エグゼクティブサマリー
本レポートは、生成AIプラットフォームであるMicrosoft Azure OpenAI Service、Google Cloud Vertex AI (Gemini)、AWS Amazon Bedrockの3者について、いわゆる「Abuse Monitoring (不正使用の監視)」のためのプロンプト・出力ログの保管 (おおむね30日間) に関する仕様を整理し、日本国内企業が個人情報を扱う際にどのような対策を行っているか、また規制業界 (金融・医療) における追加考慮点を詳細にまとめたものである。
結論として、3社のサービスは「自社のモデル学習にユーザーデータを使わない」点では概ね一致するが、Abuse Monitoring目的でプロンプト・出力データを最長30日間 (Azure・Vertex AI) クラウド事業者側に保管し、自動分類器および (一部) 人間レビュアーがアクセスし得る点が、日本企業にとっての主要な懸念点となっている。AWS Bedrockは設計上「ユーザー入出力そのもの」を保管しないが、分類器メトリクスとフラグ付与時の挙動について別途確認が必要となる。
日本企業が「気にする」のは、個人情報保護法上の (1) 委託・第三者提供・越境移転の整理、(2) 外的環境の把握義務、(3) 安全管理措置、(4) 漏えい等報告義務、という4つの論点が複層的にAbuse Monitoringログに関わるためである。実務上は、AzureのModified Abuse Monitoring (MAM) 申請、VertexのZero Data Retention (ZDR)、Bedrockのデータ保護設計、PII除去 / Guardrails、契約・利用規程整備、リージョン固定など複数の対策を組み合わせるのが一般的である。
Microsoft (Azure / Microsoft 365) が日本で個人情報・ログ保管を含めて広く受け入れられている理由は、(a) 1986年以来の日本法人の存在と長期エンタープライズ実績、(b) 東日本・西日本リージョンによるデータレジデンシー、(c) ガバメントクラウド (デジタル庁) ・ISMAP登録、(d) Modified Abuse Monitoringの承認窓口の存在、(e) Microsoft 365 / Office製品との地続きの契約・サポート体制、(f) 大規模な日本国内データセンター投資 (約1.6兆円) の発表、といった要素が組み合わさっているためである。
第1章 背景と本レポートの目的
1.1 生成AI活用と個人情報保護の交錯
ChatGPT登場以降、日本企業の業務領域に生成AIが急速に浸透した。特にハイパースケーラー3社 (Microsoft Azure、Google Cloud、Amazon Web Services) が提供するエンタープライズ向けAI基盤 — Azure OpenAI Service、Vertex AI (Gemini)、Amazon Bedrock — は、社内文書・顧客情報・コールセンター応対履歴・医療記録など、個人情報を含むデータをモデルに入力する利用形態が前提となる。
一方、日本の個人情報保護法 (令和2年改正・令和3年改正以降の運用) およびガイドライン (個人情報保護委員会, PPC) は、クラウド利用、外国にある第三者への提供、外的環境の把握、安全管理措置といった論点を企業に明示的に求めている。生成AIにおいてはこれらに加えて「Abuse Monitoring」目的の事業者側のログ保管という、従来のクラウド利用にはなかった独特の論点が浮上しており、これが本レポートの中心テーマとなる。
1.2 Abuse Monitoring (不正使用の監視) とは
Abuse Monitoringは、生成AI事業者が自社サービスの利用規約・コンテンツポリシー違反 (児童性的虐待コンテンツ、暴力・自傷の助長、テロ関連コンテンツ、選挙妨害、知的財産侵害、サービス悪用など) を検知するために、ユーザのプロンプトとモデル出力を一時的に保管・自動分類し、必要に応じて人間レビュアーが確認する仕組みを指す。OpenAI / Microsoft / Google / Anthropic / AWSなど、各社で名称や手法は異なるが、概念は共通している。
Abuse Monitoringは生成AI事業者にとって、サービス利用ポリシーの遵守、責任あるAI(Responsible AI)運用、未成年保護、第三者モデルプロバイダ (例: Bedrock経由のAnthropic、Meta、AI21 Labs等) への契約上の義務履行のために必要な機能であり、原則オン (デフォルト有効) として提供されている。
1.3 30日ログ保管がなぜ論点なのか
Azure OpenAI ServiceおよびVertex AI (Gemini) は、Abuse Monitoring用にプロンプト・出力データを最長30日間、テナント外 (事業者側のセキュアなストレージ) に暗号化して保存する。AWS Bedrockは「ユーザ入力・モデル出力を保存しない」と明示しつつ、分類器メトリクスを利用する仕組みを採用している。
この30日保管の何が問題かというと、(a) 入力プロンプトに個人情報・営業秘密・医療情報が含まれ得る、(b) クラウド事業者の従業員が一定の条件下で内容を閲覧し得る、(c) クラウド事業者という「第三者」のサーバ上に個人データが残ることが、個人情報保護法上の委託先監督・越境移転・外的環境の把握・安全管理措置の各論点と直結する、ためである。
本レポートはこの構造を整理し、3クラウドの仕様の違い、日本企業が実務として行っている対策、規制業界の追加要件、Microsoftが日本で受け入れられている理由、そして個人情報保護法上の根拠について、法務・経営・技術それぞれの担当者が判断できる形で網羅的に説明する。
第2章 各クラウドAI基盤のAbuse Monitoringとログ保管 詳細比較
2.1 Microsoft Azure OpenAI Service
2.1.1 標準仕様 (Default)
Azure OpenAI Serviceは、デフォルトで以下の挙動を取る。
- プロンプトおよび生成された応答 (completions) を最長30日間、Microsoftが管理するセキュアなストレージに暗号化して保管する。
- コンテンツフィルタリング (5カテゴリ × 4レベル) とAbuse Monitoringが有効化されている。
- 自動分類器が悪用を疑うパターンを検出した場合、Microsoftの認定エンジニアがJust-In-Time承認 (上司承認) のもとでSecure Access Workstation経由でデータを参照し得る。
- プロンプトおよび応答は、OpenAI社・他のAzureテナント・第三者には共有されず、ベースモデルの学習にも利用されない。
- 欧州経済領域 (EEA) リソースの場合、人間レビュアーもEEA域内に所在する。日本リージョンのデータの所在については個別契約で定義される。
2.1.2 Modified Abuse Monitoring (MAM) によるオプトアウト
Azure OpenAI Serviceには、利用規約とは別に「Limited Access」と呼ばれるアクセス制御の枠組みがあり、その中でModified Abuse Monitoring (MAM) を申請できる。MAMが承認されると、(1) プロンプト・応答の30日保管が行われない、(2) 人間レビューも実施されない、(3) Abuse Monitoringのための自動分類のみが行われる構成になる (現行ドキュメントの整理)。
MAM申請の主な要件は次の通り。Microsoftアカウント担当を持つ「マネージドカスタマー」または認定パートナー経由であること、Enterprise Agreement (EA) またはMicrosoft Customer Agreement (MCA) 契約があること (Pay-As-You-Goは対象外)、組織のドメインメールで申請すること、申請内容として個人情報・機密情報の取扱を伴うこと、社内のリスク評価・コンテンツモデレーションを補完する設計が示されていること等。承認まで概ね5〜10営業日。
2.1.3 リージョン・データレジデンシー
Azure OpenAI Serviceは東日本 (Japan East) リージョンで提供されており、当該リージョンを選択すれば、リソースで処理されたプロンプト・出力・Abuse Monitoring保管データは原則として日本国内に留まる。ただし「Global Standard」デプロイメントを選んだ場合は、推論処理が任意のAzure OpenAIロケーションで実行される可能性があるため、データレジデンシー要件がある場合は「Standard」(リージョン固定) デプロイメントを選択する必要がある。
2.2 Google Cloud Vertex AI / Gemini
2.2.1 標準仕様
Google Cloud Platform利用規約 (GCP TOS) のもとでVertex AI / Geminiを利用する顧客に対して、Googleは「Acceptable Use Policy / Prohibited Use Policy違反の検知」を目的にプロンプトをログとして保管する場合がある。
- 自動検出: Googleの自動安全分類システムが潜在的な不正行為・違反を検出する。
- プロンプトロギング: 自動安全分類システムが要調査と判断した不審なアクティビティを検出した場合のみ、GoogleはAUP / 禁止使用ポリシー違反の調査目的でプロンプトをログ化する。このデータは顧客が選択したリージョン (またはマルチリージョン) 内で、最大30日間安全に保存される。データ所在地・アクセスの透明性 (Access Transparency)・VPC Service Controls等のGoogle Cloudの保証に準拠する。
- 対応: フラグが立てられたメッセージは、Googleの認定社員 (authorized employees) が評価し、顧客に確認を求める場合がある。対処されない場合・反復・悪質な場合は、Vertex AIまたはGoogle Cloudサービスへのアクセスが停止・解除される可能性がある。
- ログ保管されたデータは、ポリシー執行および違反防止の目的のみに使用され、ポリシー執行用以外のAI/MLモデルの学習・チューニングには使用されない。
- Vertex AIで公開されているGemini系モデルは、デフォルトでカスタマーデータ (入力・出力・派生データ) を レイテンシ削減のためにインメモリでキャッシュする。インメモリのみ (永続ストレージには保存しない)、プロジェクト単位で隔離され、TTLは24時間 (これはプロンプトロギングとは別の機構)。
Vertex AIのログ保管は「常時30日」ではなく「フラグ検出時のみ最大30日」である点がAzure OpenAI Service (常時30日) と異なる。一方で、保管先が顧客選択リージョン内である点はデータレジデンシーの観点で重要な保証となる。
2.2.2 Zero Data Retention (ZDR) によるオプトアウト
Vertex AIには「Zero Data Retention (ZDR)」と呼ばれる構成があり、これを有効化するとAbuse Monitoring用のプロンプトログが保管されない構成にできる。ZDRを実現するには次の手順が要件となる。
- Google Models向けの データキャッシュを無効化 (Disable data caching) する。
- Invoiced Billing (請求書払い) を設定して、Abuse Monitoring用のプロンプトログを停止する例外申請を行う。
- Googleの営業窓口経由で「Abuse Monitoring例外」を申請し、承認を得る。
ZDRは、GDPR・CCPA・日本の個人情報保護法など、データ最小化と忘れられる権利を重視する規制への適合を狙って設計されており、データを指定リージョン外で永続化させない構成が可能となる。
2.2.3 リージョン・データレジデンシー
Vertex AIはasia-northeast1 (東京)、asia-northeast2 (大阪) で提供されている。特定モデル (一部のGeminiプレビュー版) は限定リージョンのみで提供されることがあるため、利用予定モデルの提供リージョンを必ず事前確認する必要がある。
2.3 Amazon Web Services (AWS) Bedrock
2.3.1 標準仕様
AWS Amazon Bedrockは、3社の中でログ保管に関する設計が最も「最小限」に振っている。AWSの公式ドキュメントおよびFAQにおける標準的な記述は次の通り。
- ユーザ入力プロンプト・モデル出力は、ベースモデル (基盤モデル) の学習に使用されない (デフォルト)。明示的なオプトアウト操作は不要。
- ユーザ入力・モデル出力は第三者モデルプロバイダ (Anthropic、Meta、AI21、Cohere等) と共有されない。
- Abuse Detectionは完全自動化されており、人間によるユーザ入力・モデル出力の閲覧・アクセスは行われない (AWS公式)。
- 自動分類器は入出力に対して「危害カテゴリと信頼度」を付与し、AWSは匿名化された分類器メトリクス (個別の入出力本文ではない) を第三者モデルプロバイダに共有することがある。
- CloudWatch Logs / S3へのモデル呼び出しログ保管は、顧客が自ら有効化した場合に顧客のAWSアカウント内に蓄積される (= 顧客自身の管理下)。
2.3.2 ログに関する重要な注意点
Bedrockでは、AWS側でユーザの入出力本文を恒常的に保管する仕組みは標準ではドキュメント化されていない。一方で、(a) 自動分類器が「違反疑い」と判定した場合の挙動、(b) AWS Organizationsのオプトアウトポリシー (AI services opt-out policy) の活用、(c) Bedrock GuardrailsやPIIフィルタの設計、については個別に検討する必要がある。利用前にAWSサービス規約およびAWS Customer Agreementを法務確認の上で運用設計することが推奨される。
2.3.3 リージョン・データレジデンシー
Bedrockはap-northeast-1 (東京) で提供されており、提供されているモデルは時期により異なる。「Cross-Region Inference」を利用する場合、推論処理が他リージョンで行われるため、データレジデンシー要件がある場合は無効化する必要がある。
2.4 比較サマリー表
以下の表は3社の主要仕様を要約したものである (2026年4月時点の公開情報ベース、必ず最新の公式ドキュメントで再確認のこと)。
| 項目 | Azure OpenAI Service | Vertex AI (Gemini) | Amazon Bedrock |
|---|---|---|---|
| プロンプト・出力の事業者側保管 (デフォルト) | あり (最長30日, 暗号化) | フラグ検出時のみログ化 (最長30日, 顧客選択リージョン内) / Gemini系はインメモリ24時間キャッシュ | 保管しない (基本) |
| 人間レビュー | あり (Just-In-Time承認下のMicrosoft認定エンジニア) | あり (Google認定社員がフラグ済みメッセージを評価) | なし (完全自動化を明言) |
| モデル学習への使用 | しない | ポリシー執行用以外のモデルには使用しない | しない |
| 第三者モデルプロバイダへの共有 | OpenAI社にも非共有 | 対象外 (Google自社モデル) | ユーザ入出力は非共有 / 匿名化メトリクスのみ共有あり |
| オプトアウト経路 | Modified Abuse Monitoring (MAM) 申請 | Zero Data Retention (ZDR) 申請 | 標準で保管なし / 追加でAI services opt-out policy |
| オプトアウト要件 | EA/MCA + マネージドカスタマー | Invoiced Billing + 営業申請 | 標準は不要 / 組織ポリシー設定推奨 |
| 日本リージョン | 東日本 (Japan East) | 東京 / 大阪 | 東京 (ap-northeast-1) |
| 越境推論の有無 (デフォルト) | Globalデプロイで他リージョン処理あり | リージョン指定で固定可 | Cross-Region Inferenceは任意 |
| ISMAP登録 | あり (Microsoft Azure) | あり (Google Cloud) | あり (AWS) |
第3章 日本の個人情報保護法 — なぜそこまで気にするのか
本章では、Abuse Monitoringログの保管がなぜ日本の個人情報保護法 (個情法) との関係で論点化するのか、その法的構造を整理する。結論を先に述べると、ログ保管に対する企業の懸念は「過剰反応」ではなく、複数の条文上の義務が重なり合うことから生じる、合理的な実務判断である。
3.1 委託・第三者提供・クラウド例外
個情法第27条は、個人データを第三者に提供する場合、原則として本人同意を要するとし (第1項)、ただし「個人データの取扱いの全部又は一部の委託」(第5項第1号) に伴って委託先に提供する場合は同意不要としている (代わりに第25条の委託先監督義務がかかる)。
個人情報保護委員会 (PPC) は、クラウド利用について、いわゆる「クラウド例外」 (Q&A 7-53) を示している。これは、クラウド事業者が「サーバに保存された個人データを取り扱わないこととなっている」場合 (= 契約条項により取り扱わないことが定められ、適切なアクセス制御が行われている場合) は、そもそも「提供」に該当しないため、本人同意も委託先監督義務も発生しない、というものである。
ところがAbuse Monitoringの30日ログ保管は、(a) クラウド事業者の従業員 (人間レビュアー) がデータにアクセスし得る、(b) クラウド事業者がコンテンツ判定 (= 取扱) を行う、という性質を持つため、クラウド例外の前提を満たすかが争点となる。実務的には、
- Microsoftの場合: Modified Abuse Monitoringを取得すれば人間レビュー・30日保管がなくなり、クラウド例外の解釈に乗せやすくなる。
- Vertex AIの場合: ZDR取得で同様の整理が可能となる。
- Bedrockの場合: 標準で保管・人間レビューがないため、クラウド例外の解釈に乗せやすい。
標準仕様 (オプトアウトなし) のままでは、「事業者が個人データを取り扱っている」と評価される可能性があり、その場合は (i) 委託 + 委託先監督 + 越境移転規制、または (ii) 第三者提供 + 本人同意、のいずれかの整理が必要となる。
3.2 越境移転と外的環境の把握
個情法第28条は、外国にある第三者に個人データを提供する場合に、原則として本人同意を要することを定めている (基準適合体制を持つ場合等の例外あり)。クラウド事業者が日本リージョンに保管する場合でも、サポート・運用が海外拠点で行われるケースや、Abuse Monitoringの人間レビュー拠点が海外にある場合は、越境移転の論点が発生し得る。
また、令和2年改正で導入された「外的環境の把握」(個人情報保護法施行規則 第7条第1号、ガイドライン上の安全管理措置の一環) により、外国においてデータを取り扱う場合、当該外国の個人情報保護制度を把握し、必要かつ適切な安全管理措置を実施する義務が生じる。プライバシーポリシー上にデータ保管国を明示することが事実上必須となっている。
Abuse Monitoringの文脈では、(a) 30日保管されるストレージのリージョン、(b) 人間レビュアーの所在国、(c) 自動分類処理を行うインフラのリージョン、(d) サポート対応者の所在国、をそれぞれ確認し、必要に応じて公表することが必要となる。
3.3 ログ・プロンプトに含まれる個人データの問題
Abuse Monitoringログがそもそも「個人データ」に該当するか、という論点も重要である。個情法上、個人データとは「個人情報データベース等を構成する個人情報」を指し、特定の個人を識別できる情報 (氏名、社員番号、顧客ID、メールアドレス、容易照合可能な情報など) が含まれていれば該当する。
プロンプトには、(i) 顧客対応で参照した氏名・住所・契約番号、(ii) 社員間チャットの内容、(iii) 医療情報・問診票、(iv) 採用候補者の履歴書本文、などが投入されることが多く、ログの内容が個人データに該当することはむしろ通常である。
アクセスログ自体も、特定個人を識別できるユーザID・タイムスタンプを伴って検索可能であれば、それ自体が個人データとなる。これにより、Abuse Monitoringログは「個人データ」として個情法上の各規律 (利用目的の特定、安全管理措置、第三者提供制限、越境移転規制、漏えい等報告) のすべての対象になり得る。
3.4 安全管理措置 (組織的・人的・物理的・技術的)
個情法ガイドライン (通則編) は、(1) 組織的安全管理措置、(2) 人的安全管理措置、(3) 物理的安全管理措置、(4) 技術的安全管理措置 の4区分の安全管理措置を求めている。Abuse Monitoringの30日ログ保管が「自社の支配下にない」場所で行われる以上、これらの措置を「クラウド事業者経由で」担保する必要がある。具体的には:
- 組織的: 委託契約・覚書 (DPA / GDPR Art.28準拠等) の締結、責任分界点の明確化。
- 人的: 自社側従業員へのプロンプト投入ルール教育 (個人情報を投入しない原則の徹底等)。
- 物理的: クラウド事業者のデータセンターセキュリティをISMAP / ISO 27001 / SOC 2等の認証で確認。
- 技術的: 暗号化 (Microsoft管理鍵 + 顧客管理鍵 (CMK / BYOK) の選択肢)、PII除去、アクセス制御、ログ監査。
3.5 漏えい等報告義務
令和2年改正以降、要配慮個人情報、財産的被害が発生するおそれ、不正目的によるおそれ、本人数1,000人超、のいずれかに該当する漏えい等が発生した場合、個人情報保護委員会への報告および本人通知が義務化されている。
Abuse Monitoring用に事業者側に保管されているログが、(a) 事業者側の障害・侵害により漏えいした場合、(b) 人間レビュアーが故意・過失により流出させた場合、自社の責任で報告・通知を行う必要が生じる可能性が高い (委託元の責任)。クラウド事業者からの通知体制 (時間・粒度) が契約上明確でないと、報告期限 (速報3〜5日、確報30日) を守れないリスクがある。
3.6 「気にする理由」のまとめ
ここまでの整理から、企業がAbuse Monitoringログ保管を気にする理由は次のように整理できる。
- プロンプト本文に個人データが含まれ得るため、ログ自体が個人データとなる。
- クラウド事業者の人間レビューが入る構成では、クラウド例外の前提が崩れる可能性があり、委託・越境移転・本人同意の整理が必要となる。
- 外的環境の把握義務により、データ保管国・人間レビュアー所在国の把握と公表が必要となる。
- 安全管理措置を「事業者経由で」担保する設計と、契約上の保証が求められる。
- 漏えい等報告の起点が事業者側のログ保管環境となるため、報告体制を契約で確保する必要がある。
- 規制業界 (金融・医療) では、業界ガイドラインがクラウド例外より厳しい統制を求めるため、Abuse Monitoring設計の不透明さが「説明責任の困難さ」として現れる。
つまり、これは単なる「事業者がログを30日持つかどうか」の話ではなく、「個情法の複数条文上の義務を企業がどう設計に落とし込むか」という、ガバナンス全体の問題である。
第4章 規制業界における追加要件 (金融・医療)
4.1 FISC安全対策基準
金融情報システムセンター (FISC) が発行する『金融機関等コンピュータシステムの安全対策基準・解説書』は、日本の金融業界における事実上のデファクトスタンダードであり、金融庁の監督指針からも参照されている。最新版は第13版 (2025年3月公表、金融庁サイバーセキュリティガイドラインへの対応およびAI利用に関する安全対策の項目が新設) で、過去の第9版・第11版でクラウド対応が段階的に追記されてきた経緯を持つ。
FISC安全対策基準のクラウド利用に関する考え方は次の通り。
- 従来基準はオンプレミス前提のため、有識者検討会報告書を経て、クラウドサービス利用時の管理項目が整理された。
- 個人データの蓄積・伝送には暗号化およびパスワード設定を必須化し、不正コピー・盗難時に内容が判別できないことを担保する。
- 第11版 (および日銀・金融庁のFSR別紙『クラウドサービス利用において必要な管理項目』) では、責任分界、リスク評価、第三者認証 (ISMAP / ISO 27017等) の確認、復旧体制、出口戦略等を要求している。
Abuse Monitoringの文脈では、(a) ログ保管領域がデータセンタ統制下にあること、(b) 監査証跡が確認できること、(c) 暗号鍵管理 (BYOK / HYOK) が利用可能であること、(d) 人間アクセスの記録と統制、が論点となる。Microsoftは「FISC安全対策基準への対応」のドキュメントを公開しており、AWS / Google Cloudも同様の対応資料を公開している。
4.2 三省二ガイドライン (医療情報)
厚生労働省の『医療情報システムの安全管理に関するガイドライン』 (現在は第6.0版) と、経済産業省・総務省の『医療情報を取り扱う情報システム・サービスの提供事業者における安全管理ガイドライン』を合わせて、いわゆる「三省二ガイドライン」と呼ぶ。
- 医療機関側 (厚労省ガイドライン) と、事業者側 (経産省・総務省統合ガイドライン、令和2年に三省三から三省二に再編) の両者に対して、責任分界、安全管理、本人同意、患者プライバシー保護等のフレームワークを示す。
- 患者個人情報・診療情報・処方情報を生成AIに入力する場合は、(i) 院内ガバナンス (倫理委員会レベル) での承認、(ii) 委託契約整備、(iii) 仮名化・匿名化処理、(iv) 三省二ガイドラインの責任分界の文書化 が求められる。
- クラウド利用時のデータ保管国 (国内に限定するか) の論点は、医療情報の越境制限の慣行と、患者からの透明性確保の観点から、特に厳しく評価される。
三省二ガイドラインのもとでは、Azure OpenAI / Vertex AI / Bedrockのいずれを利用する場合でも、(a) 国内リージョン固定、(b) Abuse Monitoring例外の取得、(c) PII除去レイヤの導入、(d) 監査ログの保全、を組み合わせて運用することが、医療機関側のリスク評価をクリアする実務上の最低ラインとなる。
4.3 金融庁・公金等のガイダンス
金融庁の『主要行等向けの総合的な監督指針』『中小・地域金融機関向けの総合的な監督指針』および『金融分野における個人情報保護に関するガイドライン』は、要配慮個人情報および機微 (センシティブ) 情報の取扱、外部委託先管理、システムリスク管理を求めており、生成AI活用にもこれらが当然に適用される。
また、日本銀行 (FSR別紙、2024年1月『クラウドサービス利用において必要な管理項目と具体的な取組事例』) でも、(a) クラウド事業者の選定基準、(b) 契約・SLA、(c) リスクモニタリング、(d) 出口戦略 (Exit Strategy)、(e) システム障害時の対応、を整理しており、Abuse Monitoringもこの枠組みで管理対象となる。
4.4 ISMAP (政府情報システムのためのセキュリティ評価制度)
ISMAPは、政府がクラウドサービスを調達する際の事前評価制度であり、登録されたサービスを政府機関が利用することができる。Microsoft Azure、Google Cloud、AWSはISMAP登録済みであり、Oracle Cloud Infrastructure、さくらインターネット (国内事業者として初) も登録されている。
ISMAP登録は、(a) 政府機関調達のための前提条件、(b) ガバメントクラウド (デジタル庁) 採用の前提、(c) 民間規制業界においても評価指標として使われる。Abuse Monitoringを含む生成AI利用は、ISMAP登録範囲・対象サービスを正確に確認したうえで、登録外サービスを使う場合は別途リスク評価を行う必要がある。
第5章 日本企業が実施しているAbuse Monitoring対策
本章では、日本国内企業 (特に金融・医療等の規制業界) が、Abuse Monitoringに対して実務として行っている対策を、(A) アーキテクチャ的対策、(B) 契約・運用的対策、(C) 法務・ガバナンス的対策、の3層で整理する。
第5章 日本企業が実施しているAbuse Monitoring対策
本章では、日本国内企業 (特に金融・医療等の規制業界) が、Abuse Monitoringに対して実務として行っている対策を、(A) アーキテクチャ的対策、(B) 契約・運用的対策、(C) 法務・ガバナンス的対策、の3層で整理する。
5.1 アーキテクチャ的対策
5.1.1 PII (個人識別情報) 除去レイヤ
プロンプトをクラウドAIに送信する前に、自社環境 (オンプレ・VPC内) で氏名・電話番号・メールアドレス・住所・マイナンバー・クレジットカード番号などをマスキングするレイヤを挿入する。これは「ログに個人データを載せない」ことを技術的に保証する最も確実な方法である。
- Azure: Azure AI LanguageのPII Detection、Presidio (Microsoft製OSS) の組み合わせ。
- AWS: Bedrock GuardrailsのSensitive Information Filters (PII種別の検知・遮断・匿名化)、Amazon Comprehend PII Detection。
- Google Cloud: Cloud DLP API (Sensitive Data Protection)、Vertex AIのSafety Filters。
金融業界では、PII検知時に「ブロック (= プロンプト送信を拒否)」する運用が主流であり、「マスキングしてから送信」よりも厳格である。これは、検知漏れリスクが顕在化した際の影響を最小化する判断による。
5.1.2 オプトアウト構成 (MAM / ZDR)
- Microsoft Azure OpenAI: Modified Abuse Monitoring (MAM) 申請による30日ログ保管・人間レビューの停止。
- Google Cloud Vertex AI: Zero Data Retention (ZDR) 構成 (キャッシュ無効化 + Invoiced Billing + 例外申請)。
- AWS Bedrock: AWS OrganizationsのAI services opt-out policy、CloudTrail / CloudWatchでのログ管理を顧客側に閉じる設計。
5.1.3 リージョン固定 / 越境推論の無効化
- Azure: Standardデプロイメント (リージョン固定) を選択し、Global Standardを使わない。
- Vertex AI: asia-northeast1 / asia-northeast2に固定し、特定モデルが他リージョンしかない場合は採用を見送る。
- Bedrock: Cross-Region Inferenceを利用しない構成、または利用する場合は対象リージョンを書面で限定。
5.1.4 暗号化と鍵管理
- Customer Managed Key (CMK) / Bring Your Own Key (BYOK) を有効化し、暗号鍵を顧客側 (Azure Key Vault / AWS KMS / Cloud KMS) で管理する。
- Hold Your Own Key (HYOK) — オンプレHSMで鍵を保持する構成は、最高水準の機微性を持つ業務に限定的に採用される。
- ログの送出経路 (TLS 1.2以上) と保管経路の暗号化は当然有効化する。
5.1.5 Private Endpoint / VNET統合
- Azure: Private Link / Private EndpointでAzure OpenAIアクセスをインターネットを経由しない構成にする。
- Vertex AI: VPC Service Controlsによる境界制御、Private Service Connect。
- Bedrock: VPC Endpoint (PrivateLink for Bedrock) によるVPC内完結アクセス。
5.1.6 監査ログ (顧客側) の整備
- API呼び出しログ、誰が・いつ・どのプロンプトを送ったか、を顧客側のログ基盤 (Azure Monitor / CloudWatch / Cloud Logging + SIEM) に集約。
- プロンプト本文をログ化する場合は、自社側で個人データの取扱範囲・保存期間・削除手順を定める。
5.2 契約・運用的対策
- Data Protection Addendum (DPA) の締結。Microsoft Products and Services DPA、Google Cloud DPA、AWS GDPR DPAを契約上明示。
- MAM / ZDRを取得した場合の承認書面 (申請ID等) を法務文書として保管。
- クラウド事業者からのインシデント通知体制を契約上で確保 (SLA・通知時間・通知先・粒度)。
- 利用規程・プロンプト投入ルールの社内整備 (個人データ・営業秘密の投入禁止リスト、目的外利用禁止)。
- 従業員教育 (生成AI利用研修・eラーニング) を年次で実施。
5.3 法務・ガバナンス的対策
- DPIA / PIA (プライバシー影響評価) を生成AI利用ユースケースごとに実施。
- プライバシーポリシーへのデータ保管国・処理国・委託先の明記 (外的環境の把握義務に対応)。
- AIガバナンス委員会 (CDO / CISO / 法務 / 事業部) によるユースケース承認プロセス。
- AIユースケース台帳 (利用目的、投入データ種別、保存期間、リスク評価結果、承認状況) の作成・更新。
- 外部認証 (ISMS / Pマーク / ISO 27701 / SOC 2) との整合的な管理策定。
5.4 業界別の典型的な実務パターン
5.4.1 金融 (銀行・証券・保険)
- 基本方針: 第一段階では「PII除去 + リージョン固定 + MAM/ZDR」を組み合わせ、社内文書要約・コードアシスト等の用途から開始。
- 第二段階: 顧客対応 (コールセンター要約、メール下書き支援) は、Bedrock Guardrails / Azure Content Safety + 厳格なPIIブロック + ログ保管要件の充足を前提に試行。
- 第三段階: 与信審査・反社会的勢力チェック等の高機微業務は、AI出力を一次資料としては使わず、人手判断のサポート役に限定。
5.4.2 医療 (病院・製薬・保険者)
- 国内リージョン固定、PII除去、三省二ガイドライン準拠の責任分界書の整備が前提。
- 匿名化・仮名化処理を施した上でAIに投入する運用が中心 (例: 患者IDを内部一意IDに置換、生年月日を年代に丸める等)。
- 製薬の安全性報告 (PV) や創薬支援は、ファイザー・武田など大手で先行事例あり。GxP環境とAIを切り分けた構成を取る。
5.4.3 公共 (官公庁・自治体)
- ガバメントクラウド対応サービスかつISMAP登録範囲内のサービスを優先。
- Microsoft 365 Copilot / Azure OpenAIが先行している事例が多い (デジタル庁ガバメントクラウドの一部としてAzure採用)。
- 住民情報・税情報については、外部公開系AIの直接利用は避け、当面は内部文書要約・FAQ自動応答等から導入。
5.4.4 製造業・一般事業会社
- 社内ChatGPT (Azure OpenAIベース) としての展開が主流。Microsoft 365 Copilotの導入も進む。
- プロンプト投入ガイドラインを策定 (機密度ラベルでの仕分け)。
- R&Dデータ・営業秘密はオンプレ・閉域網のLLM (例: Azure OpenAIのプライベートデプロイ、または社内のオンプレLLM) を併用。
第6章 なぜMicrosoftが日本で受け入れられているか
本章では、日本国内企業 (特に金融・医療・公共を含む) が、個人情報・ログ保管を含む業務でMicrosoft (Azure / Microsoft 365 / Copilot) を選好する傾向にある理由を多角的に分析する。
6.1 歴史と関係性 — 1986年からの蓄積
日本マイクロソフト (旧マイクロソフト株式会社) は1986年2月に設立され、1990年代から官公庁・大企業のオフィス標準としてOffice製品が浸透した。Windows / Office / Active Directoryが事実上のエンタープライズ・スタンダードとなったことで、その上に成り立つAzure / Microsoft 365 / Microsoft Entra ID (旧Azure AD) は、新規導入というより既存IT基盤の延長として位置付けられる。
Microsoftアカウント担当 (アカウント・エグゼクティブ、テクニカル・スペシャリスト、CSU、サポート) が大企業に密着して付いており、契約・実装・トラブル対応で日本語の窓口が整備されている。これはModified Abuse Monitoringの申請窓口が「マネージドカスタマー前提」であることと整合的である。
6.2 データレジデンシー戦略
Microsoftは東日本 (Japan East / 埼玉) と西日本 (Japan West / 大阪) の2リージョン体制を持ち、Azure OpenAIを含む主要サービスが日本国内で完結する設計が可能である。さらに2026年4月、Microsoftは日本国内のデータセンタ整備に約1.6兆円規模の追加投資 (ソフトバンク・さくらインターネットとの協業を含む) を発表しており、データ主権 (Data Sovereignty) を重視する姿勢を明確にしている。
GoogleCloudも東京・大阪リージョンを、AWSも東京・大阪リージョンを持っているが、生成AIの「最新モデル」が日本リージョンに展開されるタイミングではAzure OpenAIが先行することが多く、これがエンタープライズ導入の差として現れている。
6.3 ガバメントクラウド・ISMAPでの位置付け
デジタル庁ガバメントクラウドは、2022年度にAWS、Google Cloud、Microsoft Azure、Oracle Cloud Infrastructureを採択し、2025年度以降にさくらインターネットを国内事業者として追加した。Microsoft Azureは初期から採択されており、自治体の20基幹業務システム移行 (2025年度末期限) の主要選択肢となっている。
民間においても、ISMAP登録 + 政府採用の実績は大きな信頼指標として機能しており、特に金融・医療・公共セクター向けの提案では「ISMAP + 国内リージョン + 既存M365契約」の3点セットがMicrosoftの標準的なポジショニングとなっている。
6.4 Modified Abuse Monitoring承認窓口の存在
Azure OpenAIのMAM (Modified Abuse Monitoring) は、ドキュメント上は「マネージドカスタマー限定」と記載されているが、日本においてはMicrosoftの営業担当・CSUを介して個人情報保護対応を理由とする申請が比較的スムーズに進む。実際に、金融機関・大手製造業・通信キャリア・ヘルスケア事業者などでMAM取得済みの公開事例 / 公表されない事例ともに多く存在する。
GoogleCloudのZDRも同等の機能を提供しているが、「Invoiced Billing必須」「営業申請」のハードルから、利用は限定的である。AWS Bedrockは標準で人間レビューがないため、そもそもMAM相当の申請が不要。結果的に、「個人情報を扱うことを前提とした正式な申請ルートと承認枠組みが、エンタープライズ向けに整備されている」点で、Microsoftが日本市場で受け入れられる要因となっている。
6.5 Microsoft 365 / Officeエコシステムとの地続き
Microsoft 365 Copilot (旧名: Microsoft 365 Copilot for Enterprise) は、Word・Excel・PowerPoint・Outlook・Teamsなど既に企業に導入されているOffice製品の中で動作するAI機能であり、データガバナンスは「Microsoft 365のテナント内データの取扱」と一体である。
Microsoft 365のテナント内データ (Exchange Onlineのメール、SharePoint Onlineのドキュメント、Teamsのチャット) は、既に企業が個人情報・機密情報を保管している領域であり、Microsoftはここに対するDPA、各種認証 (ISO 27001 / 27017 / 27018 / 27701、SOC 1 / 2 / 3、ISMAP、HIPAA、FISC等)、コンプライアンスダッシュボードを長年提供してきた。生成AIだけが新しく加わるのではなく、「既存の管理枠組みの中にCopilotが乗る」構造のため、企業の法務・情報セキュリティ部門にとって追加で評価する範囲が小さい。
6.6 結局なぜMSが「許される」傾向にあるか
以下の要素が複合的に作用している。
- 既存信頼資産: Office / Windows / Microsoft Entra IDで40年近い信頼関係。新規評価ではなく増分評価で済む。
- 国内リージョンと所在地保証: 東日本・西日本リージョン、データレジデンシーポリシーの明文化、巨額の国内投資。
- ISMAP・ガバメントクラウド: 政府が「使ってよい」と判断したという、第三者の権威ある信頼マーク。
- MAMという正式な抜け道: 個人情報を理由とする30日ログ停止・人間レビュー停止の正式手続が存在する。
- 日本語サポートとアカウント担当: 法務照会・インシデント対応・契約交渉のすべてが日本語で完結する。
- Microsoft 365との一体ガバナンス: 既に同社のもとに置いている個人情報の延長としてCopilotを扱える。
- オンプレからの移行ストーリー: Hybrid Cloud (Azure Arc / Azure Stack) との地続きで、段階的移行が可能。
第7章 推奨事項 (Recommendations)
7.1 経営・法務向け
- 生成AI利用ガイドラインを正式文書化し、AIガバナンス委員会 (CDO・CISO・法務・事業部・データ保護責任者) を発足。
- ユースケース台帳を整備し、各案件で投入データの種別 (個人データ / 要配慮個人情報 / 機密情報 / 公開情報) と保存期間を明示。
- PIA / DPIAを、個人データを扱うすべての生成AIユースケースで実施。
- プライバシーポリシーに、データ保管国・処理国・委託先・Abuse Monitoringの有無を明記する。
- クラウド事業者とのDPA、SLA、インシデント通知体制を契約レビュー対象に含め、特にAbuse Monitoringに関する条項を読み込む。
- 規制業界 (金融・医療) では、業界ガイドライン (FISC・三省二・金融庁) との適合性を法務・コンプライアンスで確認。
7.2 IT・セキュリティ向け
- リージョンを国内に固定し、越境推論機能 (Azure Global / Bedrock Cross-Region Inference等) は明示承認なしには有効化しない。
- PII除去レイヤ (Bedrock Guardrails / Azure AI Content Safety / Cloud DLP API等) を全プロンプトの前処理に挿入。
- MAM (Azure OpenAI) またはZDR (Vertex AI) を、必要なユースケースで申請・取得し、承認IDを台帳管理。
- Customer Managed Key (CMK / BYOK) を有効化。高機微業務はHYOKまで検討。
- Private Endpoint / VPC Endpointで外部公開せず、自社境界内からのみアクセス可能とする。
- API呼び出し・プロンプト・出力の監査ログをSIEM (Sentinel / Security Lake / Chronicle等) に集約し、年次レビュー。
- インシデント対応Playbookに、Abuse Monitoringログ漏えいのシナリオを追記し、報告期限・本人通知を含めて訓練。
7.3 ベンダ評価マトリクス
新規案件で3クラウドを評価する場合、次の評価項目を最低限カバーすることを推奨する。
| 評価項目 | 確認内容 | 確認方法 |
|---|---|---|
| デフォルトのログ保管 | プロンプト・出力の保管期間・場所 | 公式ドキュメント + 営業確認書面 |
| 人間レビューの有無 | 事業者従業員のアクセス可能性・承認プロセス | 公式ドキュメント + 営業確認書面 |
| オプトアウト (MAM / ZDR等) | 申請要件・所要期間・承認条件 | 営業窓口 + 申請ID取得 |
| リージョン | 対象モデルの国内提供有無、越境推論の制御 | リージョン提供表 + デプロイ仕様 |
| 暗号化・鍵管理 | CMK / BYOK / HYOKの選択肢 | ドキュメント + 設計レビュー |
| DPA / 認証 | ISMAP・FISC・ISO 27701等への適合 | 認証一覧 + 監査報告書 (SOC 2 Type 2等) |
| インシデント通知 | 通知時間・粒度・連絡先・本人通知支援 | DPA / SLA文言 |
| 契約形態 | EA / MCA / Pay-As-You-Go等とMAM適用可否 | 契約書面 |
| ベンダロック・出口戦略 | 他社移行可能性・データエクスポート手順 | Exit Strategy文書 |
第8章 主要参考文献・出典
本レポートは2026年4月時点の公開情報に基づいており、各社のサービス仕様・要件は更新される可能性があるため、運用前に必ず最新版を確認すること。
8.1 ハイパースケーラー公式ドキュメント
- Microsoft Learn / Azure OpenAI Abuse Monitoring (日本語) — https://learn.microsoft.com/ja-jp/azure/ai-services/openai/concepts/abuse-monitoring
- Microsoft Learn / Limited Access to Azure OpenAI Service — https://learn.microsoft.com/ja-jp/legal/cognitive-services/openai/limited-access
- Microsoft Learn / Data, privacy, and security for Azure OpenAI Service — https://learn.microsoft.com/ja-jp/legal/cognitive-services/openai/data-privacy
- Google Cloud / Abuse monitoring (Vertex AI) — https://docs.cloud.google.com/vertex-ai/generative-ai/docs/learn/abuse-monitoring
- Google Cloud / Vertex AI and zero data retention — https://docs.cloud.google.com/vertex-ai/generative-ai/docs/vertex-ai-zero-data-retention
- AWS / Amazon Bedrock abuse detection (日本語) — https://docs.aws.amazon.com/ja_jp/bedrock/latest/userguide/abuse-detection.html
- AWS / Data protection - Amazon Bedrock — https://docs.aws.amazon.com/bedrock/latest/userguide/data-protection.html
- AWS / Amazon Bedrock Security and Privacy — https://aws.amazon.com/bedrock/security-compliance/
- AWS / Bedrock Guardrails Sensitive Information Filters — https://docs.aws.amazon.com/bedrock/latest/userguide/guardrails-sensitive-filters.html
8.2 個人情報保護法・公的ガイドライン
- 個人情報保護委員会 / クラウド利用FAQ Q7-53 — https://www.ppc.go.jp/all_faq_index/faq1-q7-53/
- 個人情報保護委員会 / クラウド利用FAQ Q7-54 — https://www.ppc.go.jp/all_faq_index/faq1-q7-54/
- 個人情報保護委員会 / 改正越境移転ルール (令和4年2月) — https://www.meti.go.jp/policy/it_policy/privacy/ppc_privacy_governance_seminar3.pdf
- FISC安全対策基準 (公益財団法人 金融情報システムセンター) — https://www.fisc.or.jp/publication/pubcat/sm/
- 金融機関におけるクラウド利用に関する有識者検討会報告書 — https://www.fisc.or.jp/document/fintech/file/190_0.pdf
- 日本銀行 / クラウドサービス利用において必要な管理項目 (2024年1月別紙) — https://www.boj.or.jp/research/brp/fsr/data/fsrb240130b.pdf
- 経済産業省 / 医療情報を取り扱う情報システム・サービスの提供事業者ガイドライン — https://www.meti.go.jp/policy/mono_info_service/healthcare/teikyoujigyousyagl.html
- 厚生労働省 / 医療情報システムの安全管理ガイドライン 第6.0版 — https://www.mhlw.go.jp/stf/shingi/0000516275_00006.html
8.3 解説・実務記事
- 牛島総合法律事務所 / クラウドサービスにおける個人情報の取り扱いについての行政指導 — https://www.ushijima-law.gr.jp/client-alert_seminar/client-alert/20240329cloud/
- 牛島総合法律事務所 / 越境移転と外的環境の把握の実務 — https://www.ushijima-law.gr.jp/topics/appi_crossborder_transfer/
- BUSINESS LAWYERS / 個人情報のクラウド例外 — https://www.businesslawyers.jp/articles/1399
- JIPDEC / クラウドを利用する際に遵守すべき個人情報保護法のルール — https://www.jipdec.or.jp/library/report/20230905-r01.html
- M&P Legal Note / 生成AIと個人情報 — https://jmatsuda-law.com/wp-content/uploads/2024/01/2024_1_1.pdf
- PwC Japan / FISC安全対策基準 第9版 主な改定ポイント — https://www.pwc.com/jp/ja/knowledge/column/spa/vol18.html
- NRI Secure / 三省二ガイドライン解説 — https://www.nri-secure.co.jp/blog/new-guidelines-in-medical-security
- AWS Japanブログ / 医療情報ガイドラインの改定から読み解くクラウド化 — https://aws.amazon.com/jp/blogs/news/japan-security-guidelines-for-medical-information-systems-2023-06/
- Microsoft / FISCへの対応 (Compliance Offering) — https://learn.microsoft.com/ja-jp/compliance/regulatory/offering-fisc-japan
付録A用語集
| 用語 | 説明 |
|---|---|
| Abuse Monitoring | クラウドAI事業者が利用規約・コンテンツポリシー違反を検知するため、プロンプト・出力を一時保管し、自動分類および (場合により) 人間レビューを行う仕組み。 |
| MAM (Modified Abuse Monitoring) | Azure OpenAI ServiceのAbuse Monitoringを停止する申請型の構成。30日ログ保管と人間レビューが行われない。 |
| ZDR (Zero Data Retention) | Vertex AI / Geminiのログ保管 (フラグ検出時最大30日) を停止する構成。データキャッシュ無効化 + Invoiced Billing + 例外申請が必要。 |
| クラウド例外 | 個人情報保護委員会FAQ Q7-53が示す、クラウド事業者が個人データを取り扱わない場合は提供・委託に該当しないとの整理。 |
| 外的環境の把握 | 個情法ガイドライン上の安全管理措置の一環で、外国でデータを取り扱う場合に当該国の制度を把握し対応する義務。 |
| FISC | 金融情報システムセンター。日本の金融業界における安全対策基準を公表しており、第13版 (2025年3月) が最新。 |
| 三省二ガイドライン | 厚労省ガイドライン (医療機関側) と経産省・総務省統合ガイドライン (事業者側) を合わせた医療情報の安全管理枠組み。 |
| ISMAP | 政府情報システムのためのセキュリティ評価制度。クラウドサービスの政府調達における事前評価制度。 |
| BYOK / CMK / HYOK | Bring Your Own Key / Customer Managed Key / Hold Your Own Key。暗号鍵を顧客側で管理する構成。 |
| DPA | Data Protection Addendum。個人データ取扱に関する委託契約の付帯条項。 |
| DPIA / PIA | Data Protection Impact Assessment / Privacy Impact Assessment。プライバシー影響評価。 |
| Guardrails | Bedrockの追加保護機能。PII遮断、トピック制限、コンテンツフィルタ、文脈グラウンディング検証等。 |
付録B Abuse Monitoring対応チェックリスト
各クラウドの導入前・導入時・運用時に、以下の項目を順に確認することを推奨する。
導入前
- ユースケースで投入されるデータが個人データ・要配慮個人情報・機密情報のいずれを含むかを定義した。
- 利用規約・DPA・サービス仕様書を法務でレビュー済み。
- Abuse Monitoringのデフォルト挙動 (保管期間・人間レビューの有無・データ所在) を文書で取得済み。
- MAM / ZDRの必要性を判定し、必要なら申請ルートを確認済み。
- リージョン・越境推論の有無を技術設計書に明記済み。
- PIA / DPIAを実施し、リスクとミティゲーション策を文書化済み。
導入時
- MAM / ZDRを申請し、承認IDを取得済み (必要な場合)。
- PII除去レイヤ・Guardrailsを有効化し、テストでブロック動作を確認済み。
- CMK / BYOKを設定し、鍵ローテーション運用を整備済み。
- Private Endpointで閉域接続を構成済み。
- API呼び出しログ・プロンプトログをSIEMに流入させ、ダッシュボードを構築済み。
- 利用規程・社内eラーニングを公開し、利用者が同意済み。
運用時
- ログ・監査結果の月次レビューを実施。
- インシデント対応Playbookを年次で訓練。
- クラウド事業者の仕様変更 (Abuse Monitoring関連) を四半期ごとにモニタリング。
- プライバシーポリシー上の保管国・委託先記載を最新状態に維持。
- ISMAP / FISC / 三省二ガイドライン等の改定に追随し、設計を見直し。