企業実務では、AI専用法の有無だけを見て判断すると危険です。DPOの生成AI指針は、データ漏えい、モデルバイアス、誤りといった生成AIの技術リスクを挙げています。 また、PCPDのチェックリストは、従業員が業務で生成AIを使う場面とPDPOへの適合を結び付けて説明しています。
つまり、香港で生成AIを使う企業にとっての現実的な論点は、「新しいAI法が成立するまで待つか」ではありません。先に決めるべきなのは、どのAIツールを使ってよいのか、どのデータを入力してよいのか、出力をどこまで業務利用してよいのか、誰がどの端末から使えるのか、という社内統制です。
DPO指針は、生成AIサービスを採用する組織に対し、内部ポリシーまたはガイドラインの整備を想定しています。その中で、利用を認めるツール、用途、適用範囲、入力情報、出力情報の利用・保存などが挙げられています。
企業、学校、非営利団体など、従業員やメンバーが業務でGenAIを使う組織は、少なくとも次の観点を整理しておくと実務に落とし込みやすくなります。
香港でAIやGenAIを使う際、個人データが関わるかどうかは大きな分岐点です。PCPDのチェックリストは、従業員による業務上のGenAI利用について、組織が内部ポリシーやガイドラインを作り、PDPOの要求に適合することを支援する目的で公表されています。
そのため、AIポリシーは単に「このツールを使ってよいか」を決めるだけでは不十分です。少なくとも、データの出所、入力できる情報、アクセス権限、出力の保存、重要な出力を誰が確認するかまで含めて設計する必要があります。
DPOの生成AI指針は、開発者やサービス提供者だけでなく、利用者も対象にしています。 業務で生成AIを使う場合は、まず所属組織のルールに従うことが基本です。社内規程が整っていない場合でも、個人データや機密性の高い業務資料を公開型の生成AIツールに入力してよいかは、慎重に判断する必要があります。DPO指針は、入力できる情報の種類と量を社内ポリシーで定めることを想定しています。
また、AIの出力をそのまま正解として扱うべきではありません。DPO指針は、生成AIの技術リスクとしてモデルバイアスや誤りを挙げています。 対外発表、顧客対応、法務・医療・人事などの重要な判断に関わる文書では、人による確認を前提にした運用が必要です。
2025年時点の公開法制概説では、香港にはAI・ビッグデータ・機械学習を単独で扱う包括的な独立法制度はないとされています。 ただし、香港政府の生成AI指針、PCPDのプライバシー関連指針、PDPOなどの既存法令・指針を合わせて考える必要があります。
香港政府のデジタル政策オフィスは、2025年4月15日に《香港生成式人工智能技術及應用指引》を公表しました。 政府発表によれば、この指針は生成AI技術の適用範囲、限界、潜在リスク、ガバナンス原則を扱い、技術開発者、サービス提供者、利用者に実務的な運用ガイダンスを提供します。
DPO指針は、生成AIサービスを採用する組織が内部ポリシーまたはガイドラインを整備し、その中で利用可能なツール、用途、入力情報、出力の利用・保存などを定めることを想定しています。 PCPDのチェックリストも、従業員が業務でGenAIを使う場合の内部ポリシーやガイドライン作成を支援し、PDPOへの適合を促すものです。
一律に判断するのではなく、社内ポリシーとPDPO対応を確認する必要があります。DPO指針は、生成AIに入力できる情報の種類と量をポリシーで定めることを想定しています。 また、PCPDのチェックリストは、業務上のGenAI利用についてPDPOへの適合を支援する目的で公表されています。
香港のAI規制を正確に表すなら、「単一のAI専用法はまだ確認されていないが、無規制ではない」という言い方になります。2025年時点では、政府の生成AI指針、PCPDのプライバシー関連指針、PDPOなどの既存法令・枠組みを組み合わせて対応することが重要です。
企業がすぐに着手すべきことは、AIツールの導入可否を議論するだけではありません。利用可能なツール、用途、入力できるデータ、出力の利用・保存、従業員と端末の権限、そしてデータ漏えい・バイアス・誤り・個人データ保護のリスクを、運用できる社内ポリシーに落とし込むことです。
本記事は、提示された公開情報に基づく一般的な整理であり、法的助言ではありません。高リスクなAI導入、個人データの大規模処理、金融・医療などの規制業種に関わる場合は、公式文書を確認し、必要に応じて専門家に相談してください。