ChatGPTの規約を読み解く#3
前回まではChatGPTの規約の分析をしてきました。
今回は、自社サービスのデータ、特にユーザーから預かっている個人情報または個人データをChatGPTに入力する場合に発生し得る日本の個人情報保護法に関わる論点を見ていきたいと思います。当然、入力するデータの種類、データの入力方法、ChatGPTを搭載するサービスの性質等によって、論点や結論は変わってきますので、あくまでも論点整理にご利用・ご活用いただければ幸いです。
利用目的
個人情報取扱事業者は、既に取得している個人情報について、本人の同意を得ることなく、事前にプラポリ等で特定された利用目的の達成に必要な範囲を超えて個人情報を取り扱うことはできません(個人情報保護法18条1項)。すなわち、ユーザーから預かっている個人情報をChatGPTに入力する場合には、自社サービスのプラポリで定めている利用目的の達成に必要な行為であるかどうかを検討する必要があります。
もし、必要な範囲を超えると判断した場合には、本人の同意を得るか(同条18条1項)、関連性を有すると合理的に認められる範囲において利用目的を変更し(同法17条2項)、本人に通知または公表しなければなりません(同法21条3項)。
なお、利用目的の特定の程度については、「個人情報の保護に関する法律についてのガイドライン」に関するQ&A (令和4年5月26日更新)Q2-1を、変更の可否に関する具体例については、同Q&AのQ2-7や2-8をご参照ください。
第三者提供の制限
ChatGPTに提供するデータの中に個人データが含まれる場合、当該行為が第三者提供(同法27条、28条)に該当するかも問題になります。Privacy Policy (2023年3月14日更新版)9.によれば、ChatGPTに入力したデータは、アメリカ国内のサーバーに送信されることになります。アメリカは、2023年3月1日現在、「我が国と同等の水準にあると認められている個人情報の保護に関する制度を有していない外国」(同法28条1項)とされており(「個人の権利利益を保護する上で我が国と同等の水準にあると認められる個人情報の保護に関する制度を有している外国として個人情報保護委員会規則で定めるもの」参照)、第28条にいう「外国」に該当するため、個人データをChatGPTに入力する場合に、第28条1項が定める「外国にある第三者への提供の制限」の適用があるかどうかが問題となります。具体的には、上記「外国」該当性の他に、①ChatGPTに個人データを入力する行為が「提供」に該当するのか、②OpenAIが第28条にいう「第三者」に該当するのかが問題となります。
9. International users
By using our Service, you understand and acknowledge that your Personal Information will be transferred from your location to our facilities and servers in the United States.
「提供」の有無
まず、ChatGPTに個人データを入力する行為が「提供」に該当するのかを検討します。
「個人情報の保護に関する法律についてのガイドライン」(通則編)(令和4年9月更新)2-17では、「提供」とは、以下のとおり説明されています。
個人データ、保有個人データ、個人関連情報、仮名加工情報又は匿名加工情報(以下この項において「個人データ等」という。)を、自己以外の者が利用可能な状態に置くことをいう。個人データ等が、物理的に提供されていない場合であっても、ネットワーク等を利用することにより、個人データ等を利用できる状態にあれば(利用する権限が与えられていれば)、「提供」に当たる。
#2で検討したとおり、OpenAIは、API経由で入力されたデータについては、AIモデルの改善のための利用をしないと明言しています。しかし、API data usage policies(2023年3月1日更新版、以下同じ)によれば、API経由のデータであっても、「不正使用や悪用を監視する目的」においては人によりアクセスをする可能性があるとされています。ガイドライン(通則編)が示している「提供」の定義では、自己以外の者が利用可能な状態に置くことは「提供」にあたるとされていますが、不正使用等を防ぐための監視目的でのみアクセスする可能性があるような場合について、「提供」に当たらないものとして整理できるのかどうかは、解釈上明らかではありません。
また、「個人情報の保護に関する法律についてのガイドライン」に関するQ&A (令和4年5月26日更新)Q7-53では、「提供」の解釈について、「クラウドサービスを提供する事業者において個人データを取り扱うこととなっているかどうか」が判断の基準になるとされており、「契約条項によって当該外部事業者がサーバーに保存された個人データを取り扱わない旨が定められており、適切にアクセス制御を行っている場合等」が「個人データを取り扱わないこととなっている場合」にあたるとされています。しかし、やはり、不正使用を監視する目的に限定してアクセスを認めるというポリシーをもって、「適切にアクセス制御を行っている」といえるかは、明らかではありません。また、適切なアクセス制御の中身は、個人データの性質なども踏まえて、相対的に決まるものであるため、究極的には各社毎に判断すべき事項となります。(アクセス制御として構築すべき中身については、「個人情報の保護に関する法律についてのガイドライン」(通則編)(令和4年9月更新)10-6や「個人情報の保護に関する法律についてのガイドライン」に関するQ&A (令和4年5月26日更新)Q10-18あたりをご参照ください)。
したがって、同法28条1項の「提供」該当性は、最終的には個人データの性質なども踏まえて総合的に判断すべきものとなりますが、確実に「提供」該当性を否定するためには、OpenAIとの間で個人データを取り扱わない旨および適切なアクセス制御を実施することについて別途の合意が必要になると思います。
なお、#2で少し触れましたが、OpenAIは、一部のエンタープライズカスタマー向けに、提供データを一切保持・利用しないことを保証するプランを提供しているようです。当該プランを活用により、OpenAI側の個人データへの取り扱いやアクセス制御に関して合意をする余地はあると思われます。
Enterprise customers deploying use cases with low likelihood of misuse may request to not have API data stored at all, including for safety monitoring and prevention.
一方、非API経由で入力されたデータについては、オプトアウトをしない限り、AIモデル改善のために利用がされることになります。こちらについては、個人データへのアクセスの可能性がありますので、「提供」に該当する可能性が高いように思います。なお、#2で触れたように、非API経由のデータについても、オプトアウトにより、AIモデル改善のための利用を拒否することが可能です。
「第三者」該当性
次に、OpenAIが第28条にいう「第三者」に該当するかを検討します。「個人情報の保護についてのガイドライン」に関するQ&A(令和4年5月26日更新)Q7-1によれば、「第三者」とは、一般に①当該個人データによって特定される本人、②当該個人データを提供しようとする個人情報取扱事業者以外の者をいい、自然人、法人その他の団体を問わないとされています。OpenAIは、少なくとも上記①②には該当するといえそうです。
また、同法28条1項においては、同法施行規則第16条で定める基準に適合する体制を整備している者は「第三者」から除くとされています。
第十六条 法第28条第1項の個人情報保護委員会規則で定める基準は、次の各号のいずれかに該当することとする。
一 個人情報取扱事業者と個人データの提供を受ける者との間で、当該提供を受ける者における当該個人データの取扱いについて、適切かつ合理的な方法により、法第4章第2節の規定の趣旨に沿った措置の実施が確保されていること。
二 個人データの提供を受ける者が、個人情報の取扱いに係る国際的な枠組みに基づく認定を受けていること。
OpenAIを同条にいう「第三者」から除外する余地があるか検討していきましょう。
まず、同条1号の措置ですが、OpenAIとの契約により、法第4章の規定の趣旨に沿った措置(いわゆる相当措置)を担保させることは可能です。相当措置の中身は、OpenAIに提供する個人データに係る本人の権利利益との関係で相対的に決まるものであり、一律に決まるものではありません。しかし、既存のTerms of Use、Privacy Policy、関連ドキュメント等からは、OpenAI側がどのような措置を実施するかが明らかではないため、基本的には、1号該当性を主張するためには、相当措置に関して別途の契約を締結するか、追加書面等の提出を求めるといったことが必要なように思います。
次に、同条2号についてですが、「個人情報の保護に関する法律のガイドライン」(外国にある第三者への提供編)(令和4年9月更新版)4-3によれば、2号の「国際的な枠組み」には、APECのCBPRシステムの認証が含まれるとされています。しかし、CPBRのウェブサイトを確認すると、OpenAIは当該認証は取得していないようです(2023年3月18日現在)。OpenAIは、米国公認会計士協会(AICPA)が定めたデータセキュリティ基準であるSOC2 Type Iについて準拠をしていますが(API data usage policies参照)、個人情報保護委員会ガイドラインではSOC2の2号該当性についての言及はなく、現状、2号該当性についても主張をすることは難しいように思います。
第28条適用の効果
OpenAIが「外国にある第三者」に該当し、かつ、ChatGPTへのデータ入力が「提供」に該当する場合、個人データを提供するためには、「個人データの外国にある第三者への提供」について、本人の同意(同法28条1項)が必要となります。
もし、第28条の適用を回避することを目指す場合、上記で検討したとおり、個人データをそもそもOpenAI側に「提供」しないスキームや「提供」はするがOpenAIに相当措置を実施させるスキーム(規則第16条1号)等を検討することが考えれます。
ただし、第28条の規定の適用を回避した場合であっても、第三者提供の制限(第27条)の適用の有無(特に5項の「第三者」の例外の該当性)、第三者提供により付随して発生する義務、委託先の管理義務(後述)等については別途の検討が必要です。また、法的に本人の同意が必要がない場合であっても、データの性質やユーザー体験の観点から、本人への通知や同意の要否は別途検討するべきでしょう。
本人の同意取得時における情報提供
OpenAIが「外国にある第三者」(同法28条)であることを前提として外国の第三者への個人データ提供について本人から同意を取得する場合、同法28条2項に基づく情報提供を本人にする必要があります。
情報の提供方法
個人情報の保護に関する法律についてのガイドライン (外国にある第三者への提供編)(令和4年9月更新)5-1によれば、以下の方法が挙げられています。
【適切な方法に該当する事例】
事例1)必要な情報を電子メールにより本人に送付する方法
事例2)必要な情報を記載した書面を本人に直接交付する方法
事例3)必要な情報を本人に口頭で説明する方法
事例4)必要な情報をホームページに掲載し、本人に閲覧させる方法
提供情報の内容
また、本人に提供すべき情報は、同法施行規則17条2項に規定されています。
第十七条
2 法第28条第2項又は法第31条第1項第2号の規定による情報の提供は、次に掲げる事項について行うものとする。
一 当該外国の名称
二 適切かつ合理的な方法により得られた当該外国における個人情報の保護に関する制度に関する情報
三 当該第三者が講ずる個人情報の保護のための措置に関する情報
提供すべき情報の詳細については、「個人情報の保護に関する法律についてのガイドライン (外国にある第三者への提供編)」(令和4年9月更新)5-2をご参照いただければと思いますが、実務的には、個人情報保護委員会が発表している各国の外国制度の調査報告の内容をベースに自社のプライバシーポリシー等で情報提供をすることが多いかと思います。
OpenAIの場合、データの提供先はアメリカになりますので、こちらのページの記載内容が参考になります。
第三者提供後の必要措置の構築
本人から同意を取得する方法ではなく、同法第28条1項に定める基準に適合することを根拠として外国にある第三者に個人データを提供する場合、「当該第三者による相当措置の継続的な実施を確保するために必要な措置」を講じ、本人の求めに応じて当該措置に関する情報を提供しなければならないとされています(同法第28条3項)。当該措置の詳細については、「個人情報の保護に関する法律についてのガイドライン (外国にある第三者への提供編)」(令和4年9月更新)6以下をご参照いただければと思います。
安全管理措置の一環としての外的環境の把握
OpenAIへの個人データの提供が「外国にある第三者への提供」に該当するかどうかにかかわらず、OpenAIに個人データを入力する場合には、外国においてデータを取り扱う場合として、個人情報取扱事業者に定められた安全管理措置(同法第23条)の一環である外的環境の把握の実施が求められ(「個人情報の保護についてのガイドライン」に関するQ&A(令和4年5月26日更新)Q10-25等)、本人の知りうる状態(本人の求めに応じて遅滞なく回答する場合を含む)に置かなければなりません(同法32条1項4号、同法施行令第10条1号)。当該措置の詳細については、「個人情報の保護についてのガイドライン」に関するQ&A(令和4年5月26日更新)Q10-22以下をご参照いただければと思います。
委託先の監督
自社サービス上の個人データをChatGPTに入力する場合、当該行為が同法25条にいう「委託」に該当する場合には、委託先の適切な監督を行う必要があります。
「個人情報の保護に関する法律についてのガイドライン」(通則編)(令和4年9月更新)3-4-4によれば、「委託」とは、「契約の形態・種類を問わず、個人情報取扱事業者が他の者に個人データの取り扱いを行わせること」をいい、「個人データの入力(本人からの取得を含む。)、編集、分析、出力等の処理を行うことを委託すること等が想定」されています。そもそも第27条や28条にいう個人データの「提供」行為がなければ、それに伴う「委託」も発生しないことになりますが、「提供」がある場合には、「委託」の有無の検討が必要となります。
「委託」該当性は、個人データをChatGPTにどのように入力するかによりますが、例えば、サービス上のユーザー情報をChatGPTを使って分析させるような使い方は、「委託」に該当するでしょう。その場合には、委託先であるOpenAIにおいて、委託される個人データに対する安全管理措置が適切に講じられるように、委託契約の締結や個人データ取扱状況の把握することにより、必要かつ適切な手段を講じなければなりません。具体的な手段については、「個人情報の保護に関する法律についてのガイドライン」(通則編)(令和4年9月更新)3-4-4以下や「個人情報の保護についてのガイドライン」に関するQ&A(令和4年5月26日更新)Q5-8以下をご参照いただければと思います。
次回は、個人情報保護法以外に発生する法的論点や自社の利用規約の調整について検討していきたいと思います。
*もし誤り等見つけましたらご連絡いただけますと幸いです。
この記事が気に入ったらサポートをしてみませんか?