この記事の要点
  • 本人の障害や病歴などは要配慮個人情報に当たるため、外部AIへ安易に入力しません。
  • 最初は公開情報、架空データ、個人と結び付かない文章で試します。
  • サービスの学習利用、保存、削除、管理機能、契約条件を導入前に確認します。
  • 支援の判断や制度情報の確認をAIだけで完結させず、担当者が根拠と内容を点検します。

AI導入より先に用途を分ける

「生成AIを導入する」と一括りにせず、どの業務の、どの工程で、何を入力し、誰が出力を確認するかを分けます。同じ文章作成でも、公開済みの商品説明と、本人の支援記録では扱う情報とリスクが異なります。

初期区分業務の例条件
公開情報で試しやすい公開済みWEB文章の下書き、商品コピー案、一般的なチェックリスト、架空データによる表計算式機密情報を含めず、人が事実・表現を確認
施設内の承認が必要個人情報を除いた会議メモ、集計済み統計、内部手順書、研修資料責任者が入力情報、利用サービス、共有範囲を確認
外部AIへ入力しない支援記録、個別支援計画、診断・障害・病歴、家族情報、事故報告、問い合わせ、顔写真・音声、認証情報施設の初期ルールとして禁止し、別の安全な方法を選ぶ

この区分はすべての施設にそのまま適用できる法令上の分類ではなく、安全側から始めるための例です。利用するサービス、契約、情報管理体制、自治体の指導等を確認し、施設の責任で具体化してください。

B型施設が扱う情報の重さ

個人情報保護法では、本人の障害、病歴、診療・調剤などに関する情報は「要配慮個人情報」に含まれます。B型施設の記録には、氏名や連絡先だけでなく、本人の生活、支援、家族、健康、仕事上の評価など、慎重な取扱いが必要な情報が含まれます。

個人情報保護委員会は、生成AIへ個人情報を入力する場合、利用目的の範囲内かを確認すること、サービス提供者が入力された個人データを回答生成以外の目的で扱わないかを十分確認することなどを注意喚起しています。契約や利用規約により法的な位置付けとリスクが変わるため、無料版・有料版という名称だけで判断しません。

氏名を消すだけでは足りない場合があります

年齢、障害、地域、通所日、家族構成、出来事などを組み合わせると、本人を推測できる場合があります。イニシャルや利用者番号への置換も、それだけで匿名化されたとは限りません。

利用サービスを選ぶ確認項目

  • 入力データがモデルの学習やサービス改善へ使われるか
  • 入力と出力をどこに、どの期間保存するか
  • 利用者または管理者が履歴を削除できるか
  • サービス提供者以外の再委託先がデータを扱うか
  • 管理者がアカウント、権限、利用ログを確認できるか
  • 職員が個人アカウントではなく施設管理のアカウントを使えるか
  • 契約終了時のデータ削除と確認方法があるか
  • 規約、モデル、データ利用方針の変更を把握できるか
  • 情報事故が起きた場合の連絡先と通知条件があるか

「入力データを学習しない」という説明だけで、保存、担当者による閲覧、再委託、国外取扱い、削除、事故対応まで確認できるわけではありません。規約、プライバシーポリシー、契約書、管理画面の設定を合わせて確認します。

最初に決める最小ルール

項目決める内容
利用できるサービス承認済みサービス、プラン、施設アカウント、利用端末
入力できる情報公開、内部、機密、個人情報、要配慮個人情報の区分
利用できる業務用途、禁止用途、事前承認が必要な用途
確認者出力を確認する担当者、公開・記録へ使う場合の承認者
事実確認法令・制度・数値・固有名詞を一次情報と照合する方法
権利と機密著作権、営業秘密、取引先情報、本人情報の確認
利用記録重要業務の用途、担当者、利用日、確認結果
事故対応利用停止、報告先、ログ保全、影響確認、再開判断
見直し規約変更、事故、業務変更時と定期的な再確認

人が判断する範囲を残す

生成AIの出力には、もっともらしい誤り、古い制度情報、不適切な表現が含まれることがあります。次のような業務をAIの出力だけで決めません。

  • 本人の希望、目標、支援内容、評価に関する判断
  • 事故、虐待、健康、安全、権利擁護に関する対応
  • サービス利用、請求、報酬、指定基準に関する判断
  • 職員や利用者の採用、配置、処遇、懲戒に関する判断
  • 個人情報を含む文書の公開・共有範囲

AI事業者ガイドライン第1.2版は、人間中心、安全性、公平性、プライバシー保護、セキュリティ、透明性、アカウンタビリティ、教育・リテラシー等を共通の指針として示しています。施設では、効率化の時間だけでなく、本人への影響と確認に必要な時間も評価します。

安全に試す6つの手順

  1. 一つの作業を選ぶ: 公開済み文章の言い換えなど、影響の小さい用途に絞ります。
  2. 公開情報・架空データを使う: 本人情報や施設の機密を入力しません。
  3. 評価基準を決める: 正確さ、分かりやすさ、作業時間、修正量を比べます。
  4. 担当者が確認する: 出典、数値、表現、著作権、公開範囲を点検します。
  5. 手順を残す: 入力方法、禁止情報、確認項目、承認者を文書にします。
  6. 続けるか判断する: 利点が確認負担とリスクに見合う業務だけを広げます。

誤入力や事故に気づいたとき

個人情報や機密情報を誤って入力した場合は、自己判断で削除して終わらせず、施設の責任者・個人情報保護担当者へ速やかに報告します。利用を一時停止し、入力内容、日時、アカウント、サービス、共有範囲、削除操作、サービス側への連絡を記録します。

漏えい等の報告・本人通知が必要かは、情報の内容、件数、第三者が閲覧できた可能性等を踏まえた個別判断です。個人情報保護委員会、自治体、契約先、法律・情報セキュリティの専門家へ必要に応じて確認します。

確認した公的資料

業務区分、最小ルール、安全に試す手順はTEAM DiJobによる実務上の整理です。個別の個人情報保護法上の取扱い、委託・第三者提供への該当、漏えい時対応は、契約と事実関係を確認し、必要に応じて行政窓口や専門家へ相談してください。

施設に合うAI活用ルールを小さくつくる

B型施設からの相談は無料です。現在の業務、使用したいサービス、扱う情報を確認し、個人情報を守りながら負担を減らせる範囲を一緒に整理します。

施設向けの無料相談を見る