本記事は、当社オウンドメディア「Doors」に移転しました。
約5秒後に自動的にリダイレクトします。
LLMのビジネス利用に関する注意点を扱う連載の最後となる今回は、「海外の法規制」についてまとめました。
本ブログに掲載されている情報については、可能な限り正確な情報を提供するよう努めていますが、誤情報が混入する場合や、情報の最新性が損なわれる場合もあります。また、情報の正確性を鑑みた際に、予告なしでの情報の変更・削除をすることもありますので、ご了承ください。
また、本ブログの掲載情報をご利用頂く場合には、読者の方のご判断と責任においてご利用頂きますようお願いします。本ブログの情報を利用した結果発生した、何らかのトラブルや損害、損失等につきましては、筆者や関係者は一切の責任を負いかねます事ご了承願います。
こんにちは。アナリティクスサービス部の安藤です。
LLMのビジネス利用に関する連載の第4回(最終回)になります。連載第2回及び第3回では日本国内の法規制に関してご紹介してきましたが、今回は海外の法規制として、EUと米国の個人情報保護に関する法規制について解説します。
はじめに
前回までの連載でご紹介してきたとおり、大規模言語モデル(LLM)をビジネスで利用する際には、様々な法規制に配慮する必要があります。その中でも特に重要なものが、個人情報の保護です。日本国内の法制度については第2回の記事でご紹介しましたが、今回はその範囲を広げ、グローバルな視野から個人情報保護について掘り下げていきます。
とくに、今回注目するのはEUの「一般データ保護規則」(GDPR)と米国カリフォルニア州の「カリフォルニア法州消費者プライバシー法」(CCPA)/「カリフォルニア州プライバシー権法」(CPRA)です。これらの法規制は、ビジネスをグローバルに展開する企業にとって無視できない影響力を持ち、その適用範囲や制約について理解しておくことが極めて重要です。
この記事では、GDPRとCCPA/CPRAの概要、適用対象となる事業者の範囲、対象となる個人情報の範囲、事業者の責務、そして違反した際の罰則について解説します。これらの法規制の理解を深め、LLMを適切に活用するためのきっかけとしていただければ幸いです。
LLMサービスの利用に伴う海外の個人情報保護法令に関するリスク
まず、グローバルにビジネスを展開する日本企業においてLLMサービスをビジネス利用する際に、海外の個人情報保護法令との関係でどのようなことが問題となり得るのか、具体例を用いて説明します。
個人データの不適切な取得と利用
例えば、ある日本の企業がEU市民からビジネスに関連するフィードバックを収集するために、LLMを用いたアンケートや質問応答システムを設けたとします。その過程で、個人を特定できる情報(例えば、氏名、電子メールアドレス、住所など)を収集し、それを元にビジネスの改善を図ろうとした場合、これはGDPRに違反する可能性があります。
GDPRでは、EU市民の個人データを取得・処理する際には、その目的等を明示し適切に説明を行い、かつその個人データの処理を適法とする根拠を満たしている必要があります(後ほど改めて説明します)。したがって、個人データを取得する際の適切な説明や同意取得その他の個人データ処理の適法化根拠の確認を怠ると、GDPRに違反する可能性があります。
データの保管と保護の不備
CCPA/CPRAにおいては、個人データの保管と保護について事業者の責務が定められています。例えば、日本の企業が米国カリフォルニア州の消費者からの問い合わせをLLMを用いて処理し、その過程で個人情報を保管するとします。しかしながら、そのデータの保管に適切なセキュリティ対策が施されておらず、その結果、データ漏洩が発生した場合、CCPA/CPRAに違反する可能性があります。
データの保護は、事業者の重要な責務の一つであり、これを怠った場合には、重大な罰則が科される可能性があります。
これらは一例ですが、LLMの利用に当たっては、個人データの取得、利用、保管等の各段階で、対象地域の法規制を遵守することが重要です。以下でEU(GDPR)及び米国カリフォルニア州(CCPA/CPRA)の法規制について、それぞれ紹介していきます。
EU:GDPR
EUでは、個人データの保護に関する規則として、GDPR(General Data Protection Regulation:一般データ保護規則)を2018年5月から施行しています。GDPRは個人データの収集、処理、保存、および共有に関連する法的要件を定めています。以下にGDPRの概要や遵守すべき事項、違反した場合の制裁等について簡単に紹介します。
【イタリアにおけるChaTGPTの一時利用停止について】
2023年3月31日、イタリアの情報保護機関(The Data Protection Authority, 通称Garante)はOpenAI社に対して、ChatGPTがイタリア国民の情報を処理することを一時的に中止するよう命令しました。これに従い、OpenAI社はイタリアのユーザーのChatGPTの使用を停止しました*1。
イタリア政府がChatGPTの利用停止を命じた理由は、以下のような事項について、OpenAIがGDPRを遵守していることが確認できないというものです。
- ChatGPTはイタリア国民のデータを違法に処理しており、GDPRに違反しているおそれがある(適法化根拠)。
- GDPRは透明性の原則から、サービスのユーザーとデータを取得された者の両方に情報提供されるべきと考えているが、OpenAIはWeb上から入手し、モデルの学習に使用した個人情報のデータについて、本人に通知していない(必要な情報提供)。
- 子どもがChatGPTから不健全な情報を得ることを防ぐために、何らかの年齢認証を行う機能が無い(子どもの個人データの取り扱い)
- ChatGPTが不正確な情報を提供することへの懸念がある。GDPRは個人に対して、自身の誤った情報を訂正する権利を付与しており、現時点ではChatGPTが虚偽の情報を提供するのを止めるよう要求することができるかどうか明らかではない(情報の正確性)。
その後、OpenAI社が上記のような懸念に対して対処又は明確化したため、4月28日、イタリア政府はイタリア国内におけるChatPGTの利用停止を解除したと発表しました*2。
今回の一連の対応においてOpenAI社がイタリア政府から受けた指摘は、LLMサービスの利用においてGDPRへの対応を考える上で示唆に富んでいます。本記事では、GDPRの概要を紹介する上で、上記の懸念(特に適法化根拠と子どもの個人データの取り扱い)に対するOpenAI社の対応についてもご紹介します。
GDPRが適用される企業や事業活動の範囲
GDPRは、基本的にEU域内に拠点を持つ企業や、EUの企業からデータを処理するための委託を受けている企業に適用されます。また、EU域外に拠点がある場合でも、以下のような事業においてEU域内の個人データの取り扱いを行う場合、適用されます。
- EU域内の個人に対して物品やサービスの提供を行う場合
例えば、日本に拠点を持つEコマース企業がEUの市民に対して商品を販売する場合などが該当します。 - EU域内の個人の行動を監視する場合
例えば、自社ウェブサイトの利用状況の分析などが該当します。
GDPRが適用される個人データの範囲
GDPRは、名前や住所、メールアドレスなどを始めとする個人を特定可能な情報全般に適用されます。また、IPアドレスやクッキー情報など、オンライン識別子によって間接的に個人を特定可能な情報も含まれます(GDPR第4条)。
GDPRの基本原則
GDPRには以下のような6つの基本原則があり、これらはデータの取り扱いにおいて必ず遵守されるべきものです(GDPR第5条)。
- 適法性、公正性及び透明性
データの取り扱いは適法かつ公正であり、透明性を確保する必要があります。適法性の根拠については次の項目で詳細に説明します。 - 目的の限定
データは明確かつ正当な目的のために収集され、それ以外の目的で処理されるべきではありません。 - データの最小化
必要なデータだけを収集し、それ以上のデータを保持しないようにすることが必要です。 - データの正確性
データは正確で最新のものでなければならず、不正確なデータはすぐに修正または削除されるべきです。 - 記録保存の制限
データは、その目的を達成するために必要な期間だけ保持されるべきです。それ以上の保持は原則として許されません。 - 完全性及び機密性
データは適切なセキュリティを持って保護されるべきです。これには、不正アクセス、損失、破壊、改ざんなどからデータを保護するための適切な技術的、物理的な措置を講じることが含まれます。
個人データの取り扱いの適法化根拠
GDPRにおいては、個人データを取り扱う上で適法性を確保する必要がありますが、適法性を確保するための根拠としてGDPRでは以下のような項目が規定されています(GDPR6条1項a~f)。適法性を確保するためには、これらの少なくとも一つの根拠を満たしている必要があります。
- 本人の同意
本人が一つ又は複数の目的のために個人データの取り扱いについて同意を与えた場合が該当します。 - 契約の締結・履行のための必要性
例えば、商品の配送に必要な住所情報などが該当します。 - 法的な義務の順守
税務処理のための情報提供などが該当します。 - 生命に関する利益の保護
緊急の医療対応などが該当します。 - 公共の利益・公的権限の遂行
公衆衛生や犯罪防止などが該当します。 - 正当な利益
ダイレクトマーケティングなどが該当します。ただし、この場合でも、個人の権利や利益を侵害しないことが求められます。
日本の個人情報保護法とGDPRの大きな違いの一つとして、この適法化根拠の必要性の有無が挙げられます。連載第2回の記事でご紹介したように、個人情報保護法においては、個人情報の利用目的を特定して通知・公表していれば足り、上記のような適法化根拠は求められません。
OpenAI社が2023年3月にイタリア政府から一時的にイタリア国内におけるchatGPTの利用の停止を求められましたが、その際の理由の一つとして挙げられたのが、この適法化根拠を満たしていないというものでした。
現在のOpenAI社のプライバシーポリシー(2023年4月27日時点)においては、GDPRに対応した適法化根拠として以下のような項目が挙げられています(Privacy Policy 9)。これによれば、OpenAI社は個人データの処理について、「契約の履行」「正当な利益」「本人の同意」「法的な義務の順守」を適法化根拠としています。
- Performance of a contract with you when we provide and maintain our Services. When we process Account Information, Content, and Technical Information solely to provide our Services to you, this information is necessary to be able to provide our Services. If you do not provide this information, we may not be able to provide our Services to you.
- Our legitimate interests in protecting our Services from abuse, fraud, or security risks, or in developing, improving, or promoting our Services, including when we train our models. This may include the processing of Account Information, Content, Social Information, and Technical Information. See here for instructions on how you can opt out of our use of your information to train our models.
- Your consent when we ask for your consent to process your Personal Information for a specific purpose that we communicate to you. You have the right to withdraw your consent at any time.
- Compliance with our legal obligations when we use your Personal Information to comply with applicable law or when we protect our or our affiliates’, users’, or third parties’ rights, safety, and property.
子どもの個人データの取り扱い
そのほか個人データの取り扱いに関して日本の個人情報保護法とGDPRが異なる点として、GDPRには子どもの個人データの取り扱いに関しての制限規定があります。
既に述べたGDPR6条1項aの本人同意を得る場合に、本人が16歳未満である場合は、その子どもの親権上の責任のある者によって同意・承認が与えられた場合にのみ適法であると規定されています(GDPR8条)。一方、日本の個人情報保護法においてはこのような年齢に関する明示的な規定はありません。
OpenAI社が子どもの個人データの取得に関して、明確なフィルターを設けていなかったことも、イタリア政府からChatGPTの利用停止を命じられたことの理由の一つとなっていました。これに対して、OpenAI社は、イタリア国民のユーザーに対して年齢確認を求めることに同意したとしています*3。
GDPRに基づく個人データの管理者の主な責任
GDPRに基づく個人データの管理者に求められる主な責任として、以下のようなものがあります。
- 説明責任
管理者は適切な個人データ保護指針の採択、実行を含め、処理行為が適法な個人データ処理の要件をはじめとする GDPR の要件を確実に遵守し、かつそれを実証する責任があります(GDPR第 5 条(2))。 - 遵守実証の対策の実施
管理者が実施すべき対策として、個人データの処理行為の内部記録の保持、データ保護責任者の専任、処理システムの設計・運用における適切な技術的および組織的な措置の実行などが求められます(GDPR第24-30; 37-39条)。 - 個人データのセキュリティに関する義務
適切なセキュリティ措置の実施や、個人データの保護安全性の侵害が起きた場合の監督機関およびデータ主体への通知の義務があります(GDPR第 4 条(12)、第 32-36 条))。 - データ主体の権利の尊重
管理者は情報権、アクセス権、訂正権、削除件など、データ主体の権利を尊重しその行使を円滑にする必要があります(GDPR第12~22 条) 。
このうち情報権について、管理者はデータ主体から個人データを収集する場合、データ主体に対してデータの利用目的や法的根拠、データの保存期間など一定の情報を提供しなければならないとされています(GDPR第13条)
GDPRに違反した場合の主な罰則
GDPRに違反した場合、以下のような罰則が科されます。
- 本人に対する損害賠償
個人データの不適切な取り扱いにより、本人が何らかの損害を受けた場合、損害賠償が請求されることがあります。 - 巨額の制裁金
特に重大な違反については、最大2,000万ユーロまたは全世界年間総売上の4%までのいずれか高い方の制裁金が科せられることがあります(GDPR83条5項6項)。
米国(カリフォルニア州):CCPA/CPRA
米国では、連邦レベルでの個人データの保護に関する法律はありませんが、カリフォルニア州において、カリフォルニア州消費者プライバシー法:California Consumer Privacy Act(CCPA)という法律が定められています。CCPAは2020年7月から発効しており、2020年12月に成立したカリフォルニア州プライバシー権法:California Privacy Rights Act(CPRA)によって大幅な改正が加えられました。CPRAによって改正されたCCPA(以下「CCPA/CPRA」と呼びます)は2023年7月から発効予定です。
CCPA/CPRAもGDPRと同様、「カリフォルニア州に拠点が無い企業も対象となる」「違反すると巨額の制裁金が発生しうる」といった点から、日本企業においても適切な対応が必要となります。
以下で、CCPA/CPRAの主な対象や事業者に求められる責務、違反した場合の制裁等について簡単に紹介します。
CCPA/CPRAの対象となる事業者の範囲
CCPA/CPRAの対象となる事業者の主な要件は以下のとおりです(CCPA1798.140条(d)(1))。
- カリフォルニア州で事業を行っていること
- カリフォルニア州の消費者の個人情報を処理していること
- 上記に加え、以下のいずれかを満たすこと
1については、カリフォルニア州に拠点を持つ企業だけでなく、カリフォルニア州外の事業者がカリフォルニア州の消費者の個人情報を扱う場合にもCCPAの対象となると解釈されています。また、2については、「消費者」とは、カリフォルニア州の住民である自然人を意味するとされています(個人情報の範囲については後述)
また、上記の条件に該当する事業者を支配し支配され、共通のブランドを有し、個人情報を共有する事業者や、上記の条件に該当する事業者がそれぞれ40%以上の持ち分を有する合弁会社や共同事業体も対象となります(CCPA1798.140条(d)(2)(3))。
CCPA/CPRAが適用される個人データの範囲
CCPA/CPRAが適用される個人データ(個人情報)の範囲は広く、GDPRと同様、名前や住所、メールアドレスなどを始めとする個人(又は世帯)を特定可能な情報全般に適用されます(CCPA1798.40条(v)(1))。また、IPアドレスやクッキー情報など、オンライン識別子によって間接的に個人を特定可能な情報も含まれます*6。
個人データを扱う事業者に求められる責務
- 個人データを収集する際の本人への通知
事業者は、個人情報を収集する際に、収集する個人情報のカテゴリー、収集・利用の目的、個人データの販売、開示、共有の有無などの情報を本人に通知する必要があります。また、上記のような情報を含んだプライバシーポリシーを公表する義務もあります*7。 - 消費者要求への対応のビジネスプラクティスに関する義務
消費者からの開示や消去請求に対する必要な対応を定めた義務です。 - 記録管理義務
消費者からの開示請求の対象となる個人データを、適切な形で保管しておかなければならないとされています。保管すべき情報、保管形式や保管期間などが定められています。 - 個人情報の性質に照らして合理的なセキュリティの手続と慣行を実装する義務
暗号化など個人情報保護のために合理的なセキュリティを事業者が施す義務です。
上記のほかにも、消費者からの問い合わせに対応する従業員に対して研修を行う義務、消費者からの要求を受けた場合の本人確認手段を定める義務、子どもの個人情報を扱う際のオプトインプロセスの設定等の義務があります。
※事業者の責務について、詳細はJETRO「カリフォルニア州消費者プライバシー(CCPA)実務ハンドブック」を参照ください。ただし、2019年12月時点に作成されたものであるため、現在のCCPA/CPRAの内容とは多少異なっている可能性があります。
CCPA/CPRAに違反した場合の罰則
CCPA/CPRAに違反した場合の罰則は以下のとおりです。
- 罰金
消費者からの請求に期間内に対応できなかった場合などに、事業者は1件あたり2,500ドル、意図的な違反については1件あたり7,500ドルの罰金を科せられる可能性があります(CCPA1798.155 条第(b)項)*8。
注意すべき点として、上記は1件あたりの金額であるため、違反の対象となった個人の数が多ければ多いほど、罰金額も膨大になるおそれがあります。 - 民事訴訟
個人情報の漏洩により消費者が被害を受けた場合、消費者自身が事業者を訴えることができます(CCPA1798.150 条第(a)項)。事業者の責務において説明した、個人情報の暗号化を行わずに個人情報が漏えいした場合が該当します。消費者は、違反あたり100ドルから750ドル、または実際の損害額(それが750ドルを超える場合)の補償を求めることができます。
まとめ
以上、今回はEUのGDPRと米国のCCPA/CPRAについて解説しました。それぞれの法規制がどのような事業者に適用され、どのような個人情報を保護対象とし、事業者にどのような責務を課し、違反時にはどのような罰則が科されるのかを見てきました。
これらの法規制は、LLMのビジネス利用において重要な法的リスクとなりえます。これらに適合しないでサービスを提供すると、巨額の制裁金など、大きな罰則が科される可能性があることを認識しておくことが重要です。
今回の記事を通じて、LLMのビジネス利用における海外の法規制に関する注意点について読者の方の理解を深めるきっかけとなれば幸いです。
また、今回がLLMのビジネス利用に関して注意すべき点についての連載の最終回となります。連載を通じてサービスの使用条件や、多くの国内外の法規制について解説してきましたが、それらはすべてビジネスでLLMを安全に、そして効果的に利用するためのものです。ここで得た知識が読者の皆様のビジネス展開に少しでも役立つことを願っています。
最後までお読みいただき、有難うございました。
参考情報
*3:OpenAI gives in to Italy’s data privacy demands, ending ChatGPT ban(arts TECHNICA)
*4:CCPAでは5万件でしたが、CPRAによる改正により、10万件に引き上げられました
*5:「共有」とはCPRAによる改正により追加された概念で、クロスコンテクスト行動広告のために個人情報を第三者に伝達することをいいます。
*6:GDPRと異なる点として、CCPA/CPRAでは個人だけでなく、世帯を特定できる情報も対象となります
*7:例えば、OpenAI社はプライバシーポリシーにおいてCCPA/CPRAへの対応として、個人情報のカテゴリごとに第三者への開示の有無について公表しています(Privacy Policy5)。
*8:CPRAにおいては、未成年の個人情報の違反を伴う場合は意図的か否かに関わらず罰金額の上限が7500ドルとなりました
