生成AIの注意点とは?個人情報を適切に取り扱うためのポイントを解説

生成AIとは、英語で「Generative AI」とも呼ばれ、膨大なデータからパターンやルールを学習し、テキストや画像などのコンテンツを自動生成する技術のことを指します。例として、文章生成AIの「ChatGPT」や画像生成AIの「Stable Diffusion」、「Midjourney」などが挙げられます。

これらのツールは、それぞれ異なるメディア形式において、学習済みのデータから新しい作品や文章を生成する特徴を持っています。企業や組織でも導入が進んでおり、マーケティングコンテンツの作成やデザインの提案など、多岐にわたる領域で利用されています。生成AIは従来のAIとは一線を画し、学習したデータを基に新しいアイデアやコンセプトを生み出す能力を持っています。これにより、ユーザーはよりクリエイティブな作業を行うことが可能となります。

他方、これらの生成AIについては法律に沿った適切な利用が求められております。今回は生成AIを適切に利用するうえで注意すべき点や適切な利用方法のために利用者において対応したほうが望ましい点について説明いたします。

1.生成AIを利用する際の注意点

(1)誤情報が含まれている可能性があること

生成AIは、ユーザーに対して事実に基づかない情報を正確なものであるかのように伝える可能性があります。この現象は「ハルシネーション」とも呼ばれ、AIが生成する情報に誤りや偽情報が含まれている可能性があるため、利用者は注意が必要です。参考となる情報源やデータの正確性を確認し、信頼性を評価するステップが不可欠となります。

(2)AIの生成物が著作権などの第三者の権利を侵害しているリスクがあること

AIは、Webサイトやオンライン書籍、SNSなどから情報を学習し、新しいコンテンツを生成します。しかし、これにはリスクが伴います。生成されたコンテンツが既存の作品と類似している可能性があり、著作権、意匠権、パブリシティー権などを侵害する可能性があります。したがって、AIによって生成されたコンテンツの使用には、法的な観点からも慎重なアプローチが求められます。

(3)機密情報や個人情報が漏洩するリスクがあること

AIがユーザーから受け取った情報を学習し、それを第三者への回答として出力する可能性があります。特に個人情報の取り扱いには細心の注意が必要であり、個人情報保護法に基づく情報の定義と管理に配慮が必要です。本記事では、この個人情報のリスクに焦点を当て、安全な利用方法や対策について詳しく解説します。

2.個人情報保護委員会による注意喚起

2023年6月、個人情報保護委員会(PPC)は、「生成AIサービスの利用に関する注意喚起等について」と題した注意情報を公開しました。この情報は、生成AIを利用する際のリスクや取り扱いに関する重要なガイドラインを提供しており、個人情報取扱事業者、行政機関、一般の利用者を対象としています。

生成AIは、テキストや画像などのデータを生成する技術であり、その利用はビジネスやコンテンツ制作など多岐にわたります。しかし、その利用には個人情報の保護や適切な管理が不可欠であり、PPCはこれらのポイントに焦点を当てた注意喚起を行っています。

個人情報取扱事業者に対しては、生成AIを利用することで生じる可能性がある個人情報の漏洩や不正アクセスに対するリスクを最小限に抑えるための具体的なアクションを取るよう求めています。また、行政機関に対しては、生成AIの利用による情報の誤伝播やフェイクニュースの拡散を防ぐための対策を講じることを強調しています。一般の利用者に対しては、生成AIによって生成されたコンテンツが真実でない可能性があることを理解し、情報を批判的に評価するスキルを身につけることが重要であると指摘しています。

この注意喚起は、生成AIの利用が社会全体に与える影響を考慮し、それぞれの立場で適切な対応を行うことの重要性を訴えています。したがって、生成AIを利用する全てのアクターは、この注意喚起の内容を理解し、適切な知識と対策を持って利用に臨むべきです。

参照:生成AIサービスの利用に関する注意喚起等について |個人情報保護委員会

3.各事業者ごとに置いて注意すべき内容

(1)「個人情報取扱事業者」が生成AIを利用する際の注意点

個人情報取扱事業者とは、個人情報データベース等を事業の用に供している私人を指し、その定義と範囲は個人情報保護法に基づいています。生成AIの利用において、個人情報を含むプロンプトの入力は、必要な範囲内に留め、本人の同意なく情報を入力する行為は、個人情報保護法違反の可能性があります。したがって、生成AIサービスが入力した個人情報を学習データとして利用しないか、またはそのガイドラインを確認することが極めて重要です。

(2)「行政機関等」が生成AIを利用する際の注意点

行政機関等が生成AIを利用する際も、個人情報や機密情報を含むプロンプト入力は、必要最小限に抑えるべきです。個人情報取扱事業者と同様に、個人情報を含むプロンプト入力は個人情報保護法違反に該当する可能性があります。利用する生成AIサービスが、入力した個人情報を機械学習に利用しないか確認することが必要です。

(3)「一般の利用者」が生成AIを利用する際の注意点

一般の利用者が生成AIを利用する際、サービス利用に関するリスクを十分に理解し、機械学習に個人情報が利用される可能性や、出力される内容が正確でない可能性があることを認識する必要があります。また、生成AIサービスを提供する事業者の利用規約やポリシーを確認し、理解することも大切です。

4.個人情報保護委員会からOpenAIに対する注意喚起の概要

2023年6月、日本の個人情報保護委員会(PPC)は、生成AIサービスの利用に関する注意喚起を発表しました。この注意喚起には、OpenAI社に対する特定の警告も含まれています。OpenAI社は、ChatGPTなどのAI技術の研究開発を行っている研究機関であり、その技術はテキスト生成において広く利用されています。PPCからの注意喚起は、ChatGPTのサービス提供者、すなわちOpenAIに対するものであり、生成AIを利用する際の個人情報の取り扱いに関する重要なガイドラインを提供しています。

具体的には、OpenAI社のChatGPTにおけるユーザーのデータの取り扱いに関して、個人情報保護法の観点からの懸念が示されています。生成AIサービスにおける個人情報の入力は、サービス提供者に対して個人データを提供する行為となり、法的な遵守が求められます。特に、本人の同意なく個人情報を含むプロンプトを入力する行為は、個人情報保護法に違反する可能性があります。

この注意喚起は、生成AIの利用者、特にChatGPTの利用者にとって、個人情報の取り扱いに関して法的なリスクを理解し、適切な対応を行うための重要な指針となります。OpenAI社におけるデータ管理機能の追加やAPIの利用、オプトアウト利用など、個人情報上の規制をクリアできる可能性もあるため、利用者はこれらの情報を把握し、適切な利用を心がける必要があります。

参照:生成AIサービスの利用に関する注意喚起等について |個人情報保護委員会

5.個人情報保護法から見る生成AI利用のポイント

(1)入力する情報が個人情報に該当するかきちんと確認をする

生成AIの利用において、入力する情報が個人情報に該当するか否かは極めて重要なポイントとなります。まず基本となるのは、もし入力するプロンプトが「個人情報」でなければ、法的な問題は発生しません。では、「個人情報」に該当するかどうかの検討点を具体的に見ていきましょう。

一つ目の検討点は、その情報に含まれる記述で特定の個人を識別できるかどうかです。例えば、名前や住所など、個人を特定できる情報が含まれている場合、それは個人情報とみなされます。次に、他の情報と容易に照合でき、特定の個人を識別できるかどうかも重要なポイントです。異なるデータソースとの照合によって個人を特定できる情報も、個人情報として扱われます。最後に、個人識別符号(マイナンバー、パスポート番号、運転免許証の番号、指紋、DNAなど)を含む情報も、個人情報に含まれます。

生成AIを安全かつ法令順守の下で利用するためには、これらのポイントを把握し、適切な情報管理と利用が不可欠です。個人情報の取り扱いには十分な注意と、法的な知識が要求されるため、適切なコンプライアンス体制を整え、安心して技術を利用しましょう。

(2)情報の入力が個人データの提供に該当するかきちんと確認をする

個人情報保護法において、「個人データ」とは、個人情報データベースを構成する個人情報を指します。これは、企業が保有する従業員や顧客の情報など、特定の個人を識別できるデータを含みます。個人データの「提供」とは、これらの情報を第三者に対して開示・伝達する行為を指し、法により、本人の同意を基本としています。

個人データの提供に該当するか否かの判断は、情報が特定の個人を識別できるものであるか、また、その情報が第三者に対してどのように使われるかによって異なります。具体的には、個人情報保護委員会のFAQにおいても触れられており、個人情報の取り扱いには細心の注意が必要です。

また、具体的な情報の入力行為が個人データの提供にあたるかの判断は複雑であり、法的なトラブルを避けるためにも、専門家、例えば弁護士に相談することが重要です。個人情報の適切な管理と利用は、企業の信頼とコンプライアンスを保つ上で不可欠な要素となります。

6.生成AIの利用において適切に個人情報を取り扱う方法

(1)生成AIサービスの利用規約を確認する

生成AIサービスを利用する際、利用規約や契約書の内容を確認することは不可欠です。特に、秘密保持義務や、ユーザーが入力した情報がAIの学習にどのように利用されるかについての確認は、個人情報の安全確保に直結します。多くのサービスでは、利用者のデータを保護するためのポリシーやガイドラインを設けていますが、それらが利用者のニーズや期待に合致しているかを把握することも重要です。

(2)社内ガイドライン・利用規定の作成

自社で生成AIを利用するにあたり、法的な側面だけでなく、倫理的・社会的な側面も考慮に入れたガイドラインの作成が必要です。これには、従業員がどのようにAIを利用すべきか、どのような情報をAIに入力して良いのか、そしてその情報がどのように管理・保管されるのかについてのルールを明文化し、全従業員に周知することが含まれます。また、テクノロジーや法規制の変化に対応するため、ガイドラインは定期的に見直しを行い、必要に応じてアップデートをすることも重要です。

7.生成AIの利用ガイドライン

一般社団法人「日本ディープラーニング協会」は、生成AIの利用に関するガイドラインを公開しています。このガイドラインは、社名などの必要事項を追加・修正するだけで、多くの組織や事業者が活用できるひな型として設計されています。特に個人情報に関しては、入力する情報には本人の同意が必要とされています。しかし、同意の取得は現実的ではないケースも多いため、「個人情報は入力しない」という方針が明記されています。また、テクノロジーや法規制の変化に対応するため、このガイドラインは随時アップデートされる予定であり、最新の情報と合わせて利用することが推奨されています。

参考:資料室 – 一般社団法人日本ディープラーニング協会​

8.まとめ

生成AIは、テキストや画像などのコンテンツを生成する技術であり、ChatGPTやStable Diffusionなどがその例です。利用には注意が必要で、個人情報保護委員会はその利用に関するガイドラインを発表しています。特に、個人情報の取り扱い、著作権の侵害リスク、情報の正確性などには十分な配慮が求められます。一般社団法人「日本ディープラーニング協会」も生成AI利用のガイドラインを提供しており、個人情報の入力には本人からの同意が必要であると強調しています。これらのガイドラインや法規制を遵守しながら、生成AIを安全に利用するためには、専門的な知識を持つ弁護士に相談し、適切なアドバイスを得ることが極めて重要です。専門家の意見を取り入れ、法的リスクを最小限に抑えつつ、技術の恩恵を最大限に引き出す方針を立てることで、企業や組織は生成AIをより安全かつ効果的に活用することができます。