赤坂国際会計事務所

個人情報保護委員会「生成AIサービスの利用に関する注意喚起等について」の読み取り 2023年6月2日付

2023.06.02

https://www.ppc.go.jp/news/press/2023/230602kouhou/

1AIガバナンスについての言及

つまり、将来のガバナンスは予測すべき

2個人情報取扱事業者における注意点

個人情報取扱事業者はほとんどの事業者はそうなりつつあるが、

インプットの段階で個人情報を含む場合、承諾された利用目的、公表されたプラポリや委託の範囲内で、入力できているかを確認するという意味で捉えている。

但し、承諾の範囲内にGPT利用が入っていない(つまり、GPTの改良目的も利用の目的に入っていない)場合、API利用など改良させない仕組みを持っていない限り、アウトになる可能性がある。なお、APIでも不正な利用などを人的チェックする30日保存期間があるため、要注意。このあたり、OpenAIの機能・監督次第で、実際に不安な場合マイクロソフトなどを使う方が好ましいと理解している。大きなスキャンダルなど発生する可能性は十分ある。

ちなみに、会社の保有するデータをAPI経由でもないか形でシャドーユース(個人ユース)する場合、会社の監督義務違反になることは言うまでもない。さらに、成果物(アウトプット)の利用も要注意。

(1) 個人情報取扱事業者における注意点
① 個人情報取扱事業者が生成 AI サービスに個人情報を含むプロンプトを入力する場合には、特定された当該個人情報の利用目的を達成するために必要な範囲内であることを十分に確認すること。
② 個人情報取扱事業者が、あらかじめ本人の同意を得ることなく生成 AI サービスに個人データを含むプロンプトを入力し、当該個人データが当該プロンプトに対する応答結果の出力以外の目的で取り扱われる場合、当該個人情報取扱事業者は個人情報保護法の規定に違反することとなる可能性がある。そのため、このようなプロンプトの入力を行う場合には、当該生成 AI サービスを提供する事業者が、当該個人データを機械学習に利用しないこと等を十分に確認すること。

3行政機関等における注意点

こちらは行政なので割愛

(2) 行政機関等における注意点
① 行政機関等が生成 AI サービスに個人情報を含むプロンプトを入力する場合には、特定された当該個人情報の利用目的のための必要最小限の利用又は提供であることを十分に確認すること。
② 行政機関等が、生成 AI サービスに保有個人情報を含むプロンプトを入力し、当該保有個人情報が当該プロンプトに対する応答結果の出力以外の目的で取り扱われる場合、当該行政機関等は個人情報保護法の規定に違反することとなる可能性がある。そのため、このようなプロンプトの入力を行う場合には、当該生成 AI サービスを提供する事業者が、当該保有個人情報を機械学習に利用しないこと等を十分に確認すること。

4一般人が個人的利用の場合(会社のためになどのシャドーユースではない)

自分のデータなどを入れたりする(インプット)などをしてはダメという注意を促す。

生成されたデータ自体(アウトプット)が間違っているので、注意を喚起。不注意に利用規約やプラポリなどを見ないでつかうことは好ましいものではないと注意を喚起。

(3) 一般の利用者における留意点
① 生成 AI サービスでは、入力された個人情報が、生成 AI の機械学習に利用されることがあり、他の情報と統計的に結びついた上で、また、正確又は不正確な内容で、生成 AI サービスから出力されるリスクがある。そのため、生成 AIサービスに個人情報を入力等する際には、このようなリスクを踏まえた上で適切に判断すること。
② 生成 AI サービスでは、入力されたプロンプトに対する応答結果に不正確な内容が含まれることがある。例えば、生成 AI サービスの中には、応答結果として自然な文章を出力することができるものもあるが、当該文章は確率的な相関関係に基づいて生成されるため、その応答結果には不正確な内容の個人情報が含まれるリスクがある。そのため、生成 AI サービスを利用して個人情報を取り扱う際には、このようなリスクを踏まえた上で適切に判断すること。
③ 生成 AI サービスの利用者においては、生成 AI サービスを提供する事業者の利用規約やプライバシーポリシー等を十分に確認し、入力する情報の内容等を踏まえ、生成 AI サービスの利用について適切に判断すること。

5OpenAIに対する要望

 

1要配慮個人情報について

要配慮個人情報は、以下の通り、予め同意が必要

(適正な取得)
第二十条 個人情報取扱事業者は、偽りその他不正の手段により個人情報を取得してはならない。
2 個人情報取扱事業者は、次に掲げる場合を除くほか、あらかじめ本人の同意を得ないで、要配慮個人情報を取得してはならない。
一 法令に基づく場合
二 人の生命、身体又は財産の保護のために必要がある場合であって、本人の同意を得ることが困難であるとき。
三 公衆衛生の向上又は児童の健全な育成の推進のために特に必要がある場合であって、本人の同意を得ることが困難であるとき。
四 国の機関若しくは地方公共団体又はその委託を受けた者が法令の定める事務を遂行することに対して協力する必要がある場合であって、本人の同意を得ることにより当該事務の遂行に支障を及ぼすおそれがあるとき。
五 当該個人情報取扱事業者が学術研究機関等である場合であって、当該要配慮個人情報を学術研究目的で取り扱う必要があるとき(当該要配慮個人情報を取り扱う目的の一部が学術研究目的である場合を含み、個人の権利利益を不当に侵害するおそれがある場合を除く。)。
六 学術研究機関等から当該要配慮個人情報を取得する場合であって、当該要配慮個人情報を学術研究目的で取得する必要があるとき(当該要配慮個人情報を取得する目的の一部が学術研究目的である場合を含み、個人の権利利益を不当に侵害するおそれがある場合を除く。)(当該個人情報取扱事業者と当該学術研究機関等が共同して学術研究を行う場合に限る。)。
七 当該要配慮個人情報が、本人、国の機関、地方公共団体、学術研究機関等、第五十七条第一項各号に掲げる者その他個人情報保護委員会規則で定める者により公開されている場合
八 その他前各号に掲げる場合に準ずるものとして政令で定める場合

そこで、以下のように取得しないことを要望に出している。

1 要配慮個人情報の取得
あらかじめ本人の同意を得ないで、ChatGPT の利用者(以下「利用者」という。)及び利用者以外の者を本人とする要配慮個人情報を取得しないこと(法第 20 条第
2項各号に該当する場合を除く。)。
特に、以下の事項を遵守すること。
(1)機械学習のために情報を収集することに関して、以下の4点を実施すること。
① 収集する情報に要配慮個人情報が含まれないよう必要な取組を行うこと。
② 情報の収集後できる限り即時に、収集した情報に含まれ得る要配慮個人情報をできる限り減少させるための措置を講ずること。
③ 上記①及び②の措置を講じてもなお収集した情報に要配慮個人情報が含まれていることが発覚した場合には、できる限り即時に、かつ、学習用データセ
ットに加工する前に、当該要配慮個人情報を削除する又は特定の個人を識別できないようにするための措置を講ずること。
④ 本人又は個人情報保護委員会等が、特定のサイト又は第三者から要配慮個人情報を収集しないよう要請又は指示した場合には、拒否する正当な理由がない限り、当該要請又は指示に従うこと。
(2)利用者が機械学習に利用されないことを選択してプロンプトに入力した要配慮個人情報について、正当な理由がない限り、取り扱わないこと。

 

さらに日本語での対応が必要としている。

2 利用目的の通知等
利用者及び利用者以外の者を本人とする個人情報の利用目的について、日本語を用いて、利用者及び利用者以外の個人の双方に対して通知し又は公表すること。

ご相談はこちらから