措置個人情報取扱事業者は、組織的安全管理措置として、次に掲げる措置を講じなければならない。 4 人的安全管理措置個人情報取扱事業者は、人的安全管理措置として、次に掲げる措置を講じなければならない。 5 物理的安全管理措置個人情報取扱事業者は、物理的安全管理措置として、次に掲げる措置を講じなければならない。 6 技術的安全管理措置個人情報取扱事業者は、情報システム（パソコン等の機器を含む。）を使用して個人データを取り扱う場合（インターネット等を通じて外部と送受信等する場合を含む。）、技術的安全管理措置として、次に掲げる措置を講じなければならない。 7 外的環境の把握個人情報取扱事業者が、外国において個人データを取り扱う場合、当該外国の個人情報の保護に関する制度等を把握した上で、個人データの安全管理のために必要かつ適切な措置を講じなければならない。

#SaaS生成AIの法務チェックポイント参考までに、DPAから対応する記載を探す難易度を信号機で示してみます 111 ほとんどのDPA等に対応する記載がある DPA等によっては直接的な記載がないこともある

#SaaS生成AIの法務チェックポイントまた、「本日話すこと」と「本日話さないこと」を明確にしておきます 112 本日話すこと本日話さないこと ◼ 「ガイドライン通則編 10（別添）」の要件*が、本日サンプルとして取り上げるDPA（Google, OpenAI）のどこから読み取れるか
◼ DPA上に直接的な記載がない場合に、どのような解釈を挟めば、「ガイドライン通則編 10（別添）」の要件を充足しているとの評価が可能かのTips * 後ほど「外国にある第三者への提供の制限（第28条）」にも言及しますが、本ページの記載内容は同様に妥当します

#SaaS生成AIの法務チェックポイントまた、「本日話すこと」と「本日話さないこと」を明確にしておきます 113 本日話すこと本日話さないこと ◼ 「ガイドライン通則編 10（別添）」の要件*が、本日サンプルとして取り上げるDPA（Google, OpenAI）のどこから読み取れるか
◼ DPA上に直接的な記載がない場合に、どのような解釈を挟めば、「ガイドライン通則編 10（別添）」の要件を充足しているとの評価が可能かのTips ◼ 今日サンプルとして取り上げるDPAが、法的に問題ないという保証 ◼ Google / Open AIの特定のサービス利用が「委託」に該当するのか「クラウド例外」に該当するか ◼ Google / Open AIの特定のサービス利用がいわゆる越境移転に該当するか ◼ 越境移転における基準適合体制の整備と、他のオプションの使い分け * 後ほど「外国にある第三者への提供の制限（第28条）」にも言及しますが、本ページの記載内容は同様に妥当します

#SaaS生成AIの法務チェックポイントまずは最初に、基本方針の策定が求められています 114 組織的外的環境 3 7 人的 4 基本方針の策定
物理的 1 5 規律の整備技術的 2 6 OpenAI Google ガイドライン

#SaaS生成AIの法務チェックポイント Googleでは、Privacy & Termsのページに関連情報がまとめられています 115 組織的外的環境 3 7 人的
4 基本方針の策定物理的 1 5 規律の整備技術的 2 6 出所：https://cloud.google.com/terms/data-processing-addendum OpenAI Google ガイドライン

#SaaS生成AIの法務チェックポイント Googleでは、Privacy & Termsのページに関連情報がまとめられています 116 組織的外的環境 3 7 人的
4 基本方針の策定物理的 1 5 規律の整備技術的 2 6 OpenAI Google ガイドライン

#SaaS生成AIの法務チェックポイント OpenAIでも同様に、Privacy policyのページが公開されています 117 組織的外的環境 3 7 人的 4
基本方針の策定物理的 1 5 規律の整備技術的 2 6 出所：https://openai.com/policies/row-privacy-policy/ OpenAI Google ガイドライン

#SaaS生成AIの法務チェックポイントガイドラインでは、個人データに関する規律の整備が求められています 118 組織的外的環境 3 7 人的 4 基本方針の策定

#SaaS生成AIの法務チェックポイントとはいえ、社内規程を対外公表することは（とりわけ大手は）稀ですよね 119 組織的外的環境 3 7 人的 4 基本方針の策定

#SaaS生成AIの法務チェックポイントそこで、7.Data Securityの章を見てみましょう 120 組織的外的環境 3 7 人的 4
基本方針の策定物理的 1 5 規律の整備技術的 2 6 OpenAI Google ガイドライン 1. Overview 2. Definitions 3. Duration 4. Roles; Legal Compliance 5. Data Processing 6. Data Deletion 7. Data Security 8. Impact Assessments and Consultations 9. Access; Data Subject Rights; Data Export 10. Data Processing Locations 11. Subprocessors 12. Cloud Data Protection Team; Processing Records 13. Notices 14. Interpretation General Terms Appendix

#SaaS生成AIの法務チェックポイントここでは、技術的・組織的・物理的な対策を取っていることを表明しており 121 組織的外的環境 3 7 人的 4 基本方針の策定

#SaaS生成AIの法務チェックポイントここでは、技術的・組織的・物理的な対策を取っていることを表明しており 122 組織的外的環境 3 7 人的 4 基本方針の策定

#SaaS生成AIの法務チェックポイントその詳細はAppendix 2に飛ばしています 123 組織的外的環境 3 7 人的 4
基本方針の策定物理的 1 5 規律の整備技術的 2 6 OpenAI Google ガイドライン

#SaaS生成AIの法務チェックポイントそしてAppendix 2では、具体的なセキュリティ対策が記載されています 124 組織的外的環境 3 7 人的 4
基本方針の策定物理的 1 5 規律の整備技術的 2 6 OpenAI Google ガイドライン 1.Data Center and Network Security (a) Data Centers (b) Networks and Transmission. 2. Access and Site Controls (a) Site Controls (b) Access Control 3. Data (a) Data Storage, Isolation and Logging (b) Decommissioned Disks and Disk Erase Policy 4. Personnel Security 5. Subprocessor Security General Terms Appendix 2

#SaaS生成AIの法務チェックポイントこの構成はOpenAIも同様で 125 組織的外的環境 3 7 人的 4 基本方針の策定
物理的 1 5 規律の整備技術的 2 6 OpenAI Google ガイドライン ◼ 1. Processing Requirements ◼ 2. Notice to Customer ◼ 3. Assistance to Customer ◼ 4. Required Processing ◼ 5. Security ◼ 6. Obligations of Customer ◼ 7. International Data Transfers ◼ 8. Term; Data Return and Deletion ◼ Exhibit A ➢ A. LIST OF PARTIES ➢ B. DESCRIPTION OF TRANSFER ➢ C. COMPETENT SUPERVISORY AUTHORITY ◼ Exhibit B （TECHNICAL AND ORGANIZATIONAL MEASURES） General Terms Exhibit

#SaaS生成AIの法務チェックポイント DPA本体の”5.Security”で組織的・技術的な安全管理措置に言及した上で 126 組織的外的環境 3 7 人的 4 基本方針の策定

#SaaS生成AIの法務チェックポイント DPA本体の”5.Security”で組織的・技術的な安全管理措置に言及した上で 127 組織的外的環境 3 7 人的 4 基本方針の策定

#SaaS生成AIの法務チェックポイントその詳細を”Exhibit B”に飛ばしており 128 組織的外的環境 3 7 人的 4

#SaaS生成AIの法務チェックポイント Exhibit Bで、取り組んでいる安全管理措置の詳細に言及しています 129 組織的外的環境 3 7 人的 4

#SaaS生成AIの法務チェックポイント Exhibit Bで、取り組んでいる安全管理措置の詳細に言及しています 130 組織的外的環境 3 7 人的 4

#SaaS生成AIの法務チェックポイントなお、OpenAIのDPAはGoogleよりも比較的詳細に記載してくれています 131 組織的外的環境 3 7 人的 4 基本方針の策定
物理的 1 5 規律の整備技術的 2 6 OpenAI Google ガイドライン ◼ Corporate Identity, Authentication, and Authorization Controls ◼ Customer Identity, Authentication, and Authorization Controls ◼ System and Workstation Control ◼ Data Access Control ◼ Disclosure Control ◼ Availability control ◼ Segregation control ◼ Risk Management ◼ Personnel ◼ Physical Access Control ◼ Third Party Risk Management ◼ Security Incident Response ◼ Security Evaluations General Terms Exhibit B

#SaaS生成AIの法務チェックポイント組織的安全管理措置は、全部で5つの項目が列挙されていています 132 組織的外的環境 3 7 人的 4 基本方針の策定

#SaaS生成AIの法務チェックポイントが、これらを全て網羅的に記載してくれているDPAは滅多にありません 139 組織的外的環境 3 7 人的 4 基本方針の策定

物理的 1 5 規律の整備技術的 2 6 OpenAI Google ガイドライン結構ある結構ある結構ある

物理的 1 5 規律の整備技術的 2 6 OpenAI Google ガイドラインあまりない GDPR文脈なら

#SaaS生成AIの法務チェックポイント漏れがある場合、セキュリティ認証を前提に認定するのも一つの方法です 142 組織的外的環境 3 7 人的 4 基本方針の策定

#SaaS生成AIの法務チェックポイント GoogleのDPAでは第12章に一定の記載があります 143 組織的外的環境 3 7 人的 4 基本方針の策定
物理的 1 5 規律の整備技術的 2 6 OpenAI Google ガイドライン 1. Overview 2. Definitions 3. Duration 4. Roles; Legal Compliance 5. Data Processing 6. Data Deletion 7. Data Security 8. Impact Assessments and Consultations 9. Access; Data Subject Rights; Data Export 10. Data Processing Locations 11. Subprocessors 12. Cloud Data Protection Team; Processing Records 13. Notices 14. Interpretation General Terms Appendix

#SaaS生成AIの法務チェックポイントまた、ホワイトペーパーにはもう少し網羅性のある記載があります 146 組織的外的環境 3 7 人的 4 基本方針の策定
物理的 1 5 規律の整備技術的 2 6 出所：https://cloud.google.com/docs/security/overview/whitepaper?hl=ja OpenAI Google ガイドライン

#SaaS生成AIの法務チェックポイントまた、ホワイトペーパーにはもう少し網羅性のある記載があります 147 組織的外的環境 3 7 人的 4 基本方針の策定
物理的 1 5 規律の整備技術的 2 6 出所：https://cloud.google.com/docs/security/overview/whitepaper?hl=ja OpenAI Google ガイドライン

#SaaS生成AIの法務チェックポイント他方OpenAIはDPA上に目立った記載はなく、Trust Portalに記載があります 148 組織的外的環境 3 7 人的 4
基本方針の策定物理的 1 5 規律の整備技術的 2 6 出所：https://trust.openai.com/ OpenAI Google ガイドライン

#SaaS生成AIの法務チェックポイント他方OpenAIはDPA上に目立った記載はなく、Trust Portalに記載があります 149 組織的外的環境 3 7 人的 4
基本方針の策定物理的 1 5 規律の整備技術的 2 6 出所：https://trust.openai.com/ OpenAI Google ガイドライン

#SaaS生成AIの法務チェックポイント続いて、人的安全管理措置としては「従業員の教育」が挙げられています 150 組織的外的環境 3 7 人的 4 基本方針の策定

#SaaS生成AIの法務チェックポイント続いて、人的安全管理措置としては「従業員の教育」が挙げられています 151 組織的外的環境 3 7 人的 4 基本方針の策定

#SaaS生成AIの法務チェックポイント GoogleのDPAではAppendix 2の4.Personnel Securityで 152 組織的外的環境 3 7 人的
4 基本方針の策定物理的 1 5 規律の整備技術的 2 6 OpenAI Google ガイドライン 1.Data Center and Network Security (a) Data Centers (b) Networks and Transmission. 2. Access and Site Controls (a) Site Controls (b) Access Control 3. Data (a) Data Storage, Isolation and Logging (b) Decommissioned Disks and Disk Erase Policy 4. Personnel Security 5. Subprocessor Security General Terms Appendix 2

#SaaS生成AIの法務チェックポイント従業員教育について言及しています 153 組織的外的環境 3 7 人的 4 基本方針の策定

#SaaS生成AIの法務チェックポイント OpenAIも同様に、Exhibit Bの中のPersonnelとして記載があります 154 組織的外的環境 3 7 人的 4
基本方針の策定物理的 1 5 規律の整備技術的 2 6 OpenAI Google ガイドライン ◼ Corporate Identity, Authentication, and Authorization Controls ◼ Customer Identity, Authentication, and Authorization Controls ◼ System and Workstation Control ◼ Data Access Control ◼ Disclosure Control ◼ Availability control ◼ Segregation control ◼ Risk Management ◼ Personnel ◼ Physical Access Control ◼ Third Party Risk Management ◼ Security Incident Response ◼ Security Evaluations General Terms Exhibit B

#SaaS生成AIの法務チェックポイント物理的安全管理措置は、4つの項目が挙げられていますが 155 組織的外的環境 3 7 人的 4 基本方針の策定

#SaaS生成AIの法務チェックポイント総じて各社とも記載が薄い傾向があります 156 組織的外的環境 3 7 人的 4 基本方針の策定
物理的 1 5 規律の整備技術的 2 6 OpenAI Google ガイドライン直接的な記載はあまりない直接的な記載はあまりないある直接的な記載はあまりない

#SaaS生成AIの法務チェックポイントここも、もし記載が薄い場合はセキュリティ認証から推測するのはありです 157 組織的外的環境 3 7 人的 4 基本方針の策定

#SaaS生成AIの法務チェックポイント GoogleのDPAでは、Appendix 2にAccess and Site Controlsの章を置いていて 158 組織的外的環境 3
7 人的 4 基本方針の策定物理的 1 5 規律の整備技術的 2 6 OpenAI Google ガイドライン 1.Data Center and Network Security (a) Data Centers (b) Networks and Transmission. 2. Access and Site Controls (a) Site Controls (b) Access Control 3. Data (a) Data Storage, Isolation and Logging (b) Decommissioned Disks and Disk Erase Policy 4. Personnel Security 5. Subprocessor Security General Terms Appendix 2

#SaaS生成AIの法務チェックポイントデータセンターの物理セキュリティついては一定の記載しています 159 組織的外的環境 3 7 人的 4 基本方針の策定

#SaaS生成AIの法務チェックポイント OpenAIは、Exhibit Bに物理的なアクセス制御の章を独立して置いており 160 組織的外的環境 3 7 人的 4

#SaaS生成AIの法務チェックポイント同業他社のDPAの中では、比較的記載が充実している方だと思います 161 組織的外的環境 3 7 人的 4 基本方針の策定

#SaaS生成AIの法務チェックポイント技術的安全管理措置も、同じく4項目挙げられており 162 組織的外的環境 3 7 人的 4 基本方針の策定

#SaaS生成AIの法務チェックポイントこれらの項目は、どれも基本的にはDPAの中で言及があるものが多いです 163 組織的外的環境 3 7 人的 4 基本方針の策定
物理的 1 5 規律の整備技術的 2 6 OpenAI Google ガイドライン基本ある基本ある基本ある基本ある

#SaaS生成AIの法務チェックポイント GoogleのDPAでは、Appendix 2の2つの箇所に分かれて記載があります 164 組織的外的環境 3 7 人的 4

#SaaS生成AIの法務チェックポイント GoogleのDPAでは、Appendix 2の2つの箇所に分かれて記載があります 165 組織的外的環境 3 7 人的 4

#SaaS生成AIの法務チェックポイント Access Controlの章では (1)アクセス制御と (2)アクセス者の識別と認証が 166 組織的外的環境
3 7 人的 4 基本方針の策定物理的 1 5 規律の整備技術的 2 6 OpenAI Google ガイドライン

#SaaS生成AIの法務チェックポイント Access Controlの章では (1)アクセス制御と (2)アクセス者の識別と認証が 167 組織的外的環境
3 7 人的 4 基本方針の策定物理的 1 5 規律の整備技術的 2 6 OpenAI Google ガイドライン

#SaaS生成AIの法務チェックポイント Networks and Transmissionの章では、残りの部分に言及されています 168 組織的外的環境 3 7 人的
4 基本方針の策定物理的 1 5 規律の整備技術的 2 6 OpenAI Google ガイドライン 1.Data Center and Network Security (a) Data Centers (b) Networks and Transmission. 2. Access and Site Controls (a) Site Controls (b) Access Control 3. Data (a) Data Storage, Isolation and Logging (b) Decommissioned Disks and Disk Erase Policy 4. Personnel Security 5. Subprocessor Security General Terms Appendix 2

#SaaS生成AIの法務チェックポイント他方OpenAIのDPAでは、冒頭のCorporate Identity…で 171 組織的外的環境 3 7 人的 4

#SaaS生成AIの法務チェックポイント会社側のアクセスコントロール等について言及があります 172 組織的外的環境 3 7 人的 4 基本方針の策定

#SaaS生成AIの法務チェックポイント最後の項目、外的環境の把握は他の項目に比べて抽象度が高いです 173 組織的外的環境 3 7 人的 4 基本方針の策定

#SaaS生成AIの法務チェックポイント最後の項目、外的環境の把握は他の項目に比べて抽象度が高いです 174 組織的外的環境 3 7 人的 4 基本方針の策定

#SaaS生成AIの法務チェックポイント GoogleのDPAでは、Data Processing Locationsに記載があります 175 組織的外的環境 3 7 人的
4 基本方針の策定物理的 1 5 規律の整備技術的 2 6 OpenAI Google ガイドライン 1. Overview 2. Definitions 3. Duration 4. Roles; Legal Compliance 5. Data Processing 6. Data Deletion 7. Data Security 8. Impact Assessments and Consultations 9. Access; Data Subject Rights; Data Export 10. Data Processing Locations 11. Subprocessors 12. Cloud Data Protection Team; Processing Records 13. Notices 14. Interpretation General Terms Appendix

#SaaS生成AIの法務チェックポイントここだけだと少し記載が薄いのですが 176 組織的外的環境 3 7 人的 4 基本方針の策定

#SaaS生成AIの法務チェックポイント Appendix 3にはGDPR含めた各国法での対応状況が書かれているので 177 組織的外的環境 3 7 人的 4

基本方針の策定物理的 1 5 規律の整備技術的 2 6 OpenAI Google ガイドライン European Data Protection Law 1. Additional Definitions 2. Instruction Notifications 3. Customer’s Audit Rights 4. Data Transfers 5. Requirements for Subprocessor Engagement CCPA 1. Additional Definitions 2. Prohibitions 3. Compliance 4. Customer Intervention General Terms Appendix 3

#SaaS生成AIの法務チェックポイント GDPR対応の過程で必要な対応は実施済みでは？との推測は立ちます 180 組織的外的環境 3 7 人的 4 基本方針の策定

#SaaS生成AIの法務チェックポイントこれはOpenAIのDPAも同様で、7. International Data Transfersの中に 181 組織的外的環境 3 7
人的 4 基本方針の策定物理的 1 5 規律の整備技術的 2 6 OpenAI Google ガイドライン ◼ 1. Processing Requirements ◼ 2. Notice to Customer ◼ 3. Assistance to Customer ◼ 4. Required Processing ◼ 5. Security ◼ 6. Obligations of Customer ◼ 7. International Data Transfers ◼ 8. Term; Data Return and Deletion General Terms Exhibit

#SaaS生成AIの法務チェックポイント GDPR上の対応についての言及があります 182 組織的外的環境 3 7 人的 4 基本方針の策定

#SaaS生成AIの法務チェックポイント委託先の監督のために必要な2つ目の項目は、委託契約の締結です

#SaaS生成AIの法務チェックポイントとはいえ、利用規約は動かせないことが多いので個別対応は結構難しいですよね 185

#SaaS生成AIの法務チェックポイントここでは、「定期的に監査を行う等」の対応が求められていますが

#SaaS生成AIの法務チェックポイント定期的に監査 = 立入検査ではないので、一定の問い合わせも代替可能です 188 出所：https://www.ppc.go.jp/personalinfo/faq/APPI_QA/#q5-9

#SaaS生成AIの法務チェックポイントなお監査権は、大手企業は（GDPR上の要請もあり）比較的記載があります 1. Overview 2. Definitions 3. Duration 4. Roles;
Legal Compliance 5. Data Processing 6. Data Deletion 7. Data Security 8. Impact Assessments and Consultations 9. Access; Data Subject Rights; Data Export 10. Data Processing Locations 11. Subprocessors 12. Cloud Data Protection Team; Processing Records 13. Notices 14. Interpretation General Terms Appendix

#SaaS生成AIの法務チェックポイントなお監査権は、大手企業は（GDPR上の要請もあり）比較的記載があります

#SaaS生成AIの法務チェックポイント委託先が外国の事業者の場合、同意取得または… 192 委託元委託先同意

#SaaS生成AIの法務チェックポイント委託先が基準に適合していることのチェックが必要になります 193 委託元委託先基準に適合

#SaaS生成AIの法務チェックポイントここでも、基準適合体制をDPAからチェックしてみましょう基準適合体制（28条） 194 出所：https://www.ppc.go.jp/personalinfo/legal/guidelines_offshore/

#SaaS生成AIの法務チェックポイントなお、これらの項目は事実上チェック不要になるので省略します基準適合体制（28条） 195

#SaaS生成AIの法務チェックポイントガイドラインでは、利用目的の特定が求められています 196 不適正利用第三者提供制限１９条 27条利用目的特定委託先の監督 17条
25条利用目的制限漏えい等報告 18条 26条従業者の監督 24条安全管理措置外国第三者 23条 28条 OpenAI Google ガイドライン

#SaaS生成AIの法務チェックポイント GoogleのDPAでは、5. Data Processingのところに記載があります 197 不適正利用第三者提供制限１９条 27条利用目的特定
委託先の監督 17条 25条利用目的制限漏えい等報告 18条 26条従業者の監督 24条安全管理措置外国第三者 23条 28条 OpenAI Google ガイドライン 1. Overview 2. Definitions 3. Duration 4. Roles; Legal Compliance 5. Data Processing 6. Data Deletion 7. Data Security 8. Impact Assessments and Consultations 9. Access; Data Subject Rights; Data Export 10. Data Processing Locations 11. Subprocessors 12. Cloud Data Protection Team; Processing Records 13. Notices 14. Interpretation General Terms Appendix

#SaaS生成AIの法務チェックポイント基本的には、サービスの提供と「その他」的な記載があるのが一般的です 198 不適正利用第三者提供制限１９条 27条利用目的特定委託先の監督 17条

#SaaS生成AIの法務チェックポイント OpenAIのDPAでは1. Processing Requirementsに記載があり 201 不適正利用第三者提供制限１９条 27条利用目的特定
委託先の監督 17条 25条利用目的制限漏えい等報告 18条 26条従業者の監督 24条安全管理措置外国第三者 23条 28条 OpenAI Google ガイドライン ◼ 1. Processing Requirements ◼ 2. Notice to Customer ◼ 3. Assistance to Customer ◼ 4. Required Processing ◼ 5. Security ◼ 6. Obligations of Customer ◼ 7. International Data Transfers ◼ 8. Term; Data Return and Deletion General Terms Exhibit

#SaaS生成AIの法務チェックポイントサービス提供と「その他」のキャッチオール的な内容が書かれています 202 不適正利用第三者提供制限１９条 27条利用目的特定委託先の監督 17条

#SaaS生成AIの法務チェックポイント続いて、先ほど特定した利用目的の範囲内でのみ取り扱うことが必要で 205 不適正利用第三者提供制限１９条 27条利用目的特定委託先の監督 17条

#SaaS生成AIの法務チェックポイント該当箇所としては、利用目的の特定と同様になることが多いです 206 不適正利用第三者提供制限１９条 27条利用目的特定委託先の監督 17条

#SaaS生成AIの法務チェックポイント該当箇所としては、利用目的の特定と同様になることが多いです 207 不適正利用第三者提供制限１９条 27条利用目的特定委託先の監督 17条

#SaaS生成AIの法務チェックポイント一般条項的なので、直接的に対応する記載を見つけることに苦労します 208 不適正利用第三者提供制限１９条 27条利用目的特定委託先の監督 17条

#SaaS生成AIの法務チェックポイント GoogleのDPAの場合には、4. Roles; Legal Complianceが参考になります 209 不適正利用第三者提供制限１９条 27条
利用目的特定委託先の監督 17条 25条利用目的制限漏えい等報告 18条 26条従業者の監督 24条安全管理措置外国第三者 23条 28条 OpenAI Google ガイドライン 1. Overview 2. Definitions 3. Duration 4. Roles; Legal Compliance 5. Data Processing 6. Data Deletion 7. Data Security 8. Impact Assessments and Consultations 9. Access; Data Subject Rights; Data Export 10. Data Processing Locations 11. Subprocessors 12. Cloud Data Protection Team; Processing Records 13. Notices 14. Interpretation General Terms Appendix

#SaaS生成AIの法務チェックポイント一般条項的な箇所や、DPAの全趣旨などから認定することが多いです 210 不適正利用第三者提供制限１９条 27条利用目的特定委託先の監督 17条

#SaaS生成AIの法務チェックポイント OpenAIの場合には、前文の一般条項的な記載を引いてくるのも一案です 211 不適正利用第三者提供制限１９条 27条利用目的特定委託先の監督 17条

#SaaS生成AIの法務チェックポイント安全管理措置については、委託先の監督の「規律の整備」と同内容なので 212 不適正利用第三者提供制限１９条 27条利用目的特定委託先の監督 17条

#SaaS生成AIの法務チェックポイント DPA本体のSecurityに関する部分と、Appendixで認定するのが良いです 213 不適正利用第三者提供制限１９条 27条利用目的特定委託先の監督 17条

#SaaS生成AIの法務チェックポイント DPA本体のSecurityに関する部分と、Appendixで認定するのが良いです 214 不適正利用第三者提供制限１９条 27条利用目的特定委託先の監督 17条

#SaaS生成AIの法務チェックポイントこちらも委託先の監督の「人的安全管理措置」と共通する部分が多いので 215 不適正利用第三者提供制限１９条 27条利用目的特定委託先の監督 17条
25条利用目的制限漏えい等報告 18条 26条ガイドラインの記載従業者の監督 24条安全管理措置外国第三者 23条 28条 OpenAI Google ガイドライン

#SaaS生成AIの法務チェックポイント GoogleのDPAの場合、Appendix2にある4.Personnel Securityを 216 不適正利用第三者提供制限１９条 27条利用目的特定委託先の監督
17条 25条利用目的制限漏えい等報告 18条 26条従業者の監督 24条安全管理措置外国第三者 23条 28条 OpenAI Google ガイドライン 1.Data Center and Network Security (a) Data Centers (b) Networks and Transmission. 2. Access and Site Controls (a) Site Controls (b) Access Control 3. Data (a) Data Storage, Isolation and Logging (b) Decommissioned Disks and Disk Erase Policy 4. Personnel Security 5. Subprocessor Security General Terms Appendix 2

#SaaS生成AIの法務チェックポイント OpenAIのDPAの場合、Exhibit BにあるPersonnelを引くのが良いと思います 217 不適正利用第三者提供制限１９条 27条利用目的特定委託先の監督
17条 25条利用目的制限漏えい等報告 18条 26条従業者の監督 24条安全管理措置外国第三者 23条 28条 OpenAI Google ガイドライン ◼ Corporate Identity, Authentication, and Authorization Controls ◼ Customer Identity, Authentication, and Authorization Controls ◼ System and Workstation Control ◼ Data Access Control ◼ Disclosure Control ◼ Availability control ◼ Segregation control ◼ Risk Management ◼ Personnel ◼ Physical Access Control ◼ Third Party Risk Management ◼ Security Incident Response ◼ Security Evaluations General Terms Exhibit B

#SaaS生成AIの法務チェックポイント委託先における委託先の監督、つまり再委託先への監督が必要です 218 不適正利用第三者提供制限１９条 27条利用目的特定委託先の監督 17条

#SaaS生成AIの法務チェックポイント GoogleのDPAでは、General Termsの11. Subprocessorsと 219 不適正利用第三者提供制限１９条 27条利用目的特定

#SaaS生成AIの法務チェックポイント Appendix 2の5. Subprocessor Securityに同趣旨の記載があり 220 不適正利用第三者提供制限１９条 27条
利用目的特定委託先の監督 17条 25条利用目的制限漏えい等報告 18条 26条従業者の監督 24条安全管理措置外国第三者 23条 28条 OpenAI Google ガイドライン 1.Data Center and Network Security (a) Data Centers (b) Networks and Transmission. 2. Access and Site Controls (a) Site Controls (b) Access Control 3. Data (a) Data Storage, Isolation and Logging (b) Decommissioned Disks and Disk Erase Policy 4. Personnel Security 5. Subprocessor Security General Terms Appendix 2

#SaaS生成AIの法務チェックポイント OpenAIの場合には、冒頭の1. Processing Requirementsに記載があり 221 不適正利用第三者提供制限１９条 27条利用目的特定
委託先の監督 17条 25条利用目的制限漏えい等報告 18条 26条従業者の監督 24条安全管理措置外国第三者 23条 28条 OpenAI Google ガイドライン ◼ 1. Processing Requirements ◼ 2. Notice to Customer ◼ 3. Assistance to Customer ◼ 4. Required Processing ◼ 5. Security ◼ 6. Obligations of Customer ◼ 7. International Data Transfers ◼ 8. Term; Data Return and Deletion General Terms Exhibit

#SaaS生成AIの法務チェックポイントそこで本DPAと同等レベルの契約を、再委託先と締結する旨述べています 222 不適正利用第三者提供制限１９条 27条利用目的特定委託先の監督 17条

#SaaS生成AIの法務チェックポイント漏えい等の報告における役割分担を明確にすることが求められています 223 不適正利用第三者提供制限１９条 27条利用目的特定委託先の監督 17条

#SaaS生成AIの法務チェックポイント Googleでは、7. Data Securityの中にData Incidentsについての記載があり 224 不適正利用第三者提供制限１９条 27条
利用目的特定委託先の監督 17条 25条利用目的制限漏えい等報告 18条 26条従業者の監督 24条安全管理措置外国第三者 23条 28条 OpenAI Google ガイドライン 1. Overview 2. Definitions 3. Duration 4. Roles; Legal Compliance 5. Data Processing 6. Data Deletion 7. Data Security 8. Impact Assessments and Consultations 9. Access; Data Subject Rights; Data Export 10. Data Processing Locations 11. Subprocessors 12. Cloud Data Protection Team; Processing Records 13. Notices 14. Interpretation General Terms Appendix

#SaaS生成AIの法務チェックポイントインシデント発生時にはGoogleが顧客に通知することになっており 225 不適正利用第三者提供制限１９条 27条利用目的特定委託先の監督 17条

#SaaS生成AIの法務チェックポイントインシデント発生時にはGoogleが顧客に通知することになっており 226 不適正利用第三者提供制限１９条 27条利用目的特定委託先の監督 17条

#SaaS生成AIの法務チェックポイント OpenAIのDPFでは、Exhibit BにおけるSecurity Incident Responseの章で 227 不適正利用第三者提供制限１９条 27条
利用目的特定委託先の監督 17条 25条利用目的制限漏えい等報告 18条 26条従業者の監督 24条安全管理措置外国第三者 23条 28条 OpenAI Google ガイドライン ◼ Corporate Identity, Authentication, and Authorization Controls ◼ Customer Identity, Authentication, and Authorization Controls ◼ System and Workstation Control ◼ Data Access Control ◼ Disclosure Control ◼ Availability control ◼ Segregation control ◼ Risk Management ◼ Personnel ◼ Physical Access Control ◼ Third Party Risk Management ◼ Security Incident Response ◼ Security Evaluations General Terms Exhibit B

#SaaS生成AIの法務チェックポイントインシデント発生時に、顧客に通知する旨が書かれています 228 不適正利用第三者提供制限１９条 27条利用目的特定委託先の監督 17条

#SaaS生成AIの法務チェックポイント第三者提供は世界共通的な規制ではないため、対応する記載が乏しいです 229 不適正利用第三者提供制限１９条 27条利用目的特定委託先の監督 17条
25条利用目的制限漏えい等報告 18条 26条ガイドラインの記載従業者の監督 24条安全管理措置外国第三者 23条 28条 OpenAI Google ガイドライン

#SaaS生成AIの法務チェックポイント GoogleのDPAから対応する記載を見つけ出す場合、7. Data Securityで 230 不適正利用第三者提供制限１９条 27条利用目的特定

#SaaS生成AIの法務チェックポイント指示に従うために必要な場合にのみアクセスするとしている点を拾うか 231 不適正利用第三者提供制限１９条 27条利用目的特定委託先の監督 17条

#SaaS生成AIの法務チェックポイント CCPA上の要求事項を満たすために書かれている 232 不適正利用第三者提供制限１９条 27条利用目的特定委託先の監督 17条
25条利用目的制限漏えい等報告 18条 26条従業者の監督 24条安全管理措置外国第三者 23条 28条 OpenAI Google ガイドライン European Data Protection Law 1. Additional Definitions 2. Instruction Notifications 3. Customer’s Audit Rights 4. Data Transfers 5. Requirements for Subprocessor Engagement CCPA 1. Additional Definitions 2. Prohibitions 3. Compliance 4. Customer Intervention General Terms Appendix 3

#SaaS生成AIの法務チェックポイント共有や開示の制限についての記載を拾うことになると思います 233 不適正利用第三者提供制限１９条 27条利用目的特定委託先の監督 17条

#SaaS生成AIの法務チェックポイント OpenAIの場合には、Data Access Controlの章で 234 不適正利用第三者提供制限１９条 27条利用目的特定
委託先の監督 17条 25条利用目的制限漏えい等報告 18条 26条従業者の監督 24条安全管理措置外国第三者 23条 28条 OpenAI Google ガイドライン ◼ Corporate Identity, Authentication, and Authorization Controls ◼ Customer Identity, Authentication, and Authorization Controls ◼ System and Workstation Control ◼ Data Access Control ◼ Disclosure Control ◼ Availability control ◼ Segregation control ◼ Risk Management ◼ Personnel ◼ Physical Access Control ◼ Third Party Risk Management ◼ Security Incident Response ◼ Security Evaluations General Terms Exhibit B

#SaaS生成AIの法務チェックポイント DPA等で許された場合にしかデータにアクセスしない、としている部分か 235 不適正利用第三者提供制限１９条 27条利用目的特定委託先の監督 17条

#SaaS生成AIの法務チェックポイント General Termsにおける1. Processing Requirementsの中で 236 不適正利用第三者提供制限１９条 27条
利用目的特定委託先の監督 17条 25条利用目的制限漏えい等報告 18条 26条従業者の監督 24条安全管理措置外国第三者 23条 28条 OpenAI Google ガイドライン ◼ 1. Processing Requirements ◼ 2. Notice to Customer ◼ 3. Assistance to Customer ◼ 4. Required Processing ◼ 5. Security ◼ 6. Obligations of Customer ◼ 7. International Data Transfers ◼ 8. Term; Data Return and Deletion General Terms Exhibit

#SaaS生成AIの法務チェックポイント DPAで定めた目的のためにしか開示をしない、としている部分を拾います 237 不適正利用第三者提供制限１９条 27条利用目的特定委託先の監督 17条

#SaaS生成AIの法務チェックポイント再委託先が外国にある第三者の場合に、法第4章第2節の措置を求めています 238 不適正利用第三者提供制限１９条 27条利用目的特定委託先の監督 17条

#SaaS生成AIの法務チェックポイントここでも、基準適合体制をDPAからチェックしてみましょう基準適合体制（28条） 239

#SaaS生成AIの法務チェックポイント GoogleのDPAだと、General Termsの11. Subprocessorsの章で 240 不適正利用第三者提供制限１９条 27条利用目的特定

#SaaS生成AIの法務チェックポイント再委託先に対して、このDPAと同様の義務を課すとしている部分が使えます 241 不適正利用第三者提供制限１９条 27条利用目的特定委託先の監督 17条

#SaaS生成AIの法務チェックポイント OpenAIのDPAの場合、General Termsの1. Processing Requirementsで 242 不適正利用第三者提供制限１９条 27条
利用目的特定委託先の監督 17条 25条利用目的制限漏えい等報告 18条 26条従業者の監督 24条安全管理措置外国第三者 23条 28条 OpenAI Google ガイドライン ◼ 1. Processing Requirements ◼ 2. Notice to Customer ◼ 3. Assistance to Customer ◼ 4. Required Processing ◼ 5. Security ◼ 6. Obligations of Customer ◼ 7. International Data Transfers ◼ 8. Term; Data Return and Deletion General Terms Exhibit

#SaaS生成AIの法務チェックポイントサブプロセッサーに対して、DPAと同レベルの義務を課すとしています 243 不適正利用第三者提供制限１９条 27条利用目的特定委託先の監督 17条

#SaaS生成AIの法務チェックポイントどうでしょう、これでDPAをうまく読み解いていけそうでしょうか？ 244

#SaaS生成AIの法務チェックポイントご清聴いただきありがとうございました！世古修平（せこしゅうへい） Website（事務所）：https://www.leact.law/ Website（個人）：https://www.seko-law.info/ X（旧Twitter）：@seko_law Mail
：[email protected] 245

若手法務担当者必見！増え続けるSaaS, 生成AIサービス利用時の法務チェックポイント

若手法務担当者必見！増え続けるSaaS, 生成AIサービス利用時の法務チェックポイント

More Decks by SEKO_Shuhei

Featured

Transcript