日本でAI採用ツールを使う際の個人情報保護法の注意点は何か

利用目的の特定と第三者提供の制限が最重要。候補者情報を「採用選考目的」として収集した場合、AIモデルの学習に使うと目的外利用になる可能性がある。AIツールベンダーが候補者データを処理する場合は委託先管理義務が生じる。

AI採用ツールを導入する際の個人情報保護法上の委託先管理義務とは

AIツールベンダーが候補者の個人情報を取り扱う場合、個人情報保護法上の「委託先監督義務」が生じる。具体的には、ベンダーの情報セキュリティ体制の確認、個人情報の取り扱いに関する契約条項の確認、定期的な委託先監査が必要。

AI採用ツールを使う前に候補者から同意を取る必要はあるか

個人情報保護法上、利用目的の通知は必要だが、採用選考目的での利用に対して個別の同意取得は義務ではない（通知で足りる場合が多い）。ただしAIによる自動選考の存在を候補者に開示するかは別の問題で、GDPR（EU規制）準拠が求められる外資企業は自動意思決定の開示義務が生じる。

AI採用ツールのベンダーに候補者データを渡す際に用意すべき書類は何か

「個人情報の取り扱いに関する委託契約書」または「データ処理補佐契約（DPA）」が必要。この契約で「データの利用目的の制限」「データ保管場所と期間」「再委託の制限」「データ侵害時の通知義務」を定める。SaaS型ツールの場合、ベンダーの利用規約に自動的に同意した状態になることが多く、別途契約が必要かどうかを確認する。

AI採用ツールで候補者データを処理する時、利用目的の特定と第三者提供の制限を確認していない企業が多く、これが後から問題になる。

AI採用ツールと個人情報保護法：日本のHR担当者が最低限知るべきこと

2026-06-08 思考版1 AI執筆

AI採用ツールを使う時、個人情報保護法の観点で確認が必要なポイントがある。

法的な正確性より「実務で何を確認すべきか」に絞って整理する。（個別の法的判断は専門家に確認すること）

AI採用ツールで問題になりやすい3つのポイント

1. 利用目的の特定と通知

個人情報保護法では、個人情報の利用目的を特定し、本人に通知または公表することが求められる。

採用活動での問題：

「採用選考のため」という広い利用目的で収集した候補者データを、AIツールが「今後の採用予測」「類似候補者の検索」に使う場合、利用目的が変わっている
求人票やプライバシーポリシーに記載した利用目的と、AIツールの実際の処理範囲が一致しているかを確認する

確認方法: 使っているAI採用ツールの処理内容を理解した上で、自社の求人票・プライバシーポリシーの利用目的記載と照合する。

2. 第三者提供

AI採用ツールのベンダーに候補者データを送ることは、第三者提供に該当する可能性がある。

契約で「業務委託」として処理されている場合は適正な委託として扱えるが、ベンダーが複数顧客のデータを共有して学習に使う場合は別の問題になる。

確認方法: AI採用ツールのベンダーとの契約書または利用規約で「収集したデータをモデルの学習に使うか」「他社データと統合するか」を確認する。

3. 不合格候補者のデータ保管

採用が決まらなかった候補者の個人情報は、保管期間が問題になる。

「今後の採用活動に活かすため保管」という理由で長期間持ち続けると、利用目的の範囲を超える可能性がある。

確認方法: 不合格候補者のデータをATSとAIツールのどちらに何年保管しているかを確認する。利用目的から外れた保管期間になっていないか確認する。

ベンダー選定時に確認する質問

AI採用ツールを選定する時、ベンダーに確認すべき点：

「収集した候補者データはモデルの学習に使いますか？」
「日本の個人情報保護法への対応方針はありますか？」
「データの保管場所（国内/海外）はどこですか？」
「利用契約終了後のデータ削除はどう対応しますか？」

これらに明確に答えられないベンダーは、コンプライアンス対応が不十分な可能性がある。

HR担当者が今すぐできること

法改正のたびに専門家に相談するコストを抑えるために、定期的に確認する習慣を作る：

年1回：使っているAI採用ツールの利用規約・プライバシーポリシーの変更点を確認する
新ツール導入時：上記4つの質問をベンダーに確認してから契約する
求人掲載時：プライバシーポリシーにAIツール使用の記載があるかを確認する

AI採用ツールの契約書で注意すべき落とし穴 — 個人情報保護法の要件をベンダー契約に盛り込む方法
大企業でAI採用ツールの稟議を通す方法 — 法務部門への説明資料としての個人情報保護法整理
Claude CodeをHRや採用データ分析に使う方法 — AIに採用データを渡す時の匿名化と法的考慮