｢ChatGPT｣利用で個人情報保護法に触れる危うさ 生成AIを利用する時に何を気をつけたらいいか

この点については、2023年6月2日に個人情報保護委員会が公開した注意喚起文書で、OpenAI社による機械学習のための情報収集に関して、あらかじめ本人の同意を得ないで、要配慮個人情報を取得しないこととされており、要配慮個人情報の収集対策として4つのステップが示されました。このようにデータの取得に制約をかけると、取得されたデータの偏りが、出力される成果の質にも影響してくるという課題が残るとは言えます。

プロンプトへの個人情報の入力についての問題

プロンプトに生成AIを利用する事業者が個人情報を入力することについての個人情報保護法上の整理が問題になります。

・目的規制

まず、事業者としては、特定され、プライバシーポリシーなどで公表などされた個人情報の利用目的の達成に必要な範囲で個人情報をプロンプトに入力する必要があります。

・第三者提供規制

また、事業者は、個人データを生成AIサービス提供者に「提供」する場合には原則として、第三者提供の同意を本人から得ておく必要があります。しかし、生成AIサービス提供者が、プロンプトに対する応答結果の出力の目的のみで個人データを使い、機械学習に利用しない場合にもこの「提供」規制が及ぶのかが論点になります。

個人情報保護委員会の注意喚起文書で示された考え方によれば、上記の場合には「提供」規制は及ばないとも考えられます。

もっとも、企業の社内ルールでは、後述するOpenAIのAPIを使う場合のように個人データについての手当てができている場合を除いて、機械学習の有無を問わず、個人データをプロンプトに入力することを禁止するルールにしておくほうが安全ではあると言えます。

・個人データの取り扱いの委託

仮に、個人データの「提供」規制が及ぶとしても、個人情報保護法上、利用目的の達成に必要な範囲内で個人データの取り扱いを委託することに伴って当該個人データが提供される場合は、本人同意は例外的に不要になります。

たとえば、OpenAIの場合、APIを使った場合はDPA（データ処理契約）を結ぶことができ、このDPAでは入力された情報が機械学習に使われないことが約束され、OpenAIの委託先としての役割が定められているため、DPAを結べば委託の例外により、本人同意不要との整理をすることも可能とも考えられます。なお、OpenAIの場合、有料版を含めてAPIではない通常のサービスでは、DPAを締結するオプションが用意されていません。

・個人データの越境移転規制

また、仮に、個人データの「提供」規制が及ぶと考えた場合、たとえば、OpenAIのような外国の生成AIサービス提供者に個人データを提供する場合には、委託の場合を含めて、越境移転規制をクリアしなければなりません。