EDPB、ChatGPTタスクフォースレポートを公表
アンダーソン・毛利・友常法律事務所*
弁護士 中 崎 尚
1 はじめに
欧州データ保護委員会(以下「EDPB」という。)は、2024年5月23日に「ChatGPTタスクフォースの報告書」[1](以下「本報告書」という。)を公表した。本報告書は、OpenAIが提供するChatGPTサービスに関連するデータ処理活動が一般データ保護規則(以下「GDPR」という。)に準拠しているかどうかを評価するために、現時点までの複数の調査の進行状況をまとめた中間報告書というべきレポートである。
2 経緯
⑴ イタリアのデータ保護当局によるサービス差止め
2023年3月末にイタリアのデータ保護当局(以下「GPDP」という。)が、GDPR違反を指摘して、同国内でのChatGPTの提供を停止するよう命じ、ChatGPTが約1ヶ月間にわたり同国内でのサービス提供の停止に追い込まれた事件は世界的な注目を集めた。[2]当局は、同年4月12日、GDPRを遵守するために透明性の向上や削除請求権をはじめとするデータ主体の権利の拡充等の措置を同年4月30日までに完了することを求めた。GPDPは、さらに、13歳未満及び親の同意を得ていない13歳から18歳のユーザを除外するための年齢確認技術の実装に関する計画を2023年5月31日までに提出することを求めた。2023年4月28日までにこれらの改善措置が遂行されたため、GPDPは一時停止の措置を解除した。
⑵ ChatGPTに対するEU各国による調査
もっとも、この一時停止措置の解除によって、ChatGPTがGDPRを遵守できていないのでは、という嫌疑が全て晴れたわけではなかった。スペインのデータ保護庁(AEPD)を含め、複数のEU加盟国のデータ保護当局は、ChatGPTのサービス提供の過程で実施されたデータプロセスのコントローラー(管理者)としてのOpenAI OpCo, LLC(以下「OpenAI」)に対して、GDPR58条(1)(a)および(b)に基づくデータ保護調査を開始した。
⑶ EDPBの関与
GDPRでは、特定の事業者に対する調査に、複数のEU加盟国のデータ保護当局が関与する場合、対象事業者が事業拠点を有していること等を踏まえて、特定の加盟国のデータ保護当局が主導し、調査の窓口となるワンストップショップの制度が定められている。ところが、OpenAIは、2024年2月15日まで、EU域内に事業拠点を有していなかったため、同制度を適用することができない状態であった。このため、EDPBは、2023年4月13日、ChatGPTのサービス提供の過程における個人データの処理に関する強制措置の可能性について、EU加盟国のデータ保護当局間の協力を促進し、情報を交換するためのタスクフォース(以下「タスクフォース」という。)の設置を決定し、活動を開始した。
⑷ タスクフォースへの委任事項
2024年1月16日のEDPB総会において、タスクフォースへの委任事項が決定され、タスクフォースは以下の役割を果たすこととされた。
- ChatGPTに関するOpenAIとのエンゲージメントや実施中のエンフォースメント活動について、EU加盟国のデータ保護当局間で情報交換を行うこと。
- ChatGPTの実施活動に関する、EU加盟国のデータ保護当局による対外的な情報伝達の調整を促進すること。
- EU加盟国のデータ保護当局によるChatGPTに関するさまざまな強制措置の中で、共通のアプローチが必要な問題のリストを速やかに特定すること。
3 予備的見解(Preliminary Views)
現在も、EU加盟国のデータ保護当局による調査は進行中であるが、「予備的見解」として、EDPBとして調査のポイントになるであろうと考えている事項が示されているので、以下紹介する。
⑴ 合法性(Lawfulness)
一般的に、個人データの各処理は、6条1項に規定された条件の少なくとも1つ、および当該個人データが特別カテゴリに該当する場合はGDPR9条2項に規定された追加要件を満たさなければならない。
本報告書では、適法性を評価する際には、個人データ処理のさまざまな段階を区別すべきであるとした上で、調査においては、①トレーニングデータの収集(ウェブスクレイピングデータの使用やデータセットの再利用を含む。)、②データの前処理(フィルタリングを含む。)、③トレーニング、④プロンプトとChatGPT出力、⑤プロンプトによるChatGPTのトレーニングに分類した上で、検討することを求めている。
⑵ 公平性(Fairness)
GDPR5条(1)(a)に基づく公平性の原則は、データ主体にとって不当に不利益、違法に差別的、予想外、または誤解を招くような方法で個人データを処理すべきではないという包括的な原則であることを想起しなければならない。つまり、コントーローラー(管理者)は企業のリスクをデータ当事者に移転すべきではないということである。ChatGPTに関していえば、その利用規約上、データ主体がチャット入力に責任を持つという条項を定めることによって、GDPRの遵守を確実にする責任をデータ主体に移すべきでないことを意味する。EDPBとしては、OpenAIは、ChatGPTに多くの個人データを入力することを想定すべきであると捉えており、それらの入力がデータモデルの一部となり、たとえば特定の質問をしている人と共有されたとしても、OpenAIにはGDPRを遵守する責任があることが強調されている。
⑶ 透明性と情報提供義務(Transparency and information obligations)
ウェブサイトなどの一般にアクセス可能なソースから個人データをウェブスクレイピングする場合、GDPR14条の要件が適用され、データ主体に対して、所定の項目の情報を通知する義務が発生する。もっとも、大量のデータがウェブスクレイピングによって収集されることを考慮すると、通常、各データ主体にその状況を通知することは現実的でなく、また不可能である。このため、GDPR14条(5)(b)の免除規定が適用されない限り、ウェブスクレイピングによる個人データの収集は、GDPR14条に違反することになってしまう。
これとは逆に、ChatGPTとの利用中に、利用者であるデータ主体本人の個人データが収集される場合は、GDPR13条の要件が適用され、やはり、データ主体に対して、所定の項目の情報を通知する義務が発生する。この場面では、利用者の入力した個人情報がGPTの学習目的で利用される可能性があることをデータ主体に通知することが特に重要であると、本報告書は強調する。
⑷ データの正確性(Data accuracy)
GDPR5条(1)(d)に基づくデータの正確性の原則に関連して、入力データと出力データの違いを明確にする必要がある。入力データには、たとえばウェブスクレイピングによって収集されたデータや、ChatGPTを使用する際にデータ主体が提供するプロンプト(指示)などが含まれる。出力データには、ChatGPTへの指示を踏まえて生成・出力されるアウトプットが含まれる。
問題は、データ処理の目的はChatGPTを訓練することであり、必ずしも事実上正確な情報を提供することではないこと、とりわけ、いわゆる「幻覚」(ハルシネーション)のリスクがあるにもかかわらず、利用者側は、個人データを含め、ChatGPTのアウトプットは事実上正確なものとして受け取られる可能性が高い、という点である。
その対策として、本報告書は、GDPR5条(1)(a)に従った透明性の原則に沿って、生成されたテキストは構文的には正しいものの、偏りやでっち上げの可能性があるという事実への明示的な言及を含め、確率的にアウトプットを生成するメカニズムであること、その信頼性レベルは限定されたものであること、に関して適切に情報提供がなされることの重要性を強調する。
⑸ データ主体の権利(Rights of the data subject)
GDPRは、データ主体の権利、たとえば、個人データにアクセスし、そのプロセス(処理)の状況について情報提供を受けること、個人データの削除、修正を求めること、EU加盟国のデータ保護当局に苦情を申し立てる権利があることなどを定めている。OpenAIは、プライバシーポリシー(ヨーロッパ版)において、これらの権利の行使方法に関する情報を提供しているものの、複雑な処理状況およびデータ主体が介入できる事実上の制限を考慮すると、データ主体が簡単にアクセスできる方法で権利を行使できることが不可欠であることを本報告書は強調する。その上で、GDPR25条1項に従い、プロセスの手法を決定する時点およびプロセスそのものを行う時点の両方において、GDPRの要件を満たし、データ主体の権利を保護するために、データ保護の原則を効果的な方法で実施し、必要な保護措置を処理に統合するように設計された適切な措置をデータコントローラー(管理者)として実施することをOpenAIに対して求めている。
これらの懸念されているポイントをより詳細に示しているのが、別紙の質問事項リストである。当該リストを確認することで、EDPB及びEU加盟国のデータ保護当局が、GDPR遵守のために、ChatGPTに求めている措置の具体的な内容を確認することができるだろう。
4 今後の展開
EDPBは、引き続きChatGPTをはじめとするAI技術のデータ保護プラクティスに関する監視を続けることを宣言している。具体的には、GDPRおよびEU AI規則との整合性を確保するための追加ガイドラインの提供、データ処理活動に関する透明性の向上、およびデータ主体の権利保護の強化を計画している。これらは、AIをビジネスに活用する事業者に取って、大きな影響を及ぼす可能性があるところであり、チェックしておくべき事項であろう。
以 上
[1] https://www.edpb.europa.eu/our-work-tools/our-documents/other/report-work-undertaken-chatgpt-taskforce_en
[2] https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/9870847
[/groups_member]
(なかざき・たかし)
アンダーソン・毛利・友常法律事務所スペシャルカウンセル。東京大学法学部卒、2001年弁護士登録(54期)、2008年米国Columbia University School of Law (LL.M.)修了、2009年夏まで米国ワシントンD.C.のArnold & Porter法律事務所に勤務。復帰後は、インターネット・IT・システム関連を中心に、知的財産権法、クロスボーダー取引を幅広く取扱う。日本国際知的財産保護協会編集委員、経産省おもてなしプラットフォーム研究会委員、経産省AI社会実装アーキテクチャー検討会作業部会構成員、経産省IoTデータ流通促進研究会委員、経産省AI・データの利用に関する契約ガイドライン検討会委員、International Association of Privacy Professionals (IAPP) Co-Chairを歴任。2022年より内閣府メタバース官民連携会議委員。
アンダーソン・毛利・友常法律事務所外国法共同事業 https://www.amt-law.com/
<事務所概要>
アンダーソン・毛利・友常法律事務所外国法共同事業は、日本における本格的国際法律事務所の草分け的存在からスタートして現在に至る、総合法律事務所である。コーポレート・M&A、ファイナンス、キャピタル・マーケッツ、知的財産、労働、紛争解決、事業再生等、企業活動に関連するあらゆる分野に関して、豊富な実績を有する数多くの専門家を擁している。国内では東京、大阪、名古屋に拠点を有し、海外では北京、上海、香港、シンガポール、ホーチミン、バンコク、ジャカルタ等のアジア諸国に拠点を有する。
<連絡先>
〒100-8136 東京都千代田区大手町1-1-1 大手町パークビルディング
* 「アンダーソン・毛利・友常法律事務所」は、アンダーソン・毛利・友常法律事務所外国法共同事業および弁護士法人アンダーソン・毛利・友常法律事務所を含むグループの総称として使用