なか2656のblog

とある会社の社員が、法律などをできるだけわかりやすく書いたブログです

タグ:openAI

かくれてしまえばいいのですトップ画面2

1.はじめに

「いまのつらさに耐えられないのなら、一度隠れてしまいましょう」と、自殺防止の対策に取り組むNPO法人「ライフリンク」が、生成AIを利用したオンライン上に自殺対策のためのウェブサービス「かくれてしまえばいいのです」を作ったことをNHKなどが報道しています。公開から3日で30万以上のアクセスを集め話題になっているとのことです。
・つらい気持ち抱える人へ ネット上の「かくれが」話題に|NHK

自殺願望(希死念慮)のある利用者が生成AIと会話ができるサービスもあるようで、そのような非常にデリケートなカウンセリング業務を人間でなく生成AIにまかせてしまって大丈夫なのか非常に気になります。

また、そのようなセンシティブな会話、個人データの取扱いが大丈夫なのかが非常に気になるところです。

2.実際にサービスに入ってみるとー要配慮個人情報の取得の際の本人同意は?

実際に「かくれてしまえばいいのです」のトップ画面から利用画面に入ってみました。

かくれてしまえばいいのですトップ画面

しかし、本サービスは自殺願望のある人々の悩みなどを取扱うため、うつ病やオーバードーズなどの精神疾患の情報を扱う可能性が高いところ、そのようなセンシティブな個人情報(場合によっては健康・医療データ)を書き込み等により電磁的記録として収集するにもかかわらず利用者の本人同意を取得することについてのボタンやチェックマークなどは表示されませんでした。これは要配慮個人情報の取得にあたっては本人同意を必要としている個人情報保護法20条2項に抵触しているのではないでしょうか?(個人情報保護法ガイドライン(通則編)2-16参照。)

あるいは「偽りその他不正な手段」による個人情報の収集を禁止する個情法20条1項に抵触しているのではないでしょうか。

なお、個人情報保護委員会の「生成AIサービスの利用に関する注意喚起等について(令和5年6月2日)」の生成AI事業者向けの注意喚起は、そもそも、「収集する情報に要配慮個人情報が含まれないよう必要な取組を行うこと」を求めています。(松尾剛行『ChatGPTと法律実務』64頁。)

そのような観点からも、精神疾患などの要配慮個人情報を生成AIで取扱うことを前提とした本サービスを実施してよいのか疑問が残ります。

3.「ロボとおしゃべりコーナー」-警察等に通報される?

つぎに、生成AIに悩み事を相談できる部屋「ロボとおしゃべりコーナー」にも入ってみました。

ロボとおしゃべりの部屋

するとつぎのような表示が現れました。

ロボとおしゃべりの表示

この部屋に入る場面においても、利用者の本人同意を取得するためのボタンやチェックマークなどは現れませんでした。

また、このアナウンスの表示には「私はただのプログラムだから何を言っても大丈夫!気軽にやってみてね」と書かれているだけです。

しかしこの点、「かくれてしまえばいいのです」の利用規約には、「本人または第三者に危害のおそれがある場合には、本人の同意にかかわらず警察等の関係機関に通報する」等の規定があるのですが(利用規約3条2項)、こういった点も十分アナウンスされていないことも気になります。

利用規約3条2項

4.利用規約-Microsoft社のAzureやOpenAIServiceを利用している

この利用規約を読んでみると、MicrosoftのAzureOpenAIServiceを利用していることが分かります。

利用規約3条1
利用規約3条(1)以下

入力された個人データなどは、Microsoft社のAzureOpenAIServiceの機械学習には利用されないとは一応書かれていますが、Microsoft社のサーバーに個人データは蓄積されると期されています。さらに、ライフリンクは自殺対策の調査・研究・検証などのために入力された個人データなどを利用するとも書かれている点は、利用者は注意が必要でしょう(利用規約3条3項3号、同6条2項)。

しかもプライバシーポリシーには安全管理措置を講じると書かれている部分はありますが(プライバシーポリシー4条)、具体的に個人データの保存期間などの明記はありません。

さらに、ライフリンクのプライバシーポリシーには個人情報の開示・訂正・削除等請求の具体的な手続きが記載されていないことも非常に気になります。

なお、プライバシーポリシーをみると、大学など研究機関に個人データが匿名加工情報の形態とはいえ、第三者提供されるとの記述もあることが気になります(プライバシーポリシー10条)。

プライバシーポリシー10条

ところでこの利用規約3条で一番気になるのは、同3条3項4号が「利用者は、当該サービスが自らの心身や認識に対して直接または間接に影響を及ぼしうることに留意し、当該サービスに過度に依拠して何らかの決定を行わないよう注意して利用すること」と明示していることではないでしょうか。

つまり、ライフリンクはこの「かくれてしまえばいいのです」の生成AIサービスなどによる相談業務などは、利用者にとって悪影響があるおそれがあることを承知しつつ、それを利用者の責任で利用せよとしているのです。これは、まだまだ発展途上の生成AIの危険を利用者に丸投げするものであり、場合によってはライフリンクは不法行為責任(民法709条)などを負う可能性があるのではないでしょうか?

しかし、利用規約3条4項は、ライフリンクは「当該サービスの利用により利用者または第三者に生じたいかなる損害に対しても、何ら責任を負わない」と明記しています。とはいえ、このような利用規約の規定は、消費者契約法10条などとの関係で無効とされる可能性があるのではないでしょうか?

生成AIは、真顔で嘘をつくこと(ハルシネーション(Hallucination))や、間違いを犯すことが知られています。また正しい発言であっても、自殺願望のある人に言ってよいことと悪いことがあるはずです。このような機微にわたる業務は精神科やカウンセラーなど専門家の「人間」が実施すべきことなのではないでしょうか。それを生成AIにやらせてしまっている本サービスには非常に疑問を感じます。

また、この点を個人情報保護法から考えても、このようなライフリンクの姿勢は、「個人情報取扱事業者は、違法又は不当な行為を助長し、又は誘発するおそれがある方法により個人情報を利用してはならない。」との個情法19条の不適正利用の禁止に抵触し、個人情報保護委員会から行政指導・行政処分などが課される可能性があるのではないでしょうか?

この点、EUのAI規制法案は、AIをそのリスクの度合いで4分類しているところ、医療機器などに関連するAIはそのリスクの高い順から2番目の「ハイリスク」に分類され、事業者には透明性や説明責任、ログの保管義務等が要求され、さらに当局のデータベースに登録される義務等が課されます。そういった意味で、この「かくれてしまえばいいのです」は日本の厚労省などの監督当局が承知しているのか気になります。

5.まとめ

このように、この「かくれてしまえばいいのです」のサービスや、利用規約、プライバシーポリシーはツッコミどころが満載です。

いくら「いのちの電話」などが人手不足であったとしても、自殺願望のある人々の相談業務などを、まだまだ発展途上の生成AIにやらせてしまって大丈夫なのでしょうか?厚労省や個人情報保護委員会、警察当局などはこのサービスについて十分承知しているのでしょうか?大いに心配なものがあります。利用者の方々は、本サービスの利用規約やプライバシーポリシーなどをよく読み、十分ご自身で検討した上で利用するか否かを考えるべきだと思われます。

自殺願望などがある方々は、まずは最寄りの精神科や資格を持ったカウンセラー、「いのちの電話」などを利用するべきだと思われます。安易にセンシティブな病状などの個人情報を生成AIに入力して相談等することは慎重であるべきだと思われます。

このブログ記事が面白かったらシェアなどをお願いします!

■参考文献
・つらい気持ち抱える人へ ネット上の「かくれが」話題に|NHK
・「かくれてしまえばいいのです」利用規約|ライフリンク
・プライバシーポリシー|ライフリンク
・生成AIサービスの利用に関する注意喚起等について(令和5年6月2日)|個人情報保護委員会
・松尾剛行『ChatGPTと法律実務』64頁

人気ブログランキング

PR
このエントリーをはてなブックマークに追加 mixiチェック

ai_shigoto
7月1日に日本データベース学会の「2023年度第1回DBSJセミナー「AI生成コンテンツ利用における法的課題や活用事例」」をオンラインで受講しました。弁護士の田中浩之先生の個人情報保護法に関する講義が大変勉強になったので、講義中にとったメモをまとめてみたいと思います。(メモのため、もし間違いがあった場合それは私の責任です。)

1.学習済みパラメータは、個人情報に当たるか?
個人情報保護法ガイドラインQA1-8によれば個人情報にあたらない。また同QA2-5によれば個人情報の取扱いではないのでプライバシーポリシーの利用目的に記載する必要はない。

2.生成AIと要配慮個人情報について
●個人情報をAIでプロファイリングして得られた推知情報が要配慮個人情報に該当するかについては、該当しないとするのが日本の個人情報保護法学界の多数説である。

●ネット上の個人データの収集(スクレイピング)自体については個人情報保護法はこれを規制していない。しかし要配慮個人情報の取得については原則として本人の同意が必要となる(法20条2項)。ただし法20条2項7号は「当該要配慮個人情報が、本人、国の機関、地方公共団体、学術研究機関等、第五十七条第一項各号に掲げる者その他個人情報保護委員会規則で定める者により公開されている場合」には本人同意が不要と規定しているので、本人がネット上の要配慮個人情報を公開している場合などはこの例外規定が適用される。

●ネット上の要配慮個人情報の収集(スクレイピング)については、個人情報保護委員会(PPC)が6月2日付で発出した「生成AIサービスの利用に関する注意喚起等について」の「【別添2】OpenAIに対する注意喚起の概要」の1.(1)(2)が参考になる。すなわちPPCはつぎのように整理している。

PPCの要配慮個人情報の図
(個人情報保護委員会「生成AIサービスの利用に関する注意喚起等について」「【別添2】OpenAIに対する注意喚起の概要」より)

3.生成AIと第三者提供
●個人情報をchatGPT等の生成AIに入力することはchatGPT(openAI社)等への第三者提供に該当するのか?
・個人情報保護法ガイドラインQA7-53、54はクラウトサービスに事業者が個人情報を預ける場合に関して、それがただ単に「倉庫として利用しているような場合」には第三者提供には該当しないとしているところ、chatGPT等の生成AIは処理や機械学習などを行っているので、これを「倉庫として利用しているような場合」と考えることはできず、原則として第三者提供に該当すると考えるべきであろう。

ただし、上述の個人情報保護委員会の「生成AIサービスの利用に関する注意喚起等について」の「【別添1】生成AIサービスの利用に関する注意喚起等」は、生成AIが機械学習をしていないのであれば第三者提供に該当しないと読める。

なお、openAI社のchatGPTの利用規約などを読むと、openAI社は「入力された情報を30日間保存する」と規定している。しかしこの点については、個人情報保護法27条1項2号の「人の生命、身体又は財産の保護のために必要がある場合であって、本人の同意を得ることが困難であるとき。」に該当する場合であるとして、第三者提供にあたらないと考えることは可能であろう。

企業などがopenAI社とデータ処理契約(DPA)を締結してchatGPTを利用する場合には、契約内容にてこれらの点を問題ないように処理できるであろう。しかしopenAI社とデータ処理契約を締結できない個人の利用などの場合には、第三者提供の問題が起きることになるであろう。

4.生成AIと不適正利用禁止規定
●chatGPTなどの生成AIが勝手に個人情報に関する回答を行ったらどうなるか?
・このような場合については、chatGPTなどの生成AIは統計的な計算により回答を行っていることから第三者提供にはあたらないと考えることもありうる。とはいえ、chatGPTなどが嘘の前科を回答する事例は現実に発生しており、これは大問題といえる。

この点に関しては個人情報保護法19条の不適正利用の禁止の条文の適用も考えられるが、個人情報保護委員会はこの条項を伝家の宝刀としてこれまではあまり発動してこなかった。しかし、個人情報保護委員会が本年3月に公表した、「犯罪予防や安全確保のためのカメラ画像利用に関する有識者検討会」の「犯罪予防や安全確保のためのカメラ画像利用に関する有識者検討会報告書(令和5年3月)」20頁はつぎのように記述しており、個人情報保護法とプライバシーが重なり合う場面において、法19条の不適正利用禁止条項が法執行されることが今後はあるかもしれないと思われる。

防犯カメラ報告書20頁
(個人情報保護委員会「犯罪予防や安全確保のためのカメラ画像利用に関する有識者検討会報告書(令和5年3月)」20頁より)

このブログ記事が面白かったらシェアやブックマークをお願いします!

■関連するブログ記事
・chatGPT等の「生成AIサービスの利用に関する注意喚起等について」に関して個人情報保護委員会に質問してみた
・【備忘録】文化庁の著作権セミナー「AIと著作権」について
・個人情報保護委員会の「犯罪予防や安全確保のためのカメラ画像利用に関する有識者検討会報告書(案)」に関するパブコメに意見を書いてみた

人気ブログランキング

PR




このエントリーをはてなブックマークに追加 mixiチェック

↑このページのトップヘ