ChatGPTをめぐる法律問題のなかでも、個人情報保護の問題が非常に重要である。イタリアでは、EUのデータ保護法令であるGDPR違反が問題となり、一度は利用が停止された（その後利用が再開された*1）。日本でも、個人情報保護委員会が注意喚起を公表している*2。エンドユーザとしての企業や弁護士を想定すれば、ChatGPTとの関係では利用目的規制と要配慮個人情報規制、そして第三者提供規制の3つが主に問題となる。以下、上記の注意喚起も参照しつつ、順に見ていこう。【→本書63-81頁】

(1) 利用目的規制

まず、利用目的規制（個情法17条以下）について、注意喚起別添１（１）①は、「個人情報取扱事業者が生成AIサービスに個人情報を含むプロンプトを入力する場合には、特定された当該個人情報の利用目的を達成するために必要な範囲内であることを十分に確認すること。」として、利用目的を適切に特定するべきことを定める。

ここでは、個人情報の保護に関する法律についてのガイドライン（通則編）（ガイドライン通則編）*3 3-1-1*1が「本人から得た情報から、本人に関する行動・関心等の情報を分析する場合、個人情報取扱事業者は、どのような取扱いが行われているかを本人が予測・想定できる程度に利用目的を特定しなければならない。」として、分析をする旨を利用目的として特定し、プライバシーポリシーで明示して公表すること等を求めていることが重要である。

どの範囲の情報の利用が「分析」に該当するかは不明であるが、個人情報をChatGPTにプロンプトとして投入する場合には、プライバシーポリシーに、上記のような分析をする旨の記載があるか確認し、ない場合には、加筆すべきである。例えば、「取得した〇〇（注:個人情報の種類）等の情報を分析して、〇〇のために利用いたします。」と言った記載が考えられる*4。

 

(2) 要配慮個人情報規制

次に、要配慮個人情報規制（個情法3条2項および20条2項）である。OpenAI社のような学習型AIエンジン作成者にとって、学習のためのデータ取得の際の要配慮個人情報は確かに重要な問題であり、上記注意喚起においても、OpenAI社に対して要配慮個人情報の取得に関する遵守事項が提示されている。しかしユーザ企業においては、その点よりも、「ChatGPTから出力される情報に要配慮個人情報が含まれ、結果的にそれを取得してしまう」という事態をどう回避するかが重要であるように思われる。例えば、「Aさんは病気ですか？」とChatGPTに聞いて「はい、ガンです。」という回答をもらうなど、あからさまに要配慮個人情報を出力させようとするプロンプトの利用は回避すべきである。

そのようなことを行わないことは前提であるとしても、たまたま結果として個人の病歴、信条、前科等がChatGPTによって回答されてしまったらどうするか。それは違法な、本人同意なき要配慮個人情報の取得であろうか（個情法20条2項参照）。

ここで、個人情報保護委員会は「個人情報の保護に関する法律についてのガイドライン」に関するQ&A*5（Q＆A）において、「個人情報を含む情報がインターネット等により公にされている場合で、①当該情報を単に画面上で閲覧する場合、②当該情報を転記の上検索可能な状態にしている場合、③当該情報が含まれるファイルをダウンロードしてデータベース化する場合は、それぞれ『個人情報を取得』していると解されるか否か」という問いに対して、①については「個人情報を取得」したとは解されないものの、②や③のようなケースは「個人情報を取得」したと解し得る、と回答している（Q＆A4-4）。この回答が本件のような場合に当てはまるかはともかく*6、ユーザとしては、少なくとも要配慮個人情報の可能性がある場合に転記やダウンロードをしないことで、リスクを減らすべきだろう。

 

(3)第三者提供規制

最後に、第三者提供規制（27条）に関連するものとして、本人の同意がないままChatGPTにプロンプトとして個人データを入力することが違法ではないかという問題がある。

この点については、①同意、②委託構成、③クラウド例外、④個人データではなく個人情報、といった4つの理屈によってそのような疑義を回避することが考えられる。

まず、①「同意」というのは、たとえば従業員等、同意をしてくれそうな人の情報をChatGPTに入力する際に、本人の同意を得るということである。問題なく真意による同意を得られる場合には、同意を取得することが考えられるだろう。ただし、顧客等のデータの場合は注意が必要である。たとえば、顧客が十分に理解しないまま「同意」をクリックしているというような場合には、適切な同意ではないとされる可能性がある*7。

②「委託構成」というのは、個人データを第三者であるOpenAIに提供することを、「利用目的の達成に必要な範囲内において個人データの取扱いの全部又は一部を委託することに伴って当該個人データが提供される場合」（個情法27条5項1号）として考えるということである。ただし、この委託の場合には、委託先の監督が必要である（個情法25条）。APIを通じた利用であれば、OpenAIはDPA（Data Processing Addendum*8）を締結してくれる。しかし、これで十分な監督になるかは現時点では不透明である。

③「クラウド例外」というのは、Q＆A7-53が「クラウドサービス提供事業者が、当該個人データを取り扱わないこととなっている場合には、当該個人情報取扱事業者は個人データを提供したことにはならないため、『本人の同意』を得る必要はありません。」としていることを指す。ChatGPTの学習をオフにすればOpenAIは個人データを取り扱わないはずだとして、このクラウド例外の適用を主張する余地がある。注意喚起（１）②は「個人情報取扱事業者が、あらかじめ本人の同意を得ることなく生成AIサービスに個人データを含むプロンプトを入力し、当該個人データが当該プロンプトに対する応答結果の出力以外の目的で取り扱われる場合、当該個人情報取扱事業者は個人情報保護法の規定に違反することとなる可能性がある。そのため、このようなプロンプトの入力を行う場合には、当該生成AIサービスを提供する事業者が、当該個人データを機械学習に利用しないこと等を十分に確認すること。」としている。上記の通り注意喚起（１）①が利用目的についてのものであることから、（１）②は、これと異なる第三者提供の話と理解される。そこで、これをもって個人情報保護委員会の意図としては「学習をオフとした場合にクラウド例外が利用できる」という趣旨だと理解する余地はゼロではないものの、なお不透明である。

④「個人データではなく個人情報」というのは、個情法27条が「個人データ」の第三者提供を規制していることから、これを回避するため「個人情報」の第三者提供に留める、ということである。たとえば、「岸田文雄とは誰ですか？」とChatGPTに聞いて「総理大臣です」と回答が来る場合、この「岸田文雄」は単なる個人情報であって、個人データではない――そういう議論である。ただしこの場合、「金融機関における個人情報保護に関するQ＆A」Ⅱ-７③が「『個人情報データベース等』から紙面に出力されたものやそのコピーは、それ自体が容易に検索可能な形で体系的に整理された一部でなくとも、『個人データ』の『取扱い』の結果であり、個人情報保護法上の様々な規制がかかります。『個人情報データベース等』から紙にメモするなどして取り出された情報についても、同様に『個人データ』に該当します。」としていることに留意が必要である。要するに、従業員名簿等のデータベースから１人分の情報を切り出してきても、なお個人データとして扱われる可能性があるということである。

なお、OpenAI社は外国にある第三者であるから、外国第三者提供規制（個情法28条）も問題となる。

 

(4) その他

なお、これらの問題と異なる問題として、個人情報、とりわけ弁護士が守秘義務を負う個人情報をChatGPTに入れていいのか、という問題がある。筆者はこれを当面ネガティブに考え、個人情報を含む守秘義務の対象となる情報を入力せずにChatGPTを利用している。

＊＊＊

ChatGPTと個人情報保護については現時点では未だ不透明なところが多いものの、以上のように、すでにある程度の議論がなされている。次回は、注目されるChatGPTをめぐる著作権の問題について考えていこう。