1.生成AIと個人情報の取り扱い
生成AIやAIの利用が広まるにつれてAIの学習モデルやチャット形式のAIアプリなどとのやり取りで様々な情報を入力する場面や、提供されるAIアプリに対してAIアプリの利用者の側において情報を入力する場面が増えてきています。
他方で個人情報の取り扱いについては個人情報の保護に関する法律(以下「個人情報保護法」)により個人情報の種類に応じて厳重な取り扱いが法律で義務付けられております。企業活動をしている個人及び法人のほぼ全員が同法上の「個人情報取扱事業者」に該当するので同法に関する義務にきちんと対応することはAI開発や事業化に際しても必須の事項になっております。
個人情報保護法における個人情報とは以下のものを指します(同法第2条第1項各号)。
第二条 この法律において「個人情報」とは、生存する個人に関する情報であって、次の各号のいずれかに該当するものをいう。
一 当該情報に含まれる氏名、生年月日その他の記述等(文書、図画若しくは電磁的記録(電磁的方式(電子的方式、磁気的方式その他人の知覚によっては認識することができない方式をいう。次項第二号において同じ。)で作られる記録をいう。以下同じ。)に記載され、若しくは記録され、又は音声、動作その他の方法を用いて表された一切の事項(個人識別符号を除く。)をいう。以下同じ。)により特定の個人を識別することができるもの(他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。)
二 個人識別符号が含まれるもの
また、個人識別符号については同法第2条第2項に定義があります。
2 この法律において「個人識別符号」とは、次の各号のいずれかに該当する文字、番号、記号その他の符号のうち、政令で定めるものをいう。
一 特定の個人の身体の一部の特徴を電子計算機の用に供するために変換した文字、番号、記号その他の符号であって、当該特定の個人を識別することができるもの
二 個人に提供される役務の利用若しくは個人に販売される商品の購入に関し割り当てられ、又は個人に発行されるカードその他の書類に記載され、若しくは電磁的方式により記録された文字、番号、記号その他の符号であって、その利用者若しくは購入者又は発行を受ける者ごとに異なるものとなるように割り当てられ、又は記載され、若しくは記録されることにより、特定の利用者若しくは購入者又は発行を受ける者を識別することができるもの
そこで具体的に個人情報保護法による遵守が問題になるケースごとにAI開発者・AI利用者において注意すべき点などを以下説明していきます。
2.個人情報保護法の遵守のポイント
(1)AI開発時
AI開発の際には学習用モデルに対して様々なデータや学習用データセットを学習させて学習済みモデルを作っていくことになります。
これらの学習させるためのデータやデータセットを収集する際に、個人情報を扱い、収集することがまず考えられます。
特定の個人から学習用データを収集する場合、収集する情報が個人情報に該当するかにまずは注意することが必要です。
次に、仮に収集する情報が個人情報に該当する場合、個人情報保護法では、個人情報を取り扱う場合、その目的を明確にしなければならず(第17条第1項)、個人から個人情報を収集する場合、収集に先立ちその目的を表示しておく必要がありますので、情報を収集するHPやインターネットサービスなどを通じて情報収集の事実とその目的を表示する必要があります。これらの収集目的は一般的抽象的な表示では足りず具体的な表記が必要です。したがって、「広告宣伝のため」「情報解析のため」という表記では不十分であり「○○という製品に関する△△向けの公告のため」とか「弊社の既存商品である○○という製品の開発や品質向上のため」というように具体的な表示で目的を記載することが大事です。
また、これらのデータセットなどを第三者から提供される場合に、当該第三者から提供されたデータの中に個人情報が含まれている場合は、提供主である第三者において個人情報収集のための目的の明確化や収集に先立つ目的の公示の義務を履行しなければならないだけではなく、提供された個人情報が個人情報保護法上の「個人データ」に該当するかどうかも確認する必要があります。
個人情報保護法上の個人データは同法第16条第1項及び第3項に定義があります。
第十六条 この章及び第八章において「個人情報データベース等」とは、個人情報を含む情報の集合物であって、次に掲げるもの(利用方法からみて個人の権利利益を害するおそれが少ないものとして政令で定めるものを除く。)をいう。
一 特定の個人情報を電子計算機を用いて検索することができるように体系的に構成したもの
二 前号に掲げるもののほか、特定の個人情報を容易に検索することができるように体系的に構成したものとして政令で定めるもの
2 この章及び第六章から第八章までにおいて「個人情報取扱事業者」とは、個人情報データベース等を事業の用に供している者をいう。ただし、次に掲げる者を除く。
一 国の機関
二 地方公共団体
三 独立行政法人等
四 地方独立行政法人
3 この章において「個人データ」とは、個人情報データベース等を構成する個人情報をいう。
個人情報保護法の規定の表現は読みづらい部分もありますが簡単に説明すると、個人情報のうちコンピュータなどで容易に検索できるようにまとめた情報が個人データとして扱われます。エクセルの表などが典型例です。
個人データに該当する個人情報については、①情報を第三者に提供することについて同意を得なければならない他、②一定の外国の第三者に提供する場合は事前の同意が必要であり、③第三者提供にかかる記録を作成し、提供を受けた事業者において提供者及び提供者における個人データ取得の経緯を確認する義務があります(同法第27条から30条)。
他方、これらの情報をインターネット上の検索情報から任意に獲得する場合には、「個人情報を個人から収集する場合」には必ずしも該当しないのでこれらの目的を公示する必要はありません。
(2)AIによる利用と生成の段階
学習済みモデルであるAIを用いて生成物や文章を指令により作成する場合は学習する段階とは異なる問題が生じます。
まず、指令による情報の入力ですが、これらによる指令の中に個人情報や個人データが入る場合があります。これらの情報の入力は学習済みモデルの提供者がAI利用者と別主体である場合には、AI利用者からAIモデル提供者への個人データの第三者提供に該当するものと解釈される可能性があります。
そうすると上記で話をした第三者提供に関する個人情報保護法上の義務の履行が必要になります。
また、指令に個人情報が含まれる場合にはその個人情報の出所・入手元などの経緯が問題になります。個人から情報を収集した個人情報である場合には収集目的にAIツールの利用のために用いることをあらかじめ公示して収集する義務がAI利用者に課せられます。
私的利用をしている場合はその個人が「個人情報取扱事業者」に該当しないので個人情報保護法の義務の対象にはなりませんが、事業として活動している場合は個人法人関係なく個人情報取扱事業者に該当するので上記の点に注意する必要があります。
(3)その他個人情報の取り扱いについて注意すべき義務など
以上の場合に加えてAIの利用を第三者に提供場合も含めると利用者に対して個人情報保護法上の個人情報及び個人データに関する義務などを遵守させるために利用規約等で個人情報や個人データなどのAIへの利用を禁止したり控えるよう求めなければならないケースなども出てきます。
また、個人情報を取り扱う場合に常に注意しなければならない義務として以下の点があります。
① 利用目的を超えて個人情報を取り扱うときは事前に本人の同意なく個人情報を利用してはいけない(同法第18条第1項)
② 違法又は不当な行為を助長し、又は誘発するおそれがある方法により個人情報を利用してはならない(同法第19条)。
③ 偽りその他不正の手段により個人情報を取得してはならない(同法第20条第1項)。
④ 個人情報を取得した場合は、あらかじめその利用目的を公表している場合を除き、速やかに、その利用目的を、本人に通知し、又は公表しなければならない(同法第21条第1項)。
AIの開発の過程や利用の過程において個人方法を利用する場合は目的をきちんと定め、適正な利用を行ってください。適正な利用かわからない場合は個人情報保護法に詳しい弁護士に相談し適宜ご対応ください。
弊所でも個人情報に関する取扱いについてのご相談を随時承っております。
※前田拓郎法律事務所の紹介
(1)主な取扱分野
知的財産法(著作権・商標・特許)・AI/Iot・VR/AR/XR・メタバース関連事業・漫画(二次創作含む)イラスト・出版・動画制作などのコンテンツビジネス・一般企業法務(会社法)・個人情報関連事業ほか
(2)所在地
〒105-0001
東京都港区虎ノ門1-1-21 新虎ノ門実業会館 5F
ご相談はこちらのページからご連絡ください。
https://www.kittenlawoffice.com/contact/