2023年6月2日に、個人情報保護委員会から「生成 AI サービスの利用に関する注意喚起等について」が公表されました。この注意喚起のうち、「生成AIサービスの利用に関する注意喚起等」は、生成AIサービスを利用する事業者、行政機関及び一般の利用者を対象にしたものです。また、「OpenAIに対する注意喚起の概要」は、ChatGPTを運営するOpenAIを対象としたものです。

本稿では、同注意喚起において指摘されている個人情報取り扱い上の注意点についての概要を取り上げます。

ポイント

骨子

  • 個人情報保護法の利用目的規制との関係において、生成AIに個人情報を入力する場合には、利用目的の範囲において行わなければならない。また、生成AIに入力されたデータを生成AIサービス提供事業者側が学習用データとして利用する場合などは、個人情報保護法の第三者提供に該当し、本人の同意が必要となる。
  • 生成AIサービス提供事業者においては、要配慮個人情報を予期せず取得することが想定されるため、取得の防止及び取得した情報の削除、加工等必要な措置を講ずることが求められる。

解説

「生成AI」と個人情報

生成AI(Generative AI)は、画像や文章といったコンテンツを生成できる人工知能のことをいいます。

現在、ChatGPT等の生成AIを業務に導入する動きが進んでいますが、個人情報を生成AIに入力する場合は、個人情報保護法上の問題が生じうるところであり、例えば、イタリアが今年3月にChatGPTに対して一時使用禁止を行うなど、世界各国のDPAが、ChatGPTを問題視している状況であるといえます。

今回、個人情報保護委員会は、このような状況を踏まえ、生成AIサービス利用者及び生成AIサービスの提供事業者に対し、本注意喚起を行ったものと考えられます。

なお、本注意喚起は、別添1「生成AIサービスの利用に関する注意喚起等」と別添2「OpenAIに対する注意喚起の概要」から構成されており、別添1は、(1) 個人情報取扱事業者における注意点、(2)行政機関等における注意点、(3)一般の利用者における留意点からなります。

本稿では、別添1のうち、事業者に関連する(1) 個人情報取扱事業者における注意点と、別添2の内容を検討します。

「生成AI」サービス利用における問題点

利用目的規制の遵守
個人情報保護法の利用目的ルール

個人情報は、取得時に特定し、通知・公表した利用目的の範囲内でしか利用できません(法18条1項)。利用目的の変更を行うことは可能ですが、当初の利用目的と関連性を有すると合理的に認められる範囲を超える変更は本人の同意が必要とされています(法18条2項)。

生成AIサービスにおける留意点

同注意喚起では以下のように述べられています。

個人情報取扱事業者が生成AIサービスに個人情報を含むプロンプトを入力する場合には、特定された当該個人情報の利用目的を達成するために必要な範囲内であることを十分に確認すること。

生成AIサービスに個人情報を入力する行為も、個人情報の利用の一場面です。したがって、生成AIへ個人情報を入力する場合、個人情報の利用目的の範囲内と言えるか、確認が必要となります。

当該生成AIサービスを提供する事業者が、当該個人データを機械学習に利用しないこと等の確認

同注意喚起では、次のように、生成AIサービス事業者側で応答結果の出力以外に当該個人データを利用する場合、あらかじめ本人の同意を取得しておかなければ、個情法に違反する可能性がある旨が述べられています。

個人情報取扱事業者が、あらかじめ本人の同意を得ることなく生成AIサービスに個人データを含むプロンプトを入力し、当該個人データが当該プロンプトに対する応答結果の出力以外の目的で取り扱われる場合、当該個人情報取扱事業者は個人情報保護法の規定に違反することとなる可能性がある。

注意喚起では、上記の点が具体的に個人情報保護法のどの規定に違反するのかについて明らかにされていませんが、第三者提供規制についての注意喚起であると考えられます。

個人情報保護法上、第三者提供規制は、国内の第三者に提供するか、外国の第三者に提供するかで建付けが異なりますので、まずはそのルールを概観したいと思います。

個人情報保護法の第三者提供ルール(国内)

個人データを第三者に提供する場合は、原則として、本人の同意が必要となります(法27条1項)。ただし、これにはいくつかの例外があり、例えば、個人データの取扱いの委託に伴う提供の場合には、例外的に同意は不要とされています(27条5項1号)。

「委託」に伴って提供を受ける場合は、委託された業務の範囲内でしか利用できません。委託された業務の範囲を超えて、固有の利用目的のために個人データを用いる場合は、たとえ形式が委託であっても、法的には第三者提供と評価されます。

また、いわゆるクラウドサービスの利用については、「クラウドサービス提供事業者が、当該個人データを取り扱わないこととなっている場合には、当該個人情報取扱事業者は個人データを提供したことにはならない」(「個人情報の保護に関する法律についてのガイドライン」 に関するQ&A Q7-53)、つまり、「提供」に該当しないため、上記の委託にすら該当しないとされています。

個人情報保護法の第三者提供ルール(国外)

個人データを海外の第三者に提供する場合は、国内と異なり、委託の場合であっても原則として本人の同意が必要であり、かつ、本人に対して国名や当該外国の制度といった情報をあらかじめ提供する必要があります(法28条1・2項)。ただし、EU・英国に提供する場合や、基準適合体制を整備した第三者に対して提供する場合については、日本国内と同様の枠組みでの提供が可能となります(法28条1項)。

なお、クラウドサービスの利用について、「当該個人データを取り扱わないこととなっている場合」につき、委託にすら当たらない場合があり得ることは、日本国内と同様です。

生成AIサービスにおける留意点

例えば生成AIサービスの提供を行う事業者が、入力された個人データを機械学習に用いる場合は、「個人データを取り扱わないこととなっている場合」には該当しないのはもちろんのこと、入力を行った者からの委託に伴った利用を越えて、生成AIサービス事業者固有の目的に個人データを利用していることから、「委託」の範囲も越えて「第三者提供」にあたり、本人の同意が必要と考えられます(法27条1項)。

また、そもそも生成AIサービスの提供を行う事業者が海外法人である場合であって、「個人データを取り扱わないこととなっている場合」にあたらない場合は、「委託」に該当するか否かにかかわらず、原則として同意(法28条1項)が必要となります。

(続き)そのため、このようなプロンプトの入力を行う場合には、当該生成AIサービスを提供する事業者が、当該個人データを機械学習に利用しないこと等を十分に確認すること。

したがって、あらかじめ、生成AIサービス事業者における個人データの利用の有無及び利用目的を、利用規約等で確認しておくこと、及び、当該事業者が海外事業者か否かを確認しておくことが重要となります。

「生成AI」サービス事業者への注意喚起

要配慮個人情報の取得規制の遵守
個人情報保護法の利用目的ルール

個人情報保護法上、要配慮個人情報(病歴など)については、本人が自ら公開しているなどの例外を除き、取得の際に、あらかじめ「本人の同意」が必要となります(法20条2項)。

あらかじめ本人の同意を得ないで、ChatGPTの利用者(以下「利用者」という。)及び利用者以外の者を本人とする要配慮個人情報を取得しないこと(法第20条第2項各号に該当する場合を除く。)。

生成AIサービス事業者においても、入力されたデータに要配慮個人情報が含まれることはあり得ます。そのため、本注意喚起では、以下の4点を実施することが要求されています。

① 収集する情報に要配慮個人情報が含まれないよう必要な取組を行うこと。

② 情報の収集後できる限り即時に、収集した情報に含まれ得る要配慮個人情報をできる限り減少させるための措置を講ずること。

③ 上記①及び②の措置を講じてもなお収集した情報に要配慮個人情報が含まれていることが発覚した場合には、できる限り即時に、かつ、学習用データセットに加工する前に、当該要配慮個人情報を削除する又は特定の個人を識別できないようにするための措置を講ずること。

④ 本人又は個人情報保護委員会等が、特定のサイト又は第三者から要配慮個人情報を収集しないよう要請又は指示した場合には、拒否する正当な理由がない限り、当該要請又は指示に従うこと。

上記の措置については、生成AIサービス事業者に向けられた注意喚起ではありますが、生成AIサービスのほか、スクレイピングなどにより機械学習用のデータを収集する場合など、意図せず要配慮個人情報を取得してしまうケースにおいても参考になるものと思われます。

本記事に関するお問い合わせはこちらから

(文責・秦野)