データ保護法と生成系AIが生み出す企業のチャンスと課題【セミナーレポート(前編)】
近年、ChatGPTなどの生成系AIが目覚ましい進歩を遂げる一方で、それに伴うプライバシーの問題が少しずつ浮き彫りになっています。
今回は、各国に配置されているデータ保護監督当局の中でも大きな存在感を持つドイツ・バイエルン州データ保護監督局の局長 Michael Will氏をお招きし、ベーカー&マッケンジー法律事務所(外国法共同事業)(以下、「ベーカーマッケンジー」)の弁護士の方々とともにセミナーを開催しました。
本稿では、セミナーレポートの前編として、GDPRをはじめたとした世界のプライバシー保護の最新動向を切り口に、法律業界・データ保護監督局がAIをどう捉えているかについて解説します。
※後編では、マーケティング業界・法律業界・データ保護監督局がAIをどう捉えているか、またAIが企業にもたらすチャンスと課題について、パネルディスカッションの様子をご紹介します。
ベーカーマッケンジー
世界70超の都市に及ぶネットワークを持つ国際総合法律事務所。国・地域性への深い洞察及び各法分野と産業における専門性に立脚し、一元化したソリューションを提供しています。多様な市場、産業及び法分野を網羅することで、高度化するビジネスの課題に向き合い、クライアントとともに最適解を導き出しています。
www.bakermckenzie.co.jp
<登壇者>
Michael Will 氏
バイエルン州データ保護監督局
局長
安藤 元博
株式会社博報堂DYホールディングス
取締役常務執行役員CTO
Prof. Dr. Michael Schmidl 氏
ベーカーマッケンジー ミュンヘンオフィス
パートナー、ドイツ情報テクノロジーグループ共同代表
高瀬 健作 氏
ベーカー&マッケンジー法律事務所(外国法共同事業)
パートナー、IPテック代表
達野 大輔 氏
ベーカー&マッケンジー法律事務所(外国法共同事業)
パートナー、IPテック
はじめに
- 高瀬
- 個人のデータ保護における世界的な基準として確立されている、GDPR*。社会の変化に伴って内容は進化し続けており、EUの規制当局も活発に動いている状況です。ここ数年の動きとしては、EU域内からEU域外への個人情報の移転に関する新しい条項「Standard Contractual Clauses(標準契約条項)」の公表や、つい先日では最高額のGDPR違反に関する罰金もありました。
今回のセミナーでは、Michael Will氏とMichael Schmidl氏の両名から、GDPRの状況についてお伝えさせていただくとともに、革新が目覚ましいAI技術がもたらす企業への影響や、AIと個人情報の関係で生じる問題にどう取り組むべきかについてお話ししたいと思います。
EU一般データ保護規則(GDPR)
GDPRとは、2018年5月25日に施行された、個人データやプライバシーの保護について詳細に定められた法令のこと。GDPRの施行は、それまで収集したデータを自由に利用していた企業やマーケティング担当者にとって大きな変化をもたらしました。
また、EU居住者の個人データを取り扱う場合、EU域外の事業者にもGDPRが適用されるため、多くの日本企業にとっても対応が求められています。
- 安藤
- 私からは今回、広告会社である博報堂DYグループがなぜ、法律事務所であるBaker & McKenzieとセミナーを共催するのか?その意義について少しお話しさせていただきます。
我々は、お客様を消費だけする「消費者」ではなく、生活のあらゆる側面で人を理解すべきであるという思想に基づいて「生活者」という言葉を1980年代に生み出しました。この思想に基づいて、今もマーケティングの在り方、テクノロジーの在り方をリードしてきたと自負しております。
生活者の観点に立つと、デジタルの時代になってプライバシー保護の重要性がクローズアップされてきました。EUのGDPRを筆頭に、当たり前のようにデジタル上で取り扱われるユーザーのデータ、引いてはプライバシーを保護する機運が一般的になりました。
日本においても同様の潮流を受けている中、博報堂DYデータは生活者に寄り添って、本人が「気持ち悪い」と感じるようなデータの使い方をしないためのデータ加工、同意取得、統計データとしての取り扱いなど、安全安心なデータの取り扱いに向けた技術研究を推進して参りました。
今、生活者はまた新たな変化に直面していると言えます。ChatGPTに代表される生成AIによる生活の変化です。
先日のG7サミットでも「広島AIプロセス」を公表し、生成AIに関する見解を年内にとりまとめる方針が明記されました。
もちろん、我々も生成AIの技術研究・開発は進めてきております。一方で、生成AIの活用においては著作権の問題、個人情報や機密情報の取り扱いの問題、間違った情報を拡散する問題、差別的な表現が発生しうる問題など、「生活者」に立脚する博報堂DYグループだからこそ慎重にならなければならない問題を認識しています。
生成AIのメリットや利活用については、その規律の在り方・ガイドラインとセットで、語るべきだと考えています。
まだ、日本はEU・アメリカに比べ、生成AIの著作権問題など規制の方向性が定まっていないままの状態です。これから規制が導入されるにあたって、2024年に施行予定のEU AI Act(欧州AI規則案)の議論など参考にするべき点がたくさんあると思います。
昨今のGDPRの動向やEUにおける生成AIの認識、規制動向のポイントを教えていただきながら、パネルディスカッションでは、日本の各企業が参考にするべき点など質疑を交わしていきたいと思っています。
【第一部】GDPRとAI規則案について留意すべき点
2023年、日本におけるGDPR遵守で求められること
- Michael Schmidl
- 第一部では、ヨーロッパ、そして日本で大きな問題になっているGDPRとAI規則案それぞれに関して、2023年に留意すべき点をお話します。
特にAIの取り扱いに関しては、先日、日本の個人情報保護委員会が「生成系AIサービスの利用に関する注意喚起」を行ったことからも、EUの先を行っているとも感じています。日本とEU、距離は離れていても、取り上げるべきトピックス、そして立ち向かうべき課題は同じなのです。
今回話させていただくのはEUにおける事例ではありますが、日本企業にとっても大きな影響があると考えています。
ではまず、GDPRに関する最新動向についてです。
GDPRに基づいた体制や運用がなされているかを調査する「監督審査」において、監督官庁は企業に対し、より細かく、そしてより難しい質問をするようになっています。
EUで多いのは、「処理活動の記録を見せてください」「正しく記入された署名付きの標準契約条項を見せてください」という質問です。データ主体への通知についてもわかりやすい文書で書かれているか、さらにGDPR遵守を証明できるものを残しているかといったこともよく質問されるでしょう。日本においては、「ホワイトリスト決定の基準を遵守しているか」も質問されるかもしれません。これらはすべて、GDPRにおける説明責任でもあるのです。
さらに、EUと日本どちらにおいても忘れてはならないのは、説明責任を果たすために十分なシステムを整備できる状態にあるということです。つまり、データ保護当局から見てGDPRの遵守は「なされていて当然のもの」であると。だからこそ、さまざまな質問に対して回答できるよう、あらゆる文書を準備しておく必要があるのです。
また、EUに拠点を持つ日本企業の場合、社内体制の整備も欠かせません。
例えばEUの拠点に当局が訪問し、審査を受けるとき。「日本の本社に確認します」という回答は、今となっては受け入れられません。これまでは、本社が主要なデータ処理者であるという考えもありましたが、現在は各拠点においても、高い水準でGDPRが遵守され、回答できるように体制を整えておく必要があるのです。
AI規則案が日本企業に与える影響とは
- Michael Schmidl
- 次に、GDPRがAI規制に与える影響についてです。
AIの開発・活用において、GDPRはどのように適用されるのか。先日「AI規則案*」が採択されましたが、私たちはこれまでこのトピックに対しても議論を重ねてきました。
AI規則案
2023年6月、欧州連合(EU)欧州議会本会議にて採択された、欧州における「AI規則案」のこと。リスクレベルに応じた規制が定められ、GDPRと同様、EU域内の人や自然に影響を与える場合は、EU域外企業であっても適用される。違反すると巨額の制裁金が課され得るため、将来的な施行に向け準備を進める必要がある。
中には、こんな声もありました。「影響なんかありませんよ。両者の規制は完全に別物だから」と。もちろんそう考えることもできるかもしれませんが、そうすると、本来遵守すべき倫理的な原則を見過ごしてしまう可能性もあるでしょう。
そこで原則の一つとして定められているのが「AIに読み込ませる教師データが、個人情報保護法を遵守していること」です。つまり、GDPRとAI規制には関連性があるのです。
また、AIはさまざまな環境や状況における予測やレコメンドを可能にした一方で、AIによるプロファイリングや自動意思決定は、個人の自由と権利に重大なリスクをもたらす可能性もあります。それに対しGDPRでは、「機械が人の運命を決定すべきではない」という考え方のもと、システムによる自動意思決定を禁止しています。
AIを活用したイノベーションが加速する日本においては、これらの規制もビジネスに影響を与えると考えられるでしょう。
- Michael Schmidl
- 次に、AI規則案の適用範囲についてです。
システムを開発するプロバイダーなのか、それを市場に流通させる販売者なのか、ユーザーなのか。プレイヤーによって要求事項が異なるため、適用範囲も細分化されています。
また、日本企業への影響も大きいと考えられる、域外適用についても触れておきます。EUで自身のAIを販売する場合はもちろん、EUで作られたAIをEU内で販売する場合や、EUの企業を支援する場合においても、AI規則案が施行され次第、最終的なアウトプットがAI規則案を遵守していないと、サービスを販売・提供することができないのです。
- Michael Schmidl
- 次に、AI開発時に遵守すべき原則についてです。AIは、人間が監視できるように設計されていなければなりませんし、プライバシー法を遵守するように設計されていなければなりません。
そこでこのスライドの図には、プライバシー、ヒューマンバリューの尊重、セキュリティなど、AI開発において考慮すべき8つの倫理的な基準が示されています。EU市場でAIを扱う場合、この全てを考慮することが求められるため、日本においても開発段階からこれらの原則を遵守する必要があるのです。
AI規則案に対し、日本企業が今できること
- Michael Schmidl
- 最後にお伝えしたいのは、リスク分類についてです。
AI規則案では、「許容できないリスク」「高リスク」「限定的なリスク」「最小限のリスク」とリスクレベルを4つのカテゴリに分類し、それに応じて禁止事項、要求事項や義務が定められています。
それにより、ソーシャルスコアリングや公共空間での顔認証など、特定の行為が禁止されることも考えられます。また、雇用や重要なインフラに関連するシステムにおいて、仕事への適性や信用度、「この人が仕事についたらどんな行動をするか」などを予測できる場合、ハイリスクに分類され、高度な規制がなされる可能性もあるのです。
これらの規制に対し、日本企業が今できることは、AI規制の動向を注視することです。EUに関連する市場で事業を行う限り、AI規則案は必ず遵守する必要があるからです。
AI規則案の内容が定まり次第、事業にどれくらいの影響があるのかを見極め、戦略を立てる必要があります。AIのトレーニングにどのデータを使用するか、その事業をどう展開していくか、AIをどう監視するか。また、法務やコンプライアンスチームとの協働や関係する業界団体や政府との連携など、考えるべきことは多くあるはずです。できるだけ他者と協調しながら行動し、迫り来る課題に備えていきましょう。
【第二部】バイエルン州データ保護監督局の視点から見た、2023年のGDPR
GDPR6年目。バイエルン州データ保護監督局の役割と現状
- Michael Will
- 第二部では、Michael Schmidl氏のカウンターパートとして、GDPR施行から5年が経過した現在の印象について規制当局視点でお話しします。
今回お話しさせていただく内容を考えながら、私はあることに気づきました。
それは、我々は同じ光景を見ているということです。デジタル化が急速に進む現代において、日本であろうとヨーロッパであろうと、持っている課題や疑問に大きな違いはありません。そうしたことからも、私が規制当局として取り組む意義をあらためて実感しました。
まずは私のバックグラウンドと、規制当局の役割を簡単に説明させていただきます。
私は、2009年からバイエルン州の内務省において、データ保護の責任者を務めています。プライバシー政策だけでなく、2012年から2016年にかけてはGDPRの交渉にも関わりました。現在は、バイエルン州の個人情報保護当局におけるプレジデントとして、社会への影響に気を配りながら、企業からの質問に対応しています。
バイエルン州データ保護当局は、2002年に設立された個人情報保護に関する独立した機関です。大手グローバル企業から中小企業まで、バイエルン州にある60万以上の企業を管轄しています。
主な役割は、多くの苦情・相談への対応や、監督下にある企業が個人情報の保護を徹底できているか、データ漏洩の通知義務を果たしているかの確認です。年間約6,000件の苦情、3,000件以上のデータ漏洩対応、2,000件の相談に対応している状況です。
しかし、私たちはもっと多くの相談に応えたいと考えています。なぜなら相談へのアドバイスこそが、個人情報保護に関わる問題解決において最善の方法だからです。GDPR施行から5年が経ちますが、私たちはその間も日々欧州のパートナーと連絡を取り、ガイドラインの策定や質問への回答、あらゆる問題解決に取り組んでいます。
ここからは、GDPR施行6年目を迎えた現在の状況と、未達成課題についてお話しさせていただきます。
まずは現状についてです。
GDPR施行から5年が経ち、データ保護への意識は確実に高まっていると感じています。年に6,000件もの苦情は、バイエルン州で処理している数に過ぎず、欧州全体で見たらもっと多くの苦情が出ていると考えられます。その内容も、労働法など他の法分野におけるデータへのアクセス要求や、金融機関などへのデータの削除要求などさまざまです。あらゆる分野でデータ保護が重視されるようになったからこそだと思います。
さらに、データ保護を侵害した場合の代償についても事例が増えています。
GDPRでは大きな取り決めの一つとして制裁金を設けており、これまでも多額の制裁金を課しています。こうした取り組みで、迅速な対応や変化を促していく必要があるのです。直近ではMetaに対し制裁金を課しましたが、この件を機に制裁金による問題の対処法がEU当局間の共通認識となったため、今後さらに増えるでしょう。
このようにEUにおいて高水準のデータ保護が進む一方で、未達成課題も多くあります。
一つ目は、「欧州の4.5億人を対象に、統一したデータ保護法を施行する」といった目標についてです。加盟国ごとの適用に時間を要しており、まだ100%の実現には至っていませんが、引き続き取り組んでいます。
二つ目は、Cookieを中心としたeプライバシー規則の制定についてです。この規則が成立すれば、Cookieやインターネットウェブサイトに関連する多くの問題は解決するでしょう。しかし、欧州データ保護法の全体的な制度と設計にもかかわるため、いまだに議論中となっています。
三つ目は、EU域外適用についてです。最近、複数の日本企業がGDPRに対応することにしたと聞きましたが、これもまだ具体的な検討までは進んでいないようです。日本や他国においても、議論の余地があるかもしれません。
そして四つ目が、欧州におけるデータ保護局の一元化です。欧州の各国にデータ保護当局を配置するのではなく、一つに集約することでスピーディな議論とEU全体を見据えた柔軟なGDPR対応が可能になります。現在は一元化のために私たちが構築した仕組みをもとに、それが本当に最適なのか、審議している状況です。
最後に、自主規制についてです。GDPRの条項において、監督当局による認証と行動規範を踏まえれば、自主的な判断が可能になるような仕組みもあるのですが、仕組みの詳細が不明確なため実施には至っていません。達成できていない悔しさもありますが、今後も議論を重ね、詳細を詰めていければと思っています。
データ保護現場における、重要な変化
- Michael Will
- 次は、データ保護の現場における変化を三つお伝えします。
一つは、データ保護がマネジメントの課題となり、企業の説明責任に直結するようになったということです。特にGDPRの遵守は企業トップが説明する必要があるため、リーダーたちはこの数年、より一層プライバシーの問題に取り組んできたことと思います。
欧州の事例で言えば、データ保護責任者(DPO)制度の成功もあります。GDPRの適切な施行に貢献するDPOの存在は、企業においても、私たち監督当局にとっても重要な存在です。欧州ではその数が増加しており、AIの普及も相まって今後さらに重要度が高まるはずです。
また、欧州の協力体制が改善され、欧州最高裁判所(ECJ)が関与した事例が増えたことも挙げられます。ECJ が関与する事例は40件にも上り、重要な問題の検討が今も続けられています。データ保護の現場では、そうした大きな事例についてECJの判断や動向を注視し、その後の業務への影響や対応を考えておく必要があるのです。
そして何よりも、データ保護に多くの人が関わることになったという点も大きな変化です。今や、データ保護は私たち監督当局だけの仕事ではないのです。データ保護・データ侵害に対応する消費者団体や、労働者評議会が企業活動を妨げてしまうものとして捉えられてしまう可能性もあるので、プライバシーに関する議論はより一層重要な案件として様々な角度から慎重に対応していく必要があるでしょう。
データ保護を取り巻くこれからの法規制の方向性
- Michael Will
- さて、ここからは未来の話をしましょう。
膨大なデータが競争力の一つとして活用されるようになった現代において、欧州ではデジタルサービス法やデータガバナンス法などの多くの法律が既に施行され、AI規則案についても現在議論が進められています。
その中で私たちが最も注視しているのは「新しい法律を監督するのは誰か」です。
データ保護当局なのか、別の機関が設立されるのか。そして、GDPRとどう関連づけることになるのか。昨今のChatGPTについても、欧州では既にOpenAIの調査を開始していますが、AIにまつわる課題は、データ保護に関わるものだけではないと考えています。
その点においても、さまざまな視点からパネルディスカッションで議論できればと思います。
この記事はいかがでしたか?
-
Michael Willバイエルン州データ保護監督局
局長
-
株式会社博報堂DYホールディングス
取締役常務執行役員CTO1988年に博報堂に入社し、数々の企業の事業/商品開発、統合コミュニケーション開発、グローバルブランディングに従事。現在、博報堂および博報堂DYメディアパートナーズ取締役常務執行役員をはじめ博報堂DYグループ各社を兼任し、グループのテクノロジー領域を統括している。著書に『広告ビジネスは、変われるか? テクノロジー・マーケティング・メディアのこれから』(宣伝会議)などがある。
-
Prof. Dr. Michael Schmidlベーカーマッケンジー ミュンヘンオフィス
パートナー、ドイツ情報テクノロジーグループ共同代表
-
高瀬 健作ベーカー&マッケンジー法律事務所(外国法共同事業)
パートナー、IPテック代表
-
達野 大輔ベーカー&マッケンジー法律事務所(外国法共同事業)
パートナー、IPテック
