IT法務・AI・暗号資産ブロックチェーンNFT・web3の法律に詳しい弁護士|中野秀俊
グローウィル国際法律事務所
03-6263-0447
10:00~18:00(月~金)

AI(人工知能)プロファイリングに関する法律で気を付けるべき2つのポイント【解説】

ロボット・AI・ドローンの法律

プロファイリングとは

プロファイリングと聞くと、テレビや小説で犯罪捜査の一環として状況証拠等から犯人像を割り出す手法を用いる場面がすぐに思い浮かびますが、現在、ビジネスにおいて、プロファイリングは欠かせないものとなっています。

例えば、インターネットの閲覧履歴や購買履歴から消費者の趣味・嗜好を推測して公告を行うターゲテイング広告や、クレジットカード決済での購買履歴や会員の属性情報に基づいてクーポン配信を行うものなどがあります。

最近では、従業員の採用時にインターネット上の情報(SNSにどのような友達がいるか等)も収集して評価するということも行われています。

プロファイリングはビッグデータビジネスにおいて当たり前のものとなっています。特に、AIプロファイリングは、プロファイリングにおいては非常に有用な技術です。

サービスを利用するために開始時に同意はしているとしても、消費者がほとんど意識しないうちに個人情報・プライバシー情報が収集されることが常態化しているのもまた事実であり、個人情報保護法やプライバシーとの関係で問題が生じます。

プロファイリングの法規制の現状

このプロファイリングに関しては、2017年に施行された改正個人情報保護法では直接の規定はありません。

これに対してEUでは、2018年5月に施行予定のEUの一般データ保護規則(GDPR:GeneralDataProtectionRegulation)において、プロファイリングを定義しています。

具体的には、プロファイリングとは、「自然人に関する特定の個人的側面を評価するために、特に、当該自然人の職務遂行能力、経済状況、健康、個人的選好、関心、信頼性、行動、位置もしくは動向を分析または予測するために、個人データを用いて行うあらゆる形式の自動化された個人データ処理」と定義した上で、個人情報・プライバシー保護法制の中核に据えられています。

AIによるよるプロファイリングと個人情報保護法

現行の個人情報保護法においてプロファイリングについて直接の規定が設けられていないとしても、実際にプロファイリングを行うに当たって個人情報保護法上の「個人情報」を取得する場合には、当然に個人情報保護法の適用対象となります。

例えば、AIがインターネット上でパーソナルデータを収集してプロファイリングを行う際に、プラットフォーマーやクレジットカード会社が消費者の購買履歴等の情報を取得する場合はもちろん、SNSなどによって公表されている情報を取得する場合であっても「個人情報」に該当します。

その取得に当たっては原則として、利用目的を通知または公表する必要があり、また、取得した個人情報については、企業として、安全管理措置を講じる義務等を負うほか、本人の同意なく第三者に提供することはできません。

AIによるよるプロファイリングとプライバシー権

また、AIによるプロファイリングには、プライバシー権との関係でも問題になります。

現在では、その権利の内容や権利侵害の有無だけでなく、プライバシー感情へ配慮した運用や、プライバシー・バイ・デザイン(プライバシー情報を扱うあらゆる側面において、プライバシー情報が適切に扱われる環境をあらかじめ作り込もうというコンセプト)といった考え方も考慮することが求められるようになってきています。

これらのプライバシー情報の取扱方法に関しては、個人情報保護法には直接の規定は設けられなかったが、「パーソナルデータの利活用に関する制度改正大綱」の検討事項として、「番号法における特定個人情報保護評価の実施状況を踏まえ、事業者に過度な負担とならずに個人情報の適正な取扱いを確保するための実効性あるプライバシー影響評価の実施方法等については、継続して検討すべき課題とする」とされています。

また、AI開発の側面からも、2017年6月に総務省が公表した「国際的な議論のためのAI開発ガイドライン案」において、AI開発原則の1つとして、「プライバシーの原則……開発者は、AIシステムにより利用者及び第三者のプライバシーが侵害されないよう配慮する」とされています。

とくに以下の2点を満たすことが望ましいとされています。

  1. プライバシー侵害のリスクを評価するため、あらかじめプライバシー影響評価を行うよう努めること
  2. AIシステムの利活用時におけるプライバシー侵害を回避するため、プライバシー・バイ・デザインについて留意すること

具体的には、サービスを提供する事業者が利用者の判断を可能にするための説明を行うことが不可欠であり、そのためにプライバシー・バイ・デザインの実施体制を構築し、企画・開発・構築・運用においてプライバシー保護のためのチェックポイントを設けることが必要であるとされています。