人工知能（ＡＩ）、ビッグデータ法務　IT企業法務

個人データ取扱いの委託によるAIモデル開発の可能性と限界を考える【2021年9月10日更新個情委QAとの整合性追記版】

2021/08/10

杉浦健二

AIベンダがクライアントから「自社が保有する個人データをもとにAIモデルを開発してほしい」と依頼されることがあります。
このような場合、AIベンダとしては、開発後のAIモデルについて、できれば自社の製品として第三者に展開できる可能性がないか、検討することもあるのではないでしょうか。

本稿では、AIベンダがクライアントから、学習用データとしてクライアントが保有する個人データの提供を受けてAIモデルを開発した後、このAIモデルをベンダの自社製品として適法に展開できるためのスキームについて、個人データの取扱いの委託（個人情報保護法23条5項1号）に基づく場合の可能性と限界を、2021年8月2日に個人情報保護委員会より公表されたパブリックコメント回答の内容も踏まえて検討します。

Contents

1 【今回の設例】開発したAIモデルの横展開をしたいAIベンダ
2 利用目的に「AIモデル開発のための学習用データとして用いること」の記載は必要か
3 AIベンダが、開発したAIモデルを自社製品として展開できるスキーム
4 【派生】AIモデルへの追加学習を行うことも委託スキームで可能か
- 4.1 2021年8月2日付パブリックコメント回答には反しないか
- 4.2 【さらに派生】AIモデル開発に関する委託を受けていない場合でも追加学習は可能か
5 まとめ
6 【2021年9月12日追記】2021年9月10日に更新された個人情報保護委員会Q＆Aとの整合性
- 6.1 本ブログと関連する追加Q＆A
- 6.2 本ブログの帰結と追加Q＆Aとの整合性

【今回の設例】開発したAIモデルの横展開をしたいAIベンダ

A社は、A社が保有する顧客データを学習用データとしたAIモデルの開発を、AIベンダであるX社に依頼した。
A社は、自社がAIモデルを利用できるのであれば、自社（A社）にAIモデルの知的財産権を帰属させることにはこだわっていない。
X社としては、今回開発するAIモデルを、できればX社自身の製品として第三者に展開したいと考えている。

今回の設例では、AIモデル¹の学習用データとして「個人データであるA社の顧客データ」を用いるので、個人情報保護法に違反することがないように処理する必要があります。

顧客から個人情報を取得するA社と、A社から顧客データの提供を受けるX社は、それぞれどのような点に留意する必要があるでしょうか。

※本稿で参照する個人情報保護法（以下「個情法」「法」と略す場合あり）の条文は、いずれも本記事投稿時である令和2年8月現在の個情法の条文となります。なお、来たる令和3年改正個人情報保護法では条文番号が全面的に変更となる予定です²。

利用目的に「AIモデル開発のための学習用データとして用いること」の記載は必要か

個人情報取扱事業者は、個人情報を取り扱うに当たっては、その利用目的をできる限り特定しなければならず（法15条1項）、個人情報を取得した場合は、あらかじめ利用目的を公表している場合を除き、速やかに利用目的を本人に通知または公表しなければなりません（法18条1項）。なお本人から直接申込フォーム等で個人情報を取得する場合は、あらかじめ本人に対して利用目的を明示する必要があります（法18条2項）³。

本件でA社は、自社の顧客データをAIモデル開発のための学習用データとして用いようとしてますが、このような「機械学習のための学習用データセットとして用いる目的」についても、あらかじめ利用目的として通知または公表をする必要があるでしょうか。

この点について、個人情報保護委員会のQ&Aでは「利用目的の特定は「個人情報」が対象であるため、個人情報に該当しない統計データは対象となりません。また、統計データへの加工を行うこと自体を利用目的とする必要はありません。」と記載されていること（Q&A A2-5）、学習済みモデルも、特定個人との対応関係が排斥されている限りは個人情報に該当せず、統計情報と同視できると整理すれば、「取得した個人情報をAIモデルの学習用データとして用いること」は、利用目的で通知公表する必要はないとも考えられそうです⁴。

これに対して、「一問一答令和２年改正個人情報保護法」（佐脇紀代志⁵編著・商事法務・2020年11月）P16では、仮名加工情報の利活用として想定される場合として「当初の利用目的には該当しない場合や、該当するか判断が難しい新たな目的での内部分析を行うケース（データセット中の特異な値が重要とされる、医療・制約分野における研究用データセットとして用いるケースや、不正検知等の機械学習モデルの学習用データセットとして用いるケース等）」を挙げています。
個人情報を、令和2年改正個情法⁶で新設される仮名加工情報に加工すれば、当初の利用目的には該当しない利用目的でも取り扱うことが可能になるのですが、上記「一問一答」の記載を反対解釈すれば、個人情報を機械学習モデルの学習用データとして用いることは、利用目的においてあらかじめ通知公表しておく必要がある、と考えられている可能性があります。

「一問一答」において上記のように記載されていることからすれば、本件のA社においても、A社が顧客データ取得時に通知公表していた利用目的のどこにも「AIモデル開発のための学習用データとして用いること」と関連する記載が認められない場合、顧客の個人情報をAIモデル開発のために用いることは、一定のリスクが残る点には留意する必要があります。

AIベンダが、開発したAIモデルを自社製品として展開できるスキーム

次に、顧客データを取得するA社が通知公表していた利用目的に個情法上の問題がなかったとして、AIベンダのX社が、A社から開発委託を受けて完成させたAIモデルを自社製品として展開しようとする場合、個人データの適法な処理を行うための方向性としては、おおむね

①本人（A社顧客）から第三者提供に関する同意を得る（法23条1項）
②個人データを匿名加工情報化する（法36条）
③個人データの取扱いの委託で処理する（法23条5項1号）

の３つが考えられます。

①本人から同意を得る（法23条1項）

個人データは、あらかじめ本人（データ主体）の同意を得ないで第三者に提供してはならないのが原則です（法23条1項）。本件でもA社は、データ主体である顧客から、顧客データを第三者（X社）に提供する旨の同意を取得する方針がまず考えられます⁷。

AIモデル自体は個人情報ではないため、いったんモデル生成をしてしまえば、AIモデルを第三者に提供する場合に、学習用データ（個人データ）のデータ主体である本人の同意を取得する必要はありません（Q&A A1-7-2（令和3年6月追加）参照。AIモデルと特定個人の対応関係が排斥されている限りAIモデルは個人情報に該当しない）。したがって本人から第三者提供の同意を取得できれば、X社はA社顧客データをもとに開発したAIモデルを、第三者にライセンスする等して展開することができることとなります。

ただし本人の同意は、A社がX社に第三者提供する前の時点で取得しておく必要があります。とすれば、これからA社が取得する新規顧客のデータのみを対象とする場合であればまだしも、既に手元にある既存顧客のデータを利用しようと考えている場合、既存顧客からあらためて第三者提供に関する同意を取得する手続きには、一定の困難が伴うと考えられます。

②個人データを匿名加工情報化する（法36条）

次に、A社は顧客データを匿名加工情報に加工してX社に提供することが考えられます。
匿名加工情報は個人データではないため、提供に際して本人の同意は不要となります。またA社は、匿名加工情報への加工を行うことを利用目的として記載する必要はないため（Q＆A A11-4-3）、A社の利用目的のどこにもAIモデル開発と関連する記載がない場合は、先に述べたリスク（「学習用データへの利用」と関連する事項を利用目的で記載をしていない場合のリスク）回避のために、匿名加工情報化する方針をとることが考えられます。

この場合、X社としてはまずA社から匿名加工情報に加工する業務の委託を受け、次に加工が完了した匿名加工情報について、学習用データとする目的でA社から提供を受けることが考えられます。
もっとも、匿名加工情報を学習用データとすると機械学習の精度が落ちる場合が少なくないこと、匿名加工情報への加工自体にコストが要する点等がデメリットとして挙げられます。

以上のように①本人からの同意取得②匿名加工情報化ともに難点があるため、③個人データの取扱いの委託で処理できないかを検討することになります。

③個人データの取扱いの委託で処理する（法23条5項1号）

「利用目的の達成に必要な範囲内において個人データの取扱いの全部または一部を委託することに伴って当該個人データが提供される場合」は、当該委託先は「第三者」にあたらないものとして、本人の同意が不要になります（法23条5項1号）。

「個人データの取扱いの委託」の意義について、個人情報保護法ガイドライン（通則編）は「契約の形態・種類を問わず、個人情報取扱事業者が他の者に個人データの取扱いを行わせることをいう。具体的には、個人データの入力（本人からの取得を含む。）、編集、分析、出力等の処理を行うことを委託すること等が想定される。」と記載するとともに（GL通則編3-3-4の(※1)）、「当該提供先は、委託された業務の範囲内でのみ、本人との関係において提供主体である個人情報取扱事業者と一体のものとして取り扱われることに合理性があるため、委託された業務以外に当該個人データを取り扱うことはできない。」と説明しています（GL通則編3-4-3(1)）。

そして「委託された業務以外に当該個人データを取り扱うことはできない」具体例として、Q&Aでは
事例１）個人情報取扱事業者から個人データの取扱いの委託を受けている者が、提供された個人データを委託の内容と関係のない自社の営業活動等のために利用する場合
事例２）複数の個人情報取扱事業者から個人データの取扱いの委託を受けている者が、各個人情報取扱事業者から提供された個人データを区別せずに混ぜて取り扱っている場合
の２つが挙げられています（Q&A A5-26-2）。

今回の設例を、個人データの取扱いの委託で処理することは可能と思われる

以上を前提として今回の設例を検討すると、
AIベンダであるX社は、A社からAIモデルの開発業務を委託されるにあたって、A社顧客の個人データの取り扱いの委託を受けていますので、当該開発業務の範囲内で個人データを取り扱う限りは、個情法上適法な「個人データの取扱いの委託」になると考えられます⁸。

A社がX社に開発を委託した結果、完成したAIモデル（学習済みモデル）は、特定個人の対応関係が排斥されている限りは「個人情報」に該当しないため、これを第三者に提供する場合でも本人同意は不要となります（前記Q&A A1-7-2参照）。
なお上で触れた「委託の範囲を超える具体例の事例１）」では「提供された個人データを委託の内容と関係のない自社の営業活動等のために利用する場合」が挙げられていますが、今回の設例ではあくまで委託されたAIモデル開発のために個人データを用いているのであり、また完成後のAIモデルは個人情報（個人データ）ではない以上、この事例１）とは事案を異にすると考えられます。

以上より、A社の開発委託を受けてAIモデルを開発したAIベンダX社は、A社との契約（開発委託契約）の内容に反しない限り、X社の製品としてAIモデルを第三者に展開することも可能になると解します⁹。

【派生】AIモデルへの追加学習を行うことも委託スキームで可能か

では今回の設例とは別のケースとして、既にX社がAIモデル（学習済みモデル）を保有している場合に、A社から追加学習に関する委託を受けて、A社が保有するA社顧客の個人データを当該AIモデルに追加学習させてパラメータを更新させることも、委託スキームで可能になるでしょうか。

このケースについても、私見では、A社が保有する顧客データを追加学習用データ¹⁰として提供することで、X社の保有するAIモデルのパラメータを更新し、精度が向上したAIモデル（再利用モデル¹¹）についてX社からライセンスを受ける内容の業務委託契約（追加学習した再利用モデルの開発委託契約）を締結していた場合などであれば、冒頭の設例と同様の理由で、なお委託業務の範囲内であるとして、委託スキームによって可能であると解します。

2021年8月2日付パブリックコメント回答には反しないか

なお2021年8月2日、個人情報保護委員会より令和2年個情報改正についてのガイドライン（案）に関するパブリックコメント回答結果が公表されており、ガイドライン（通則編）に関するコメント番号351（P289）において、以下のような回答がなされています。

一般に、個人データの取扱いの委託（法第 23条第５項第１号）において、委託先は、委託に伴って委託元から提供された個人データを、独自に取得した個人データと本人ごとに突合する処理を行うことはできません。
提供先においてかかる処理が行われる場合、提供元は、原則として、個人データの第三者提供について本人の同意を取得する必要があります。

ー「個人情報の保護に関する法律についてのガイドライン（通則編）の一部を改正する告示案」に関する意見募集結果（別紙２－１）番号351（P289）御意見に対する考え方

上記パブコメ回答は、あくまで「委託に伴って委託元から提供された個人データ」と「委託先が独自に取得した個人データ」を本人ごとに突合する処理を行うことができない旨を回答したものであり、「委託先が保有する個人情報でない学習済みモデル」に、委託元から提供された個人データを追加学習させてパラメータを更新する行為は、個人データを本人ごとに突合させる処理を行うわけではありません。したがって上記のケースについて、パブコメ回答の射程は及ぶものではないと考えます¹²。

【さらに派生】AIモデル開発に関する委託を受けていない場合でも追加学習は可能か

ではさらに突っ込んで、たとえばベンダX社がA社にSaaSサービスを提供することに関連して個人データを取り扱う内容の委託は受けているが、A社からはAIモデル開発の委託も、再利用モデルの開発委託も受けてない場合、ベンダX社は、A社から取扱いの委託を受けた顧客データを、自己が保有するAIモデル（学習済みモデル）の追加学習のために利用することができるでしょうか。

この点について、AIモデルの作成（学習）は、特定個人の対応関係が排斥された統計情報の作成と同視できると考えれば、個人情報を統計情報へ加工することは利用目的において通知公表する必要がない以上（Q&A A2-5）、委託元の承諾を得て行う限りは¹³、データ主体である本人の同意なくして追加学習への利用が可能と考える余地があるようにも考えられます¹⁴。

一方で、①個人情報保護委員会のQ&Aでは、匿名加工情報に関する記載として「委託先が当該個人データを匿名加工情報に加工することが委託された業務の範囲内である場合には、委託先は当該加工を行うことができますが、委託された業務の範囲外で委託先が当該加工を行い、作成された匿名加工情報を自社のために用いることはできません」と回答していること(Q&A A11-13-3)、②2018年のパブコメ回答No8では「委託された業務を超え、委託先事業のために『当該個人データを統計情報に至るまで加工し』利活用する場合も認められないと解するのでしょうか？」との質問に対して、個人情報保護委員会は「委託された業務以外に個人データを取り扱っている事例の具体例については、実態に即してQ&A等においてお示しすることを検討してまいります。」と回答するにとどめており、委託先が委託された業務とは別に、取扱いの委託を受けた個人データを元に統計情報を作成することの可否について判断を明らかにしていない点からすれば、AIモデル開発に関する委託を受けていない委託先が、取扱いの委託を受けた顧客データを、委託された業務とは別に自己が保有するAIモデルの追加学習のために利用できるかどうかは、なお明確ではないといえます¹⁵。

まとめ

「個人データの取扱いの委託」での処理が許される範囲については、個人情報保護委員会による見解もいまだ明確でない部分が少なくないですが、本稿作成時点における見解は以下のとおりです。

1⃣AIモデルの開発に関する委託を受けたAIベンダX社が、取扱いの委託を受けた個人データを学習用データとして開発したAIモデルを自社製品として第三者に展開することも、委託元であるA社との開発委託契約に反しない限りは、「個人データ取扱いの委託」に基づいて可能と考えられる。ただしA社が個人データ取得時に通知公表していた利用目的において、学習用データとして用いることに関連する記載が含まれていない場合は一定のリスクがある（「一問一答」P16の記載からすればA社において目的外利用となるリスクが否定できない）。

2⃣AIベンダX社がA社から追加学習に関する委託（再利用モデルの開発委託）を受けた場合も、上記と同様の結論になると考えられる。

3⃣X社がA社にSaaSサービスを提供するにあたって個人データを取り扱う旨の委託は受けているが、AIモデル開発の委託（再利用モデルの開発委託も含む）を受けていない場合は、X社がA社から取扱いの委託を受けた顧客データを、X社が保有するAIモデル（学習済みモデル）の追加学習のために利用することは、委託の範囲を超えると判断されるリスクが現時点では否定できない¹⁶。

【2021年9月12日追記】2021年9月10日に更新された個人情報保護委員会Q＆Aとの整合性

本ブログ投稿後の2021年9月10日、個人情報保護委員会のQ＆Aが更新されました（「個人情報の保護に関する法律についてのガイドライン」に関するＱ＆Ａ（令和３年９月 10 日更新））。
今回の更新では、あらたに約80個のQ＆Aが追加・更新されています（PDF内で「令和3年9月」で検索をかけると追加・更新箇所をピックアップできます）。

本ブログと関連する追加Q＆A

本ブログの内容と関連する追加Q＆Aとしては、以下が挙げられます（太字は筆者加筆）。

（第三者に該当しない場合）
Ｑ７－38 委託に伴って提供された個人データを、委託先が自社のために統計情報に加工した上で利用することはできますか。
Ａ７－38 委託先は、委託（法第 23 条第５項第１号）に伴って委託元から提供された個人データを、委託された業務の範囲内でのみ取り扱わなければなりません。委託先が当該個人データを統計情報に加工することが委託された業務の範囲内である場合には、委託先は当該加工を行うことができますが、委託された業務の範囲外で委託先が当該加工を行い、作成された統計情報を自社のために用いることはできません。
（令和３年９月追加）

（第三者に該当しない場合）
Ｑ７－39 委託に伴って提供された個人データを、委託業務を処理するための一環として、委託先が自社の分析技術の改善のために利用することはできますか。
Ａ７－39 個別の事例ごとに判断することになりますが、委託先は、委託元の利用目的の達成に必要な範囲内である限りにおいて、委託元から提供された個人データを、自社の分析技術の改善のために利用することができます。
（令和３年９月追加）

（第三者に該当しない場合）
Ｑ７－43 A 社及び B 社から統計情報の作成の委託を受ける場合に、以下の取扱いをすることはできますか。
①A 社及び B 社の指示に基づき、A 社から委託に伴って提供を受けた個人データと B 社から委託に伴って提供を受けた個人データを本人ごとに突合することで、本人ごとに個人データの項目を増やす等した上で統計情報を作成し、これを A 社及び B 社に提供すること
②A 社及び B 社の指示に基づき、A 社から委託に伴って提供を受けた個人データと B 社から委託に伴って提供を受けた個人データを本人ごとに突合することなく、サンプルとなるデータ数を増やす目的で合わせて１つの統計情報を作成し、これを A 社及び B社に提供すること
Ａ７－43 ①個人データの取扱いの委託（法第 23 条第５項第１号）において、複数の委託を受ける委託先は、各委託元から委託に伴って提供を受けた個人データを本人ごとに突合することはできません。したがって、A 社から委託に伴って提供を受けた個人データと B 社から委託に伴って提供を受けた個人データを本人ごとに突合することはできず、突合して得られた個人データから統計情報を作成することもできません。
外部事業者に対する委託と整理した上で、委託先である当該外部事業者において提供を受けた個人データを本人ごとに突合して統計情報を作成する場合には、A 社及び B 社においてそれぞれに対する第三者提供に関する本人の同意を取得する等の対応を行う必要があります。
②A 社から委託に伴って提供を受けた個人データと B 社から委託に伴って提供を受けた個人データを本人ごとに突合していないため、委託先において A 社から委託に伴って提供を受けた個人データと B 社から委託に伴って提供を受けた個人データをサンプルとなるデータ数を増やす目的で合わせて１つの統計情報を作成することができます。（令和３年９月追加）
－「個人情報の保護に関する法律についてのガイドライン」に関するＱ＆Ａ（令和３年９月 10 日更新）より

すなわち、上記の各Q＆Aでは
・委託先は、委託された業務の範囲外において、委託に伴って委託元から提供された個人データを、統計情報に加工し、当該統計情報を自社のために用いることはできない（Q7-38）
・もっとも委託先は、委託元の利用目的の達成に必要な範囲内であれば、自社（委託先）のために（例えば自社の分析技術の改善のために）、委託元から提供された個人データを利用することができる（Q7-39）
・複数の委託元から委託に伴い提供を受けた個人データを、委託先が本人ごとに突合することはできず、突合して得られた個人データから統計情報を作成することもできない（Q7-43）
ことが、個人情報保護委員会のスタンスとして明確にされました¹⁷。

本ブログの帰結と追加Q＆Aとの整合性

追加された上記の各Q&Aと本ブログの帰結（「まとめ」における1⃣2⃣3⃣の帰結）との関係を考察したのが、以下となります。

1⃣AIモデルの開発に関する委託を受けたAIベンダX社が、取扱いの委託を受けた個人データを学習用データとして開発したAIモデルを自社製品として第三者に展開することは、あくまで委託に伴って個人データを取り扱った結果完成した「AIモデル（≠個人データ）」を第三者に提供することなのであり、委託された業務の範囲外において「個人データ」を取り扱うわけではない以上、Q7-38には反しない。
またQ7-39は、Q7-38と同じく、あくまで委託に伴って提供された「個人データ」を委託先において利用する場合について言及されたものであるところ、委託に伴って個人データを取り扱った結果完成した「AIモデル」を委託先が利用することについてQ7-39の射程は及ばないものと考えられる。よって当該設例1⃣におけるX社のAIモデルの利用は、Q7-39にも反しない。

2⃣X社がA社から追加学習に関する委託（再利用モデルの開発委託）を受けた場合も、上記①と同様の理由でQ7-38およびQ7-39に反しない。また、AIモデル（≠個人データ）に追加学習しているにすぎず、個人データを本人ごとに突合しているわけではないため、Q7-43にも反しない。
さらに、X社が従前より保有する学習用データセットに、A社から委託に伴い提供を受けた個人データを、本人ごとに突合することなく、データ数を増やす目的で加えて１つの学習用データセットを作成して、新たなAIモデルを開発することも、Q7-43②からすれば可能になる余地があると思われる。

3⃣X社がA社にSaaSサービスを提供するにあたって個人データを取り扱う旨の委託は受けているが、AIモデル開発の委託（再利用モデル開発の委託も含む）を受けていない場合において、委託先が委託された業務とは別に、取扱いの委託を受けた個人データをX社が保有するAIモデルの追加学習に利用することは、委託された業務の範囲外で委託先が当該加工を行い、作成された統計情報を自社のために用いることを禁止するQ7-38、委託元の利用目的の達成に必要な範囲内に限って委託元から提供された個人データを自社のために利用できるとするQ7-39のいずれにも抵触する可能性が否定できない。

以上より、本ブログにおける帰結は、2021年9月10日に更新された個人情報保護委員会のQ＆Aにも整合するものと解します。もっともQ7-39も述べるとおり、あくまで個別の事例ごとに判断されることになるため、具体的な実際のケースについては弁護士等に相談されるようにして下さい。（弁護士杉浦健二）

1
AIモデル（学習済みモデル）とは、AIガイドラインと同様、学習済みパラメータが組み込まれた推論プログラムを指すものとします（別冊NBLNo165･P264）。
2
令和3年改正個人情報保護法の条文はこちら（個人情報保護委員会ウェブサイト）。令和2年改正法の条文をせっかく覚えたところだったのに..
3
法18条2項は、法18条1項に規定する個人情報の取得に際しての利用目的の通知・公表の特則として規定されています（園部・藤原「個人情報保護法の解説《第二次改訂版》」P157）。
4
板倉陽一郎「AI時代の個人情報保護」（法の支配No.197P127（2020年4月）参照。
5
個人情報保護委員会事務局審議官
6
令和２年改正個人情報保護法は、令和4年4月1日から施行予定です。
7
本人から第三者提供の同意を得るに当たり、提供先の氏名又は名称を本人に明示する必要はありませんが、想定される提供先の範囲や属性を示すことは望ましいとされています（Q&A A5-9）。
8
なおA社は取扱いを委託した個人データの安全管理が図られるよう、委託先であるX社の監督義務を負います（法22条）。
9
具体的には、AIモデルの知的財産権をAIベンダX社に帰属させたうえで、X社はA社以外の第三者に対しても、AIモデルの利用を許諾することなどが考えられます。
10
「追加学習」とは、既存の学習済みモデルに、異なる学習用データセットを適用して、更なる学習を行うことで、新たに学習済みパラメータを生成することを意味します（AIガイドライン。別冊NBLNo165･P265）。
11
「再利用モデル」とは、追加学習により新たに生成された学習済みパラメータが組み込まれた推論プログラムを意味します（前掲AIガイドラインP265）。
12
なお田中浩之・北山昇「ケーススタディで考える利用上の留意点個人データ取扱いにおける『委託』の範囲」（ビジネス法務2020年8月号）31頁(4)は、委託先が別々の委託元から受領した個人データ同士を、本人ごとに突合することなく統計情報を作成する行為については、委託元の承諾を得ていれば可能と整理されています。
13
委託元の承諾は、サービス利用規約等において取得しておく方法が考えられます。
14
前掲板倉陽一郎「AI時代の個人情報保護」（法の支配No.197P127（2020年4月）、古川直裕他「Q＆A AIの法務と倫理」（中央経済社）P395（2021年5月）参照。なお委託先がAIモデル開発や統計情報作成のためではなく、取扱いの委託を受けた個人データを委託の内容と関係ない目的で利用すれば（たとえば委託先が自社のための営業リストとして当該個人データに記載された連絡先を用いる等）が委託の範囲を超えるものとして許されないことは明らかです（Q&A A5-26-2）。
15
2021年8月2日付のパブコメ回答においても、委託先が、委託された業務とは別に統計情報に加工するケースや、AIモデルに追加学習させるケースの適法性についての回答は確認できませんでした。
16
AIベンダの立場からすれば「AIモデルへの学習は統計情報の作成とパラレルであり、本人の同意を得ずして可能である」と考えたいところですが、「一問一答」P16の記載等に鑑みると、個人データをもとにAIモデルを作成することは、個人データをもとに統計情報を作成することと全く同じとは考えられていないと整理されている可能性があるため、現時点ではリスクが残ると捉えておいた方が無難と考えます。
17
今回追記されたQ7-38とQ7-39は、2018年のパブコメ回答No8に対する回答と評価できます。