こんにちは、LIFULL 新UX開発部の二宮( @ninomiyt )です。
この投稿はLifullその2 Advent Calenderの1日目の投稿になります。
結論から言うと「クラウドAPIを使う際は、データの個人情報の扱いがどうなのかちゃんと確認しよう」ということです。
Microsoft LUISを使いたい!
「今まで活用できてなかった対話ログデータを分析する」という仕事があり、MicrosoftのLUIS(Language Understanding Intelligent Service)の利用を検討していました。
もっと具体的には、会話の意図(Intents)とエンティティ(Entities)を同時に抽出できるため、例えば「引っ越しについて言及している発話がどれか」や引っ越そうとしているのが「"どこ"から"どこ"なのか」を集計しようと考えてました。
一部に個人情報を含むデータ(今住んでいる住所など)が含まれているため、テスト用に作ったデータを試しながら、法務と相談して進めていました。
ここでの論点は、平成29年5月3日より施工された改正個人情報保護法を踏まえて、データをクラウドサービスに送信することが「第三者提供」にあたるかという点で、「クラウド事業者側がデータを扱うのかどうか」が重要だという点です。
もし事業者が扱うなら、最初からユーザーの同意を取る必要があるため、例えば過去に取得したデータは利用できなくなってしまいます。
Cognitive Servicesの個人情報の扱いだけ異なっていた
Microsoft Azure全体のポリシーを見て「おそらく大丈夫だろう」と踏んで検証を進めていたのですが、ある日、法務の方から以下のニュースとともに「確認させてほしい」という連絡が来てしまいました。
ニュースを要約すると「Microsoft Azure全体ではユーザーのデータを触らないけど、LUISを含むCognitive Serviceでは扱う可能性があるよ」とのことです。
ところがCognitive Servicesには、Microsoft Azureのサービス全般に共通するプライバシー規約が適用されない。「顧客データをマーケティングや宣伝目的でマイニングしない」「顧客データのアクセスについては、Microsoft社員や委託先会社に対する制限を含め、強力な措置を講じている」といった規約は、Cognitive Servicesについては対象外で、マイクロソフトが一般利用者のデータを使えることになっている。
ユーザー企業が、マイクロソフトが顧客データを処理することについて、一般利用者から同意を取る必要があることについては、「特にガイドラインなどは用意していないが、当社の営業担当経由で適宜法務担当に相談のうえ、ユーザー企業に対応している」(日本マイクロソフト)とのことだ。
そのため、「対話ログを貰う際にユーザーの同意を取る(過去のデータは分析できない)」のか、「他の類似サービスを使うか、自前で分類器を作るか」など、方向転換が必要であることが分かりました。
まとめ
結論から言うとこの通りです。
- クラウドAPIを使う際は、法務にも確認して個人情報の扱いを確認しよう
- 特に機械学習サービスは、こちらが送ったデータを精度改善に使いたいという意図もありそう
今回の話は2017年時点での当プロジェクトでの判断なので、会社やプロジェクト内容によってはこのあたりも変わると思います。その都度ごとに、法務と相談して判断してもらう必要があります。
話としては省略してしまいましたが、社内での連絡・調整や各クラウドサービスとの連絡等、どうしても検証・開発以外の手間がかかってしまうため、面倒でもこういう点は早めにクリアしておいたほうが良いでしょう。
最後に、LIFULL Advent Calendarのほうもご注目頂けると嬉しいです。