生成系AIサービスについて、個人情報保護法で気を付けるべき法律

個人情報保護法の規定とは

個人情報保護法では、民間の企業に対して「個人情報取扱事業者」と呼ばれる、個人情報データベースを事業目的で扱う者に規制が設けられています。

個人情報とは、主に生存する個人に関する情報で、その情報によって特定の個人を識別できるものを指します。この情報が検索などで体系的に構成された集合物を「個人情報データベース」と呼ばれます。

個人情報保護法が個人情報取扱事業者に課している主な義務は、利用目的の特定とその範囲を超える利用の制限、第三者への提供の制限です。

利用目的については、法ではできる限り特定する必要がありますが、具体的な手段まで特定する必要はありません。

例えば、ChatGPTを利用する場合、プライバシーポリシーに「購買履歴の情報を分析して提案を行う」と書かれていれば、その目的のためにChatGPTを使用することは問題ありません。

ただし、利用目的に含まれていない目的で利用する場合は、原則として本人の同意が必要です。

第三者提供の制限は、一定の例外を除いて、保有する個人データを第三者が利用できる状態にしてはいけないという規制です。

ChatGPTに情報を入力することは第三者への提供に当たるかが問題となりますが、OpenAI社の記載によれば、一部の情報は利用されず、また利用される情報も「training」をオフにすれば利用されなくなるとされています。

したがって、実際にそのように運用されている場合、OpenAI社は「個人データを取り扱わない」事業者となり、第三者提供には該当しないと考えられます。

ただし、利用規約によれば、提供されたコンテンツは機械学習に利用される可能性があり、OpenAI社が海外の企業であるため、第三者提供に当たる場合は国内の企業よりも厳しい規制が適用されることに注意が必要です。