ChatGPTに個人情報を入力していいか——業務利用で見る注意点
「chatgpt 個人情報」で検索する読者に向けて、ChatGPTに個人情報を入力していいか——業務利用で見る注意点を切り口に、実務で確認すべき使い方・注意点・導入判断を整理します。中小企業で無理なく試すための論点も解説します。
ChatGPTに個人情報を入力してよいかは、「ツール名」ではなく「何を入力するか」「どの契約で使うか」「入力データがどう扱われるか」で判断します。個人版アカウントに顧客名、メールアドレス、商談内容、従業員評価をそのまま入れる運用は避けるべきです。一方で、業務用プランやAPIを使い、入力データの学習利用、保存期間、アクセス権限、ログ管理、委託先管理を確認したうえで、匿名化・仮名化したデータを扱う設計なら、業務利用できる範囲は広がります。
本記事では、ChatGPTと個人情報の基本判断、個人情報保護法で見落としやすい利用目的、委託先管理、業務用プランと個人版の違い、匿名化・仮名化の実務、SaaS契約のチェック項目、漏えい時の初動を整理します。2026年4月7日に個人情報保護法等の改正法案が閣議決定され、課徴金納付命令制度などの導入も法案化されていますが、本記事では未確定の金額試算ではなく、現時点で企業が実務として整えるべき入力ルールと契約確認に絞ります。
1. ChatGPTに個人情報を入力していいか——まず確認する3条件
結論から言うと、個人情報をそのままChatGPTに入力してよいかは、次の3条件を満たすかで判断します。第一に、その入力が本人に示した利用目的の範囲に入ること。第二に、会社が管理できる契約・アカウント・設定で使うこと。第三に、入力データの学習利用、保存、閲覧権限、削除、ログ確認の扱いを説明できることです。この3条件が説明できない場合、顧客名や従業員情報を含む入力は避け、匿名化・仮名化した情報だけを使うべきです。
| 確認項目 | NGになりやすい運用 | 実務上の落としどころ |
|---|---|---|
| 利用目的 | 顧客に示していない目的で商談内容をAIに処理させる | プライバシーポリシー、契約、社内規程でAI利用の目的を確認する |
| 契約と管理 | 社員の個人版ChatGPTに顧客情報を入れる | ChatGPT Business、API、同等の法人契約で管理する |
| データ利用 | 学習利用やログ保存を確認しない | 学習利用、保存期間、管理者権限、削除手続きを確認する |
| 入力内容 | 氏名、メール、電話番号、評価、健康情報をそのまま貼る | ID化、伏字化、要約化を先に行い、必要最小限だけ入力する |
OpenAIはChatGPT Business、Enterprise、Edu、APIなどの組織向けデータをデフォルトではモデル学習に使わないと説明しています。AnthropicもClaude for WorkのTeam/Enterpriseについて、商用条件下の入力データをモデル学習に使わないと説明しています。Microsoft 365 Copilotも、Microsoft Graphを通じてアクセスされるプロンプトや応答、組織データを基盤モデルの学習に使わないと説明しています。だからといって無条件に個人情報を入れてよいわけではなく、会社として契約、設定、権限、ログ、委託先管理を説明できる状態にする必要があります。
出典:OpenAI Business data privacy, security, and compliance/OpenAI How ChatGPT protects privacy/Anthropic Help Center/Microsoft 365 Copilot data, privacy, and security/個人情報保護委員会 生成AIサービスの利用に関する注意喚起。2. 個人情報保護法で見る入力前の判断軸
ChatGPTへの入力で最初に確認すべき法的論点は、課徴金の金額試算ではなく、利用目的と安全管理措置です。個人情報保護法では、個人情報を取得・利用する目的をできる限り特定し、その範囲内で取り扱うことが求められます。営業提案、問い合わせ対応、議事録要約、採用評価、従業員面談など、AIに処理させる場面が利用目的の範囲に含まれるかを確認しないまま、個人情報を外部AIサービスへ入力する運用は危険です。
2026年改正法案で見ておくべきこと
2026年4月7日に個人情報保護法等の一部改正法案が閣議決定されました。個人情報保護委員会の公表資料では、違法な取扱い等によって財産上の利益を得た場合の課徴金納付命令制度や、統計等の作成を行う第三者への提供で本人同意を不要とする措置などが示されています。ただし、個別企業がChatGPTへ入力しただけで一律に売上何%の制裁になる、といった単純な整理はできません。現時点で企業が取るべき実務は、入力ルール、委託先評価、ログ管理、漏えい時の初動を文書化することです。
| 論点 | 実務で確認すること |
|---|---|
| 利用目的 | 顧客や従業員に示した目的の範囲でAI処理が説明できるか |
| 安全管理措置 | 入力権限、ログ、保存、削除、持ち出し制限を管理できるか |
| 委託先管理 | AIサービス事業者の契約、DPA、データ利用、再委託を確認したか |
| 第三者提供 | AIサービスへの送信が委託か第三者提供かを契約関係で整理したか |
| 漏えい対応 | 誰が影響範囲を確認し、報告・通知要否を判断するか決まっているか |
3. 学習利用と業務利用の境界
ChatGPTの個人情報リスクは、「AIが賢くなるために学習されるか」だけではありません。学習に使われない契約であっても、外部サービスに送信され、一定期間保存され、管理者やサポートが確認できる可能性があるなら、会社として取り扱いを説明できる必要があります。逆に、業務用プランやAPIで学習利用がデフォルトオフでも、利用目的を超えた入力や権限管理のない共有は別のリスクになります。
学習利用だけを見てはいけない理由
個人情報をAIに入力する時は、学習利用、保存、閲覧、削除、再委託、越境移転の6点を分けて確認します。検索上は「ChatGPT 個人情報 学習される?」に関心が集まりがちですが、実務で問題になるのは、誰がそのログにアクセスできるか、退職者のアカウントが残っていないか、社内で入力禁止データが定義されているか、本人から開示や削除を求められた時に追跡できるかです。
中小企業の SaaS 利用は何に該当するか?
中小企業が ChatGPT Business・Claude Team・HubSpot Breeze・Salesforce Einstein・Microsoft 365 Copilot 等を使う場合、改正法上は『個人情報の取扱いの委託』に該当します。これは『従業員の作業を SaaS に外注している』という位置付けで、自社(委託元)が委託先(SaaS 事業者)に対して選定・監督・契約の3義務を負います。
学習特例の対象外ということは、AI に入力する個人情報も従来通り本人同意・利用目的の範囲内でなければなりません。例えば顧客のメールアドレスを ChatGPT に入力して『この顧客への提案文を考えて』と依頼する行為は、顧客への利用目的通知が『AI による文章生成補助』を含まなければ法的に問題になり得ます。
入力データが学習されない契約の確認方法
ChatGPT Business、Claude Team、Microsoft 365 Copilot、Gemini for Workspace 等の業務利用契約では、入力データが AI モデルの学習に使われないことが標準仕様として明記されています。これは『学習特例の対象外』とは別の論点で、SaaS 事業者が自社モデルの学習に流用しないという契約上の保証です。
中小企業が確認すべき条項は次の3点です。第一に Data Processing Addendum(DPA)または同等の付属文書で『入力データを学習に使わない』ことが明記されているか。第二に管理者画面の設定で『データ共有』『学習目的での利用』のオプトアウトが初期値で OFF になっているか。第三に契約終了時のデータ削除証明書が発行されるか。OpenAI・Anthropic・Microsoft・Google はいずれも3点に対応していますが、個人版アカウント(ChatGPT Plus、Claude Pro 個人版)は入力データが学習対象になる可能性があるため、業務利用には不適格です。
個人版アカウントの業務利用は危険
中小企業で頻繁に観測される失敗パターンが、社員が個人で契約した ChatGPT Plus(月20ドル)に顧客情報を入力する行為です。OpenAI の利用規約では個人版アカウントの入力データはモデル学習に利用される可能性があり、これは改正法の『委託先選定義務違反』『利用目的範囲外利用』の二重の違反になり得ます。
対策は明確で、社員が業務で AI を使うなら ChatGPT Business(最低2席)または Claude Team(最低5席)に統一し、個人版アカウントの業務利用を禁止する社内ルールを設けることです。月額20〜30ドル/人程度で社員2〜5名から契約可能であり、中小企業でも導入できる価格帯です。詳細は中小企業のChatGPT Business活用で扱っています。
出典:OpenAI Business Terms/Anthropic Commercial Terms/Microsoft 365 Copilot プライバシー。4. 委託先管理責任の強化——SaaS 選定の評価軸
ここから3つの章は、上位記事の条文解説を超えた、経営判断レイヤーの切り口を提示します。改正法の最大の実務インパクトは委託先管理責任の強化で、SaaS 事業者を選定・監督する義務が中小企業にも明確に課されます。Salesforce・HubSpot・Microsoft・Google・OpenAI・Anthropic などのグローバル SaaS は契約条項とセキュリティ機能で対応していますが、設定が初期値ではない場合があり、契約時の確認と運用時の点検が必須です。
委託先管理責任の3義務とは?
改正法の委託先管理責任は、選定義務・監督義務・契約義務の3つから成ります。選定義務は『セキュリティ水準が十分な事業者を選ぶ』こと、監督義務は『委託先の取扱状況を定期的に確認する』こと、契約義務は『個人情報の取扱いについて契約で明示する』ことです。これらは従来も存在しましたが、改正法では具体的な確認項目と確認頻度が個人情報保護委員会のガイドラインで明確化されます。
中小企業の現実的な実装は、SaaS 選定時のチェックリスト・年次の委託先点検レポート・DPA(Data Processing Addendum)の締結の3点セットです。すべて初回設計に労力がかかりますが、一度作れば毎年使い回せる仕組みであり、事故時の説明責任と取引先監査に耐えるための費用対効果が高い投資です。
主要 SaaS 委託先6社の比較
中小企業が業務で利用する代表的な SaaS 委託先6社(Salesforce、HubSpot、Microsoft 365、Google Workspace、OpenAI ChatGPT Business、Anthropic Claude Team)を改正法の委託先管理の観点で比較すると、次のようになります。
| サービス | 入力データ学習除外 | 日本リージョン保存 | アクセスログ提供 | DPA 締結可 | 削除証明書 |
|---|---|---|---|---|---|
| Salesforce | ◯(Einstein Trust Layer) | ◯(Hyperforce) | ◯ | ◯ | ◯ |
| HubSpot | ◯(Breeze AI) | △(US/EU 中心) | ◯ | ◯ | ◯ |
| Microsoft 365 | ◯(Copilot 標準) | ◯(東日本/西日本) | ◯ | ◯ | ◯ |
| Google Workspace | ◯(Gemini Enterprise) | ◯(東京/大阪) | ◯ | ◯ | ◯ |
| ChatGPT Business | ◯(標準で学習除外) | △(US 中心、JP 展開中) | ◯ | ◯ | ◯ |
| Claude Team | ◯(標準で学習除外) | △(US 中心、AWS Tokyo 経由可) | ◯ | ◯ | ◯ |
6社いずれも改正法対応に十分な機能を備えていますが、日本リージョン保存については HubSpot・OpenAI・Anthropic がやや弱い状況です。日本国内のみで個人情報を保管したい場合は Microsoft 365・Google Workspace・Salesforce が優位、機能性とコストを優先する場合は HubSpot・ChatGPT Business・Claude Team も選択肢に入ります。
中小企業が見るべき契約条項5項目
中小企業が SaaS 委託先の契約を確認する際、最低限見るべき条項は5項目です。第一に入力データの学習利用条項——『学習に使わない』ことが明示されているか、オプトアウト設定が可能か。第二にデータ保存リージョン条項——東京・大阪・US・EU など物理的保存場所が選択できるか。第三にアクセスログ・利用記録の提供——監督義務遂行のため定期的にログを取得できるか。第四にインシデント通知体制——漏洩発生時の連絡先・時間・情報粒度。第五に契約終了時のデータ削除——削除証明書の発行有無。
これらは Master Service Agreement(MSA)本文ではなく、Data Processing Addendum(DPA)や Privacy Policy の附属文書に書かれていることが多く、契約時に必ず別途確認する必要があります。
出典:Salesforce Einstein Trust Layer/HubSpot Data Privacy/Microsoft Compliance Documentation。5. AI 入力データの保護——匿名化・仮名化・ログ管理
委託先管理と並ぶ実務論点が、AI に入力するデータ自体の保護です。改正法では匿名化・仮名化・アクセスログの3つの技術的措置が中小企業にも要求される水準に引き上げられました。SaaS 委託先が安全であっても、自社側で個人情報を不必要に入力していれば改正法違反のリスクは残ります。
匿名化と仮名化はどう違うか?
匿名化(anonymization)は個人を特定できない状態に完全に加工することで、加工後のデータは改正法の対象外となります。一方の仮名化(pseudonymization)は元のデータと照合可能な状態を保ちつつ識別子を置き換えることで、加工後も改正法の対象内に留まりますが取扱要件が緩和されます。改正法はGDPR と歩調を合わせて仮名化を明文化しており、AI への入力前処理として中小企業も活用できます。
実務的には、ChatGPT で顧客提案文を生成する際、顧客の実名・実社名・実メールアドレスを ID 文字列(『顧客A001』『株式会社X』)に置き換えてから AI に入力し、生成された文章を最後に実名に置き換える運用が現実的です。これだけで AI 委託先に残る個人情報を大きく減らせます。
アクセスログの保存義務
改正法では委託先での個人情報利用記録の保存・取得が明文化されました。中小企業が SaaS を業務利用する際、誰がいつ何の操作をしたかのログを SaaS 側で保存し、必要に応じて取り出せる状態にしておく必要があります。Salesforce・HubSpot・Microsoft 365 のような主要 SaaS は監査ログ機能を標準装備していますが、設定が初期値で OFF になっていることが多く、契約後に手動で有効化する必要があります。
ログの保存期間は業界別の指針が出ていますが、改正法上は『必要かつ合理的な期間』として最低1年、データの種別によっては3〜7年が推奨されます。中小企業の現実的な設計は、SaaS 標準機能で2年保存、より長期の保管が必要な業界(医療・金融)は外部ストレージにエクスポートして保存する形です。
社内ガイドラインの策定
社内で AI 利用ガイドラインを策定する際、必須項目は5つです。第一に利用可能なツール一覧(業務契約 SaaS に限定)、第二に入力禁止データの定義(個人情報、機密情報、未公開財務情報等)、第三に匿名化・仮名化の標準手順、第四にインシデント発生時の連絡先と初動、第五に違反時の社内処分。経済産業省の AI 事業者ガイドラインがテンプレートとして使えるため、自社向けにカスタマイズする労力は比較的軽い投資です。
ガイドラインは作るだけで終わらせず、四半期に一度の社内研修・ロールプレイ・違反事例の共有を組み合わせると定着します。中小企業の場合は朝会・全社会議の15分枠で十分機能し、IT 部門のみの取り組みに留めないことが重要です。
出典:個人情報保護委員会 法令・ガイドライン/経済産業省 AI 事業者ガイドライン。6. 越境データ移転と海外リージョン
中小企業が AWS US リージョンや Salesforce US データセンターを利用する場合、越境データ移転規制が改正法でさらに厳格化されました。本人同意の取得、移転先国の個人情報保護水準の確認、契約条項の整備の3点が中小企業にも求められ、SaaS 選定時のリージョン選択が経営判断の論点になっています。
越境データ移転とは何か?
越境データ移転(cross-border data transfer)は、日本国内で取得した個人情報を国外の事業者・サーバーに移転する行為を指します。AWS US-East-1(バージニア)のような海外リージョンに顧客データを保存する、OpenAI(本社米国)の ChatGPT に顧客情報を入力する、Salesforce のUS データセンターに CRM データを保管する——いずれも越境データ移転に該当します。
改正法では越境移転の前に、本人同意を取得するか、移転先国が日本と同等の保護水準を有するか、または委託契約で同等の措置を講じるか、のいずれかを満たす必要があります。EU は2019年に日本と相互適合性認定を結んでいるため EU データセンターへの移転は比較的緩い扱いですが、米国は同等水準とは認められておらず、契約による補完が必須です。
AWS Tokyo vs US-East-1 の判断軸
中小企業が SaaS の保存リージョンを選ぶ際、東京(ap-northeast-1)と米国東部(us-east-1)の選択は次の判断軸で決めます。
| 評価軸 | AWS Tokyo | AWS US-East-1 |
|---|---|---|
| 越境移転規制 | 適用なし | 適用あり(本人同意 or 補完契約必須) |
| レイテンシ | 数ms(国内) | 100〜200ms(太平洋経由) |
| 料金 | やや高い | やや安い |
| 利用可能サービス | 一部新機能が遅れる | 最新機能を先行利用可 |
| 中小企業の推奨 | デフォルト推奨 | 明確な理由がある場合のみ |
中小企業が AI 機能を最先端で使いたい場合は、OpenAI の ChatGPT Business・Anthropic の Claude Team のように US 中心のサービスを利用せざるを得ないことがあります。この場合は、入力する個人情報を匿名化・仮名化して個人特定可能なデータを送らない運用にすることで、越境移転規制の実質的影響を下げる設計が現実的です。
グローバル SaaS の標準契約
Salesforce・HubSpot・Microsoft 365・Google Workspace・OpenAI・Anthropic などのグローバル SaaS は、Standard Contractual Clauses(SCC)または同等の補完契約を標準で提供しており、これに署名することで越境移転の補完契約要件を満たせます。中小企業が個別に法務交渉する必要はなく、契約画面で『DPA 締結』『SCC 同意』のチェックを入れるだけで完了します。
ただし、本人への通知は別途必要です。プライバシーポリシーに『当社は業務委託先として米国の AI サービス事業者を利用しており、お客様の個人情報が米国に移転される可能性があります』という明示を加えることで、本人への透明性確保が達成されます。テンプレートは個人情報保護委員会の Q&A に例示があるため、中小企業も自社向けに調整して使えます。
出典:個人情報保護委員会 改正法 Q&A/EU Standard Contractual Clauses。7. インシデント対応——報告・通知の要否をすぐ判断できる体制
個人情報の漏えい等が起きた場合、事案の内容によって個人情報保護委員会への報告や本人通知が必要になります。AIサービスへの誤入力も、外部送信、保存、第三者閲覧の可能性がある以上、通常のSaaS事故と同じく影響範囲を確認する必要があります。重要なのは、時間の目安を暗記することではなく、発覚直後に誰が何を確認し、誰が報告要否を判断するかを事前に決めておくことです。
漏えい発覚時の初動
中小企業の実務では、発覚直後に影響範囲を確認できるかが対応品質を決めます。AIサービスへの誤入力であれば、誰が、どのアカウントで、どのサービスに、どの個人情報を、どの範囲まで入力したかを確認します。プロンプト履歴、添付ファイル、共有リンク、管理者ログ、SaaS事業者のサポート回答を集め、報告・通知の要否を判断できる材料をそろえます。
外部弁護士、SaaS事業者、サイバーセキュリティ会社、サイバー保険会社への連絡経路は平時に準備しておきます。事故が起きてから連絡先を探すと、影響範囲の特定と本人対応が遅れます。特に生成AIの場合、入力履歴の取得可否や削除可否がサービスごとに異なるため、契約時に管理者機能を確認しておくことが重要です。
中小企業のインシデント対応設計
中小企業の現実的なインシデント対応は、3点セット——緊急連絡先一覧、報告テンプレート、初動手順書——を事前に準備しておくことです。緊急連絡先一覧には経営層・情シス責任者・外部弁護士・主要 SaaS 事業者のサポート窓口・サイバーセキュリティ会社の電話番号を平日夜間・週末対応含めて記載します。
報告テンプレートは個人情報保護委員会の公式フォーマットを下敷きに、自社向けに事前記入できる項目(事業者名、所在地、連絡先)を埋めておきます。初動手順書は『誰が判断し誰が報告するか』の責任者を明示し、判断保留時のエスカレーション経路を含めます。これらは作るだけで終わらせず、年1回の卓上演習(テーブルトップエクササイズ)で機能確認をすることが定着の鍵です。
サイバー保険との関係
中小企業がサイバーセキュリティ保険に加入していれば、インシデント時の調査費用・損害賠償・顧客への補償の一部はカバーされます。ただし課徴金は前述の通り保険対象外であり、また保険会社の指定する調査会社・弁護士を使う必要があるため、自社で勝手に動くと保険金が下りなくなるリスクもあります。
保険契約時に確認すべきは、初動対応で保険会社にいつ連絡するか、自社判断で使える範囲、保険会社指定の弁護士・調査会社の連絡先です。これらを事前に整理しておくことで、保険・コンプライアンス・経営判断が連動する体制が組めます。データ整備とインシデント対応の関係はCRMデータクレンジングでも触れていますが、漏えい時の影響範囲特定が早いかは、平時のデータ整備の質に直結します。
出典:個人情報保護委員会 漏洩報告フォーマット/日本シーサート協議会(NCA)インシデント対応ガイド。8. ChatGPT個人情報入力ルール——7論点と優先順位
本記事を通じて見えてきたChatGPT個人情報入力ルールは、次の7論点に集約できます。
- 入力禁止データを決める——氏名、メール、電話番号、評価、健康情報、契約条件、認証情報など、そのまま入力しない情報を明文化する。
- AI 業務利用は委託先管理の対象として扱う——ChatGPT・Salesforce・HubSpot などの業務利用は、契約、設定、ログ、再委託を確認する。
- SaaS 委託先6社の評価軸を整える——入力データ学習除外・日本リージョン・アクセスログ・DPA・削除証明書の5項目を契約時に確認する。
- 個人版アカウントの業務利用を禁止する——社員が個人で契約した ChatGPT Plus 等への顧客情報入力は最大のリスクポイント。業務契約に統一する。
- 匿名化・仮名化の運用を標準化する——AI に入力するデータの前処理を社内ガイドラインで定義し、四半期研修で定着させる。
- 越境データ移転の本人通知を整える——プライバシーポリシーに米国・EU データセンター利用を明示し、SCC 等の補完契約を SaaS 事業者と締結する。
- インシデント対応プロセスを準備する——緊急連絡先・報告テンプレート・初動手順書の3点セットを事前準備し、年1回の卓上演習で機能確認する。
改正個情法は中小企業にとって、規制コストの増加ではなく『データガバナンスを整える経営課題』として捉えるのが正しい認識です。AI 活用が業績に直結する時代で、コンプライアンス基盤がない事業者は大手取引先からの委託元監査でも不利になります。
経営層が問うべきは『どこまで対応すれば法的に十分か』ではなく、『自社のAI 活用と顧客情報の取扱いを、3年後の事業環境で持続可能にするには何が必要か』です。本記事のPillar から各領域の Spoke記事(CRMデータクレンジング、CRMの中小企業導入、業務効率化AI 5領域、中小企業の営業AI活用、HubSpot Breeze、ChatGPT Business 中小企業、Microsoft Copilot 中小企業、AI 営業代行の選択)に進むときは、この問いを念頭に置くことをお勧めします。
FULLFACT では、中小企業の経営層・情シス責任者の方々と一緒に、改正個情法対応の棚卸し、SaaS 委託先の評価フレーム適用、社内ガイドラインの策定、インシデント対応プロセスの設計までを伴走しています。軽い課題なら数週間で論点が見えることもあり、構造的な再設計が必要なら腰を据えて磨き込みます。スコープと進め方は貴社のペースで設計します。
よくある質問
ChatGPTに個人情報を入力していいか?
業務では、個人版アカウントに顧客名、メールアドレス、商談内容、従業員情報をそのまま入力する運用は避けるべきです。業務用プランやAPIを使う場合でも、利用目的の範囲、契約上のデータ利用、ログ保存、アクセス権限、委託先管理を確認してから使います。
ChatGPT や Claude に顧客情報を入力していいか?
入力する情報を匿名化・仮名化し、業務用プランやAPIで入力データが学習に使われない条件を確認し、社内の利用目的とアクセス権限を整えれば使える場面はあります。ただし、個人情報を含む内容を入力する前に、個人情報保護法上の利用目的、委託先管理、本人対応の観点で運用ルールを決める必要があります。
個人版ChatGPTとChatGPT Businessでは何が違うか?
OpenAIはChatGPT Business、Enterprise、Edu、APIなどの組織向けデータをデフォルトではモデル学習に使わないと説明しています。一方、個人向けChatGPTでは設定で学習利用をオフにできるものの、会社としての管理、ログ、権限、契約証跡が弱くなりやすいため、業務の個人情報入力には向きません。
SaaS 委託先の選定で必須の契約条項は何か?
5項目を確認します。第一に入力データの学習利用がオプトアウト可能か、第二に保存リージョン(日本国内 / EU / 米国)を選択できるか、第三にアクセスログ・利用記録の保存と提供が可能か、第四にインシデント発生時の通知体制(時間・連絡先)、第五に契約終了時のデータ削除証明書の発行です。Salesforce、HubSpot、Microsoft 365、Google Workspace、ChatGPT Business、Claude Team はいずれも5項目に対応していますが、設定が初期値ではない場合があり契約時の確認が必須です。
個人情報漏えいが起きたら何をすべきか?
まず影響範囲、情報の種類、件数、第三者提供や外部送信の有無を確認し、個人情報保護委員会への報告や本人通知の要否を判断します。期限や手続きは事案によって変わるため、平時から責任者、外部弁護士、SaaS事業者への連絡経路、初動テンプレートを用意しておくことが重要です。