+++ title = "AI採用ツール導入前のセキュリティチェックリスト" date = 2026-06-08 description = "AI採用ツールを契約する前に確認すべきセキュリティ・データ保護の項目一覧" [taxonomies] tags = ["HR×AI", "AI採用ツール", "セキュリティ", "データ保護", "IT部門連携"] [extra] public = true belief_version = 1 ai_written = true one_true_sentence = "AI採用ツールのセキュリティ確認で採用担当者が最初に聞くべきは「どんなセキュリティ認証を持っているか」ではなく「うちの候補者データはどこの国のどのサーバーに保存されるか」だ。" [[extra.faqs]] question = "AI採用ツールを導入する際、個人情報保護法上で必ず確認すべきことは何ですか?" answer = "候補者データが第三者に提供される形になるため、「個人情報取扱委託契約」の締結が必要です。特に海外サーバーへのデータ保存は越境移転の規制に該当する可能性があります。ベンダーが日本法に対応した委託契約を締結できるか、事前に確認してください。対応できないベンダーとの取引は法令リスクがあります。" [[extra.faqs]] question = "候補者データがAI学習に使われないようにするにはどうすればよいですか?" answer = "利用規約の「サービス改善に使用する場合がある」という記載を確認し、候補者データをAI学習に使用しないことを契約で明示的に禁止してもらう必要があります。交渉で修正できるベンダーかどうかを確認し、難しい場合はデータ利用範囲を許容できるかを社内方針で判断してください。" [[extra.faqs]] question = "AI採用ツールの解約後、候補者データはどうなりますか?" answer = "解約時のデータ削除タイミング(即座か90日後か)と削除方法(自社操作か申請が必要か)を契約前に確認します。個人情報保護法の観点から、委託終了後のデータ残存は問題になりえます。削除証明書の発行を求められるかどうかも含め、解約プロセスを事前に文書化しておくことが重要です。" [[extra.faqs]] question = "IT部門への確認依頼はいつするのが適切ですか?" answer = "ツールを決定した後ではなく、ショートリストに入れた段階でIT部門に確認を依頼します。決定後にNGが出ると選定のやり直しコストが発生します。ショートリスト段階であれば、IT部門の承認を最終選定と並行して進められるため、全体の導入期間を短縮できます。セキュリティ要件はIT部門と採用部門が共同で確認リストを作成するのが理想です。" +++ AI採用ツールの導入にIT部門から「セキュリティの確認が必要」と言われた時、何を確認すればいいかが分からない採用担当者は多い。 確認すべき項目を整理する。 --- ## データ保存に関する確認 ### 候補者データの保存場所 「このサービスのデータはどこのサーバーに保存されているか」を確認する。 日本国内のサーバーか、米国・EU等の海外サーバーか。海外の場合、日本の個人情報保護法の第三者提供(越境移転)の規制が関係する可能性がある。 ### データの利用範囲 「私たちが入力した候補者データを、サービス提供者がAIモデルの学習に使うか」を確認する。 利用規約に「サービス改善に使用する場合がある」という記述がある場合、候補者データがAI学習に使われる可能性がある。これを許可するかどうかは企業方針による。 ### データ削除のルール 「サービスを解約した場合、候補者データはいつ削除されるか」を確認する。 削除までの期間(即座か、90日後か)と削除方法(自社で操作できるか、申請が必要か)を確認する。 --- ## アクセス制御の確認 ### 誰がデータにアクセスできるか 採用担当者以外に、どの権限を持つ人間がデータにアクセスできるかを確認する。 特に「サービスベンダーのサポートスタッフが候補者データにアクセスできるか」を確認する。サポート対応のためにアクセスが必要な場合、そのログが取られているかも確認する。 ### 退職者のアクセス 担当者が退職した場合のアクセス権限の無効化手順を確認する。自社でIDを管理できるか、ベンダーに依頼が必要かを確認する。 --- ## 契約・法的な確認 ### 個人情報の取り扱い委託契約 AI採用ツールに候補者データを入力する場合、個人情報保護法上の「委託先」管理が必要。「個人情報取扱委託契約」または同等の契約を締結できるかを確認する。 締結できないベンダーとの取引は、法令上のリスクがある。 ### インシデント発生時の対応 「データ漏洩が発生した場合、何時間以内に通知されるか」を確認する。 日本の個人情報保護法では、一定の場合に個人情報保護委員会と本人への通知義務がある。ベンダーからの通知が遅れると、自社の対応も遅れる。 --- ## IT部門と連携するタイミング IT部門への確認依頼は、「ツールを決めた後」ではなく「ショートリストに入れた段階」でするのが適切だ。 決定後にIT部門からNGが出ると、選定をやり直すコストが発生する。ショートリストの段階でIT部門が確認を始めれば、承認が最終選定と並行して進む。 --- ## 関連記事 - [AI採用ツールの契約書で注意すべき落とし穴](/n/ai-hiring-tool-contract-gotchas/) — 契約前に見落としがちな条項と交渉ポイント - [日本でAI採用ツールを使う時の個人情報保護法](/n/ai-hiring-privacy-law-japan/) — 越境移転・委託契約・要配慮個人情報の具体的な対応方法 - [AI採用ツールのベンダー選定ガイド](/n/hr-ai-vendor-selection-guide/) — セキュリティ評価を含む選定プロセスの全体像