第773号コラム:小向 太郎 理事(中央大学 国際情報学部 教授)題:「生成AIと個人情報」

情報技術に関するニュースが、生成AI一色に染まっている。社会の発展や諸課題の解決を期待するものから、危険性を指摘して規制を強化すべきだとするものまで、それぞれの立場から論評や提案がされており、まさに議論百出である。

懸念されている危険性もさまざまであるが、個人情報やプライバシーに関する問題を指摘する声も多い。

この問題について、わが国の個人情報保護委員会は、2023年6月2日に「生成AIサービスの利用に関する注意喚起等」という文書を公表している。生成AIサービスを個人情報取扱事業者や行政機関等が利用する場合には、次の2つが必要だとしている(かなり要約しているので、正確には原文に当たっていただきたい)。

①個人情報を入力する際には、利用目的に必要な範囲に限定すること
②生成AIサービス事業者によって機械学習などに利用されるのなら、本人の同意なく個人情報を入力しないこと

あわせて、ChatGPT を開発・提供するOpenAIに対しても、次のような注意喚起をしている。

①要配慮個人情報を機械学習などのために原則として取得しないこと
②利用する個人情報について、日本語で本人への利用目的の通知または公表をすること

ところで、政府のAI戦略会議が2023年5月26日に公表した、「AIに関する暫定的な論点整理」では、「個人情報の不適正な利用やプライバシーに関するリスク」の例として、次のようなものがあげられている。

「利用者が認識しない中で生成 AI が利用者との対話情報を蓄積し、利用者の趣向やその変化等の情報を推定して広告配信等の目的で利用するなどのリスクが考えられる。文章で対話する生成 AI の場合、利用者が何に関心を持っているのかなどの情報が、単語だけを入力するキーワード検索等よりも AI サービス提供者側からわかりやすく、リスクが高まる懸念もある。また、個人の経歴や趣味等の情報はインターネット上で閲覧できる場合があり、 AI がインターネット上の情報のみで学習したとしても、個人の情報が含まれる可能性がある。そのため、AI が特定の個人について、個人情報を探索・収集・分析したり(不適切なプロファイリング)、個人に関する不適切な情報を出力する可能性もある(AI戦略会議「AI に関する暫定的な論点整理」(2023 年 5 月26日)10-11頁)」

ここであげられているような使われ方は、たしかに気持ちが悪い。しかし、これらの利用方法は、必ずしも個人情報保護法で禁止されているわけではない。もし、生成AIサービスの提供事業者自身が広告配信を行うのであれば、そのように個人情報の利用目的を特定(第17条)して、利用目的を通知・公表(第21条)したうえで、その利用目的の範囲内で利用(第18条)するのであれば、個人情報保護法上は原則として適法である。インターネット上で公開されている情報を使う場合も同様である。個人情報保護委員会が、OpenAIに対して、一般の個人情報については「利用目的の通知または公表」だけを求め、本人の同意を取ることや、利用目的の正当性や必要性を示したりすることを求めていないのはこのためである。

ただし、不当な差別等につながりやすいとされる「要配慮個人情報」を取得する場合には、原則として、本人の同意が必要となる(第20条2項)。この要配慮個人情報にあたるのは、「本人の人種、信条、社会的身分、病歴、犯罪の経歴、犯罪により害を被った事実」などが含まれる個人情報である。個人情報保護委員会が、OpenAIに対して要配慮個人情報を原則として利用しないように注意しているのは、この規定の遵守を求めていることになる。また、個人データ(コンピュータによる検索等ができるように体系的に構成された個人情報)を第三者に提供するには、原則として本人の事前の同意が必要だし(第27条)、当初定めていた利用目的を変更する場合にも、原則として本人の同意が必要になる。個人情報保護委員会が、個人情報取扱事業者等に「②生成AIサービス事業者によって機械学習などに利用されるのなら、本人の同意なく個人情報を入力しないこと」を求めているのは、これが本人同意のない第三者提供や目的外利用などにあたり得るからであろう。

このように、現在の個人情報保護法による規制は、生成AIのリスクと考えられているものに、必ずしも直接対応していないのである。

一方でこの問題は、EU諸国でかなり議論が行われている。イタリアの個人情報保護当局が、ChatGPT の国内利用の一時停止を命じたことは、かなり注目を集めた。その後、この命令は解除されているが、ドイツやフランスでも、個人情報保護当局が調査を開始したと報じられている。

EUの個人情報保護制度である一般データ保護規則(GDPR: General Data Protection Regulation)では、個人情報の利用を原則違法としている。個人情報を利用する事業者は、その利用に適法化根拠があることを、主張・立証しなければならない。具体的には、(a)本人の同意、(b)契約等の履行のための必要性、(c)法的義務、(d)生命に関する利益保護、(e)公共の利益・公的権限の遂行、(f)適正な利益、のいずれかが必要とされる。それができなければ、個人情報利用が停止され、罰則が科されることもある。個人情報の利用がどのような弊害を生じるかわからないので、正当な利用以外は抑制すべきだという考え方に立っている(小向太郎+石井夏生利『概説GDPR』NTT出版、2020年参照)。したがって、生成AIについても、事業者が個人情報を利用するのであれば、このような適法化根拠について説明することが義務付けられる。イタリア、ドイツ、フランスで、個人情報保護当局が検討を行っている背景には、このような制度的な裏付けがある。AI戦略会議があげているような懸念も、もちろん規制の対象となり得る。

日本の個人情報保護法は、個人情報を収集した事業者が自社内で利用することについて、高い自由度を認めてきた。本人が望まない情報が収集・利用されることについては、第三者提供や個人情報漏洩と比べて、あまり法律上の問題としてこなかった。しかし、生成AIの利用拡大によって、内部利用でも大きなリスクを生じ得ることが、いよいよ現実的になっている。現在の制度の枠組みで、本人の意思に反する利用を抑制することや、弊害や危険の大きな利用を制限することができるのか、あらためて検討する必要がある。

【著作権は、小向氏に属します】