{{item.videoDuration}}
{{item.title}}
{{item.text}}
{{item.videoDuration}}
{{item.title}}
{{item.text}}
はじめに
生成AIに関連する論点は多岐にわたりますが、本インサイトにおいては、生成AIに関連する個人情報保護法*1上の論点を概説し、事業者が講ずべき対策を説明します。
なお、本インサイトは、2023年9月29日時点で公表されている法令およびガイドライン等に基づき執筆されています。生成AIに関する法律問題については議論が流動的であるため、常に最新の情報に基づき検討する必要があることにご留意ください。
論点の全体像
AI生成物の生成過程は、大きく「開発・学習」と「生成・利用」の2つの段階に分けることができます。各段階において想定され得る個人情報保護法上の主な論点は下記図表のとおりです。以下、各論点について概説します。なお、「AIサービス提供者」とは、AIシステムの研究開発を行う事業者または自らが開発したAIシステムを用いてAIサービスを他社に提供する事業者を指し*2、「AIサービス利用者」とは、AIシステムを利用する者を指すものとします。
図表:AI生成物の生成過程と個人情報保護法における主な論点
| AI生成物の生成過程 | 個人情報保護法上問題となり得る行為 | 個人情報保護法における主な論点 |
| 開発・学習段階 |
|
① 個人情報を用いてAIモデルを開発する場合、利用目的規制との関係でどのような点に留意すべきか。 ② 取得するデータに要配慮個人情報が含まれ得る場合、取得規制との関係でどのような点に留意すべきか。 |
| 生成・利用段階 |
|
1. AIサービス利用者との関係 ① プロンプトに個人情報が含まれる場合、利用目的規制との関係でどのような点に留意すべきか。 ② プロンプトに個人データが含まれる場合、第三者提供規制との関係で、どのような点に留意すべきか。 2. AIサービス提供者との関係 ③ プロンプトに個人情報が含まれる場合、利用目的規制や取得規制(要配慮個人情報の本人同意など)との関係でどのような点に留意すべきか。 ④ 出力する生成物に個人情報が含まれる場合、第三者提供規制や本人の請求権との関係でどのような点に留意すべきか。 |
開発・学習段階:個人情報の取得・学習
論点①:個人情報を用いてAIモデルを開発する場合、利用目的規制との関係でどのような点に留意すべきか
AIサービス提供者が個人情報を用いてAIモデルを開発する場合、当該AIサービス提供者は個人情報取扱事業者*3として、利用目的規制を遵守する必要があります。すなわち、①個人情報の利用目的をできる限り特定し(法17条1項)、②あらかじめ公表している場合を除き、個人情報の取得に際して利用目的の通知または公表をしなければなりません(法21条1項)。また、③利用目的の達成に必要な範囲を超えて個人情報を取り扱ってはなりません(法18条1項)。
前提として、上記①~③の利用目的規制の対象は「個人情報」であるため、まずは外部から取得し、AIに学習させるデータが個人情報に該当するかどうかを検討する必要があります。「個人情報」とは、特定の個人を識別できる情報および個人識別符号が含まれる情報をいうところ(法2条1項)*4、当該データが特定の個人を識別できる情報かどうかを検討することになります*5。
個人情報に該当する場合には、上記①~③の利用目的規制が適用されます。もっとも、利用目的とは、個人情報取扱事業者が一連の取扱いによって最終的に達成しようとする目的をいい、個別の取扱いプロセスごとに利用目的を特定することは求められていません*6。そのため、利用目的として、取得した個人情報をAIに学習させることまで特定する必要はないと考えられます。ただし、プロファイリング(本人に関する行動・関心などの情報を分析する処理)を行う場合には、そのような分析処理を行うことを含めて利用目的を特定する必要があるため*7、留意する必要があります。
論点②:取得するデータに要配慮個人情報が含まれ得る場合、取得規制との関係でどのような点に留意すべきか。
AIサービス提供者は、個人情報取扱事業者として、要配慮個人情報を取得するにあたっては、原則として本人の同意を取得する必要があります(法20条2項)。「要配慮個人情報」とは、本人の人種、信条、社会的身分、病歴、犯罪の経歴などが含まれる個人情報をいいます(法2条3項)。
ウェブ上で公開されている要配慮個人情報の多くは同項7号の例外(当該要配慮個人情報が本人や報道機関などにより公開されている場合)に該当するため、本人の同意の取得は不要と整理できますが、全てを例外と整理できるわけではない点に留意する必要があります。データを取得するにあたっては、収集する情報に要配慮個人情報が含まれないよう必要な取組みなどが求められます。
生成・利用段階:利用者によるプロンプト入力および生成AIによる個人情報の出力
AIサービス利用者に関する論点
論点①:プロンプトに個人情報が含まれる場合、利用目的規制との関係でどのような点に留意すべきか
例えば、AIサービス利用者である会社の従業員が、自社が保有する個人情報を含むプロンプトをAIに入力する場合、利用目的規制を考慮する必要があります。この場合、基本的には、開発・学習段階の論点①(上記第3の1)と同様の議論が妥当します。
より具体的には、個人情報の利用目的の達成に必要な範囲を超えて当該個人情報を含むプロンプトを入力しないなどの対応が必要となります。
論点②:プロンプトに個人情報が含まれる場合、第三者提供規制との関係でどのような点に留意すべきか。
AIサービス利用者がAIに個人情報を含むプロンプトを入力する場合、上記の論点①の利用目的規制に加えて、第三者提供規制についても考慮する必要があります。すなわち、個人情報取扱事業者が「個人データ」を「第三者」に「提供」する場合、原則として本人の同意が必要であるところ(法27条1項)、個人情報を含むプロンプトの入力が、AIサービス利用者からAIサービス提供者に対する個人データの第三者提供に該当するかどうかが問題となります。
第三者提供規制の対象は「個人データ」であるところ、まずはプロンプトとして入力する個人情報が個人データに該当するかどうかを検討する必要があります。「個人データ」とは、個人情報を含む情報の集合体であり、特定の個人情報を検索できるよう体系的に構成した「個人情報データベース等」を構成する個人情報をいいます(法16条3項・同条1項)。そのため、まずはプロンプトに含まれる個人情報が、個人情報データベース等を構成するものかどうかを確認する必要があります。
個人データの「提供」に該当するかは、個人データの提供を受けた事業者が当該個人データを取り扱うこととなっているかが判断基準になります*8。プロンプト入力については、AIサービス提供者がAIによって個人データを分析し出力をするところ、AIサービス提供者が当該個人データを取り扱っているものとして、個人データの「提供」に該当する可能性があります*9。
また、上記規制には個人データの提供を受ける者を「第三者」から除外する例外が定められており、プロンプト入力との関係では、特に「個人情報取扱事業者が利用目的の達成に必要な範囲内において個人データの取扱いの全部又は一部を委託することに伴って当該個人データが提供される場合」(法27条5項1号)に該当するかどうかが問題となります。個人データの提供を受けた事業者が委託業務以外に当該個人データを取り扱うかどうかが判断基準となるところ*10、AIサービス提供者が、入力された個人データを、委託業務であるAIによる分析および出力以外(例えばAIの学習)に利用しないことが担保できる場合には、上記例外に該当すると整理できる余地があります。
以上に加えて、委託先の監督義務(法25条)や、AIサービス提供者が海外事業者の場合には、外国にある第三者への個人データの提供(法28条)といった論点についても検討する必要があります。
AIサービス提供者に関する論点
論点③:プロンプトから個人情報を取得する場合に、利用目的規制や取得規制(要配慮個人情報の本人同意など)との関係でどのような点に留意すべきか。
AIサービス提供者が、AIサービス利用者がプロンプトとして入力した個人情報を取得する場合、利用目的規制や取得規制(要配慮個人情報の本人同意など)を考慮する必要があります。この場合、基本的には、開発・学習段階の論点①および論点②の議論が妥当します。
論点④:個人情報を出力する場合に、第三者提供規制や本人の請求権との関係でどのような点に留意すべきか。
出力されたAI生成物に個人情報が含まれる場合、当該AI生成物の出力が、AIサービス提供者からAIサービス利用者に対する個人データの第三者提供に該当しないかが問題となります。この点、第三者提供規制に関して、個人情報を出力する学習済みモデルは「個人情報データベース等」に該当しないことが通常であるため、出力される個人情報は「個人データ」に該当せず、第三者提供規制は問題とならないケースが多いと考えられます。
また本人の請求権に関して、本人は個人情報取扱事業者に対し「保有個人データ」の開示、訂正、利用停止などを請求することができます(法33条~39条)。ある個人情報が「保有個人データ」に該当するには「個人データ」に該当することが前提になるところ*11、上記と同様の理由で、本人の個人情報は通常「保有個人データ」に該当せず、本人の請求権は認められないケースが多いと考えられます。
実務上の対策
本項では、AIサービス利用者に求められる実務上の対応について解説します。多くの企業が生成AIの業務での活用を推進する一方で、前述のとおり、生成AIを利用するにあたっての個人情報保護法上の考慮事項は多岐にわたり、細やかな配慮が求められます。法務やコンプライアンス、DXなどの2線部門は、早急に生成AI利用にあたっての社内ガバナンスを整備し、従業員へ周知・徹底する必要があります。
AIガバナンスの設計においては、リスクの大きさに対応させた規制を設けるリスクベースアプローチの考え方が国際的に共有されています。AIの利用シナリオに応じて、リスクの度合いや適用法令が異なることから、社内のAIガバナンスにおいても同様の考えを取り入れるべきです。利用シナリオごとにリスクアセスメントを実施し、リスクの大きさによって対応案を決定する仕組みを整備することが重要です(個人情報保護法だけではなく、知的財産権の侵害や機密情報の流出など、AI利用に関わるリスク全般を対象にアセスメントを実施すべきです)。
また、社内で保有する個人情報の管理も欠かせません。AIに個人情報を含むプロンプトを入力する場合、事前に利用目的の範囲内か否かの確認が必要です。データプロセッシングごとに、利用目的の範囲を一元管理し、明確化しておくことがコンプライアンスの維持において必要不可欠です。
2線部門は、上記を含む各種運用をマニュアル化し、社内の従業員へ周知・徹底することや、整備したガバナンスを浸透させるにあたっては、啓発活動や教育を従業員に根気強く行うことが求められます。
おわりに
本インサイトでは、生成AIと個人情報保護法との関係性について解説しましたが、それ以外にも生成AI利用に伴うリスクは多岐にわたります。生成AIの利用を推進する企業には、こうした各種リスクを考慮した早急なAIガバナンスの整備が求められます。
しかしながら多くの企業においては、ガバナンスの整備以前にガバナンスの整備を推進すべき2線部門がどの部門か不明確な状態となっており、リスク対応が停滞しているケースが散見されます。法律だけではなく、セキュリティやプライバシー、コンプライアンスなど、AIリスクの論点は非常に幅広く、現場レベルで対応部門を整理することが困難であるためです。AIガバナンス整備の第一歩として、2線として関与すべき各種リスク対応部門の役割や責任範囲に関して早急に整理し、経営レベルで合意することが不可欠です。また、生成AIの利用を進める1線の部門も、活用のみを推し進めるのではなく、一度立ち止まってリスクの洗い出しとリスクの許容度の確認をしなければなりません。
企業がより良いサービス・製品を提供する上で、生成AIは大きな可能性を秘めていますが、いまだ予期し得ないリスクが潜在していることも忘れてはなりません。生成AIの利用を推進する企業は、顧客が安心して企業に自身のデータを提供することができるよう、リスク対応体制を早急に整備することが求められます。
*1 個人情報の保護に関する法律。以下、「法」と省略する場合も含めて同法を指します。
*2 AIネットワーク社会推進会議「国際的な議論のためのAI開発ガイドライン案(平成29年7月28日)」における「開発者」の定義を参考にしました。
https://www.soumu.go.jp/main_content/000499625.pdf
*3 「個人情報取扱事業者」とは、個人情報データベース等(後述)を事業の用に供している者をいいます(法16条2項)。
*4 AIモデル開発との関係では、例えば、(i)複数人の個人情報を機械学習の学習用データセットとして用いて生成した学習済みパラメータ(パラメータと特定の個人との対応関係が排斥されているもの)や、(ii)個人情報から加工した統計データは個人情報に該当しないと整理されています(個人情報保護委員会「『個人情報の保護に関する法律についてのガイドライン』に関するQ&A(平成29年2月16日(令和5年3月31日更新))」、以下「Q&A」)Q&A1-8、Q&A2-5)。
https://www.ppc.go.jp/files/pdf/2304_APPI_QA.pdf
*5 「個人情報」該当性の判断にあたっては、個人情報保護委員会「個人情報の保護に関する法律についてのガイドライン(通則編)(平成28年11月(令和4年9月一部改正))」、以下「GL通則編」)2-1の記載が参考になります。https://www.ppc.go.jp/files/pdf/230401_guidelines01.pdf
*6 石井夏生利ほか編著『個人情報保護法コンメンタール』(勁草書房、2021年)146頁
*7 Q&A2-1およびGL通則編3-1-1
*8 Q&A7-53参照
*9 この点に関して、個人情報保護委員会が2023年8月21日に公表したパンフレット「生成AIサービスの利用に関する注意喚起」(https://www.ppc.go.jp/files/pdf/generativeAI_notice_leaflet2023.pdf)では、AIサービス利用者が入力した情報について、AIサービス提供者が学習データとして利用することとしている場合に、利用者が個人データを入力すると、利用者から提供者に対し、個人データを提供したことになると記載されており、少なくともこの場合には「提供」に該当すると考えられます。
*10 GL通則編3-6-3(1)
*11 「保有個人データ」とは、個人情報取扱事業者が、開示、内容の訂正、追加または削除、利用の停止、消去および第三者への提供の停止を行うことのできる権限を有する個人データであって、その存否が明らかになることにより公益その他の利益が害されるものとして政令で定めるもの以外のものをいいます(法16条4項)。
{{filterContent.facetedTitle}}
{{contentList.dataService.numberHits}} {{contentList.dataService.numberHits == 1 ? 'result' : 'results'}}
{{contentList.loadingText}}
{{contentList.loadingText}}
{{filterContent.facetedTitle}}
{{contentList.dataService.numberHits}} {{contentList.dataService.numberHits == 1 ? 'result' : 'results'}}
{{contentList.loadingText}}
{{filterContent.facetedTitle}}
{{contentList.dataService.numberHits}} {{contentList.dataService.numberHits == 1 ? 'result' : 'results'}}
{{contentList.loadingText}}
