生成AIツールを使用する企業のための包括的なガイドラインは、コンプライアンスと透明性を確保し、偏見やセキュリティ上の懸念、GDPRに基づくデータ処理に関連する生成AIの潜在的な課題に対処することを目的としています。
GDPR(一般データ保護規則)の第5条第1項(a)に定める合法性の原則に基づき、データ処理責任者はデータ処理のための合法的な法的根拠を確立する必要があります。AIツールが個人データを処理する可能性があるため、データ保護当局は生成AIアプリケーションのプロバイダー、特にOpenAIを調査しています。欧州データ保護委員会(EDPB)は、AIに関する問題を扱うタスクフォースを設置しました。当局が繰り返し懸念しているのは、個人データの処理のための有効な法的根拠の確立です。
GDPRの第6条では、法的根拠を確立するためのさまざまなオプションが規定されています。処理は、データ主体が同意した場合(GDPR第6条第1項(a))、契約の履行または契約前の措置に必要な場合(GDPR第6条第1項(b))、または正当な利益のために必要な場合(GDPR第6条第1項(f))に許容されます。さらに、GDPR第9条は、健康データ、生体認証データ、政治的意見などの特別なカテゴリーの個人データの処理に関する追加の法的根拠を規定しています。
適用される法的根拠を決定する際には、さまざまな処理ステップを区別することが重要です。まず、ユーザーによる入力データの処理、ツール自体による入力データの処理、ツールおよびユーザーによる出力データの処理を区別する必要があります。さらに、入力および出力データは通常、AIツールのプロバイダーによって基礎となるアルゴリズムのトレーニングに使用されます。これらの各ステップで個人データが処理される場合、データ処理責任者は有効な法的根拠に依拠する必要があります。
イタリアのデータ保護当局「Garante」は、ChatGPTがトレーニング目的で大量の個人データを処理する際に法的根拠が欠如しているとして、イタリアでのChatGPTのサービスを禁止しました。ドイツの監督当局も同様の懸念を共有しており、ドイツデータ保護会議(DSK)および欧州データ保護委員会(EDPB)は、ChatGPTのさまざまな個人データ処理に関する法的根拠を調査するAIタスクフォースを設置しました。同意が法的根拠として使用される場合、シュレスヴィヒ=ホルシュタイン州のデータ保護監督官は、ChatGPTに対し、サンプル同意声明を提出するよう要求します。ヘッセン州のデータ保護監督官は、ChatGPTに対し、データ主体からの情報開示および削除要求への対応方法、および同意の撤回方法を説明するよう求めています。ChatGPTまたは第三者が正当な利益を法的根拠として主張する場合、ChatGPTはそれぞれの利益衡量の理由と考慮事項を説明する必要があります。
従業員にAIツールの使用を許可する企業は、プロンプトの形で個人データを入力するための法的根拠を確立することが不可欠です。適用される法的根拠は、特定のデータ処理の使用事例に依存し、同意またはデータ入力の正当な利益の形で存在する可能性があります。企業は、これらの要因をそれぞれの使用事例に対して慎重に評価し、処理活動の記録に文書化する必要があります。さらに、データ保護影響評価の実施や透明性義務の履行など、データ処理責任者のその他のデータ保護義務も考慮する必要があります。
2023年4月、イタリアの監督当局(Garante)は、ChatGPTのアルゴリズムトレーニングのための個人データの処理は、契約履行の法的根拠(GDPR第6条第1項(b))に基づくことができないとOpenAIに通知しました。OpenAIがトレーニング目的の処理のための有効な法的根拠を主張できるかどうかは未解決です。GDPR第6条第1項(a)に基づく同意は、情報が提供され、透明性をもって与えられた場合にのみ有効であり、AIアプリケーションは現在ブラックボックスと見なされているため、OpenAIは正当な利益の法的根拠に依拠する可能性が高いです。この文脈でOpenAIが説得力のある利益衡量を行えるかどうかは注目すべき点です。
欧州司法裁判所(CJEU)は最近、製品の開発および改善のために多様なソースから大量のデータを処理することは、GDPR第6条第1項(f)に基づく正当な利益に依拠すると確認しました(Meta対ドイツカルテル庁(C-252/21)、2023年7月4日)。しかし、裁判所は、厳格な必要性テストが適用されることも確認しました:1)データ処理責任者の正当な利益、2)処理が絶対に必要であること、つまり他の手段でその利益を達成できないこと(データ最小化の原則も考慮)、3)データ主体の基本権および自由が正当な利益を上回らないこと。CJEUのMeta判決では、公開領域の機密データも保護され、さらなる処理には事前の同意が必要であることも確認されました。ChatGPTは、機密データの不正な処理を防ぐためにフィルターに依拠する必要があります。
🤖 生成AIツールとは何ですか?
生成AIツールは、テキスト、コード、音楽、画像などの新しいコンテンツを生成する人工知能の一種です。これらは通常、既存のコンテンツの大量のデータセットでトレーニングされ、トレーニングデータに似た新しいコンテンツを生成できます。
⚖️ データ処理の法的根拠が重要な理由は何ですか?
GDPRは、データ処理責任者が個人データの処理のための法的根拠を持つことを要求します。これは、個人データの収集および使用に正当な理由が必要であることを意味します。GDPRでは、同意、契約、法的義務、重要な利益、公共の利益、正当な利益の6つの法的根拠が規定されています。
📋 生成AIツールに関連する法的根拠は何ですか?
生成AIツールにとって最も関連性の高い法的根ベースは、同意と正当な利益です。同意は優先される法的根拠ですが、生成AIツールは複雑で不透明なため、インフォームド・コンセントを得ることが難しい場合があります。データ処理責任者が、個人データの大量処理が絶対に必要であり、データ主体の利益がデータ処理責任者の利益を上回らないことを証明できる場合、正当な利益を法的根拠として使用できます。
⚠️ GDPRに準拠した生成AIツールの使用における課題は何ですか?
GDPRに準拠した生成AIツールの使用におけるいくつかの課題は以下の通りです:
✅ 企業がGDPRに準拠して生成AIツールを使用するために何をすべきですか?
GDPRに準拠して生成AIツールを使用したい企業は、以下のステップを踏むべきです: