個人情報保護法のWEB弁護士相談 - 入門・定義編 -

6. 生成AIと個人情報保護法

ChatGPTなどの生成AIを活用したサービスが普及しつつありますが、企業が生成AIを利用するにあたっては、生成AIの利用により生じる法的論点にも配慮が必要です。
生成AIの利用に関する個人情報保護法上の論点を解説します。

インデックス
  • 業務内容

    最近、ChatGPTが話題ですね。
    生成AIと呼ばれているそうですが、そもそも生成AIとは何でしょうか。

    生成AIとは、人工知能(AI)の利用により、短い文字列などの単純なコンテンツをもとに、テキストや画像などを生成できる機能・サービスのことです。
    ChatGPTですと、質問を短い文章で投げかけると、テキスト形式の回答を生成することができます。
    ユーザーが生成AIに投げかける質問のことを「プロンプト」といいます。
    また、生成AIが出力する回答のことを「コンプリーション」といいます。
    それ以外にも、画像やイラストを自動的に生成してくれるサービスや、音声データを文字起こししたテキストを生成するサービスなどもあります。
    個人情報保護委員会の資料では、「生成AIサービス」を次のように定義しています。

      質問・作業指示(プロンプト入力)等に応えて文章・画像等を生成するAIを利用したサービス

    (個人情報保護委員会「生成AIサービスの利用に関する注意喚起等」

    生成AIに個人情報を入力する事例としては、どのようなものが考えられますか。

    個人顧客や従業員の情報を学習用データとして学習させた上で、個々の個人顧客や従業員に関する分析評価結果を得る、というような活用法はありそうです。 まだ実務が確立している領域ではありませんので、それぞれの企業における課題や保有する個人情報の種類・量をもとに議論していくと、思いがけず良いアイデアに巡り合えるかもしれませんね。 私も事例を2つほど考えてみました。

    個人顧客の個人情報を利用するケース
    従業員の個人情報を利用するケース

    このようなことが実現できるかは未知数ですが、検討は進めてみたほうが良さそうですね。

    個人情報保護法との関係で気をつけるポイントがあるのでしょうか。

    個人情報を含むコンテンツを生成AIに入力する場合には、個人情報の利用と提供に関する規制に違反しないかどうかに注意が必要です。
    個人情報保護委員会も2023年6月に「生成AIサービスの利用に関する注意喚起等」を公表し、注意喚起を行っています。
    2023年8月には、その要約版となる広報パンフレット「生成AIサービスの利用に関する注意喚起」も公表されています。

    「注意喚起」というのは厳しい表現ですね。
    個人情報保護委員会は、生成AIの利用を禁止したり、自粛したりすることを求めているのでしょうか。

    いいえ、そんなことはありません。
    生成AIの社会的意義を認めつつ、個人情報保護委員会が所掌している個人情報の適正な取扱いやプライバシー保護の観点からの情報発信を行っているのだと理解しておくとよいでしょう。
    具体的には、次のように表現されています。

      我が国においても、現在、生成AIサービスが普及していることを踏まえ、当委員会として、個人情報の適正な取扱いによる個人の権利利益の確保の要請と、新たな技術に基づく公共的な利益(イノベーションの促進、生産性の向上、教育効果の向上、気候変動問題等の国際社会の課題の解決等を通じて、多様な社会的・経済的利益の増進に寄与する可能性)の要請とのバランスに留意しつつ、生成AIサービスの利用に関する注意喚起等を行うこととした。

    (個人情報保護委員会「生成AIサービスの利用に関する注意喚起等」)

    まずは個人情報の利用の観点から検討していきましょう。
    個人情報保護委員会の注意喚起には、次のような記載があります。

      個人情報取扱事業者が生成AIサービスに個人情報を含むプロンプトを入力する場合には、特定された当該個人情報の利用目的を達成するために必要な範囲内であることを十分に確認すること。

    (個人情報保護委員会「生成AIサービスの利用に関する注意喚起等」(1)①)

    当社がWebページで公表している個人情報の利用目的に合っているかを確認する、ということですね。

    そのとおりです。
    個人情報の利用は、原則として、個人情報取扱事業者である企業が自ら特定した利用目的の達成に必要な範囲内で行わなければなりません。(個人情報保護法18条1項)
    このことは、生成AIを利用する場合も同様です。

    公表している利用目的に「ChatGPTを利用する」という記載が必要なのでしょうか。

    いいえ、そこまで具体的に記載する必要はありません。
    ただし、生成AIの利用により本人の行動や関心を分析する場合は、それが分かるように利用目的を具体化しておくことが必要です。
    次のガイドラインの記載を参考に、現状の利用目的で特定が十分と言えるかどうかを検討してみてください。

      本人から得た情報から、本人に関する行動・関心等の情報を分析する場合、個人情報取扱事業者は、どのような取扱いが行われているかを本人が予測・想定できる程度に利用目的を特定しなければならない。
      【本人から得た情報から、行動・関心等の情報を分析する場合に具体的に利用目的を特定している事例】
      事例1)
      「取得した閲覧履歴や購買履歴等の情報を分析して、趣味・嗜好に応じた新商品・サービスに関する広告のために利用いたします。」

    (ガイドライン(通則編)3-1-1)

    次は、提供についての規制ですね。

    はい。まずは注意喚起の内容を紹介します。

      個人情報取扱事業者が、あらかじめ本人の同意を得ることなく生成AIサービスに個人データを含むプロンプトを入力し、当該個人データが当該プロンプトに対する応答結果の出力以外の目的で取り扱われる場合、当該個人情報取扱事業者は個人情報保護法の規定に違反することとなる可能性がある。そのため、このようなプロンプトの入力を行う場合には、当該生成AIサービスを提供する事業者が、当該個人データを機械学習に利用しないこと等を十分に確認すること。

    (個人情報保護委員会「生成AIサービスの利用に関する注意喚起等」(1)①)

    「個人データが当該プロンプトに対する応答結果の出力以外の目的で取り扱われる場合」には、個人情報保護法違反の可能性があるのですね。
    このような場合に該当するかどうかは、どのように確認すれば良いでしょうか。

    まずは、生成AIの利用規約やヘルプページを確認してみましょう。
    無料・低額で使えるサービスの場合は、ユーザーが入力したデータを生成AIによる機械学習のために利用するとされていることがあります。
    このような場合は、ユーザーから生成AIの運営企業に対する個人情報の第三者提供が実施されているという評価になります。(運営企業の所在地またはサーバーが国外にある場合は、個人情報の外国提供)
    それゆえ、本人の事前同意を得ることなく生成AIへの入力を行うことはできません。(個人情報保護法27条、28条)
    逆に、有料プランで利用しているユーザーが入力したプロンプトは、機械学習などの運営企業による利用の対象外とするという規約を定めているケースであれば、第三者提供には該当しないと判断できます。

    プロンプトに含まれる情報を結果の出力のみに利用するAIであれば、「提供」がない、という解釈になるのでしょうか。

    その点はまだ解釈が定まっていません。
    生成AIの利用が拡大する以前から、クラウドサービスについては次のような解釈が示されており、「提供」に該当しないケースがあるとされていました。
    生成AIについても、同様に「提供」が行われていないとの評価はあり得ます。

      クラウドサービスの利用が、本人の同意が必要な第三者提供(法第27条第1項)又は委託(法第27条第5項第1号)に該当するかどうかは、保存している電子データに個人データが含まれているかどうかではなく、クラウドサービスを提供する事業者において個人データを取り扱うこととなっているのかどうかが判断の基準となります。当該クラウドサービス提供事業者が、当該個人データを取り扱わないこととなっている場合には、当該個人情報取扱事業者は個人データを提供したことにはならないため、「本人の同意」を得る必要はありません。
      (中略)
      当該クラウドサービス提供事業者が、当該個人データを取り扱わないこととなっている場合とは、契約条項によって当該外部事業者がサーバに保存された個人データを取り扱わない旨が定められており、適切にアクセス制御を行っている場合等が考えられます。

    (Q&A7-53)

    プロンプトとしてデータを移転させ、応答結果を出力させる処理を行っていることからすると、「個人データを取り扱わないこととなっている場合」に該当すると言い切って良いかは不安です。

    それでしたら、「提供」は行うものの、委託に伴う提供であるという前提で整理を進めることも考えられます。
    この場合、第三者提供に当たらなくなりますので、本人の事前同意を得る必要もなくなります。(個人情報保護法27条5項1号)
    ただし、生成AIの運営企業を委託先として監督する必要が生じる点に注意が必要です。(個人情報保護法25条)
    委託に伴う提供の注意点については、「個人情報の委託に伴う提供/委託先の監督方法」を参照してください。
    また、外国提供に当たる場合は、委託に伴う提供と整理するだけでは不十分であり、外国提供の適法性を確保するために、運営企業の基準適合体制の確認を行うなどの対応が必要になります。
    外国にある第三者への個人情報の提供については、また別の機会に詳しく解説します。

    生成AIに個人情報を入力する場合に注意すべき論点はほかにありますか。

    生成AIに入力するデータに個人情報を含めることが生成AIの利用規約で禁止されていることがありますので、そのような制約がないかを確認しておきましょう。
    また、個人のプライバシーに対する影響を最小限にとどめるべきという観点から、不要な個人情報をあらかじめ削除し、入力する個人情報を最小限にとどめる工夫を行うことも望まれます。
    さらに、外国在住者に関する情報を含む場合は、GDPR(EU一般データ保護規則)、CPRA(カリフォルニア州プライバシー権法)などの現地法の域外適用についても検討する必要が生じます。

    今回は個人情報保護法に関する論点を相談しましたが、他にも留意すべき法令・論点はあるでしょうか。

    著作権、商標などの知的財産権を含むコンテンツを入力する場合は、著作権法、商標法などの知的財産権法に関する検討が必要です。
    また、個人情報に当たらない情報であっても、取引先との契約または信義則に基づく守秘義務に違反する結果にならないかという観点での検討は必要です。

    ご注意いただきたい点
    • 2023年4月1日に施行されている法令等をもとに執筆されています。同日以降の改正の有無については、個別にお問い合わせください。
    • 個人情報保護法では、個人情報・個人データ・保有個人データの用語が使い分けられていますが、記事中では「個人情報」を「個人データ」「保有個人データ」と同じ意味で使用しています。
    • この記事で登場する法令名と資料の略称は、次のとおりです。
      • 個人情報保護法:「個人情報の保護に関する法律」
      • 施行規則:「個人情報の保護に関する法律施行規則」
      • ガイドライン(通則編):「個人情報の保護に関する法律についてのガイドライン(通則編)」
      • ガイドライン(仮名・匿名加工編):「個人情報の保護に関する法律についてのガイドライン(仮名加工情報・匿名加工情報編)」
      • 金融分野ガイドライン:「金融分野における個人情報保護に関するガイドライン」
      • 信用分野ガイドライン:「信用分野における個人情報保護に関するガイドライン」
      • Q&A:「個人情報の保護に関する法律についてのガイドライン に関するQ&A」
      • 金融分野Q&A:「金融機関における個人情報保護に関するQ&A」
      • 不正アクセス禁止法:「不正アクセス行為の禁止等に関する法律」
    • 個人情報取扱事業者からの初回のご相談は60分無料ですので、お気軽にお問い合わせください。なお、個人の方からの個人情報保護法に関するご相談には、一律対応しておりません。
    執筆者紹介

    弁護士 永井利幸(永井法律事務所 代表弁護士)

    2010年弁護士登録。 金融機関、IT・Webサービス企業、不動産会社などを依頼企業として企業法務案件に継続的に関与しています。 企業のご担当者からの初回のご相談は60分無料ですので、お気軽にお問い合わせください。

    この記事をシェアする

    1. 資料のダウンロード

    当事務所の業務紹介資料をこちらからダウンロードいただけます。

    永井法律事務所案内 (2.6MB)

    2. ご依頼に向けた初回相談

    当事務所へのご依頼を検討されているご担当者様からの個別のご相談をお受けいたします。
    どうぞお気軽にお問い合わせください。

    初回相談費用 60 分間 無料

    3. 初回相談後の流れ

    初回相談後に、お聞かせいただいたお話の内容をもとに、当事務所が提供できる業務の内容と料金のお見積をご提示いたします。
    料金は、タイムチャージ(弁護士の時間単価×業務に要した時間による積算)を原則としております。
    なお、債権回収案件などでは着手金・報酬金方式をご提案させていただくこともあります。
    また、顧問契約(法律事務基本契約)の締結をご希望される方には、顧問契約のお見積もご提示いたします。

    ご依頼いただける場合の料金のお支払には、銀行振込のほか、クレジットカード(VISA、Mastercard、JCB、AMEX)、PayPay、PayPalをご利用いただけます。(ご依頼内容により銀行振込のみでのお支払いとなる場合がございます。)

    支払い方法

    PDFとしてダウンロードしたい場合は、印刷の設定画⾯で
    「プリンター」を「PDFに保存」に変更してください。