プレビュー環境のため、すべての決済はテストモードで実行されます。

DEV PARTNERS

AI開発パートナー

検証済みのAI受託開発会社から、要件に合う3〜6社を比較・打診できます。迷ったらAI発注診断かコンシェルジュ相談からどうぞ。

開発パートナーへ戻る
Partner articleAI開発会社ガイドBest-of-N: Composer2026/7/9

PoC終了時のデータ削除証明を回収するチェック手順

AI開発のPoCでベンダーに渡したデータを、終了時に確実に削除させ、削除証明書を回収するための契約条項・削除範囲の特定・証明書の要件を実務手順として解説します。

データの保管場所を棚卸しして消去確認へ進む文字なしのデータ管理図解
Image: AllAI editorial image

結論

PoCは気軽に始まる分、終わり方が雑になります。検証のためにベンダーへ渡した顧客データ・業務データが、PoC終了後もベンダーの検証環境、開発者の手元PC、クラウドストレージ、バックアップに残り続けるのは、意図的な不正ではなく「削除のタスク化がされていない」ことが原因です。対策は3点です。PoC契約(またはNDA)に終了時の削除義務と証明書提出を書くこと、削除の前に「データがどこに複製されたか」の保管場所棚卸しをベンダーに提出させること、削除証明書には対象・方法・日付・責任者署名の4要件を満たさせることです。

データ削除証明とは何か

データ削除証明とは、受託者が預かったデータについて、削除の対象範囲、削除方法、実施日、実施責任者を記載してベンダーが発行する書面のことです。法的には、個人データの取扱いを委託した場合、委託元は委託先に対する監督義務(個人情報保護法25条)を負っており、契約終了時のデータ返却・消去の確認はこの監督の一部です。個人情報保護委員会のガイドラインも、委託契約に利用範囲や返却・消去の条項を盛り込むことを安全管理措置の内容として挙げています。

個人データを含まないPoCでも、営業秘密・技術情報の管理として同じ運用が必要です。不正競争防止法上の営業秘密として保護を受けるには秘密管理性が要件になるため、渡した先での消去確認は自社の秘密管理体制の一部になります。

削除の前に: 保管場所の棚卸し

削除証明の実効性は、削除の前工程である「複製先の特定」で決まります。PoC期間中、データは想定より多くの場所へ複製されます。証明書の回収前に、ベンダーへ保管場所棚卸し表の提出を求めてください。

保管場所の類型見落とされやすい例
検証環境オブジェクトストレージ、検証DB、ベクトルDB(埋め込み済みデータ)
派生データ前処理済みデータ、アノテーション結果、評価用の抜粋、ログに残った入力
個人端末開発者のローカル環境、ノートブック、一時ファイル
共有ツールチャットに貼られた抜粋、課題管理ツールの添付、社内Wiki
バックアップ環境スナップショット、自動バックアップの世代
再委託先アノテーション外注先、検証支援の協力会社

AI特有の論点として、ベクトルDBの埋め込み(元テキストが復元可能な形で残る)と、PoC中にデータで微調整したモデル(重みにデータの情報が反映されている)の扱いがあります。微調整済みモデルを「削除するか、発注側へ引き渡すか、ベンダーが保持するか」は削除とは別の権利問題として、PoC契約時に決めておくべき項目です。

証明書の4要件と受入基準

回収する証明書は、次の4要件を満たすかで受け入れを判定します。第一に対象の特定: 棚卸し表の全行に対応し、「お預かりしたデータ一式」という包括表現でないこと。第二に方法の明記: 論理削除かストレージの暗号化消去か、バックアップは世代切れ待ちか即時消去か。第三に日付: 実施日と、バックアップ世代切れのような遅延消去の完了予定日。第四に責任者: 担当者ではなく、ベンダーの管理責任者の記名(可能なら役職者)です。

バックアップからの即時個別削除は技術的に困難なことが多く、「バックアップは保持期間経過により自動消滅、期間中は復元しない」という誓約で代替するのが実務的な落とし所です。この場合、保持期間の長さ(30-90日が一般的)と復元禁止の誓約文言を証明書に含めてください。

契約条項の入れ方とタイミング

削除義務は、PoC終了時に交渉するのではなく、PoC開始前の契約・NDAに入れます。条項の要素は、終了・中途解約時のデータ返却または消去義務、消去の期限(終了後30日以内など)、証明書の提出義務、再委託先への同等義務の課し方(フローダウン)、発注側の監査権(必要時に消去状況を確認できる)の5点です。

PoCから本開発へ進む場合は、削除ではなくデータの引き継ぎになりますが、この場合も「PoC環境の閉鎖と本開発環境への移設」を確認イベントとして設定し、PoC中に散らばった複製の掃除は同じ手順で行ってください。本開発に進むからと放置されたPoC環境は、アクセス管理が緩いまま実データを抱える典型的なリスク箇所です。

回収後の社内処理

証明書を回収したら、PoC管理台帳(案件名、提供データの内訳、提供日、削除期限、証明書回収日)に記録し、個人データを含む案件は委託先監督の記録として保管します。削除期限を過ぎても証明書が来ない場合の督促は、期限翌週に1回目、2週間後に管理職名義で2回目、というエスカレーションを型にしておくと放置されません。複数のPoCを並行する企業では、この台帳がないと「どのベンダーに何を渡したか」自体が分からなくなります。

実務チェックリスト

  • PoC契約・NDAに削除義務・期限・証明書提出・再委託フローダウン・監査権を入れたか
  • 削除前に保管場所棚卸し表を提出させたか
  • ベクトルDBの埋め込みと微調整済みモデルの扱いを決めたか
  • 証明書が対象特定・方法・日付・責任者の4要件を満たすか確認したか
  • バックアップの遅延消去の完了予定日と復元禁止誓約を確認したか
  • 本開発へ進む場合もPoC環境の閉鎖確認を行ったか
  • PoC管理台帳に提供データと証明書回収を記録したか
  • 未回収時の督促エスカレーションを決めたか

図解で確認するポイント

この記事の画像は、複数の保管場所に散らばったデータが棚卸しで特定され、消去の確認を経て記録に収束する流れを文字なしで図解しています。削除は1箇所の作業ではなく、複製先の特定から始まる工程であることを示しています。

AllAI内での次の行動

PoC開始前の要件整理はAI開発PoCのRFP作成ガイド、PoC後の本番化判断はPoC成功基準と本番移行ゲートの設計ガイドが前後のテーマです。ベンダーのセキュリティ体制の事前確認はベンダーセキュリティ質問票ガイドを使ってください。これからPoCを発注する場合はAI発注診断でデータ提供の範囲から整理し、AI開発パートナーでデータ管理体制を比較できます。

FAQ

Q. 削除証明書に法的な効力はありますか? A. 証明書自体は事実の表明ですが、契約に削除義務と証明書提出義務を定めておけば、虚偽の証明は債務不履行・損害賠償の根拠になります。また委託元としての監督義務を果たした記録として、漏えい事故時の自社の説明責任を支えます。

Q. ベンダーが「学習済みモデルにデータの痕跡が残るので完全削除は不可能」と言ってきたら? A. 微調整済みモデルの扱いは削除義務とは別に合意すべき項目です。選択肢は、モデルごと削除、発注側への引き渡し、匿名化・汎化の確認の上でベンダー保持の3つで、PoC契約時に決めるのが原則です。事後なら、モデルの用途制限(他社案件への転用禁止)を書面で取ってください。

Q. 無償PoCや営業段階のデモでも証明書は必要ですか? A. 実データを渡したなら必要です。無償・営業段階ほど契約が軽く、データ管理の穴になりやすいため、実データ提供の時点でNDAに削除条項があるかを確認し、なければデータ提供前に覚書を結んでください。ダミーデータで済むなら実データを渡さないのが最善です。

Q. 削除の実施を実地で確認できますか? A. 契約に監査権があれば、リモートでの画面確認や管理コンソールのログ提示を求められます。全件の実地確認は現実的でないため、重要案件に絞ってサンプル確認を行い、通常案件は証明書+棚卸し表で受け入れる二段構えが実務的です。

出典と確認日

Related

関連する記事・ガイド

JAEN