AIに対する顧客の信頼は、条件つきです。2025年のTwilioの調査では、消費者の51%がAIエージェントへの個人・金融情報の提供に不安を感じ、66%がAIに取引履歴全体を見られることを警戒しています。Salesforceの調査では、事業者がAIを倫理的に使うと信頼する顧客は42%にとどまり、前年の58%から低下しました。
一方で、消費者はAIの便利さも求めています。BCGの調査では、6割超が購買時に生成AIの結果を高く信頼すると答えています。パターンは明確です。利便性のためにAIは受け入れる。しかし個人データに関しては、透明性・抑制・自分でコントロールできることを求める。これが消費者心理です。
AIカスタマーサービスを導入する中小企業にとって、ここに実務上の課題があります。AIの利点を得ながら、顧客のプライバシーを尊重し、信頼を保つにはどうするか。本記事は、法律論ではなく実務として答えます(個別の法的助言は専門家にご相談ください)。
AIカスタマーサービスはどんなデータを集めるのか?
結論:会話の中でお客様が提供した情報が中心で、それ以上を勝手に集めるわけではありません。具体的には、いくつかのカテゴリーに分かれます。
顧客識別情報: 氏名、電話番号、メールアドレス。リード獲得や予約の際に取得します。
注文・アカウント情報: 注文番号、予約番号、アカウント状態。注文・配送・予約の問い合わせ対応に使います。
会話の記録: お客様のメッセージとAIの応答の全文。品質確認、改善、引き継ぎの文脈共有のために保存します。
知識ベースの内容: 自社の事業情報(料金、規定、商品)。AIが回答を生成するために使います。
メタデータ: 日時、使ったチャネル(WhatsApp、Webチャット、Telegram)、会話時間、解決状況。分析と性能監視に使います。
重要な区別があります。多くの中小企業向けAIプラットフォームは、お客様が会話で提供した以上のデータを集めません。SNSのプロフィールを収集したり、閲覧履歴にアクセスしたり、外部データベースに接続したりはしません。明示的にそう設定しない限りは、です。
お客様には何を伝えるべきか?
透明性こそ、最も効果的な信頼構築策です。SurveyMonkeyの2026年データでは、AIと明示せず対応すると14%の消費者が信頼を失うとされています。
ベストプラクティス:3つの開示。
会話の冒頭で。「こんにちは。○○のAIエージェントです。△△についてお手伝いできます。それ以外はスタッフにおつなぎします。」期待値を整え、信頼の土台を作ります。
個人情報を取得するとき。「スタッフから折り返すため、お名前と電話番号をお伺いします。この情報はお問い合わせ対応のみに使用します。」目的を限定し、なぜ聞くのかをお客様が分かります。
アクセスしやすいプライバシー通知。チャットの入口やサイトから、平易なプライバシー通知へリンクします。20ページの法律文書は不要です。何を集め、なぜ、どれくらい保存し、削除をどう求められるかを明快な段落で示せば、多くの中小企業には十分です。
中小企業が押さえるべきコンプライアンスの枠組み
個人情報保護法(APPI/日本)
日本国内で事業を行い、顧客の個人情報を扱うすべての事業者に、個人情報保護法(APPI)が適用されます。AIカスタマーサービスでの実務上の要点は次の通りです。利用目的を特定し、あらかじめ明示・公表すること。目的の範囲内で利用すること。安全管理措置を講じること。本人からの開示・訂正・利用停止・削除の請求に応じること。第三者提供には原則として本人の同意を得ること。
2022年施行の改正法以降、漏えい等が発生した場合は、個人情報保護委員会への報告と本人への通知が一定の場合に義務づけられています。AIベンダーやクラウドの利用が「委託」や「第三者提供」に当たるかも、契約で確認しておきましょう。
GDPR(EU/英国)
EUや英国の顧客に対応する場合はGDPRが適用されます。AIカスタマーサービスでの実務要件は、処理の適法な根拠を特定すること(カスタマーサービスでは正当な利益が当てはまることが多い)、高リスクが見込まれる場合のデータ保護影響評価(DPIA)、AI利用の透明性、データ主体の権利(アクセス・訂正・削除)の尊重、処理活動の記録です。
中小企業向け実務チェックリスト
AIと対話していることを伝える。AIにできること・できないことを説明する。作業に必要な情報だけを聞く。健康・金融・本人確認書類などの機微情報はAIチャットで集めない。決済・本人確認データは可能な限りマスクするか別経路へ。機微な件は人につなぐ選択肢を用意する。チャット入口から平易なプライバシー通知にリンクする。削除請求への対応手順を決めておく。AIベンダーのデータ取り扱い方針を確認する。
プライバシーを重視したAIベンダーの選び方
どのプラットフォームを選ぶ前にも、次を確認してください。
顧客データはどこに保存されるか。 信頼できるベンダーは、データセンターの所在地と管轄を明示します。データ保護法は国ごとに異なるため重要です。
ベンダーは顧客データをAIモデルの学習に使うか。 中小企業向けの多くは使いません。書面で確認を取りましょう。
請求に応じて顧客データを削除できるか。 GDPRでは法的要件で、どこでも良い慣行です。アカウント単位・個別顧客単位での削除に対応すべきです。
誰が会話ログにアクセスできるか。 ベンダー内で誰がお客様の会話を見られるかを把握します。役割ベースのアクセス制御があるかを確認します。
解約後にデータはどうなるか。 退会時に顧客データが削除または返却されるべきです。書面で確認しましょう。
Omagoは、WhatsApp・Telegram・Webチャットで中小企業の顧客対応を自動化するAIエージェントプラットフォームで、プライバシー評価のためのデータ取り扱い文書を明確に提供しています。APPIへの対応が求められる日本の事業者にとって、この透明性は特に重要です。なお主要チャネルはWhatsApp・Telegram・Webウィジェットが対応済みで、LINE はまもなく対応予定です。
よくある質問
AIカスタマーサービス専用のプライバシーポリシーは必要ですか?
別文書は不要ですが、既存のプライバシー通知でAIによる対応をカバーすべきです。問い合わせがAIエージェントで対応されること、その会話で何を集めるか、人のみの対応を選べることを、短く追記してください。
AIカスタマーサービスはGDPRやAPPIに適合できますか?
はい。どちらもAIの利用自体を禁じてはおらず、透明性、適法な根拠、データ最小化、本人の権利の尊重を求めます。AIであることを開示し、必要なデータだけを集め、複雑な件は人につなぐエージェントは、両者と両立します。
顧客が削除を求めたら?
応じられる体制が必要です。AIプラットフォームが個別会話の削除と顧客データの除去に対応しているか確認してください。GDPRでは削除請求に30日以内、APPIでも利用停止・消去の請求に適切に対応する義務があります。
AIチャットで電話番号を集めても安全ですか?
折り返し連絡の目的であれば、はい。電話番号は個人情報なので、安全に保管し、明示した目的のみに使い、請求に応じて削除できるようにします。会話内で答えが完結するなら、不要に番号を集めないようにします。
学習目的で会話を記録するのは?
会話の記録をAIの知識ベース改善に使うなら、お客様に開示してください。GDPRでは改善目的の利用に別の適法根拠や同意が要る場合があります。APPIでは、取得時に特定した利用目的の範囲内で使うか、別の利用には改めて同意を得ることが原則です。
あわせて、責任あるAI運用の全体像は中小企業のためのAIガバナンスガイドで解説しています。
出典: Twilio「Inside the Conversational AI Revolution」(2025)、Salesforce「State of the AI Connected Customer」(2024)、SurveyMonkey「Customer Service Trends」(2026)、BCG Consumer Trust Research、UK ICO AI Guidance、個人情報保護委員会(APPI ガイドライン)。