結論: 2026年7月8日より、AnthropicはClaude消費者向けプラン(Free/Pro/Max)ユーザーに対し、第三者ベンダー「Persona」経由で政府発行ID・顔写真・顔ジオメトリの収集が可能な本人確認を導入します。法人のAPI・Team・Enterprise利用は対象外。ただし、従業員が個人アカウントでClaudeを業務利用している場合は検討が必要です。
この記事の要点:
- 対象: Claude Free/Pro/Max(個人消費者向けプランのみ)。API・Team・Enterprise・Platformは免除
- 収集データ: 政府発行ID画像・顔写真または動画・顔ジオメトリ(biometric data)。Personaサーバーに保存(Anthropicのシステムには非保存)
- 情シスの判断事項: 従業員の個人アカウント利用ポリシーの見直し、法人契約への一本化、社内向け説明文の準備
対象読者: 企業の情シス担当・総務担当・AI推進担当者
読了後にできること: 7/8前に確認すべきポリシー判断チェックリストの活用と、社内向け説明テンプレートのコピペ即使用
「え、Claudeにパスポートをスキャンさせるってどういうこと?」
先日、ある企業の情シス担当者からこんな問い合わせが来ました。社員が使っているClaude ProアカウントでAnthropicから「本人確認が必要です」という通知が届いて、どう対処すればいいか分からないというんです。
こういう問い合わせが増えてくるのは7月8日以降でしょう。Anthropicが新しいプライバシーポリシーの施行日として設定している日付です。私自身、100社以上のAI研修・導入支援をしてきましたが、こうした「AI基盤ベンダーのポリシー変更が突然来て現場が混乱する」パターンは繰り返されています。今回は早めに状況を整理しておきましょう。
この記事では、Anthropicの本人確認の仕組み・対象範囲・収集データを正確に整理し、法人が7月8日までに判断すべきことを具体的に解説します。社内向けの説明テンプレート(コピペ可能)も5つ用意しましたので、ぜひそのまま使ってください。
Anthropic本人確認の全体像|何が変わるのか
まず事実関係を整理します。2026年6月に改定されたAnthropicのプライバシーポリシーに、本人確認(Identity Verification)に関する新しいセクションが追加されました。施行日は2026年7月8日です。
本人確認が導入された背景
Anthropicは「詐欺防止・不正利用対策・コンプライアンス強化」を目的として掲げています。実際、4月14日からすでに限定的な形でPersonaによる本人確認テストを開始しており(「a few use cases」と表現)、7月8日はそれを正式ポリシーとして明文化する日です。
もう一つの背景として、Fable 5をめぐる輸出規制の問題があります。Fable 5は6月9日に公開された直後、6月12日に米国政府の輸出規制指令によって全世界で一時停止されました。これはAnthropicが米国国籍を持つユーザーとそうでないユーザーをリアルタイムで識別できなかったことが根本的な原因とされています。本人確認の仕組みは、こうした「国籍・身元の確認が必要な機能へのアクセス制御」を可能にする基盤としても機能することが示唆されています(ただしFable 5は6月30日に規制が解除され、7月1日から復旧済みです)。
誰が対象なのか
| プラン | 対象 | 備考 |
|---|---|---|
| Claude Free | 対象 | 消費者向け無料プラン |
| Claude Pro | 対象 | 月額課金の個人プラン |
| Claude Max | 対象 | より高容量の個人プラン |
| Team | 対象外 | Commercial Terms適用 |
| Enterprise | 対象外 | Commercial Terms適用 |
| API(Claude Platform) | 対象外 | APIキー認証のみ |
つまり、法人向けの正規ルートを使っている場合は今回の本人確認の対象ではありません。問題になるのは、従業員が個人のFree/Pro/MaxアカウントでClaudeを業務利用しているケースです。
AIガバナンスの観点から企業のAI利用方針を整理するには、AI導入戦略・完全ガイドも参考にしてください。
いつ・どのタイミングで求められるのか
Anthropicの公式ヘルプセンター(Identity verification on Claude)によると、以下のタイミングで確認プロンプトが表示される可能性があります。
- 特定の機能にアクセスしようとしたとき
- プラットフォームの整合性チェックの一環として
- 安全・コンプライアンス対策の一部として
すべてのユーザーに一律で求められるわけではありません。どのような条件で誰にトリガーされるかの詳細は現時点で公開されていません。Anthropicは「すべてのClaudeユーザーが本人確認を求められるわけではない」と明示しており、まず疑われる行動パターン・フラグが立ったアカウントから展開されるとみられています。
収集されるデータの詳細|どこに保存されるのか
ここは法人の情報管理の観点で重要なポイントです。収集されるデータを正確に理解しておきましょう。
Personaが収集するデータの3種類
1. 政府発行の写真付き身分証明書
パスポート、運転免許証など。証明書上に印刷された氏名・生年月日・ID番号を含む個人情報全体が対象です。
2. 顔写真または動画(ライブセルフィー)
その場での撮影が必要です。事前に用意した写真の提出とは異なります。
3. 顔ジオメトリ(facial geometry templates)
Anthropicはプライバシーポリシー内で「一部の法域では生体情報(biometric data)とみなされる場合がある」と明記しています。米国イリノイ州のBIPA(生体情報プライバシー法)はこの種のデータに対して書面による同意と保持期間の開示を義務付けていますが、現時点のAnthropicポリシーにはデータ保持期間の明示がない点が指摘されています。
データはどこに保存されるのか
Anthropicの公式説明によると:
「身分証とセルフィーのデータはPersonaが収集・保管します。AnthropicのシステムにはコピーされずAnthropicはPersonaのプラットフォームを通じて必要時(異議申し立てのレビューなど)に確認記録にアクセスできます。」
つまりデータの保管先はAnthropic(カリフォルニア州)ではなく、第三者ベンダーのPersona Identitiesです。Personaはサンフランシスコに拠点を置くIDベリフィケーション企業で、Founders Fund(ピーター・ティール共同創業者)が出資しています。
Personaの契約上の制限として、データはベリフィケーション目的と不正防止の改善にのみ利用可能とされており、マーケティングや広告目的での第三者への提供はできないとされています。また、Anthropicは「検証データを自社のモデル学習には使用しない」と明言しています。
なお、年齢確認については別のベンダー「Yoti」が担当し、Yotiは確認完了後すぐに提出書類・セルフィーを削除するとされています(本人確認のPersonaとは別サービス)。
GDPR・個人情報保護法との関係
プライバシーの専門家からは、いくつかの懸念が指摘されています。
GDPRの観点からは、「同意を選択する場合」と記述しながら拒否した場合の処遇(アカウント停止の可能性)を明示しないのは、真の「インフォームド・コンセント」といえるかどうかという問題があります。GDPR上、同意は「拒否しても不利益がない」場合にのみ有効とされます。
日本の個人情報保護法(改正APPI)との関係については、Anthropicの公式情報では現時点で日本固有の言及はありません。ただし、顔ジオメトリのような生体情報は日本法でも「要配慮個人情報」に該当する可能性があります。企業として従業員のこうしたデータが海外ベンダーに提供されることへのリスク評価は個別に行う必要があります。
拒否したらどうなるのか|現時点で確認できること・できないこと
ここは「確定事項」と「未確定事項」を明確に分けて説明します。
確定している事項
- 本人確認が求められるのは「特定の機能・状況」に限定される(全ユーザー一律ではない)
- 確認に複数回失敗した場合は、サポートフォームから問い合わせできる
- API/Team/Enterprise利用者は対象外
現時点で未確定・非公開の事項
- 拒否した場合の具体的な処遇(アカウント制限の範囲・期間)
- 何がトリガーになるか(どのような行動・使用パターンが対象になるか)
- データの具体的な保持期間
- 日本ユーザーへの展開タイミング
複数の海外メディアの報道をまとめると、拒否した場合は機能へのアクセスが制限されるか、最悪の場合アカウントが停止される可能性が指摘されています。ただしAnthropicがこれを公式に確認したわけではありません。
法人・情シスが7月8日までに確認すべき5つの判断事項
ここからが実務的な話です。「うちの会社は何を決めなければならないか」を整理しました。
判断1: 従業員の個人アカウント利用状況の把握
まず現状把握です。「うちはEnterprise契約があるから関係ない」と思っていても、従業員が個人のPro/Freeアカウントを並行して業務利用しているケースは少なくありません。
実際、ある企業の情シス担当者から聞いた話ですが、Enterprise契約がありながら「Enterprise版のClaude Codeが使いにくい」という理由で個人ProアカウントにAPIキーを紐付けて使っているエンジニアがいた、ということがありました。こういうシャドーAI的な利用が今回の本人確認問題の盲点になります。
アクション: IT資産管理ツールや自己申告で、社員の個人Claude利用実態を確認する。
判断2: 個人アカウント利用の業務利用を禁止するか、許容条件を設けるか
「禁止」か「許容(条件付き)」かを明確に決めるタイミングです。
禁止する場合のメリットは、今回のような個人情報提供リスクを企業として統制できること。デメリットは、使い慣れたツールを取り上げることで現場の生産性が落ちる可能性です。
許容する場合でも「業務データを入力するな」「機密情報は扱うな」という最低限のルールを文書化しておくことが重要です。
判断3: 法人契約(Team/Enterprise/API)への一本化を検討する
本人確認の問題を根本から回避するには、法人契約への一本化が最もシンプルな答えです。
- Teamプラン: 1ユーザーあたり月額$25。ビジネスデータのトレーニング利用除外、管理コンソール付き
- Enterpriseプラン: 価格は要見積り。SSO(シングルサインオン)、ガバナンスコントロール、高度なセキュリティ機能
- Claude API: 使った分だけ課金。開発チームや自社サービスへの組み込みに最適
法人契約はCommercial Termsが適用され、今回の本人確認対象から除外されています。予算感と利用規模に応じて検討を進めてください。
判断4: 「本人確認を求められた場合」の対応方針を決める
「従業員が本人確認の通知を受け取ったらどうするか」を事前に決めておくことが重要です。
- 情報システム部門へ報告させる
- 個人アカウントでの業務利用を中止し、法人契約に切り替える
- 個人の判断で対応(→ ただしリスクの認識共有が必要)
これを「個人の問題だから各自対応」で放置すると、社員が業務の文脈を含む会話ログをAnthropicに提供しながら、加えてパスポートや顔写真まで個人情報として提供するという状態になります。
判断5: 社内説明文・ポリシーの更新
AIツールの利用規程に今回の対応方針を追記します。次のセクションにコピペ可能なテンプレートを用意しました。
コピペ可能:社内向け説明テンプレート5選
情シス・総務担当者が社内コミュニケーションにそのまま使えるテンプレートです。自社の状況に合わせて[ ]部分を修正してください。
テンプレート1: 全社向けメール(Claudeの個人利用を許容している会社向け)
件名:【重要】Claude(AI)の利用に関するご確認(7月8日以降の変更について)
社員各位
情報システム部門より、AI利用に関する重要なお知らせです。
Anthropic(Claudeの開発会社)が2026年7月8日より、Claude Free/Pro/Maxプランのユーザーに対し、
本人確認(政府発行ID・顔写真の提出)を求める場合があることを発表しました。
【確認いただきたいこと】
・業務でClaude(個人のFree/Pro/Maxアカウント)を使用している方は情シスまでご連絡ください
・本人確認の通知が届いた場合は、情シス([連絡先])にご報告ください
・業務情報・顧客情報のClaudeへの入力は引き続き禁止です
なお、[会社名]が契約しているClaudeの法人プラン([プラン名])は今回の対象外です。
法人プランの使い方については[URLまたは資料]をご参照ください。
ご不明な点は情シス([連絡先])まで。
情報システム部門
テンプレート2: 全社向けメール(個人アカウント利用を禁止する方針の場合)
件名:【重要】Claude個人アカウントの業務利用禁止について
社員各位
Anthropicは2026年7月8日より、Claude個人向けプラン(Free/Pro/Max)において
・政府発行の身分証明書の画像
・顔写真または動画
・顔ジオメトリデータ(生体情報)
の収集が可能となるプライバシーポリシーを施行します。
業務での利用において、個人のClaudeアカウント(Free/Pro/Max)使用は
[日付]以降、禁止とします。
理由:個人情報(顔・身分証)を業務目的のAIツール利用と同一アカウントで提供するリスク、
および情報管理上の統制が困難になるため。
業務では[会社名]契約の法人プラン([URL])をご利用ください。
なお、Claude API・Team・Enterprise プランは今回の対象外です。
現在、個人Claudeアカウントで業務利用している方は[日付]までに切り替えをお願いします。
ご不明な点:情シス [連絡先]
テンプレート3: エンジニア向け(API利用者への説明)
【AI利用】Claude API利用者への確認事項(7月8日のポリシー変更について)
開発チームの皆さんへ
7月8日からAnthropicが施行するプライバシーポリシー変更について確認事項があります。
【今回の変更】
Claude Free/Pro/MaxプランユーザーへのPersona経由本人確認が開始されます。
【API利用者への影響】
Claude API(APIキー認証)は今回の変更の対象外です。
APIキーで認証してClaudeを呼び出している実装・サービスへの影響はありません。
【確認が必要なケース】
□ 個人のClaude Proアカウントを開発・テスト目的で使っているケース
□ 個人アカウントのAPIキーを使って社内ツールに組み込んでいるケース
上記に該当する場合は法人のAPIキー([管理担当者]から払い出し)への切り替えをご検討ください。
API利用料の法人まとめ払い・請求書払いの対応については[担当者]まで。
テンプレート4: 社内規程への追記文(AIツール利用規程向け)
【AI利用規程 第X条 追記(2026年7月8日施行)】
第X条(生成AIサービスの個人アカウント利用に関する規定)
1. 従業員は、業務において生成AIサービス(Claude、ChatGPT等)の個人向け消費者プランを
利用する際、当該サービスのプライバシーポリシーの変更について都度確認する義務を負う。
2. Anthropic社のClaude Free/Pro/Maxプランを業務利用している従業員は、本人確認要求
(生体情報・政府発行ID提出を含む)が届いた場合、直ちに情報システム部門に報告すること。
3. 会社として承認した法人向けAIプラン(別途定める)を利用できる場合は、
個人向け消費者プランの業務利用を制限することができる。
4. 個人向けAIサービスに対して業務上の機密情報・顧客情報・個人情報を入力することを禁じる。
(顔写真・身分証等を提供した場合のリスクについても同様)
テンプレート5: 役員・経営層向けリスクブリーフィング(1枚)
【AIリスク情報】Claude本人確認ポリシー変更(2026年7月8日施行)
■ 概要
Anthropic(Claude開発元)が7月8日より、消費者プラン(Free/Pro/Max)ユーザーに対し
政府ID・顔写真・顔ジオメトリ(生体情報)の収集を可能とするポリシーを施行。
■ 法人への直接影響
・Team/Enterprise/API利用は対象外(直接的な影響なし)
■ 間接的なリスク
・従業員が個人のClaude Pro/Freeを業務利用している場合
→ 業務データと生体情報が同一アカウントで管理される状態が発生
■ 当社対応方針(案)
[ ] 個人アカウント業務利用の実態調査を[日付]までに実施
[ ] 法人プランへの移行推奨または義務化の方針決定
[ ] 社員への周知(7月8日前に発信)
■ 確認が必要な費用
法人Teamプラン: $25/ユーザー/月〜(Claude公式サイト参照)
対応判断期限: 2026年7月8日(推奨: 7月4日までに社員周知)
法人向けAPI・Enterprise利用との違いを整理する
法人の意思決定に必要な比較です。
| 項目 | 個人Free/Pro/Max | Team | Enterprise/API |
|---|---|---|---|
| 本人確認対象 | 対象 | 対象外 | 対象外 |
| SSO/SAML連携 | なし | 限定的 | あり |
| 管理コンソール | なし | あり | あり |
| データ学習除外 | オプション | デフォルト除外 | デフォルト除外 |
| 契約形態 | 個人利用規約 | Commercial Terms | Commercial Terms |
| 生体情報の収集リスク | あり(7月8日以降) | なし | なし |
「Enterprise契約はコストが高い」という声はよく聞きます。ただし、今回のようなポリシー変更リスクや、従業員の個人情報管理、データガバナンスの観点も含めてトータルコストを評価する必要があります。
Claudeの法人利用に関する詳細は AI導入戦略・完全ガイド をあわせて参照してください。また、Fable 5復旧の経緯と法人へのリスク管理教訓も今回の背景を理解する上で参考になります。
【要注意】よくある誤解と正しい理解
誤解1: 「Claudeを使っていれば全員が顔認証を求められる」
❌ 誤り
⭕ 正しくは「Free/Pro/Maxユーザーの一部に、特定のタイミングで求められる可能性がある」です。API・Team・Enterprise利用者は対象外です。また「全ユーザーが必ず求められるわけではない」とAnthropicは明言しています。
誤解2: 「顔写真はAnthropicに送られてAIの学習に使われる」
❌ 誤り
⭕ 正しくは「データはPersona(第三者ベンダー)のサーバーに保管され、AnthropicはPersona経由でのみアクセス可能。モデル学習には使用しない」とAnthropicが明言しています。ただしPersonaのセキュリティポリシーに依存するリスクはあります。
誤解3: 「法人でEnterpriseを使っていれば何も心配いらない」
❌ 不完全
⭕ 法人契約自体は対象外ですが、同じ従業員が個人のPro/Freeアカウントを業務で並行利用していれば対象になります。この「シャドー利用」の把握が盲点です。
誤解4: 「拒否すれば問題ない」
❌ 不確定
⭕ 現時点でAnthropicは「拒否した場合の処遇」を公式に公開していません。機能へのアクセス制限またはアカウント停止の可能性が指摘されていますが、確定情報ではありません。7月8日以降の公式情報の確認が必要です。
よくある質問(FAQ)
Q: 日本のClaudeユーザーも7月8日から対象になりますか?
A: 公式には「消費者向けFree/Pro/Maxプラン全体」が対象とされており、地域別の除外は現時点で発表されていません。ただし展開は段階的で、すべての日本ユーザーが7月8日当日にすぐ本人確認を求められるわけではないとみられます。最新情報はAnthropicの公式ヘルプ(support.claude.com)を都度確認してください。
Q: Claude Codeを使っているエンジニアも対象ですか?
A: Claude CodeはClaude APIを使用する開発ツールです。APIキー認証で動作しているため、今回の本人確認の対象外です。ただしClaude.aiのWebブラウザ版をClaude Codeとは別に使っており、そのアカウントがFree/Pro/Maxの場合は対象になりえます。
Q: Persona(本人確認ベンダー)はどんな会社ですか?信頼できますか?
A: PersonaはサンフランシスコのIDベリフィケーション企業です。Founders Fund(ピーター・ティール共同創業者)が出資しており、SOC 2 Type 2認証取得企業です。なおPersonaは過去にDiscordが採用を検討したあとに見送った経緯があります。セキュリティ水準の評価は各社のコンプライアンス要件に照らして行ってください。
Q: 従業員に個人アカウントでの本人確認を「やらせる」べきですか?
A: 法人としての推奨は「個人アカウントの業務利用を法人プランに切り替える」です。業務上の会話と生体情報を同一の個人アカウントで管理することのリスクを考えると、法人契約への移行が最も統制しやすい選択です。
Q: 今後さらに対象が拡大する可能性はありますか?
A: 現時点ではTeam・Enterprise・APIは対象外と明記されています。ただし今後の展開については「Anthropicの判断によって変更される可能性がある」というのが正直な答えです。AIガバナンスとして外部ベンダーのポリシー変更をモニタリングする仕組みを持つことを推奨します。
まとめ:今日から始める3つのアクション
- 今日: 社内で「Claudeを個人アカウント(Free/Pro/Max)で業務利用している従業員がいないか」を確認する。IT資産管理ツールへの問い合わせ、またはSlackやメールでの自己申告を促すことから始めましょう。
- 今週中: 個人アカウント業務利用の「禁止」か「許容(条件付き)」かの方針を決め、テンプレート1または2を使って社員に周知する。判断が難しい場合は法律・コンプライアンス担当にエスカレーションを。
- 今月中: AIツール利用規程にテンプレート4を参考に条文を追記し、法人プランへの移行ロードマップを策定する。費用対効果の試算は法人プランの公式ページで確認できます。
あわせて読みたい:
- Claude Fable 5が7月1日に復旧|輸出規制停止の経緯と法人が学ぶべき「AI可用性リスク」
- AI導入戦略・完全ガイド — 法人向けAI利用のガバナンス設計から始めたい方へ
参考・出典
- Identity verification on Claude — Claude Help Center(Anthropic公式・参照日: 2026-07-01)
- Anthropic says Claude may want to see your ID — TechCrunch(参照日: 2026-07-01)
- Anthropic’s new privacy policy collects biometric data from flagged Claude users — The Next Web(参照日: 2026-07-01)
- Statement on the US government directive to suspend access to Fable 5 and Mythos 5 — Anthropic(参照日: 2026-07-01)
- Update on identity, age verification for Claude prompts user pushback — Biometric Update(参照日: 2026-07-01)
著者: 佐藤傑(さとう・すぐる)
株式会社Uravation代表取締役。X(@SuguruKun_ai)フォロワー約10万人。
100社以上の企業向けAI研修・導入支援。著書『AIエージェント仕事術』(SBクリエイティブ)。
SoftBank IT連載7回執筆(NewsPicks最大1,125ピックス)。
ご質問・ご相談はお問い合わせフォームからお気軽にどうぞ。
100社以上の支援実績|30分の無料相談で導入設計を一緒に組みます
Claude Code / Codex の社内展開・チーム導入・セキュリティ設計まで、貴社の業務と組織に合わせて伴走支援します。
- 100社以上の企業支援実績
- 初回30分無料・即日返信
- 導入後3ヶ月の伴走付き
お問い合わせフォームから24時間以内にUravation担当者がご返信します。



