G7データ保護・プライバシー機関ラウンドテーブルについて

はじめに

6月20日(火曜日)から21日(水曜日)にかけて、G7データ保護・プライバシー機関ラウンドテーブルが開催されました。本会合では個人情報保護委員会(PPC)委員長 丹野委員長が議長として議事進行を行いました。

今回のブログでは、G7データ保護・プライバシー機関ラウンドテーブルの成果として採択されたG7 DPAs’ Communiqué(G7個人データ保護当局による共同声明)生成AIに関する声明について紹介します。(原文は個人情報保護委員会のサイトにてご確認いただけます。)

今回のラウンドテーブルでは、3つのテーマについて議論されました。

  • DFFT
  • Emerging Technologies(先端技術)
  • Enforcement Cooperation(執行協力)

このブログでも3つのテーマに分けて、共同声明の内容について見ていきます。

DFFT(Data Free Flow with Trust)

  • 2023年4月29日、30日に群馬で開催されたG7デジタル大臣会合で合意されたIAP(Institutional Arrangement for Partnership)へのコミットメント(G7デジタル・技術閣僚宣言 「Facilitation of Cross-Border Data Flows and Data Free Flow with Trust 」13項)について各国DPAが主要な役割を果たしていく。
  • 相互運用性やデータの越境移転における高水準の個人情報保護を促進するために、既存の規制の共通点や収束点を見つけることに取り組む。
  • 各国の多様性を認めつつ(排他的でなく包括的であるべき)、個人情報保護の要件や組織のニーズを考慮し、事業者が自らに適した越境移転ツールを選択できるようにするため、グローバル規模のデータ移転ツールの開発を促進する。

越境移転ツールとは?

ここで述べられている越境移転ツールとは、データ保護とプライバシーを確保しながら、個人データを国や地域間で移動するための手段やメカニズムのことです。例)データ保護認証(Certification)、モデル契約条項など

先端技術(Emerging Technologies)

  • デジタル技術の進化は経済や社会に恩恵をもたらす一方で、これらのテクノロジーを放置すれば、深刻な損害をもたらし、プライバシーを含む個人の権利利益を損なう可能性があることも認識する。
  • AI技術の開発や利用によるプライバシーや人権へのリスクに懸念が高まっており、こうした技術は、適切な保護措置がとられていない場合、データ保護・プライバシーの主要な国際原則の遵守しない方法での大量の個人情報の自動収集・処理を伴う可能性があることから、法的義務の遵守とリスク軽減策の実施が重要であることを強調する。
  • G7メンバー国及び世界中で、特に顔認識技術(FRT)は、個人及び社会全体にとって、深刻かつ永続的な結果を引き起こし得ると懸念されていることに留意するとともに、FRTによる個人情報の適切な利用に関する原則とGPAの取り組みを歓迎する。
  • プライバシー強化技術(PETs)の重要性を理解し、PETsの利用がデータ保護にもたらす影響への理解を支援するために、DPAのガイダンスが必要であると認識する。ただし、PETsは、万能薬ではなく他の規制分野(競争法など)との相互作用を考慮する必要があり、リスク評価が求められる。
  • カナダのプライバシーコミッショナー事務所(OPC)が議長を務める先端術作業部会での議論を評価し、ケーススタディの開発にコミットすることで、テクノロジーの責任のある利用を推奨するとともに、生成AIにおける個人データ保護の課題について協力し、最善の方法を模索する。

執行協力(Enforcement Cooperation)

  • DPA間の国際協力の必要性を再確認する。特に、国境を越えたグローバルな課題については、DPAが単独で取り組むのは困難であるため、DPA間の協力により、アクションにつながる集団的な執行能力が拡大される。
  • G7グループ内及び他の規制当局との間で、二国間ないし執行協力ネットワークを通じて、互いの法及び権限についてより良い理解に達するための対話、並びに、国内外のベストプラクティスの共有を促進する。(データ最小化の原則の効果的な実施に関する議論と共有も含む。)

データ最小化原則とは?

この原則は、GDPR、CPRA、PIPEDAなどで定義されています。個人データは処理目的との関係において適切・妥当かつ必要な範囲に限定されるべきであるという原則です。

これは、処理目的に対して合理的で、目的と比較した場合に比例性(Proportionate: 過度でないこと)を求める原則であり、言い換えると、処理目的に対して過剰にデータを取得してはならないということです。

生成AIに関する声明

生成AIに関する声明では、生成AIツールに関連して、プライバシー・データ保護のリスクが生じる可能性のある主要な分野の懸念に注意を促すと表明しました。

1.以下の事項に関連した、個人情報の処理、特に、未成年者・子どもの個人情報の処理に関する法的権限

  • 生成AIモデルの訓練、検証及びテストに利用されるデータセット
  • 個人による生成AIツールとの対話
  • 生成AIツールによって生成されたコンテンツ

2.以下を目的とした脅威及び攻撃から保護するための安全保護措置

  • 生成AIモデルを逆転させ、モデル訓練に利用されたデータセット内において当初処理された個人情報を抽出又は再現すること
  • 他のプライバシー・データ保護要件の遵守を促進するために設計された措置の効果を失わせること

3.生成AIツールによって生成された個人情報が以下のとおりであることを確保するための軽減措置及びモニタリング措置

  • 正確、完全、かつ最新であること
  • 差別的、違法な、その他の不当な影響を受けないこと

4.生成AIツールの運用において、公開性・説明可能性を促進する透明性に関する措置、特に、当該ツールが個人に関する意思決定やその支援を行うために利用される場合の透明性に関する措置

5.生成AIツールのプライバシー・データ保護要件の遵守を評価するための、開発のライフサイクルを通じた技術文書の作成

6.これらのシステムによる影響を受ける個人、又はこれらのシステムと対話を行う個人が、生成AIツールに関連して、以下に関する権利行使を確保するための技術的及び組織的措置

  • 自己の個人情報へのアクセス
  • 不正確な個人情報の修正
  • 自己の個人情報の削除
  • 重大な影響を及ぼす自動化された決定のみに従うことの拒否

7.AIのサプライチェーンにおいて、主体間の適切な水準の責任を確保する説明責任の措置。特に、生成AIモデルが相互に構築される場合の説明責任の措置

8.特定されたタスクを遂行するために必要な範囲にのみ、個人データの収集を制限すること

出典:生成AIに関する声明(仮訳)、個人情報保護委員会 (原文はこちら

また、声明では、開発者やサービス提供者に対し、「プライバシー・バイ・デザイン」の考えにもとづき、設計段階からプライバシーとデータ保護を組み込み、プライバシー影響評価(PIA)の実施や実施結果をドキュメント化することや、データ利用目的の明確化など既存のプライバシーに関する法規制を遵守すべきとしました。

プライバシー影響評価の実施と文書化

開発者・提供者は、「プライバシー・バイ・デザイン」の考えに基づき、生成AI技術を利用する新たな製品及びサービスに関する設計、構想、運用及び管理にプライバシーを組み込み、プライバシー影響評価において行った自らの選択と分析について文書化すべきである。特に、開発者・提供者は、既存の法を遵守しなければならず、また、データ最小化、データ内容、目的明確化、利用制限、安全保護措置、透明性、個人データの収集及び利用について情報の提供を受ける権利を含むデータ主体の権利、並びに、説明責任など、適用可能であり国際的に遵守されているデータ保護・プライバシーの主要原則を遵守すべきである。また、開発者・提供者は、そのシステムの導入者・採用者もデータ保護・プライバシーの義務を遵守することができるようにすることを確保するための措置を講じるべきである。

出典:生成AIに関する声明(仮訳)、個人情報保護委員会 (原文はこちら

*上記の「利用制限」とは、情報提供した利用目的以外での使用を制限することです。

さいごに(JAPAN PRIVACY SYMPOSIUM 2023について)

次回2024年のG7データ保護・プライバシー機関ラウンドテーブルは、2024年の議長国であるイタリアにて開催される予定です。

今回開催されたラウンドテーブルの翌日には、個人情報保護・プライバシー・AI規制に関心を持つ企業関係者、研究者および政府関係者向けに「JAPAN PRIVACY SYMPOSIUM 2023」(Future of Privacy Forum S&K Brussels法律事務所が主催、一般社団法人日本DPO協会後援)が開催され、各国DPAの方から貴重なお話を聴くことができました。また、ネットワーキングの時間もあり、プライバシー業務に携わる弁護士、コンサルタント、プライバシー担当者の方とお話する機会もあり、非常に勉強になりました。

司会および主催者でもある S&K Brussels法律事務所の杉本先生はじめ、主催者の皆様ならびに本イベントの開催・運営に携わられた関係者の皆様、素晴らしいイベントを開催いただき、ありがとうございました。

この記事をシェアする