なぜChatGPTはイタリアにおいて一般データ保護規則違反とされたかについて
2023.04.14
1.イタリアの判断
イタリアのデータ保護監視機関(IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI)は、OpenAIのChatGPTに対して暫定的な個人情報の利用停止を以下の理由により命じた。
規則第5条、第6条、第8条、第13条および第25条違反
- ユーザー及びデータ提供者に対して充分な情報開示がなされていない。
- 個人データの収集およびアルゴリズムの訓練目的に関して、適切な法的根拠が欠如している。
- ChatGPTによる情報提供が実際のデータと必ずしも一致しない場合があるため、個人データ処理の正確性に欠ける。
- ChatGPTの利用において、13歳以上であることを確認するための年齢検証が実施されていない。
- 13歳未満の児童に対して不適切な回答が表示されることがあり、児童の発達や自己認識に悪影響を与える可能性がある。
これらの理由により、イタリア国内におけるChatGPTの利用に関連する個人データ処理が、EUの一般データ保護規則(GDPR)の複数の規定に違反していると判断された。このため、監視機関は、OpenAIに対してイタリア国内でのChatGPTによる個人データ処理の暫定的な制限を命じた。
さらに、OpenAIは、本決定の受領から20日以内に、指示に従って実施された措置について報告し、上記違反の正当化に関する情報を提供するよう要求されている。違反に対しては、GDPRに基づく罰則が適用される可能性がある。
特に、2の適切な法的根拠が問題と思われる。
2.GDPR関連の条文
OpenAIは以下のポリシーを根拠づけているが、オプトアウト(同意なしに取得しデータ主体が削除する場合に応じる)のように見え、基本的にGDPRには違反していると思われる。上の1から5まであるが、フォーカスは2を中心とする。理由は、それ以外について比較的容易にクリアできる問題だからだ。
By using our Service, you understand and acknowledge that your Personal Information will be transferred from your location to our facilities and servers in the United States.
For EEA, UK or Swiss users:
Legal Basis for Processing. Our legal bases for processing your Personal Information include:
- Performance of a contract with you when we provide and maintain our Services. This may include the processing of Account Information, Content, and Technical Information.
- Our legitimate interests in protecting our Services from abuse, fraud, or security risks, or when we develop, improve, or promote our Services. This may include the processing of Account Information, Content, Social Information, and Technical Information.
- Your consent when we ask for your consent to process your Personal Information for a specific purpose that we communicate to you. You have the right to withdraw your consent at any time.
- Compliance with our legal obligations when we use your Personal Information to comply with applicable law or when we protect our or our affiliates’ or users’ rights, safety and property.
EEA and UK Representative.We’ve appointed VeraSafe as our representative in the EEA and UK for data protection matters. You can contact VeraSafe in matters related to Personal Information processing using this contact form. Alternatively:
- For users in the EEA, you can contact VeraSafe at VeraSafe Ireland Ltd, Unit 3D North Point House, North Point Business Park, New Mallow Road, Cork T23AT2P, Ireland.
- For users in the UK, you can contact VeraSafe at VeraSafe United Kingdom Ltd., 37 Albert Embankment, London SE1 7TL, United Kingdom.
If you feel we have not adequately addressed an issue, you have the right to lodge a complaint with your local supervisory authority.
Data Transfers.Where required, we will use appropriate safeguards for transferring Personal Information outside of the EEA, Switzerland, and the UK.We will only transfer Personal Information pursuant to a legally valid transfer mechanism.
Data Controller.For the purposes of the UK and EU General Data Protection Regulation 2018, our data controller is OpenAI, L.L.C at 3180 18th Street, San Francisco, CA, United States.
概要:
サービスの利用に伴い、利用者は自身の個人情報が所在地から米国の施設やサーバーへ転送されることを理解・承認したものとする。
EEA、英国、スイスの利用者に対して:
法的根拠:個人情報の処理に関する法的根拠は以下に示す。
- サービスの提供及び維持に関する契約の遂行。これにはアカウント情報、コンテンツ、技術情報の処理が含まれる。
- サービスの保護、改善、促進に関連する正当な利益。これにはアカウント情報、コンテンツ、ソーシャル情報、技術情報の処理が含まれる。
- 個人情報を特定目的で処理することへの同意。同意撤回の権利がいつでも保持される。
- 適用法に則り、アフィリエイトやユーザーの権利、安全、財産保護のために個人情報を使用する法的義務。
EEAおよび英国代表:データ保護事項について、EEAおよび英国の代表としてVeraSafeを指名。VeraSafeは、個人情報処理に関する問題で連絡が可能。さらに、以下の住所でも連絡が可能。
EEA利用者:VeraSafe Ireland Ltd, Unit 3D North Point House, North Point Business Park, New Mallow Road, Cork T23AT2P, Ireland 英国利用者:VeraSafe United Kingdom Ltd., 37 Albert Embankment, London SE1 7TL, United Kingdom
適切に問題が解決されない場合、地域監督機関への苦情申し立て権が存在する。
データ転送:EEA、スイス、英国外への個人情報転送に必要な場合、適切な保護措置を適用。個人情報は法的に有効な転送メカニズムに基づき転送される。
データコントローラ:英国及びEUの一般データ保護規則2018の目的において、データコントローラはOpenAI, L.L.C(所在地:3180 18th Street, San Francisco, CA, United States)である。
上の根拠がなぜ法的根拠にならないかといえば、6条1項fにも該当しないためである。
Article 6 Lawfulness of processing
第6 条 取扱いの適法性
1. Processing shall be lawful only if and to the extent that at least one of the following applies:
1. 取扱いは、以下の少なくとも一つが適用される場合においてのみ、その範囲内で、適法である:
(a) the data subject has given consent to the processing of his or her personal data for one or more specific purposes;
(a) データ主体が、一つ又は複数の特定の目的のための自己の個人データの取扱いに関し、同意を与えた場合。
(b) processing is necessary for the performance of a contract to which the data subject is party or in order to take steps at the request of the data subject prior to entering into a contract;
(b) データ主体が契約当事者となっている契約の履行のために取扱いが必要となる場合、又は、契約締結の前に、データ主体の要求に際して手段を講ずるために取扱いが必要となる場合。
(c) processing is necessary for compliance with a legal obligation to which the controller is subject;
(c) 管理者が服する法的義務を遵守するために取扱いが必要となる場合。
(d) processing is necessary in order to protect the vital interests of the data subject or of another natural person;
(d) データ主体又は他の自然人の生命に関する利益を保護するために取扱いが必要となる場合。
(e) processing is necessary for the performance of a task carried out in the public interest or in the exercise of official authority vested in the controller;
(e) 公共の利益において、又は、管理者に与えられた公的な権限の行使において行われる職務の遂行のために取扱いが必要となる場合。
(f) processing is necessary for the purposes of the legitimate interests pursued by the controller or by a third party, except where such interests are overridden by the interests or fundamental rights and freedoms of the data subject which require protection of personal data, in particular where the data subject is a child.
(f) 管理者によって、又は、第三者によって求められる正当な利益の目的のために取扱いが必要となる場合。ただし、その利益よりも、個人データの保護を求めるデータ主体の利益並びに基本的な権利及び自由のほうが優先する場合、特に、そのデータ主体が子どもである場合を除く。
前文
(47) The legitimate interests of a controller, including those of a controller to which the personal data may be disclosed, or of a third party, may provide a legal basis for processing, provided that the interests or the fundamental rights and freedoms of the data subject are not overriding, taking into consideration the reasonable expectations of data subjects based on their relationship with the controller. Such legitimate interest could exist for example where there is a relevant and appropriate relationship between the data subject and the controller in situations such as where the data subject is a client or in the service of the controller. At any rate the existence of a legitimate interest would need careful assessment including whether a data subject can reasonably expect at the time and in the context of the collection of the personal data that processing for that purpose may take place. The interests and fundamental rights of the data subject could in particular override the interest of the data controller where personal data are processed in circumstances where data subjects do not reasonably expect further processing. Given that it is for the legislator to provide by law for the legal basis for public authorities to process personal data, that legal basis should not apply to the processing by public authorities in the performance of their tasks. The processing of personal data strictly necessary for the purposes of preventing fraud also constitutes a legitimate interest of the data controller concerned. The processing of personal data for direct marketing purposes may be regarded as carried out for a legitimate interest.
(47) 個人データの開示を受けうる管理者の正当な利益を含め、管理者又は第三者の正当な利益は、データ主体と管理者との関係に基づくデータ主体の合理的な期待を考慮に入れた上で、データ主体の利益又は基本的な権利及び自由を覆すものとならない場合に、取扱いのための法的根拠を提供しうる。そのような正当な利益は、例えば、データ主体が管理者のサービスの顧客である場合や管理者からサービスの提供を受けている場合のような状況において、データ主体と管理者との間に妥当で適切な関係がある場合には、存在しうる。いずれにせよ、個人データの収集の時点において、及び、その過程において、当該目的のために取扱いが行われることをデータ主体が合理的に期待できるか否かを含め、正当な利益の存在に関しては、注意深い評価を要するであろ
う。データ主体が合理的にさらなる取扱いを予期しない状況下で個人データが取扱われる場合、特に、データ主体の利益及び基本的な権利は、データ管理者の利益よりも優先しうる。公的機関に関して個人データを取扱うための法的根拠を法律によって定めるのが立法者であることに鑑み、当該法的根拠は、公的機関がその職務の遂行において行う取扱いに適用してはならない。不正行為の防止の目的のために厳密に必要性のある個人データの取扱いもまた、関係するデータ管理者の正当な利益を構成する。ダイレクトマーケティングのための個人データの取扱いは、正当な利益のために行われるものとみなされうる。
太字の部分においての正当な利益の目的に該当しない可能性が高いからである。すなわち、前文の基準を満たすべきところ、「サービスの保護、改善、促進に関連する正当な利益。これにはアカウント情報、コンテンツ、ソーシャル情報、技術情報の処理が含まれる。」では十分な理由ともいえないからである。
3.この点、日本である場合どうか?
①取得段階
日本の個人情報においては、要配慮個人情報や偽りなどない限り、利用目的を公表すれば取得可能になっている。
第5 条 個人データの取扱いと関連する基本原則
1. Personal data shall be:
1. 個人データは:
(a) processed lawfully, fairly and in a transparent manner in relation to the data subject (‘lawfulness, fairness and transparency’);
(a) そのデータ主体との関係において、適法であり、公正であり、かつ、透明性のある態様で取扱われなければならない。(「適法性、公正性及び透明性」)
(b) collected for specified, explicit and legitimate purposes and not further processed in a manner that is incompatiblewith those purposes; further processing for archiving purposes in the public interest, scientific or historical research purposes or statistical purposes shall, in accordance with Article 89(1), not be considered to be incompatible with the initial purposes (‘purpose limitation’);
(b) 特定され、明確であり、かつ、正当な目的のために収集されるものとし、かつ、その目的に適合しない態様で追加的取扱いをしてはならない。公共の利益における保管の目的、科学的研究若しくは歴史的研究の目的又は統計の目的のために行われる追加的取扱いは、第 89 条第 1 項に従い、当初の目的と適合しないものとはみなされない。(「目的の限定」)
(c) adequate, relevant and limited to what is necessary in relation to the purposes for which they are processed (‘dataminimisation’);
(c) その個人データが取扱われる目的との関係において、十分であり、関連性があり、かつ、必要のあるものに限定されなければならない。(「データの最小化」)
(d) 正確であり、かつ、それが必要な場合、最新の状態に維持されなければならない。その個人データが取扱われる目的を考慮した上で、遅滞なく、不正確な個人データが消去又は訂正されることを確保するための全ての手立てが講じられなければならない。(「正確性」)
(e) kept in a form which permits identification of data subjects for no longer than is necessary for the purposes for which the personal data are processed; personal data may be stored for longer periods insofar as the personal data will be processed solely for archiving purposes in the public interest, scientific or historical research purposes or statistical purposes in accordance with Article 89(1) subject to implementation of the appropriate technical and organisational measures required by this Regulation in order to safeguard the rights and freedoms of the data subject (‘storage
limitation’);
(e) その個人データが取扱われる目的のために必要な期間だけ、データ主体の識別を許容する方式が維持されるべきである。データ主体の権利及び自由の安全性を確保するために本規則によって求められる適切な技術上及び組織上の措置の実装の下で、第 89 条第 1 項に従い、公共の利益における保管の目的、科学 的研究若しくは歴史的研究の目的又は統計の目的のみのために取扱われる個人データである限り、その個人データをより長い期間記録保存できる。(「記録保存の制限」)
(f) processed in a manner that ensures appropriate security of the personal data, including protection against unauthorised or unlawful processing and against accidental loss, destruction or damage, using appropriate technical or organisational measures (‘integrity and confidentiality’).
(f) 無権限による取扱い若しくは違法な取扱いに対して、並びに、偶発的な喪失、破壊又は損壊に対して、適切な技術上又は組織上の措置を用いて行われる保護を含め、個人データの適切な安全性を確保する態様により、取扱われる。(「完全性及び機密性」)
第7 条 同意の要件
1. Where processing is based on consent, the controller shall be able to demonstrate that the data subject has consented to processing of his or her personal data.
1. 取扱いが同意に基づく場合、管理者は、データ主体が自己の個人データの取扱いに同意していることを証明きるようにしなければならない。
2. If the data subject’s consent is given in the context of a written declaration which also concerns other matters, the request for consent shall be presented in a manner which is clearly distinguishable from the other matters, in an intelligible and easily accessible form, using clear and plain language. Any part of such a declaration which constitutes an infringement of this
Regulation shall not be binding.
3. The data subject shall have the right to withdraw his or her consent at any time. The withdrawal of consent shall not affect the lawfulness of processing based on consent before its withdrawal. Prior to giving consent, the data subject shall be informed thereof. It shall be as easy to withdraw as to give consent.
3. データ主体は、自己の同意を、いつでも、撤回する権利を有する。同意の撤回は、その撤回前の同意に基づく取扱いの適法性に影響を与えない。データ主体は、同意を与える前に、そのことについて情報提供を受けるものとしなければならない。同意の撤回は、同意を与えるのと同じように、容易なものでなければならない。
4. When assessing whether consent is freely given, utmost account shall be taken of whether, inter alia, the performance of a contract, including the provision of a service, is conditional on consent to the processing of personal data that is not necessaryfor the performance of that contract.
4. 同意が自由に与えられたか否かを判断する場合、特に、サービスの提供を含め、当該契約の履行に必要のない個人データの取扱いの同意を契約の履行の条件としているか否かについて、最大限の考慮が払われなければならない。
第13 条 データ主体から個人データが取得される場合において提供される情報
1. Where personal data relating to a data subject are collected from the data subject, the controller shall, at the time when
personal data are obtained, provide the data subject with all of the following information:
1. データ主体と関連する個人データがそのデータ主体から収集される場合、管理者は、その個人データを取得する時点において、そのデータ主体に対し、以下の全ての情報を提供する:
(a) the identity and the contact details of the controller and, where applicable, of the controller’s representative;
(a) 管理者の身元及び連絡先、及び、該当する場合は、管理者の代理人の身元及び連絡先。
(b) the contact details of the data protection officer, where applicable;
(b) 該当する場合は、データ保護オフィサーの連絡先。
(c) the purposes of the processing for which the personal data are intended as well as the legal basis for the processing;
(c) 予定されている個人データの取扱いの目的及びその取扱いの法的根拠。
(d) where the processing is based on point (f) of Article 6(1), the legitimate interests pursued by the controller or by a third party;
(d) その取扱いが第6 条第1 項(f)を根拠とする場合、管理者又は第三者が求める正当な利益。
(e) the recipients or categories of recipients of the personal data, if any;
(e) もしあれば、個人データの取得者又は取得者の類型。
(f) where applicable, the fact that the controller intends to transfer personal data to a third country or international organisation and the existence or absence of an adequacy decision by the Commission, or in the case of transfers referred to in Article 46 or 47, or the second subparagraph of Article 49(1), reference to the appropriate or suitable safeguards and the means by which to obtain a copy of them or where they have been made available.
(f) 該当する場合は、管理者が個人データを第三国又は国際機関に移転することを予定しているという事実、及び、欧州委員会による十分性認定の存否、又は、第46 条若しくは第47 条に定める移転の場合又は第 49 条第 1 項第 2 項後段に定める移転の場合、適切又は適合する保護措置、及び、その複製物を取得するための方法、又は、どこでそれらが利用可能とされたかについての情報。
2. In addition to the information referred to in paragraph 1, the controller shall, at the time when personal data are obtained, provide the data subject with the following further information necessary to ensure fair and transparent processing:
2. 第1 項に定める情報に加え、管理者は、個人データを取得する時点において、データ主体に対し、公正かつ透明性のある取扱いを確保するために必要な以下の付加的な情報を提供する。
(a) the period for which the personal data will be stored, or if that is not possible, the criteria used to determine that period;
(a) その個人データが記録保存される期間、又は、それが不可能なときは、その期間を決定するために用いられる基準。
②データの保管段階
③未成年などの制限
第8 条 情報社会サービスとの関係において子どもの同意に適用される要件
1. Where point (a) of Article 6(1) applies, in relation to the offer of information society services directly to a child, the processing of the personal data of a child shall be lawful where the child is at least 16 years old. Where the child is below the age of 16 years, such processing shall be lawful only if and to the extent that consent is given or authorised by the holder of
parental responsibility over the child.Member States may provide by law for a lower age for those purposes provided that such lower age is not below 13 years.
1. 子どもに対する直接的な情報社会サービスの提供との関係において第 6 条第 1 項(a)が適用される場合、その子どもが16 歳以上であるときは、その子どもの個人データの取扱いは適法である。その子どもが16 歳未満の場合、そのような取扱いは、その子どもの親権上の責任のある者によって同意が与えられた場合、又は、その者によってそれが承認された場合に限り、かつ、その範囲内に限り、適法である。加盟国は、その年齢が 13 歳を下回らない限り、法律によって、それらの目的のためのより低い年齢を定めることができる。
2. The controller shall make reasonable efforts to verify in such cases that consent is given or authorised by the holder of parental responsibility over the child, taking into consideration available technology.
2. 管理者は、利用可能な技術を考慮に入れた上で、その子どもについて親権上の責任のある者によって同意が与えられたこと、又は、その者によってそれが承認されたことを確認するための合理的な努力をするものとする。
and the collection of personal data with regard to children when using services offered directly to a child. The consent of the holder of parental responsibility should not be necessary in the context of preventive or counselling services offered directly to a child.
(38) 子どもは、個人データの取扱いと関連するリスク、結果及び関係する保護措置、並びに、自らの権利について十分に認識できないかもしれないため、その個人データに関して特別の保護を享受する。特に、マーケティングの目的、その子どもに関するパーソナリティ若しくは個人プロファイルの作成の目的での子供についての個人データの使用、及び子どもに対して直接に提示されるサービスを利用する際の子どもの個人データの収集に対して、そのような特別の保護が適用されなければならない。子どもに対して直接に提供される予防的サービスサービス又はカウンセリングサービスの文脈においては、親権を有する者の同意を要しない。
