目次

  1. 生成AIとは
  2. 個人情報保護委員会、生成AIの利用で注意喚起
    1. 個人情報取扱事業者における注意点
    2. ChatGPTについても注意喚起
  3. 日本ディープラーニング協会、生成AIの利用ガイドラインでは?

 生成AI(ジェネレーティブAI)とは、大量に学習したテキストや画像などのデータのパターンを学習し、新たなテキストや画像などのデータを生み出すことのできるAIです。

 テキストでは以下のようなサービスが知られています。

  • ChatGPT(OpenAI)
  • Google Bard(Google)
  • Bing AIチャット(Microsoft)

 このほか、国立研究開発法人情報通信研究機構(NICT)でも日本語に特化した大規模言語モデル(生成AI)を試作していたり、東京大学松尾研究室が日英2ヶ国語対応の大規模言語モデルを開発していたり、NECやNTT、富士通など国内企業もこの分野に次々と進出しようとしたりしています。

 一方、画像では以下のようなサービスが知られています。

  • Stable Diffusion(ステーブルディフュージョン)
  • Midjourney(ミッドジャーニー)
  • Adobe Firefly(アドビファイアフライ)
  • Canva(キャンバ)

 こうした生成AIは、定型的な事務作業を効率化したり、情報収集を手伝ったり、これまで外注していた画像や資料の作成などを補助したり、プログラミングのコードを生成したりと幅広い業務を担わせることができます。

 その一方で、生成物の著作権に配慮が必要だったり、出力結果に不正確な情報が含まれていたりするという課題があります。著作権への注意点については、文化庁の「AIと著作権」のセミナーで詳しく解説されています。

 このほか、今回、個人情報保護委員会が指摘するように個人情報の取り扱いについても配慮が必要です。

 個人情報保護委員会によると、生成AIサービスの提供者が学習データとして利用する場合に、生成AIサービスの利用者が個人情報を入力すると、利用者から提供者に対し、個人データもしくは保有個人情報を提供したことになり、場合によっては個人情報保護法に違反してしまう可能性があるといいます。

 そこで、サービスなどの利用者の個人情報を持つ事業者に向けて次のような注意喚起を出しました。

① 個人情報取扱事業者が生成AI サービスに個人情報を含むプロンプトを入力する場合には、特定された当該個人情報の利用目的を達成するために必要な範囲内であることを十分に確認すること。
② 個人情報取扱事業者が、あらかじめ本人の同意を得ることなく生成 AI サービスに個人データを含むプロンプトを入力し、当該個人データが当該プロンプトに対する応答結果の出力以外の目的で取り扱われる場合、当該個人情報取扱事業者は個人情報保護法の規定に違反することとなる可能性がある。そのため、このようなプロンプトの入力を行う場合には、当該生成 AI サービスを提供する事業者が、当該個人データを機械学習に利用しないこと等を十分に確認すること

生成 AI サービスの利用に関する注意喚起等(個人情報保護委員会の公式サイト、PDF方式)

 上記とは別に、個人情報保護委員会は「ChatGPT」について以下のような注意喚起も出しています。

1 要配慮個人情報の取得
あらかじめ本人の同意を得ないで、ChatGPT の利用者(以下「利用者」という。)及び利用者以外の者を本人とする要配慮個人情報を取得しないこと。 特に、以下の事項を遵守すること。
(1)機械学習のために情報を収集することに関して、以下の4点を実施すること。
① 収集する情報に要配慮個人情報が含まれないよう必要な取組を行うこと。
② 情報の収集後できる限り即時に、収集した情報に含まれ得る要配慮個人情報をできる限り減少させるための措置を講ずること。
③ 上記①及び②の措置を講じてもなお収集した情報に要配慮個人情報が含まれていることが発覚した場合には、できる限り即時に、かつ、学習用データセットに加工する前に、当該要配慮個人情報を削除する又は特定の個人を識別できないようにするための措置を講ずること。
④ 本人又は個人情報保護委員会等が、特定のサイト又は第三者から要配慮個人情報を収集しないよう要請又は指示した場合には、拒否する正当な理由がない限り、当該要請又は指示に従うこと。
(2)利用者が機械学習に利用されないことを選択してプロンプトに入力した要配慮個人情報について、正当な理由がない限り、取り扱わないこと。
2 利用目的の通知等 利用者及び利用者以外の者を本人とする個人情報の利用目的について、日本語を用いて、利用者及び利用者以外の個人の双方に対して通知し又は公表すること。

OpenAI に対する注意喚起の概要(個人情報保護委員会の公式サイト)

 それでは、個人情報の取り扱いについて、会社内ではどのように周知すればよいでしょうか?日本ディープラーニング協会の公式サイトは利用ガイドラインのひな形を策定し、公開しています。無料で利用できるだけでなく、ひな形を参考に、それぞれ必要な追加や修正を加えて活用できます。

 たとえば、個人情報の取り扱いについて、生成AIの利用ガイドラインでは、ひな形として以下の文章を例示しています。

【ChatGPT】においては入力したデータが【OpenAI社】のモデルの学習に利用されることになっていますので、【ChatGPT】に個人情報(顧客氏名・住所等)を入力する場合、当該個人情報により特定される本人の同意を取得する必要があります。そのような同意取得は現実的ではありませんので、個人情報を入力しないでください。
【ただし、利用する生成AIによっては、特定の条件を満たせば個人情報の入力が適法になる可能性もあります。詳細は【セキュリティ部門】にお問い合わせください。】

 このガイドラインの意図については次のように解説しています。

個人情報を生成AIに入力する行為が適法か否かは、当該生成AI内でのデータの取扱や、当該サービス提供者が外国にある事業者なのかによっても結論が分かれ、非常に複雑です。たとえば、ChatGPTにおいてデータ管理機能の追加により、対話履歴をオフに設定することで、学習に使われないようユーザが管理できるようになっていますが、OpenAI社は外国の第三者であるため、個人情報保護法上、個人データの入力はできない可能性が高いです。そのため本ガイドラインでは一律個人情報の入力を禁止することにしています。
一方で、OpenAI のAPIやオプトアウト利用、Azure OpenAIサービスを利用する場合には個人情報上の規制をクリアできる場合もあります。そのため【ただし、利用する生成AIによっては、特定の条件を満たせば個人情報の入力が適法になる可能性もあります。詳細は【セキュリティ部門】にお問い合わせください。】と記載しています。