1.はじめに

ChatGPTの台頭で生成AIの利活用に注目が集まっています。他方、生成AIの利用が現行の法規制に抵触する可能性も指摘されており、特に個人情報保護法に関しては、個人情報保護委員会が注意喚起等を2023年6月に公表しました^[1]。そこで、本稿では生成AIと個人情報保護法上の問題をご紹介します。

2.情報収集・学習段階

個人情報を含むデータを収集し、AIに学習させるデータセットを作成し、これを学習させることは、個人情報の取得・取扱いに該当します。そのため、生成AIサービス事業者は、利用目的を出来る限り特定し（個人情報保護法17条1項）、個人情報を取得する前に公表するか、個人情報取得後速やかに本人に通知又は公表する必要があります（同21条1項）。また、個人情報の中でも要配慮個人情報、すなわち思想・信仰・病歴・犯罪歴など不当な差別・偏見等が生じないよう取扱いに特に配慮を要する情報を取得・取り扱う場合、利用目的の通知等では足りず、あらかじめ本人の同意を得る必要があります（同20条2項）^[2]。

インターネット等で公開された情報から個人情報を収集して学習用データセットを作成する場合でも、個人情報の取得・取扱いに該当するため、上記の規制をクリアする必要があります。ただ、スクレイビングによりウェブサイトから自動的に情報収集をして大量学習させる場合、要配慮個人情報が含まれる可能性がありますが、あらかじめ本人の同意を得ることは現実的には難しく、立法措置による解決が期待されているところです^{[3] [4]}。

また、個人情報保護委員会は、ChatGPTのサービス事業者であるOpenAI社に対し、機械学習のために情報を収集することに関して、以下の４点を実施するよう注意喚起を行っています。これは、他の生成AIサービス事業者にとっても参考になります。

3.プロンプト入力段階

生成AIの利用者が個人データ^[5]をプロンプトに入力する場合、個人情報の第三者提供に関する規制や越境規制にも注意する必要があります。

この点、プロンプトに入力された情報を機械学習に利用させない設定をしても、回答のためにプロンプトに入力された情報を取り込ませることが個人情報の第三者提供等に該当すると評価される可能性もあるため、問題解決にはなりません。この点、個人情報保護委員会による公式見解等が待たれています^[6]。

また、生成AIの利用を業務委託として構成できるのであれば、第三者提供に該当しませんが、例えばChatGPTの一般ユーザーとしての利用について業務委託と構成するのは難しいのではないかと考えます。

さらに、ChatGPTはアメリカに本拠を置く外国企業が管理・運用するものですので、仮に業務委託として構成できても、いわゆる外国第三者提供に該当します。そのため、あらかじめ本人の同意を取得するなどの対応が必要です（個人情報保護法28条1項）。

なお、プロンプトに入力する際に個人の氏名にマスキングをすれば、受け手側で個人を直ちに識別できないため、個人データの第三者提供に該当しないと思われるかもしれませんが、入力する側において個人データに該当するものは個人データとして取り扱われるので（提供元基準説）、単純な氏名のマスキングだけではなお個人データであることが多く、対応として不十分です。個人情報に含まれる特定の個人を識別することができる記述等の一部を削除し、元の個人情報に復元できないようにするなど所定のルールを遵守すれば、個人データでなくなり、匿名加工情報（個人情報保護法2条6項）としてプロンプト入力に使用することができます。

4.生成AIからの回答

生成AIから回答を得たところ、こちらの意図しないところでAIが個人情報を学習していたため、回答に個人情報が含まれていた場合、生成AIサービス事業者による個人データの第三者提供に該当するおそれがあります。

この点、生成AIによる回答は、保有・管理されていた個人データに基づいて回答されるものではなく、確率的な相関関係に基づいてその都度生成されるものであるため、個人データの第三者提供に該当しないという見方もできます。

ただ、仮に個人データの第三者提供にはあたらないとしても、当該個人情報の正確性が不明である点には留意が必要です。もし、回答内容が不正確であれば、これを利用することが名誉毀損等に該当するおそれがあります。正確であっても、プライバシー侵害等に該当するおそれがあります。また、いずれであっても、個人情報保護法との関係では、不適正利用（個人情報保護法19条）に該当することもありうるため、慎重な対応が必要です。

5.最後に

生成AIに関する法的問題の議論は、国内外で進められているところです。使い方によっては現行ルールでは違法になるリスクもあるため、技術の普及・発展のための打開策が待たれる分野でもあります。現状、社内で利用される場合は、法的リスクを洗い出し、それを踏まえた社内規程を作成・周知し、それに基づく運用を行っていくのが肝要です。本稿がその参考になりましたら幸いです。

出典・引用

［1］個人情報保護委員会「生成AIサービスの利用に関する注意喚起等について」
        https://www.ppc.go.jp/news/careful_information/230602_AI_utilize_alert/
［2］ただし、学術研究機関等が学術研究目的で個人情報を取り扱う場合、要配慮個人情報を含む場合であっても、
        利用目的による制限や本人同意が不要となります（個人情報保護法18条3項5号、同6号、20条2項5号、同6号）。
［3］インターネット上の散在情報としての要配慮個人情報の取得については個人情報保護法上の規制が及ばないという解釈も
        ありますが、実務上定着した解釈ではありません。
［4］例えば、著作権法では、他人の著作物であっても情報解析のために思想感情の享受を目的としない態様で利用することを
        例外的に認めることによって（著作権法30条の4）、学習用データセット作成のための複製等を著作権法違反としない立法措置による
        解決が図られています。
［5］「個人情報データベース等」を構成する個人情報（個人情報保護法16条3項）。「個人情報データベース等」とは、
        特定の個人情報をコンピュータを用いて検索することができるように体系的に構成した個人情報を含む情報の集合体、
        又はコンピュータを用いていない場合であっても、紙面で処理した個人情報を一定の規則（例えば、五十音順、生年月日順など）
        に従って整理・分類し、特定の個人情報を容易に検索することができるよう、目次、索引、符号等を付し、
        他人によっても容易に検索可能な状態においているもの（同16条1項）。
［6］例えば、クラウドへの個人データの保存に関しては、クラウド事業者が個人データを取り扱わないこととなっている場合には
        第三者提供等に該当しないという見解が、個人情報保護委員会によって公表されています
        （個人情報保護委員会「個人情報の保護に関する法律についてのガイドライン」に関するＱ＆Ａ7-53）。

監修：中本総合法律事務所