生成AIと法律問題　-vol.2-個人情報保護法

こんにちは！
生成AIを使う際に生じる法律問題を、自分の頭の整理も兼ねて簡単に説明しています。
今回は個人情報保護法との関わりをご説明します。

1. 個人情報保護法保護委員会の動き

日本では、個人情報保護委員会が、令和5年6月2日、「生成AIサービスの利用に関する注意喚起等」を公表し、生成AIサービスであるChatGPTを開発・提供するOpenAI, L.L.C.及びOpenAI OpCo, LLCに対して注意喚起を行いました。

この注意喚起では、個人情報取扱事業者が生成AIを利用する際以下の点に留意せよと述べています。

① 個人情報を含むプロンプトを入力する場合に、当該個人情報の利用目的を達成するために必要な範囲内であるかを十分に確認すること（個人情報保護法18条関係）
② あらかじめ本人の同意を得ることなく、個人データを含むプロンプトを入力する場合、当該個人データが当該プロンプトに対する応答結果の出力以外の目的で取り扱われないかを十分に確認すること（当該個人データが機械学習に利用されないか）確認すること（法18条関係、法27条関係）

個人情報保護法においては、利用目的規制と第三者提供規制が典型的に問題となりますが、
個人情報保護委員会も同じように利用目的規制（法18条）と第三者提供規制（法27条）を指摘しています。

本記事でも、主にこの2つを説明します。

2. 利用目的規制

(1) 利用目的規制とは

一般的に、利用目的規制とは、
①利用目的の特定（法17条）
②利用目的の通知・公表（法21条1項）
③利用目的による制限（法18条）
を指します。

個人情報を取得する際には、①その個人情報を何に使うのか（利用目的）を特定し、②その利用目的をあらかじめ公表するか、又は取得後速やかに本人に通知する必要があります。
そのため、プライバシーポリシーに同意する際には利用目的が必ず書いてあります。
そして、個人情報取扱事業者は、取得した個人情報を、①②で特定・通知した利用目的の達成に必要な範囲を超えて、取り扱ってはならないとされています（③）。

(2) 生成AIと利用目的規制

① 利用目的の特定
法17条1項では、個人情報取扱事業者は、「個人情報を取り扱うに当たっては、その利用の目的をできる限り特定しなければならない」とされています。

利用目的は、「できる限り特定」しなければならないとされており（法17条1項）、
「できる限り特定」しているというためには、
・個人情報が、最終的にどのような事業に使われ
・どのような目的で個人情報を利用されるのか
を、本人にとって一般的かつ合理的に想定できる程度に特定している必要があります（個人情報の保護に関する法律についてのガイドライン（通則編）（以下「通則編GL」）3-1-1）。

たとえば、ユーザの属性や購買履歴を取得し、AIサービスを使ってユーザの興味の度合を分析し、ターゲティング広告を出すような場合を考えます。

このようなサービスを行う場合には、単に「広告配信に利用します」という表示では足りず、

「取得した閲覧履歴や購買履歴等の情報を分析して、趣味・嗜好に応じた新商品・サービスに関する広告のために利用いたします。」
「取得した行動履歴等の情報を分析し、信用スコアを算出した上で、当該スコアを第三者へ提供いたします。」

個人情報の保護に関する法律についてのガイドライン（通則編）3-1-1

とまで特定する必要があるとされています。

また、利用目的は「最終的に」どのような目的で個人情報が利用されるかを特定すべきとされているため（通則編GL3-1-1）、
その過程でAIを使っているかまでは特定しなくてよいと解されます。
つまり、「何を分析するのか」と「分析したものを何に使うのか」を特定すれば、分析の方法までは特定しなくてよいと考えられます（「「個人情報の保護に関する法律についてのガイドライン」に関するＱ＆Ａ」2-1も、このような考え方を前提としていると考えられます。）。

② 利用目的の通知・公表
法21条1項では、個人情報取扱事業者は、「個人情報を取得した場合は、あらかじめその利用目的を公表している場合を除き、速やかに、その利用目的を、本人に通知し、又は公表しなければならない」とされています。

つまり、①で特定した利用目的は、
(a)あらかじめプライバシーポリシー等で公表するか、又は、
(b)取得の際に本人に通知又は公表しなければなりません。
細かいですが、本人から個人情報を書面等により直接取得する場合には、利用目的は「明示」する必要があります（法21条2項）。

なお、利用目的は、「このような目的で利用します」と通知又は公表することで足り、そのことについて本人の同意は不要です。

利用目的の通知・公表については、生成AIを使うか否かで特に対応が変わることはありません。

③ 利用目的による制限
法18条1項では、個人情報取扱事業者は、「あらかじめ本人の同意を得ないで、…特定された利用目的の達成に必要な範囲を超えて、個人情報を取り扱ってはならない」とされています。
かかる規定は、無限定な個人情報の利用による本人の権利利益の侵害を防止することを目的としています。（宇賀克也著『個人情報保護法の逐条解説〔第6版〕』136頁）。そのため、本人の同意があれば、目的外利用も許されます。

個人情報保護委員会の注意喚起における上記①及び②は、法18条に違反していないかを確認せよ、という趣旨になります。

生成AIサービスの提供者は、生成AIサービスに入力されたデータを、学習用データセット生成のために利用することがあります。
たとえば、ChatGPTのWeb版では、以下のとおり、入力した情報は学習用データとして利用されるとされています。

「当社は、ChatGPTを動かすモデルをトレーニングするためなど、本サービスを改善するために、お客様から提供されたコンテンツを利用することがあります。」

OpenAI社のプライバシーポリシー　https://openai.com/ja/policies/privacy-policy

このような場合に、生成AIサービスに個人情報を含むプロンプトを入力してしまうと、あらかじめ特定された利用目的外での利用となる可能性があります。

ちなみにDeepL（AI搭載の翻訳ツール）Proは基本的には入力した情報を機械学習に利用しないとされています。

「DeepL Proで翻訳を行う際、送信済みのテキストやアップロード済みの文書ファイルは永続的に保存されず、訳文の生成と送信に必要な範囲内で一時的に保存されます。契約で合意したサービスの遂行後、送信済みのテキストもしくは文書ファイルとこれらの訳文はすべて削除されます。DeepL Proでは、サービスの向上を目的としてお客様のテキストを使用することはありません。」

DeepLの個人情報保護方針　https://www.deepl.com/ja/privacy

先ほど述べたとおり、個人情報保護法上は本人の同意があれば目的外利用も許されますが、現実的には、目的外利用をするにあたり逐一個々人に確認を取り、同意を得るのは難しいと考えられます。
また、上記のように、サービス提供事業者が個人情報を機械学習に利用するかどうかは、その事業者のプライバシーポリシーや利用規約を見なければわからず、気付かないうちに目的外利用をしている可能性があります。

(3) まとめ

このように、生成AIと個人情報保護法の利用目的規制との関係においては、「利用目的の特定」と「利用目的による制限」について、特有の論点があり、特に「利用目的による制限」については、無自覚に目的外利用をしている可能性があるため、当該事業者のプライバシーポリシーや利用規約を確認する必要があります。

今回は、個人情報保護法のうち、利用目的規制にフォーカスして整理しました。
次回は、第三者提供について整理していきたいと思います。

それでは今日はこの辺で🐑
めえめえ