著者
令和5年6月2日、個人情報保護委員会が「生成AIサービスの利用に関する注意喚起等について」と題する書面を発しました。個人情報取扱事業者、行政機関等及びChatGPTを展開するOpenAIに対し、個人データ取扱上の注意喚起等をなすものとなっております。
本ブログでは、個人データを取り扱う個人情報取扱事業者の方がChatGPT(画像生成AIであるDALL・E2や音声認識AIのWhisper等は検討対象外とします。)を使用するにあたって注意するポイントを概略してみたいと思います。
なお、OpenAIのポリシー等は随時改訂されるため、本ブログはあくまで執筆時点(令和5年6月26日時点)の情報を元にしていることご留意ください。
1 個人情報保護委員会の注意内容
個人情報保護委員会が上記書面において、個人情報取扱事業者に対して注意喚起した内容は、以下のとおりです。
② 個人情報取扱事業者が、あらかじめ本人の同意を得ることなく生成AIサービスに個人データを含むプロンプトを入力し、当該個人データが当該プロンプトに対する応答結果の出力以外の目的で取り扱われる場合、当該個人情報取扱事業者は個人情報保護法の規定に違反することとなる可能性がある。そのため、このようなプロンプトの入力を行う場合には、当該生成AIサービスを提供する事業者が、当該個人データを機械学習に利用しないこと等を十分に確認すること。
①②ともに、個人情報保護法第18条第1項(利用目的による制限)を受けたものといえます。
まず、①について、個人情報取扱事業者はあくまで特定された目的の範囲内でしか個人情報を取り扱うことができないため、ChatGPTの利用が当該特定された目的の範囲内であることを求めるものです。
②について、1文目が理由、2文目が注意内容ですので、2文目に着目したいところです。そして、2文目の内容としては、個人情報取扱事業者において、入力された個人データが機械学習に利用されないことを確認しなさいというものです。機械学習はあくまでOpenAIの目的であって、個人情報取扱事業者が特定した個人データの利用目的を原則として超えるものと考えられることに配慮したものと考えられます。もっとも、現在、OpenAIのAPI(Application Programming Interface)を通じて送信された個人データについては機械学習に利用されないことが謳われておりますので、上記②はクリアしていると考えられます。なお、API利用に関する上記ポリシーにおいて、OpenAIが送信データを監視目的で30日間は保持する旨記載されていますが、あくまで監視目的であって当該個人データ自体を利用しているわけではない以上、利用目的範囲外とは考えにくいところです(もっとも、この点は議論があるところかと思われます。)。
他方、API以外の通常のChatGPTにおいては、提供されたデータをサービス等改善のために使用することとされていますので(How your data is used to improve model performance)、上記②に関し目的外利用規制に抵触する可能性があります。したがって、会社従業員が業務上ChatGPTを使用することに関しては慎重な検討を要すると考えられます(当方のクライアントにおいては、従業員のChatGPTの使用自体は禁止していないが、個人情報及び機密情報の入力を一律に禁止している会社があります。)。
なお、ChatGPTに「APIとnon-APIとで個人データの取扱いに違いはありますか。」と質問したところ、以下の回答となりました。
一方、非APIの利用では、OpenAIのモデルやシステムにデータが提供されることがあります。これは、モデルの改善や学習に使用される可能性があります。ただし、OpenAIはプライバシー保護に非常に注意を払っており、個人情報の保護と匿名化に努めています。提供されたデータは一般的に匿名化や集約化が行われ、個人を特定することができない形式で使用されます。
個人データの取り扱いに関しては、OpenAIの利用規約やプライバシーポリシーを参照することをお勧めします。これにより、APIと非APIの利用における具体的な違いやデータの取り扱いに関する情報をより詳しく確認することができます。
2 第三者提供の問題
ChatGPTの利用において、個人データを含むプロンプトを入力する場合、当該個人データは、米国企業であるOpenAI社に「提供」されているため、個人情報保護法上、本人の同意が必要ではないか(個人情報保護法第28条第1項)という問題も検討する必要があります。
まず、API利用に関しては、上記のとおりOpenAIのAPIを通じて送信された個人データについては機械学習に利用されないこととされておりますので、そもそも個人データの「提供」に該当しないという解釈が可能と考えられます(クラウドサービス提供事業者が個人データを取り扱わないこととされている場合には個人データの「提供」に該当しないとする「個人情報の保護に関する法律についてのガイドライン」に関するQ&AのQ7-53参照)。
他方、non-APIに関しては、前述したとおり送信データがサービス等改善のために用いられることとされていますので、外国にある第三者への「提供」が行われていると考えられます。したがって、個人情報保護法第28条第1項に従い、原則として本人の同意が必要と考えられます(なお、OpenAIが個人情報保護法第28条第1項にいう「基準適合体制整備者」に該当する場合には、同法第27条第5項第1号が適用される結果、委託に伴う個人データの提供として本人の同意を不要とする解釈もあり得るところです。委託先の分析技術の改善に利用する場合でも委託として構成し得ることについては、「個人情報の保護に関する法律についてのガイドライン」に関するQ&AのQ7-39参照)。もっとも、現状、non-APIに関しても、入力データをサービス等改善のために用いないよう変更することができますので(How your data is used to improve model performance)、この変更措置が取られていることが確認できれば、第三者提供の問題は生じないものと考えられます。
3 今後について
まとめると、APIを通じたChatGPTの利用に関しては、個人情報保護法に係る問題は少なく、今後幅広く利用される可能性がある一方、non-APIに関しては個人データや機密情報の入力は現状は控えたほうがよいということになると思われます。
神田