ラオスではスマートフォンの急速な普及に伴い、AIツールの利用が日常化しつつある。ChatGPTやClaudeなどの生成AIを使って文章作成、翻訳、情報検索を行うユーザーが増えているが、入力した情報がどのように処理・保存されるかを意識している人は多くない。

ラオスは2017年に「電子データ保護法（ກົດໝາຍວ່າດ້ວຍການປົກປ້ອງຂໍ້ມູນເອເລັກໂຕຣນິກ）」を施行し、個人データの収集・利用・保管に関する基本的な法的枠組みを整備した。また2015年には「サイバー犯罪防止法（ກົດໝາຍວ່າດ້ວຍການຕ້ານອາຊະຍາກຳທາງຄອມພິວເຕີ）」も制定されている。しかし法律の存在と、ユーザーの日常的なデータ保護意識には大きなギャップがある。

チャットAIに「この症状は何の病気？」と医療情報を入力したり、BCEL Oneの取引明細をスクリーンショットで送って「家計分析して」と依頼したりするケースは珍しくない。問題は、多くのラオスのユーザーがこうしたリスクを認識しないままAIを使っていることだ。

ラオスで利用される主要なAIサービスは、そのほとんどがデータを国外（米国、シンガポール等）のサーバーで処理・保存している。つまりラオス国内法だけでは保護が及ばない領域にデータが流出する可能性がある。

本記事では、ラオス在住のユーザーがAIツールを安全に使うために知っておくべき個人情報保護のポイントを、ラオスの法制度と国際的なベストプラクティスに基づいて整理する。高度なセキュリティ知識は不要だ。「入力する前に一瞬考える」という習慣を身につけるだけで、リスクは大幅に軽減できる。

AIサービスごとにデータの保存・利用・プライバシー管理のポリシーは大きく異なる。 「AIだから危険」でも「AIだから安全」でもなく、サービスごとに確認が必要だ。

たとえば、あるチャットAIは入力内容をモデルの学習に使用するが、設定でオプトアウトできる。別のサービスは入力データを一切保存しないと明言している。同じサービスでも、企業向けプランと個人向け無料プランでデータの扱いが異なるケースが多い。

ラオスのユーザーが特に注意すべき点は、データの所在地だ。 ラオス国内にサーバーを持つAIサービスはほぼ存在しない。入力したデータは米国、EU、シンガポールなど海外のサーバーに送信される。ラオスの電子データ保護法は国内でのデータ処理を規定しているが、海外サーバーに保存されたデータへの法的保護は限定的だ。

ASEAN のデジタルデータガバナンス枠組み（ASEAN Framework on Digital Data Governance）は、越境データ移転に関する原則を定めているが、強制力は各国の国内法に委ねられている。ラオスのユーザーは、自分のデータが国境を越えて処理されるという前提でAIを利用する必要がある。

新しいAIツールを使い始める前に、以下のポイントを確認する習慣をつけるとよい。

• データ保存ポリシー: 入力した内容はどのくらいの期間保存されるか？削除リクエストは可能か？
• 学習への利用: 自分の入力がAIモデルの学習データとして使われるか？オプトアウトできるか？
• 第三者共有: データがサードパーティに共有される条件は何か？広告目的の共有はあるか？
• 履歴管理: チャット履歴の保存・削除を自分でコントロールできるか？
• データの所在地: データがどの国のサーバーに保存されるか？ラオス国外に送信される場合、その国のプライバシー法は十分か？

プライバシーポリシーを全文読む必要はない。「データの収集と利用」セクションだけでも目を通せば、そのサービスが自分のデータをどう扱うかの大枠は把握できる。初回利用時に5分かけるだけで、以後のリスクを継続的に低減できる。

判断基準はシンプルだ。その情報が漏洩した場合に実害が生じるなら、AIに入力すべきではない。 ラオスの文脈で特に注意が必要な情報を整理する。

ラオスでは銀行のモバイルアプリ（BCEL One、JDB Mobile等）の利用が急増しており、取引画面のスクリーンショットをAIに送って「出費を分析して」と依頼するケースが見受けられる。しかし、そのスクリーンショットには口座番号、残高、取引先情報が含まれている。

見落としがちなのは「他人の情報」だ。WhatsAppやLINEのグループチャットのスクリーンショット、同僚のメールアドレス、友人の電話番号——自分の判断で他人の個人情報をAIに入力してしまうケースがある。ラオスの電子データ保護法でも、本人の同意なく第三者の個人データを処理することは原則として禁止されている。

安全な使い方の原則は、「このデータがもし公開されたら困るか？」と自問することだ。答えが「はい」なら、入力を避けるか、次のセクションで紹介する匿名化の手法を使うべきだ。

最も安全な前提は、「AIに入力したすべての情報が100%プライベートに保たれるとは限らない」と考えることだ。 ラオスで利用可能なAIサービスはすべて海外サーバーでデータを処理しているため、この前提はなおさら重要になる。

具体的には、以下の3つの習慣を身につけるとよい。

1. 必要最小限の情報だけを入力する

AIに質問する際、背景情報をすべて入力する必要はない。たとえば「この契約書の法的リスクを教えて」と聞きたい場合、契約書全文をコピーするのではなく、リスクが気になる条項だけを抜き出して質問する方が安全だ。「この条項の一般的な法的リスクは？」と聞けば、具体的な契約相手の名前や金額を含めなくても有用な回答が得られる。

2. プレースホルダー（仮名）を使う

実名や実際の番号の代わりに、[氏名]、[口座番号]、[会社名]、[日付] などのプレースホルダーを使う。AIは文脈から意味を理解するため、具体的な個人情報がなくても多くの場合は適切な回答を返せる。

ラオスの実務で起きがちな例を挙げる。

このように、AIが回答するために個人を特定する必要がない質問は多い。

3. 送信前に個人を特定できる情報を削除する

ファイルやメッセージをAIに送る前に、個人を特定できる情報（PII: Personally Identifiable Information）が含まれていないかを確認する。ラオスではWhatsAppやLINEのメッセージをコピーしてAIに分析を依頼するケースがあるが、メッセージをまるごとコピーすると送信者の電話番号、プロフィール名、グループメンバーの情報が含まれる。「本文だけを抜き出して貼り付ける」一手間が、自分と他者の情報を守る。

この3つの習慣は技術的な知識を必要としない。「入力する前に一瞬立ち止まる」だけで、個人情報のリスクを大幅に減らせる。

リスクがあるのはテキスト入力だけではない。スクリーンショットやファイルには、意図せず個人情報が含まれていることが多い。 画像認識やOCR機能を持つAIツールにファイルをアップロードする場合、テキスト入力以上に注意が必要だ。

ラオスのユーザーがアップロードしがちなスクリーンショットに含まれる個人情報は以下の通りだ。

• 銀行アプリの画面: BCEL One、JDB Mobile、LDB Mobileなどの取引履歴には口座番号、残高、送金先情報が表示される
• LaoQR決済の画面: 店舗名、取引金額、QRコードに個人のアカウント情報がエンコードされている場合がある
• WhatsApp / LINE のチャット画面: 自分だけでなく、グループメンバーの電話番号、プロフィール名、メッセージ内容が写り込む
• 配車アプリ（LOCA等）の画面: ピックアップ位置、目的地、運賃など行動パターンが含まれる
• メールアプリの画面: 通知バーやヘッダーにメールアドレス、連絡先が表示される
• 公的書類の写真: IDカード、パスポート、事業許可証、土地権利証書の写真

ラオスの電子データ保護法は、データ管理者に対して個人データの安全管理措置を義務付けている。ユーザー自身がAIにデータをアップロードする行為は自己責任だが、そこに他者の情報が含まれている場合は法的リスクが生じる。

アップロード前に実践すべき対策は以下だ。

• トリミング（クロップ）: 必要な部分だけを切り取り、周囲の情報を除外する
• ぼかし（ブラー）処理: 名前、番号、顔写真など特定可能な情報をぼかす。スマートフォンの標準的な画像編集機能（iOSの「マークアップ」、Androidの「フォトエディタ」）で対応可能だ
• メタデータの削除: 写真ファイルにはGPS座標や撮影日時などのEXIF情報が含まれる。ビエンチャン市内で撮影した写真の位置情報から自宅や職場が特定されるリスクがある
• ファイル内容の事前確認: PDFやExcelファイルには、コメント、変更履歴、非表示シートに個人情報が残っていることがある

「画面をそのままスクリーンショットして送る」という何気ない行為が、自分だけでなく他人の個人情報も漏洩させるリスクがあることを意識しておきたい。

個人情報のリスクはAI技術そのものだけでなく、AIを名乗るサービス提供者の信頼性にも起因する。 ラオスでは正規のアプリストア以外からアプリをダウンロードするユーザーも多く、「AI搭載」を謳う不正アプリのリスクが相対的に高い。

ラオスのユーザーが特に注意すべきパターンを整理する。

信頼できるサービスの見分け方

• 提供元が明確か: 開発会社の所在地、連絡先、実績が確認できるか。FacebookやTelegramで共有される「無料AIツール」のAPKファイルは特に危険だ
• プライバシーポリシーが存在するか: ポリシーがない、またはあっても極端に短い・曖昧な場合はリスクが高い
• 要求される権限が妥当か: AIチャットアプリが連絡先、写真ライブラリ、SMSへのアクセスを求める場合、その理由は正当か？テキスト処理だけのツールにSMS読み取り権限は不要なはずだ
• 公式ストアからダウンロードしているか: Google Play Store・Apple App Store以外からのインストール（サイドローディング）は避ける

ラオスで特に警戒すべきパターン

• 「完全無料でGPT以上の性能」など、現実離れした宣伝文句——FacebookやTikTokの広告で拡散されることが多い
• Telegram やFacebookグループで共有されるAPKファイル——マルウェアが仕込まれている可能性がある
• ラオス語対応を売りにしているが、実態はユーザーデータを収集するだけのアプリ
• インストール時にSMS、連絡先、通話履歴などの不要な権限を一括で要求する
• BCEL OneやLaoQRと連携すると称して、金融情報へのアクセスを求めるアプリ

大手のAIサービス（ChatGPT、Claude、Geminiなど）を使う場合でも、公式サイトや公式アプリストアからアクセスしていることを確認する。ラオスではフィッシングサイトがSNSで共有されるケースも報告されており、URLを注意深く確認する習慣が重要だ。

ラオスのサイバー犯罪防止法は、不正なデータ収集やフィッシング行為を処罰の対象としている。被害に遭った場合は、技術通信省（MoTC）やラオスCERTに報告することができる。

個人利用に加えて、ラオスで事業を営む企業や個人事業主がAIを使う場合、扱うデータの範囲が「自分の情報」から「顧客や取引先の情報」に広がる。 この場合、個人情報保護の責任はより重くなる。

ラオスで業務上扱う以下の情報は、AIツールに安易に入力すべきではない。

• 顧客リスト: 名前、連絡先、取引履歴——ラオスの中小企業ではExcelやGoogleスプレッドシートで顧客管理している場合が多く、そのままAIに送ってしまいがちだ
• 価格・見積もり情報: 競合に知られると不利益になる。ラオスの市場規模は小さく、業界内の情報伝播が速い
• 契約書・NDA: 守秘義務の対象となる文書。特に外資系企業との契約書にはAIツールでの処理を禁止する条項が含まれている場合がある
• 従業員情報: 給与、評価、パスポート情報、労働許可証番号——ラオスの労働法でも従業員の個人データ保護は雇用者の義務とされている
• 税務書類: 法人税申告書、VAT申告書、税務局（ກົມສ່ວຍສາອາກອນ）への提出書類

特にラオスで増加している外資系企業の現地法人やフリーランスの場合、「個人のツールで顧客のデータを処理する」という状況が日常的に発生する。クライアントとのNDAにAIツールの利用に関する条項がない場合でも、顧客の機密情報を第三者のAIサービスに入力することは信頼関係を損なうリスクがある。

業務利用時の安全な運用ルールは以下の通りだ。

1. AIに入力する前にデータの機密レベルを確認する: 「この情報は社外に出してよいか」を基準に判断する
2. 個人を特定できる情報を匿名化する: 前述のプレースホルダー手法を徹底する
3. 企業向けプランを利用する: 多くのAIサービスは、企業向けプランではデータを学習に使用しない保証を提供している
4. 社内ポリシーを策定する: ラオスではAI利用ガイドラインを整備している企業はまだ少ないが、最低限「AIに入力してよい情報」と「入力してはいけない情報」を明文化しておくことが推奨される

ラオスの電子データ保護法は、データ管理者（企業を含む）に対して、個人データの処理に際して適切な安全管理措置を講じることを義務付けている。AIツールへのデータ入力もこの義務の対象となり得る。

AIを安全に使うために、今日から実践できる5つの習慣を紹介する。 いずれも技術的な知識は不要で、意識するだけで個人情報のリスクを大幅に軽減できる。

1. 本当に必要な情報だけを入力する

AIに質問する際、「念のため」と背景情報をすべて入力するのは避ける。質問の核心に必要な情報だけを絞り込んで入力する。たとえば「このラオス語の契約書を確認して」と依頼する場合、リスクが気になる条項だけを抜き出して質問する方が安全だ。契約相手の社名や金額を含める必要はない。

2. 実名・実番号の代わりにプレースホルダーを使う

[氏名]、[口座番号]、[日付]、[会社名] などのプレースホルダーに置き換える。AIは文脈を理解して処理するため、ほとんどの場合これで十分な回答が得られる。BCEL Oneの口座番号やIDカード番号を入力する代わりに [口座番号] と書くだけでよい。

3. スクリーンショットはトリミング・ぼかし処理してからアップロードする

BCEL OneやLaoQRの画面をAIに送る場合、口座番号や残高が映っている部分は必ずぼかす。WhatsAppやLINEのチャット画面も、他のメンバーの名前や電話番号が写っている場合はトリミングする。スマートフォンの標準的な画像編集機能で十分に対応できる。

4. プライバシー設定と履歴設定を確認する

AIサービスを使い始める前に、設定画面で以下を確認する。

• チャット履歴の保存がオンになっているか（不要ならオフにする）
• データをモデルの学習に使用するオプションがあるか（オプトアウトできるか）
• 過去のデータを削除するオプションがあるか

多くのサービスでは、設定画面から数クリックでこれらを調整できる。初回利用時に5分かけて設定するだけで、以後のリスクを継続的に低減できる。

5. 金融・法律・医療に関する判断はAIに委ねない

AIは情報の整理や下調べには有用だが、重要な判断を代替するものではない。「この土地の売買契約にサインして問題ないか」「この症状は何の病気か」「この投資案件は信頼できるか」——こうした判断は、AIの出力を参考にしつつも、必ず専門家（弁護士、医師、公認会計士）に確認すべきだ。ラオスでは法制度や商慣習に独自の特徴があり、AIが学習している一般的な回答がラオスの状況に当てはまらないケースも多い。

AIは日常業務から個人的な相談まで幅広く活用できるツールだが、ラオスのユーザーには「入力する情報を選ぶ」という責任がある。特にラオスでは、AIサービスのデータがすべて国外サーバーで処理されるため、一度入力した情報の管理が難しいという構造的な課題がある。

本記事で紹介した対策を改めて整理する。

• AIサービスごとにプライバシーポリシーを確認する: すべてのAIが同じようにデータを扱うわけではない。特にデータの保存先がどの国かを確認し、ラオス国外にデータが送信される前提で利用する
• 漏洩したら困る情報はAIに入力しない: 国民IDカード番号、銀行口座番号（BCEL・LDB等）、パスワード、医療情報、土地権利証書の情報は原則として入力を避ける
• プレースホルダーを使い、必要最小限の情報だけを渡す: [氏名]、[口座番号] などに置き換えるだけで、AIは文脈を理解して回答できる
• スクリーンショットやファイルは事前にトリミング・匿名化する: BCEL OneやWhatsAppの画面には自分や他人の個人情報が含まれている。メタデータの削除も有効だ
• 偽AIアプリや誇大広告に注意する: FacebookやTelegramで共有されるAPKファイルは避ける。公式ストアからのみダウンロードし、不要な権限要求は拒否する。被害時はMoTCやラオスCERTに報告する
• 業務利用時は顧客データの保護を最優先にする: ラオスの電子データ保護法に基づき、顧客の機密情報は匿名化して扱う。企業向けプランの利用や社内ポリシーの策定も検討する
• 金融・法律・医療の判断はAIに委ねない: ラオスの法制度や商慣習は独自性が高く、AIの一般的な回答が当てはまらない場合がある。重要な判断は必ず専門家に確認する

AIの利便性を最大限に活かしながらプライバシーを守るために必要なのは、高度な技術知識ではない。「入力する前に一瞬立ち止まって、この情報が漏れたら困るかを考える」——この一瞬の判断が、自分と周囲の人の個人情報を守る最大の防御線になる。

ラオスでのAI利用時の個人情報保護に関するよくある質問をまとめた。

ラオス国内にサーバーを持つ主要AIサービスは現時点では存在しない。ChatGPT（OpenAI）は米国、Claude（Anthropic）は米国、Gemini（Google）は米国を中心とするグローバルインフラでデータを処理している。

つまり、ラオスからAIにデータを入力した時点で、そのデータはラオス国外に送信される。ラオスの電子データ保護法は国内でのデータ処理を規定しているが、海外サーバーに保存されたデータに対する法的執行力は限定的だ。

多くの大手サービスでは、チャット履歴の保存や学習利用に関するオプトアウト設定を提供している。まずは利用中のサービスの設定画面を確認し、自分のデータがどう扱われているかを把握することが第一歩だ。不安な場合は過去のチャット履歴を手動で削除することも検討するとよい。

将来的にはASEAN域内でのデータローカライゼーション要件が強化される可能性があるが、現時点ではユーザー自身の自衛が最も重要な対策となる。

最もリスクが高いのは、漏洩した場合に直接的な金銭被害やなりすましにつながる情報だ。ラオスの文脈では以下が特に該当する。

• 国民IDカード番号（ເລກບັດປະຈໍາຕົວ）: ラオスでは銀行口座開設、SIMカード購入、公的手続きにIDカードが必須であり、番号が漏洩するとなりすましに悪用されるリスクが高い
• 銀行口座情報: BCEL、LDB、JDB等の口座番号とOTP——ラオスではモバイルバンキングの利用が急増しており、不正アクセスの標的になりやすい
• パスワード・PINコード: BCEL OneのPIN、メールのパスワード、SNSのログイン情報——アカウント乗っ取りの原因になる
• 土地権利証書（ໃບຕາດິນ）の情報: ラオスでは不動産が主要な資産であり、土地証書の情報漏洩は深刻な財産リスクにつながる
• 医療情報: 診断結果、処方内容——プライバシー侵害に加え、保険や雇用での差別につながる可能性がある

加えて、業務で扱う顧客情報も高リスクに分類される。ラオスの電子データ保護法では、個人データの不正な開示や処理に対して罰則が定められている。自分の情報だけでなく、他者の情報を漏洩させた場合は法的責任を問われる可能性がある。

原則として、銀行アプリのスクリーンショットをそのままAIにアップロードすべきではない。BCEL One、JDB Mobile、LDB Mobileなどの画面には以下の情報が含まれている。

• 口座番号（全桁または一部）
• 残高
• 送金先の口座番号・氏名
• 取引日時・金額
• QRコード（アカウント情報がエンコードされている場合がある）

どうしてもAIに家計分析や取引分類を依頼したい場合は、以下の手順で匿名化する。

1. トリミング: 口座番号、残高、アプリのヘッダー部分を切り取る
2. ぼかし処理: 送金先の氏名、口座番号にぼかしをかける。スマートフォンの標準的な画像編集ツール（iOSの「マークアップ」、Androidの「フォトエディタ」）で対応可能だ
3. テキスト化: スクリーンショットを使わず、取引データを手動でテキストに起こす方がさらに安全だ。「食費 50,000 LAK」「通信費 200,000 LAK」のように、個人を特定できない形式でAIに渡す

LaoQR決済の画面についても同様の注意が必要だ。QRコードには店舗や個人のアカウント情報が含まれていることがあり、AIの画像認識機能がこれを読み取る可能性がある。

• ラオス電子データ保護法（2017年）「ກົດໝາຍວ່າດ້ວຍການປົກປ້ອງຂໍ້ມູນເອເລັກໂຕຣນິກ」
• ラオスサイバー犯罪防止法（2015年）「ກົດໝາຍວ່າດ້ວຍການຕ້ານອາຊະຍາກຳທາງຄອມພິວເຕີ」
• ラオス技術通信省（MoTC / ກະຊວງເຕັກໂນໂລຊີ ແລະ ການສື່ສານ）
• ASEAN「Framework on Digital Data Governance」
• NIST「Cybersecurity, Privacy, and AI」
• NIST「AI RMF Generative AI Profile（AI 600-1）」