ベストなDXへの入り口が見つかるメディア
テーマから探す
技術から探す
業界・事例から探す
関連トレンドから探す
また、本ブログの掲載情報をご利用頂く場合には、読者の方のご判断と責任においてご利用頂きますようお願いします。本ブログの情報を利用した結果発生した、何らかのトラブルや損害、損失等につきましては、筆者や関係者は一切の責任を負いかねます事ご了承願います。
こんにちは。アナリティクスサービス部の安藤です。
LLMのビジネス利用に関する連載の第4回(最終回)になります。連載第2回及び第3回では日本国内の法規制に関してご紹介してきましたが、今回は海外の法規制として、EUと米国の個人情報保護に関する法規制について解説します。
前回までの連載でご紹介してきたとおり、大規模言語モデル(LLM)をビジネスで利用する際には、様々な法規制に配慮する必要があります。その中でも特に重要なものが、個人情報の保護です。日本国内の法制度については第2回の記事でご紹介しましたが、今回はその範囲を広げ、グローバルな視野から個人情報保護について掘り下げていきます。
とくに、今回注目するのはEUの「一般データ保護規則」(GDPR)と米国カリフォルニア州の「カリフォルニア法州消費者プライバシー法」(CCPA)/「カリフォルニア州プライバシー権法」(CPRA)です。これらの法規制は、ビジネスをグローバルに展開する企業にとって無視できない影響力を持ち、その適用範囲や制約について理解しておくことが極めて重要です。
この記事では、GDPRとCCPA/CPRAの概要、適用対象となる事業者の範囲、対象となる個人情報の範囲、事業者の責務、そして違反した際の罰則について解説します。これらの法規制の理解を深め、LLMを適切に活用するためのきっかけとしていただければ幸いです。
まず、グローバルにビジネスを展開する日本企業においてLLMサービスをビジネス利用する際に、海外の個人情報保護法令との関係でどのようなことが問題となり得るのか、具体例を用いて説明します。
個人データの不適切な取得と利用
例えば、ある日本の企業がEU市民からビジネスに関連するフィードバックを収集するために、LLMを用いたアンケートや質問応答システムを設けたとします。その過程で、個人を特定できる情報(例えば、氏名、電子メールアドレス、住所など)を収集し、それを元にビジネスの改善を図ろうとした場合、これはGDPRに違反する可能性があります。
GDPRでは、EU市民の個人データを取得・処理する際には、その目的等を明示し適切に説明を行い、かつその個人データの処理を適法とする根拠を満たしている必要があります(後ほど改めて説明します)。したがって、個人データを取得する際の適切な説明や同意取得その他の個人データ処理の適法化根拠の確認を怠ると、GDPRに違反する可能性があります。
データの保管と保護の不備
CCPA/CPRAにおいては、個人データの保管と保護について事業者の責務が定められています。例えば、日本の企業が米国カリフォルニア州の消費者からの問い合わせをLLMを用いて処理し、その過程で個人情報を保管するとします。しかしながら、そのデータの保管に適切なセキュリティ対策が施されておらず、その結果、データ漏洩が発生した場合、CCPA/CPRAに違反する可能性があります。
データの保護は、事業者の重要な責務の一つであり、これを怠った場合には、重大な罰則が科される可能性があります。
これらは一例ですが、LLMの利用に当たっては、個人データの取得、利用、保管等の各段階で、対象地域の法規制を遵守することが重要です。以下でEU(GDPR)及び米国カリフォルニア州(CCPA/CPRA)の法規制について、それぞれ紹介していきます。
EUでは、個人データの保護に関する規則として、GDPR(General Data Protection Regulation:一般データ保護規則)を2018年5月から施行しています。GDPRは個人データの収集、処理、保存、および共有に関連する法的要件を定めています。以下にGDPRの概要や遵守すべき事項、違反した場合の制裁等について簡単に紹介します。
【イタリアにおけるChaTGPTの一時利用停止について】
2023年3月31日、イタリアの情報保護機関(The Data Protection Authority, 通称Garante)はOpenAI社に対して、ChatGPTがイタリア国民の情報を処理することを一時的に中止するよう命令しました。これに従い、OpenAI社はイタリアのユーザーのChatGPTの使用を停止しました*1。
イタリア政府がChatGPTの利用停止を命じた理由は、以下のような事項について、OpenAIがGDPRを遵守していることが確認できないというものです。
その後、OpenAI社が上記のような懸念に対して対処又は明確化したため、4月28日、イタリア政府はイタリア国内におけるChatPGTの利用停止を解除したと発表しました*2。
今回の一連の対応においてOpenAI社がイタリア政府から受けた指摘は、LLMサービスの利用においてGDPRへの対応を考える上で示唆に富んでいます。本記事では、GDPRの概要を紹介する上で、上記の懸念(特に適法化根拠と子どもの個人データの取り扱い)に対するOpenAI社の対応についてもご紹介します。
GDPRは、基本的にEU域内に拠点を持つ企業や、EUの企業からデータを処理するための委託を受けている企業に適用されます。また、EU域外に拠点がある場合でも、以下のような事業においてEU域内の個人データの取り扱いを行う場合、適用されます。
GDPRは、名前や住所、メールアドレスなどを始めとする個人を特定可能な情報全般に適用されます。また、IPアドレスやクッキー情報など、オンライン識別子によって間接的に個人を特定可能な情報も含まれます(GDPR第4条)。
GDPRには以下のような6つの基本原則があり、これらはデータの取り扱いにおいて必ず遵守されるべきものです(GDPR第5条)。
GDPRにおいては、個人データを取り扱う上で適法性を確保する必要がありますが、適法性を確保するための根拠としてGDPRでは以下のような項目が規定されています(GDPR6条1項a~f)。適法性を確保するためには、これらの少なくとも一つの根拠を満たしている必要があります。
日本の個人情報保護法とGDPRの大きな違いの一つとして、この適法化根拠の必要性の有無が挙げられます。連載第2回の記事でご紹介したように、個人情報保護法においては、個人情報の利用目的を特定して通知・公表していれば足り、上記のような適法化根拠は求められません。
OpenAI社が2023年3月にイタリア政府から一時的にイタリア国内におけるchatGPTの利用の停止を求められましたが、その際の理由の一つとして挙げられたのが、この適法化根拠を満たしていないというものでした。
現在のOpenAI社のプライバシーポリシー(2023年4月27日時点)においては、GDPRに対応した適法化根拠として以下のような項目が挙げられています(Privacy Policy 9)。これによれば、OpenAI社は個人データの処理について、「契約の履行」「正当な利益」「本人の同意」「法的な義務の順守」を適法化根拠としています。
- Performance of a contract with you when we provide and maintain our Services. When we process Account Information, Content, and Technical Information solely to provide our Services to you, this information is necessary to be able to provide our Services. If you do not provide this information, we may not be able to provide our Services to you.
- Our legitimate interests in protecting our Services from abuse, fraud, or security risks, or in developing, improving, or promoting our Services, including when we train our models. This may include the processing of Account Information, Content, Social Information, and Technical Information. See here for instructions on how you can opt out of our use of your information to train our models.
- Your consent when we ask for your consent to process your Personal Information for a specific purpose that we communicate to you. You have the right to withdraw your consent at any time.
- Compliance with our legal obligations when we use your Personal Information to comply with applicable law or when we protect our or our affiliates’, users’, or third parties’ rights, safety, and property.
そのほか個人データの取り扱いに関して日本の個人情報保護法とGDPRが異なる点として、GDPRには子どもの個人データの取り扱いに関しての制限規定があります。
既に述べたGDPR6条1項aの本人同意を得る場合に、本人が16歳未満である場合は、その子どもの親権上の責任のある者によって同意・承認が与えられた場合にのみ適法であると規定されています(GDPR8条)。一方、日本の個人情報保護法においてはこのような年齢に関する明示的な規定はありません。
OpenAI社が子どもの個人データの取得に関して、明確なフィルターを設けていなかったことも、イタリア政府からChatGPTの利用停止を命じられたことの理由の一つとなっていました。これに対して、OpenAI社は、イタリア国民のユーザーに対して年齢確認を求めることに同意したとしています*3。
GDPRに基づく個人データの管理者に求められる主な責任として、以下のようなものがあります。
GDPRに違反した場合、以下のような罰則が科されます。
米国では、連邦レベルでの個人データの保護に関する法律はありませんが、カリフォルニア州において、カリフォルニア州消費者プライバシー法:California Consumer Privacy Act(CCPA)という法律が定められています。CCPAは2020年7月から発効しており、2020年12月に成立したカリフォルニア州プライバシー権法:California Privacy Rights Act(CPRA)によって大幅な改正が加えられました。CPRAによって改正されたCCPA(以下「CCPA/CPRA」と呼びます)は2023年7月から発効予定です。
CCPA/CPRAもGDPRと同様、「カリフォルニア州に拠点が無い企業も対象となる」「違反すると巨額の制裁金が発生しうる」といった点から、日本企業においても適切な対応が必要となります。
以下で、CCPA/CPRAの主な対象や事業者に求められる責務、違反した場合の制裁等について簡単に紹介します。
CCPA/CPRAの対象となる事業者の主な要件は以下のとおりです(CCPA1798.140条(d)(1))。
1については、カリフォルニア州に拠点を持つ企業だけでなく、カリフォルニア州外の事業者がカリフォルニア州の消費者の個人情報を扱う場合にもCCPAの対象となると解釈されています。また、2については、「消費者」とは、カリフォルニア州の住民である自然人を意味するとされています(個人情報の範囲については後述)
また、上記の条件に該当する事業者を支配し支配され、共通のブランドを有し、個人情報を共有する事業者や、上記の条件に該当する事業者がそれぞれ40%以上の持ち分を有する合弁会社や共同事業体も対象となります(CCPA1798.140条(d)(2)(3))。
CCPA/CPRAが適用される個人データ(個人情報)の範囲は広く、GDPRと同様、名前や住所、メールアドレスなどを始めとする個人(又は世帯)を特定可能な情報全般に適用されます(CCPA1798.40条(v)(1))。また、IPアドレスやクッキー情報など、オンライン識別子によって間接的に個人を特定可能な情報も含まれます*6。
上記のほかにも、消費者からの問い合わせに対応する従業員に対して研修を行う義務、消費者からの要求を受けた場合の本人確認手段を定める義務、子どもの個人情報を扱う際のオプトインプロセスの設定等の義務があります。
※事業者の責務について、詳細はJETRO「カリフォルニア州消費者プライバシー(CCPA)実務ハンドブック」を参照ください。ただし、2019年12月時点に作成されたものであるため、現在のCCPA/CPRAの内容とは多少異なっている可能性があります。
CCPA/CPRAに違反した場合の罰則は以下のとおりです。
以上、今回はEUのGDPRと米国のCCPA/CPRAについて解説しました。それぞれの法規制がどのような事業者に適用され、どのような個人情報を保護対象とし、事業者にどのような責務を課し、違反時にはどのような罰則が科されるのかを見てきました。
これらの法規制は、LLMのビジネス利用において重要な法的リスクとなりえます。これらに適合しないでサービスを提供すると、巨額の制裁金など、大きな罰則が科される可能性があることを認識しておくことが重要です。
今回の記事を通じて、LLMのビジネス利用における海外の法規制に関する注意点について読者の方の理解を深めるきっかけとなれば幸いです。
また、今回がLLMのビジネス利用に関して注意すべき点についての連載の最終回となります。連載を通じてサービスの使用条件や、多くの国内外の法規制について解説してきましたが、それらはすべてビジネスでLLMを安全に、そして効果的に利用するためのものです。ここで得た知識が読者の皆様のビジネス展開に少しでも役立つことを願っています。
最後までお読みいただき、有難うございました。
*3:OpenAI gives in to Italy’s data privacy demands, ending ChatGPT ban(arts TECHNICA)
*4:CCPAでは5万件でしたが、CPRAによる改正により、10万件に引き上げられました
*5:「共有」とはCPRAによる改正により追加された概念で、クロスコンテクスト行動広告のために個人情報を第三者に伝達することをいいます。
*6:GDPRと異なる点として、CCPA/CPRAでは個人だけでなく、世帯を特定できる情報も対象となります
*7:例えば、OpenAI社はプライバシーポリシーにおいてCCPA/CPRAへの対応として、個人情報のカテゴリごとに第三者への開示の有無について公表しています(Privacy Policy5)。
*8:CPRAにおいては、未成年の個人情報の違反を伴う場合は意図的か否かに関わらず罰金額の上限が7500ドルとなりました
あなたにオススメの記事
2023.12.01
生成AI(ジェネレーティブAI)とは?ChatGPTとの違いや仕組み・種類・活用事例
2023.09.21
DX(デジタルトランスフォーメーション)とは?今さら聞けない意味・定義を分かりやすく解説【2024年最新】
2023.11.24
【現役社員が解説】データサイエンティストとは?仕事内容やAI・DX時代に必要なスキル
2023.09.08
DX事例26選:6つの業界別に紹介~有名企業はどんなDXをやっている?~【2024年最新版】
2023.08.23
LLM(大規模言語モデル)とは?生成AIとの違いや活用事例・課題
2024.03.22
生成AIの評価指標・ベンチマークとそれらに関連する問題点や限界を解説
