はじめに

生成AIの利用が各企業で進む中、当初は、個人情報・営業秘密・機密情報の生成AIへの入力を全面禁止するようなルール^注1が多く見られたが、最近ではこれらの情報も入力したいというニーズが強くなっている。そこで本記事では、生成AIに個人情報・営業秘密・機密情報を入力する場合の検討のポイントについて論じる。
いずれの情報についても、必要な内容の契約が生成AIサービス提供事業者（以下「AIサービス事業者」という）との間で締結できていることを前提に、一定の立場に依拠すれば、入力することは可能であると考えうると思われる。そして、筆者としては、個人情報・自社営業秘密については、既に法的な整理は比較的できている反面、第三者から預かっている機密情報についての法的整理に関してはコンセンサスができておらず、入力にあたっては、見解の相違があることについて、一定のリスクをとることが特に必要になるのではないかと考えている。
前編では、個人情報・自社営業秘密の生成AIへの入力について論じる。なお、後編では、第三者から預かっている機密情報の生成AIへの入力について論じるとともに、全情報に共通する実務上の問題（AIサービス事業者の約款による責任制限との関係、社内ルールの作り方、情報収集に自律性があるAIエージェント等との関係）について論じる。

個人情報の生成AIへの入力

論点と実務上の帰結

個人情報の生成AIへの入力については、「利用目的の制限」および「第三者提供・外国第三者提供」との関係が論点になる。
生成AIに入力する個人情報について、目的外利用をしないこと、AIサービス事業者が適切な安全管理措置を講じていること、および、入力した情報が機械学習に利用されないこと^注2を前提にした場合には、以下のいずれかの法的構成により個人情報の入力が可能であると解釈できる。なお、2026年4月7日に閣議決定された「個人情報の保護に関する法律等の一部を改正する法律案」には、データ処理等の委託を受けた事業者について、委託された個人データ等の適正な取扱いに係る義務の見直し(改正30条の３、58条の2)が含まれている^注3が、現時点では、以下の整理に当面直ちに影響があるわけではないとは思われる^注4。

①　AIサービス事業者との契約および技術的な担保により、事業者側で個人データの取扱いがないものとして「提供」該当性（個人情報27条1項）を否定する（クラウド例外の利用）。

②　「提供」該当性を前提としつつ、委託（同法27条5項1号）の例外で、第三者提供規制（同法27条）をクリアし、外国第三者提供規制（同法28条）については、契約上の措置による基準適合体制の整備によりクリアする。

利用目的の制限

プロンプトに個人情報を入力している以上、利用目的の規制を受ける。自社が持っている個人情報をプロンプトとして入力する場合、プライバシーポリシー等で特定された利用目的の達成に必要な範囲であることが求められる（個人情報保護法18条1項）^注5。
目的の特定の仕方については、個人情報保護委員会のガイドラインを参照する必要がある^注6。

第三者提供との関係

（1） 提供元基準説

個人情報データベース等を構成している「個人データ」（個人情報保護法16条1項、3項）の第三者提供規制（同法27条1項）があり、自社にとって個人データに当たれば、これを第三者提供するには、原則としてあらかじめ本人の同意を得なければならない^注7。個人情報保護法は、それぞれの個人情報取扱事業者が個人情報を適切に取り扱うことを求めている。このため、提供する部分単独では、提供先にとって個人データでないとしても、当該情報の提供元において、提供する部分と他の情報とを容易に照合することができ、それにより特定の個人が識別できるのであれば、提供元としては個人データとして扱うことが必要となる。したがって、提供先であるAIサービス事業者にとって、特定の個人が識別できないように加工してデータを入力しても、個人データの第三者提供規制を受けることになる（提供元基準説）。

（2） ｢提供｣該当性（クラウド例外について）

(a)　クラウド例外の内容と利用の実益
上述のとおり、提供先にとって個人データではない形に加工しても個人データの第三者提供規制を受けるが、次に、この入力行為が｢提供｣に当たるのかという論点がある。
日本独自の個人情報保護法上の｢提供｣の解釈として、「クラウド例外」というものがある。これは、クラウド事業者側で個人データを取り扱わないこととなっている場合には、クラウド事業者にデータを渡すのは｢提供｣ではないという議論（個人情報保護委員会「「個人情報の保護に関する法律についてのガイドライン」に関するQ&A（以下「個人情報保護委員会Q&A」という）」のQ7-53）である。具体的には、「当該クラウドサービス提供事業者が、当該個人データを取り扱わないこととなっている場合とは、契約条項によって当該外部事業者がサーバに保存された個人データを取り扱わない^注8旨が定められており、適切にアクセス制御を行っている場合等」に｢提供｣該当性が否定される。
ここで誤解してはならないのは、クラウド例外は、安全管理を行わなくてよい聖域を生み出すものではないということである。｢提供｣に当たらない場合、委託先の監督義務（個人情報保護法25条）は課されないが、生成AIサービスを利用する事業者は、自ら果たすべき安全管理措置義務（同法23条）の一環として、適切な安全管理措置を講じる 必要がある^注9ことに注意が必要である。
個人データの第三者提供についての同意は、委託（同法27条5項1号）でも不要になるので、本人の同意取得を避けるためにクラウド例外を使う必要性は本来ない。意味があるとすれば、クラウド事業者が外国事業者である場合の「外国にある第三者への提供（同法28条）」については、委託の場合でも規制がかかり、本人同意が原則として要求されることとの関係である。
しかし、後述のとおり、外国にある第三者への提供についても、契約等による基準適合体制の整備があれば、本人同意は不要である。また、前述のとおり、クラウド例外を使って｢提供｣該当性を否定する場合においても、AIサービス事業者は、自らの安全管理措置を講じる必要があり、そこに外的環境の把握も含まれる。つまり、個人情報取扱事業者が、外国において個人データを取り扱う場合、当該外国の個人情報の保護に関する制度等を把握したうえで、個人データの安全管理のために必要かつ適切な措置を講じなければならない（「個人情報の保護に関する法律についてのガイドライン（通則編）」（以下「GL通則編」という）10-7）。
クラウド例外の適用範囲については、特にSaaSやAIとの関係を中心に、(b)で後述するとおり、見解が分かれている。そこで、適用の有無の不確実性とクラウド例外適用によって得られるメリットを比較衡量して依拠する見解を決めるべきである。クラウド例外をあえて使う必要がないのであれば、「委託（+ 外国第三者提供についての基準適合体制整備）」として整理をすれば足りると考えられる。ただし、現実には、特に金融機関等で委託として整理すると、自社の委託先管理ルールが厳格である一方で、クラウド例外を適用すればその規律が及ばないことからクラウド例外による整理をしたいという実務上のニーズが存在するケースはある。いずれにせよ、クラウド例外を使う場合には、「安全管理（外的環境の把握含む）をしなくてよい聖域が生まれる」という誤解だけは避けるべきである。

(b)　クラウド例外の適用範囲
クラウド例外の適用範囲については、（a）で前述した個人情報保護委員会Q＆A7-53の基準により決まるが、より踏み込んだ解釈を示したものとして、以下の「規制改革・行政改革ホットライン検討要請項目の現状と対応策」における個人情報保護委員会の回答（令和5年2月16日回答取りまとめ）がある^注10。

これを素直に読んだ場合、生成AIにおいては、通常、サーバに（一時的に）保存された個人データに対する分析が行われて出力がなされると考えられるため、クラウド例外の適用はできないと考えられるように思われる^注11。
他方、このような考え方自体が妥当でないとして、より柔軟にクラウド例外の適用を認める見解^注12もある。
また、上記の四角囲みのような考え方自体は一般論として必ずしも否定しないものの、生成AIとの関係では、個人情報保護委員会の注意喚起（別添1）「生成AI サービスの利用に関する注意喚起等」（平成5年6月2日） の（1）②を反対解釈して、クラウド例外の適用の余地を認める見解もある。
同文書では、｢個人情報取扱事業者が、あらかじめ本人の同意を得ることなく生成AIサービスに個人データを含むプロンプトを入力し、当該個人データが当該プロンプトに対する応答結果の出力以外の目的で取り扱われる場合、当該個人情報取扱事業者は個人情報保護法の規定に違反することとなる可能性がある。そのため、このようなプロンプトの入力を行う場合には、当該生成AIサービスを提供する事業者が、当該個人データを機械学習に利用しないこと等を十分に確認すること｣とされている。これを反対解釈し、生成AIサービスを提供する事業者が、プロンプトに対する応答結果の出力の目的のみで個人データを使い、機械学習に利用しないのであれば、個人データの｢提供｣に該当しないとの考え方をとるのがこの見解^注13である。
この見解と四角囲みの従来の見解（編集・分析等を行えば提供に該当する）との整合性を説明しようとすれば、生成AIについての例外的な射程の狭い議論であると捉えることが一応想定されるが、反対解釈自体に理論的に無理があるとの指摘^注14もある。また、AIサービス事業者が不正監視目的でのモニタリングをした場合には、プロンプトに対する応答結果の出力目的のみでの利用に当たらないので、結局クラウド例外は使えないのではないかという問題もある。この点、生成AIによっては、設定上不正監視目的でのモニタリングがオフにできるサービスもあり、その場合にはこの問題は生じないことになる。クラウド例外との関係では、不正監視目的でのモニタリングをオフにすることは、整理をしやすくする面は一応あるものの、不正の監視ができなくなってしまう問題が生じることになる。このような問題が生じるとしても、あえて、クラウド例外に依拠するために不正監視目的でのモニタリングをオフにする必要性があるのかについては、慎重に検討すべきであろう。

（3） 「委託」整理の場合

(a)　一般論
個人データの｢提供｣に当たるとしても、利用目的の達成に必要な範囲内で個人データの取扱いを委託することに伴って当該個人データが提供される場合は、本人同意が不要となる（個人情報保護法27条5項1号）。
個人データの取扱いについて委託を前提とした契約（DPA：データ処理契約等）が締結されているケースにおいては、これに従って、同法25条に基づく監督を行うという整理も可能と考えられる。この点、経済産業省の｢AIの利用・開発に関する契約チェックリスト｣（令和7年2月）の34頁では、委託の監督義務について、｢具体的にどのような内容の監督義務を講ずべきかは個々の事案により異なるが、例えば、ベンダの約款等を吟味した結果、当該約款等を遵守することにより当該個人データの安全管理が図られると判断される場合には、それをもって監督義務の履行として十分と考えられるケースもあり得る」とされている^{注15 注16}。

(b)　委託構成と生成AIサービス提供事業者による学習の可否
利用者がプロンプトに入力した個人データについて、AIサービス事業者側の学習における取扱いは、大きく以下の三つのケースに分けられる（「AIの利用・開発に関する契約チェックリスト」27頁参照）。

①　学習に利用されない場合

②　汎用的な学習目的（例：当該ベンダーの自社サービスの改善・改良目的）に利用される場合

③　ユーザーへのサービス提供に必要な範囲内でのみ学習目的に利用される場合

委託先は、委託に伴い取得した個人データの独自利用ができないことになっている。ここで「独自利用」が何を指すかが問題となる。個人情報保護委員会のQ&AのQ7-39では、｢委託先は、委託元の利用目的の達成に必要な範囲内である限りにおいて、委託元から提供された個人データを、自社の分析技術の改善のために利用する｣ことは独自利用ではなく可能であるとされている。AI関連の学習の際に、この議論をどこまで広げられるのか（委託の限界を越えるか否か）が論点となる。
上記①や③であれば問題ないが、②については問題が生じる。少なくとも、委託先での学習が委託元にとって直接または間接に利益になることが必要と考えられるため、②の自社サービスにユーザ企業が利用していない別のサービスが含まれていれば、独自利用として委託の限界を超えることになる。他方、②の自社サービスがユーザ企業が利用しているサービスのみであれば、ユーザ企業が利用しているサービス改善の間接的な効果として他のユーザも恩恵を受けるだけであるから、最終的に特定の個人との対応関係が排斥された形での学習に用いられる限りにおいては、委託の限界を超えないとの整理が可能と思われる^{注17 注18}。
実際には、AI事業者の約款にサービスの改善（学習を含む）についての文言がある場合は、ユーザー企業が利用する特定のサービスのための改善（学習を含む）のみに限定されないように読める文言になっていることも多く、実務上は、AIサービス事業者における自社サービス改善のための利用（学習を含む）が行われる場合には、委託整理との関係で課題が生じることになる。

（4） 外国第三者提供規制

外国のAIサービス事業者に個人データを移転する場合、外国にある第三者への提供規制（個人情報保護法28条）が問題となる。実務上、本人の同意をとることが現実的でないため、その対応が論点となる。
この点、提供先との間で、個人データの取扱いについて、契約を締結する等の適切かつ合理的な方法により、同法4章2節の規定の趣旨に沿った措置の実施が確保されていれば、本人同意は不要となる（同法28条、個人情報保護委員会規則16条1項、個人情報保護委員会ガイドライン外国第三者提供編（令和7年一部改正）の4を参照）。
具体的には、グローバル対応のDPA（データ処理契約）を結び、その中で「個人データの目的外利用の禁止」をはじめさまざまな規定が定められているケースが挙げられる。それらの定めが日本法と同レベルの保護であると評価できるのであれば、日本法レベルで個人データが守られていることになり、基準適合体制が整備されているので同意なく提供できるという整理が可能になる。
個人情報保護委員会ガイドライン外国第三者提供編の4-2 法第4章第2節の規定の趣旨に沿った措置（規則第16条第1号関係）では、基準適合体制の整備について、以下のとおりとされているため、契約の文言が、一言一句厳密に日本法に従っていることは必要ない。

なお、個人情報取扱事業者は、個人データを外国にある第三者（基準適合体制を整備している者）に提供した場合には、個人情報保護委員会規則で定めるところにより、当該第三者による相当措置の継続的な実施を確保するために必要な措置を講ずるとともに、本人の求めに応じて当該必要な措置に関する情報を当該本人に提供しなければならないことにも留意が必要である（個人情報保護法28条2項、個人情報保護委員会ガイドライン外国第三者提供編の6）。

図表1　生成AIへの個人情報入力に関する判断フロー

※ 共通の前提：①AIサービス事業者が適切な安全管理措置（23条）を講じていること、②入力した情報がAI事業者の機械学習に利用されないこと。

自社営業秘密の生成AIへの入力

はじめに

次に、自社営業秘密を生成AIへ入力することについて検討する。不正競争防止法で保護される営業秘密を生成AIに入力した場合、生成AIサービス提供事業者への提供が、「営業秘密該当性」の喪失を招かないようにする必要がある。
営業秘密の要件は、①秘密管理性（秘密として管理されている）、②有用性（生産方法、販売方法その他の事業活動に有用な技術上または営業上の情報）、③非公知性（公然と知られていないもの）である（不正競争防止法2条6項）。
経済産業省の営業秘密管理指針（最終改訂：令和7年3月31日）では、以下のとおりとされている。

AIサービス事業者との関係

仮に、入力した営業秘密が機械学習され、生成AIの他の利用者に開示される状態となれば、非公知性が失われることになるが、そのような事態は実際には稀であろう。
より問題となるのは「秘密管理性」である。AIサービス事業者との規約等で機密保持に関する定めがないような場合や、実態として明らかにセキュリティ措置に問題があるような場合に、営業秘密を生成AIに入力していれば、AIサービス事業者に対して秘密管理意思は示されていないものとして、秘密管理性が否定されるリスクがある。そのため、機密保持に関する定めやセキュリティ措置を確認することが重要である。

自社役職員との関係

生成AIサービス提供者との規約等で機密保持に関する定めがない場合や、実態として明らかにセキュリティ措置に問題があるのに、会社として当該生成AIを利用させているような場合には、自社役職員との関係で、自社の秘密管理意思についての認識可能性に疑義が生じ、秘密管理性が失われるリスクがある。そこで、各企業は、生成AIサービス提供者との関係での機密保持に関する定めやセキュリティ措置を確認し、機密保持義務が結ばれて十分なセキュリティ措置が講じられている生成AI以外への営業秘密の入力は禁止して、自社役職員等に対して秘密管理意思を示しておくことが重要である。
前述のとおり、利用者がプロンプトに入力した個人データが、AIサービス事業者側の学習に①利用されない場合、②汎用的な学習目的（例：当該AIサービス事業者の自社サービスの改善・改良目的）に利用される場合、③ユーザへのサービス提供に必要な範囲内でのみ学習目的に利用される場合がありうる（経済産業省の｢AIの利用・開発に関する契約チェックリスト｣27頁参照）。
①のように、学習されないことや、その他AIサービス事業者の独自目的に利用されないことが契約上も技術上も担保されている場合等については、秘密管理性喪失を否定する意見に依拠することは十分ありうる。また、③についても、①と同様に考えることが可能ではあるように思われる。これに対して②については、秘密管理性が喪失する可能性がありうるように思われる。
この論点は、通説・判例があるわけではないが、自社の営業秘密の管理については自己責任であるため、自社でどのような見解に依拠するか判断して決めることは可能である^注21。
この点、松尾剛行『生成AIの法律実務』（弘文堂、2025年）116頁は、「個人的には、この点は、クラウドにアップロードしても営業秘密性は否定されないところ、クラウドと同様、少なくともセキュアな生成AIであれば、生成AIに投入しただけでは営業秘密性が否定されないと解すべきではないかとは考える」としている^注22。
仮に、法的には秘密管理性の喪失にならないとしても、現実には、保護が失われれば事業上重大な影響が生じるような重要な営業秘密についてまで入力してよいかは別問題であり、ルール整備にあたっては、自社内部規程の秘密管理区分との整合性にも意識が必要である。この点は、後編の「社内ルールの作り方」で詳しく説明する。

1. たとえば、一般社団法人日本ディープラーニング協会の｢生成AIの利用ガイドライン」では、これらの情報の入力を禁止する条項例が紹介されている。本条項例は、あくまで、各企業が生成AIをまず各従業員に触ってもらうために何かルールを作る際に、できるだけリスクを低くする場合の条項例を紹介しているに過ぎないといえる。本ガイドラインは、これらの情報を入力することは法的に不可能という立場を示すものではなく、各社が条項例を参考としつつ、自社の状況に応じて修正することを前提としていると考えられる。[↩]
2. 委託での整理をした場合には、個人情報保護委員会Q&AのQ7-39との関係で一定の場合の機械学習は可能と考えられることについては、Ⅱ3.（3）で後述する。[↩]
3. 個人情報保護委員会ウェブサイト｢「個人情報の保護に関する法律等の一部を改正する法律案」の閣議決定について（令和8年4月7日）｣を参照。[↩]
4. 改正58条の2の（取扱いの方法が契約により定められている受託個人情報取扱事業者等についての適用の特例）がクラウド例外に影響を与えるかについて論じたものとして、福岡真之介｢個人情報保護法の3年ごとの見直しは「クラウド例外」議論に決着をもたらすか｣がある（なお、同論考は条文案公表前に公表されたものである）。本改正が成立した場合に、クラウド例外の整理に影響があるかは注視していく必要はある。クラウド例外自体は後述のとおり明文化されているものではないため、法文自体を変えなくても解釈変更により従来の扱いを変えることは可能であるといえる。[↩]
5. 個人情報保護委員会の注意喚起の（別添1）「生成AIサービスの利用に関する注意喚起等」の（1）①でも、「個人情報取扱事業者が生成AIサービスに個人情報を含むプロンプトを入力する場合には、特定された当該個人情報の利用目的を達成するために必要な範囲内であることを十分に確認すること」とされている。[↩]
6. 個人情報保護委員会ガイドライン通則編3-1-1の※1では「利用目的の特定」の趣旨は、個人情報を取り扱う者が、個人情報がどのような事業の用に供され、どのような目的で利用されるかについて明確な認識を持ち、できるだけ具体的に明確にすることにより、個人情報が取り扱われる範囲を確定するとともに、本人の予測を可能とすることである。本人が、自らの個人情報がどのように取り扱われることとなるか、利用目的から合理的に予測・想定できないような場合はこの趣旨に沿ってできる限り利用目的を特定したことにはならない。たとえば、本人から得た情報から、本人に関する行動・関心等の情報を分析する場合、個人情報取扱事業者は、どのような取扱いが行われているかを本人が予測・想定できる程度に利用目的を特定しなければならない」とされている。[↩]
7. 個人データではない散在情報である個人情報の第三者提供については、個人情報保護法27条の規律は受けないが、第三者への提供も個人情報の利用目的であるため、利用目的の制限を受けることになり、本人に通知・公表していなかった個人情報の第三者提供を事後的に開始するには原則として、本人同意が必要となる（同法18条1項）。[↩]
8. ｢取り扱わない｣というのは、日本法独自の概念であり、GDPR等における｢処理｣の概念よりも狭いと考えられる。GDPR等においては、たとえば、IaaSのクラウドへの保存も｢処理｣に当たるため、クラウド例外という考え方は存在しない。グローバル企業のサービスは日本法に特化した対応をしないケースも多く、契約条項に個人データを｢取り扱わない｣という明確な文言を見つけることが難しいことが多々ある（英語で、取扱いをprocessingと訳してしまうと、GDPRでは、processingは当然にしているので、それを否定することは文言上できないという発想になる。余談であるが、｢取扱い｣は、英訳時は、handlingとしてprocessingとは別概念であることを示すことが考えられる）。[↩]
9. 個人情報保護委員会Q&AのQ7-54。[↩]
10. 他にも、近時のものとして、クラウドサービス提供事業者が提供する業務システムが不正アクセス被害を受け、クラウド環境で管理されていた多数の個人情報取扱事業者の顧客の従業員の個人データが暗号化され、漏えい等のおそれが生じた事案について、個人情報保護委員会が、クラウド例外の適用を否定した株行政指導事例「株式会社エムケイシステムに対する 個人情報の保護に関する法律に基づく行政上の対応について（令和6年3月25日）」に際して、2024年3月に出された、「クラウドサービス提供事業者が個人情報保護法上の個人情報取扱事業者に該当する場合の留意点について（注意喚起）」も参考になる。[↩]
11. 松尾剛行｢生成AIと個人情報保護法（クラウド例外を含む個人データの第三者提供を中心に）｣（一橋研究49巻2号）30頁参照。[↩]
12. 福岡真之介｢生成AIとクラウド例外」等を参照。なお、中島＝小倉｢クラウド例外の射程と生成AI時代の「取扱い」｣（前編） （後編）は、｢個人データの「取扱い」の分水嶺は、事業者が当該データを「意味を持った情報」として利用・処理しているか、あるいは「中身に関知しない単なるビット列（ペイロード）』として処理しているかという点にある｣との見解に立ったうえで、生成AIへのあてはめとしては、｢LLMによるデータ処理は、データの内容に着目した処理のひとつの形であり、投入されたデータの中に個人データが含まれている場合には、LLMを提供する事業者が個人データを取り扱っていると考えるのが自然｣とする。[↩]
13. 杉浦健二｢生成AIへのプロンプト入力時における個人情報保護法上の論点まとめ（前編）｣参照。[↩]
14. 小川智史｢実務問答個人情報保護法　第1回クラウド例外｣（NBL1250号）11頁の曽我部真裕教授コメントおよび、石井夏生利｢生成AIの利用と個人情報－越境データ移転のリスク｣（国際商事法務54巻1号）21頁参照。[↩]
15. 前提として、以下の個人情報保護委員会Q&Aが参照されている。
    ・「ベンダにおける個人データの取扱状況の把握に当たっては、取扱いを委託する個人データの内容や規模に応じて適切な方法を講じれば足りる」(個人情報保護委員会Q&AのQ5-9参照）。
    ・「ベンダの監督については、取扱いを委託する個人データの内容を踏まえ、個人データが漏えい等をした場合に本人が被る権利利益の侵害の大きさを考慮し、委託する事業の規模及び性質、個人データの取扱状況（取扱う個人データの性質及び量を含む。）等に起因するリスクに応じて行うべきものと考えられる」（個人情報保護委員会Q&AのQ5-11参照）。[↩]
16. 実際には、たとえば物理的な監査を行うことや生成AI事業者に自社作成のチェックリストを埋めさせること等は現実的ではない。生成AI事業者から提供されるDPAやセキュリティに関するホワイトペーパー等を自主的に評価する形で監督義務を果たすことを目指すことになる。なお、この点、そのようなやり方では、監督の実態がないものとして、委託の整理はフィクションであるとの意見はありうるが、そうであるとしても、クラウド例外を使っても今度は安全管理措置の担保に同様に困難が生じるので解決にはならないであろう。そうすると、第三者提供となって本人同意が必要という帰結になってしまい実務上は対応に行き詰まってしまうことになる。[↩]
17. この点について、世古修平｢SaaS提供企業における顧客企業入力データのAI学習利用（思い出したいことがある）｣参照（なお、AIサービスへの個人情報の入力についての全般的な検討をする同著者の直近の論考として、世古修平「AIサービスに「個人情報」を入力するにはどうすれば良いか（思い出したいことがある）」があり、参考になる。）[↩]
18. なお、ユーザ企業が利用しているサービスのみの改善目的であっても、たとえば、ユーザ企業がサービスを解約した後に当該個人データが学習用データとして保持し続けられているようなことがあるのであれば、当該データの保持自体が委託の限界を超えることになると思われる。[↩]
19. 従業員や役員、取引相手先など。[↩]
20. 法人全体ではなく、営業秘密たる情報を管理している独立単位。[↩]
21. 個々の役職員の個別の判断に委ねるということではなく、会社としての意思決定を行うべきと考えられる。[↩]
22. 参考として、経済産業省「営業秘密管理指針」（最終改訂：令和７年3月31日）14頁では、「外部のクラウドを利用して営業秘密を保管・管理する場合も、秘密として管理されていれば、秘密管理性が失われるわけではない。たとえば、階層制限に基づくアクセス制御などの措置が考えられる。なお、情報の内容・性質等からいって、当該営業秘密保有者にとって重要な情報であることが明らかな場合には、外部のクラウドにアクセスするためにID・パスワードなどが設定されているといった程度の技術的な管理措置や、就業規則や誓約書において当該情報の漏えいを禁止しているといった規範的な管理措置で足りる場合もある」とされている。なお、同指針18頁の注２では、管理単位Cで秘密管理されている情報αを生成AIに利用していた場合の扱いについて論じられているが、上記の論点について正面から回答するものではない。[↩]