対談記事(5)：イタリアにおけるChatGPTの一時的な利用禁止と各国データ保護機関の動向

記事の概要：
3月30日、ヨーロッパの個人情報に関するルールであるGDPRに基づき、イタリアのデータ保護機関（「Garante」）が、ChatGPTを一時的に禁止する命令を出しました[1]（データ保護機関とは、日本の個人情報保護委員会のような組織です）。この命令を受けて、OpenAIは、3月31日、イタリアにおけるChatGPTのインターネット接続を停止しました。Garanteの措置について国際的な議論がなされる中、カナダのデータ保護機関（「OPC」）もOpenAIについて調査を開始したことを公表しました[2]。
今後、他の国のデータ保護機関も、ChatGPTを規制する可能性があることから、日本においても不安を感じている利用者が少なくないように思います。
この問題について、ドイツの弁護士と対談しました。

１．イタリアのデータ保護機関による処分の具体的な内容

松岡：イタリアのデータ保護機関のGarante（以下では「イタリア当局」といいます。）が、「GDPRなどを根拠として、ChatGPTの利用を一時的に禁止した」ということは、日本でも広く知られています。ただ、この処分の経緯や具体的な内容はあまり知られていません。
このイタリアのニュースの後、「イタリア当局の処分の具体的な理由は分からないが、今後、各国の規制当局がChatGPTの利用を制限するかもしれない。ChatGPTは便利だからそうなっては困る」、「ChatGPTの利用は何となく不安」と感じている人は少なくないと思います。状況を整理するために、まず、イタリア当局が処分に至った経緯や処分の具体的な内容を教えてください。

ベッカー：分かりました。イタリア当局の処分（以下「本件処分」といいます。）の経緯や内容は、以下の通りです。

本件処分の経緯：ChatGPTのユーザーのチャットやChatGPTに関する支払情報について、データ漏えいが生じました。このデータ漏えいは、3月20日、イタリア当局に報告され、イタリア当局は対応を開始し、同月30日、本件処分を行いました。

なお、上記のデータ漏えいは、イタリア当局が対応を開始したきっかけにすぎません。本件処分の根拠は、以下の通り、GDPRの基本的な義務に違反しているというものです。

本件処分の根拠となった法律・条文：GDPR5条（個人データの取扱いと関連する基本原則）、6条（取扱いの適法性）、8条（情報社会サービスとの関係において子どもの同意に適用される要件）、13条（データ主体から個人データが取得される場合において提供される情報）及び25条（データプロテクションバイデザイン及びデータプロテクションバイデフォルト）違反

なお、GDPRはEUの規則であるところ、イタリアの国内法である個人情報保護法も考慮されました。

本件処分の根拠①：OpenAIによって収集され、ChatGPTを通じて処理されたデータについて、ユーザーやデータ主体に対して、GDPRが要求する情報を提供していない。
本件処分の根拠②：ChatGPTの運用の基礎となるアルゴリズムのトレーニングを目的とした個人データの収集とその処理に関して、適切な「法的根拠」（GDPR6条）がない。
本件処分の根拠③：ChatGPTが提供する情報は、実際のデータと必ずしも一致しないため、個人データの処理は不正確である。
本件処分の根拠④：OpenAIが公表している利用規約には「ChatGPTは、13歳以上の者に提供される」と記載している。しかし、ChatGPTには年齢確認のシステムが実装されていないため、子どもにもChatGPTの回答を提供している。子どもに対するフィルターが存在しないため、未熟な子どもが不適切な回答を受け取ることとなる。
本件処分の結論：必要な調査が完了するまでの間、緊急の問題として、GDPR58条2項（f）に基づき、ChatGPTの一時的禁止を命じる。

なお、本件処分に従わない場合、GDPRに基づき高額な制裁金を課すとされています。

松岡：ありがとうございます。3月30日の本件処分の後の状況を教えてください。

ベッカー：イタリア当局による調査がなされています。また、イタリア当局による本件処分の公表により、ChatGPTとデータ保護法との関係について国際的な議論が急に盛んに行われるようになりました。もちろん、AIとデータ保護法の議論は以前からなされていましたが、現在のように積極的な議論がなされるようになったのは、本件処分の後からだと思います。
このような状況の影響もあると思いますが、OpenAIは、4月5日、AIの安全性に関する文章（Our approach to AI safety）を公表しました[3]。この文章には、本件処分の根拠となった項目に関して、以下の通りの記載があります。

子どもの保護：年齢確認のオプションについて検討中である。また、子どもを傷つける回答を生成しないために、多くの努力をしている。
プライバシーの尊重：OpenAIは、AIにこの世界のことを勉強させたいが、私的な個人（private individual）について勉強させたいわけではない。そのため、可能な限り、トレーニングデータセットから個人情報を削除するよう努力する。また、私的な個人の個人情報に関する要求を拒否するようにAIを調整するよう努める。さらに、システムから個人情報を削除するよう要求された場合には対応するように努める。これらの方法により、ＡＩが個人情報を含む回答を生成する可能性を最小限に抑える。
事実関係に関する正確性の改善：正確性を向上させることは、OpenAIや他の多くのAI開発者にとって重要なポイントであり、改善できています。

松岡：OpenAIによる安全性に関する文章の公開は、本件処分から１週間経過していません。ベッカー先生のご指摘の通り、仮に本件処分以降に作成した文章であれば、驚くほど対応が早いですね。OpenAIは、イタリア当局との間では、直接的なコミュニケーションをしていますか？

ベッカー：イタリア当局は、4月5日、OpenAIとウェブ会議を行ったことを公表しました[4]。
この公表資料によれば、ウェブ会議において、OpenAIは、「OpenAIは、データ保護法を遵守していると考えているが、提起された懸念に対応するためにイタリア当局に協力する」などを述べたとのことです。一方、イタリア当局は、「今回の措置がAIと技術革新の発展を妨げるものではないこと」を強調し、個人データを保護する法律を遵守することの重要性を改めて強調したとのことです。イタリア当局も批判されていますから、そう主張しますよね。
このウェブ会議の後、OpenAIがイタリア当局に対して対策を記載した書面を提出し、両者間のコミュニケーションが、しばらくの間、継続すると思います。

２．イタリア以外のデータ保護機関の動向

松岡：イタリア当局による本件処分の後、カナダのデータ保護機関（OPC）は、4月4日、OpenAIに対して調査を開始することを公表しました。「OpenAIが同意なく個人情報を収集・使用・提供している」との申立てを受けたことがきっかけです。カナダでもこのような動きがありますので、OpenAIは、各国のデータ保護法・データ保護機関対応に注力しているところではないかと思います。
仮にOpenAIがChatGPTのプライバシーポリシーを修正し、年齢確認ための仕様を設定した場合、GDPRを遵守することは可能でしょうか。

ベッカー：そのような表面上の仕様変更により、「誰からも異論なく、GDPRを遵守した状態となる」ことは難しいと思います。GDPRは、個人データの処理について、「正当な理由」（legitimate interest）などの法的根拠を求めているところ（GDPR6条）、少なくともイタリア当局は、「OpenAIは、ChatGPTのためのデータの収集・利用について、GDPRが求める法的根拠を有していないのではないか」と考えています。仮に、OpenAIがプライバシーポリシーを修正し、年齢確認のための仕様を設定したとしても、イタリア当局が法的根拠の存在を直ちに認めるということにはならないでしょう。つまり、表面上の問題ではなく、もっと根本的に、「ChatGPTのようなAIをどのように規制するか」という点が問題となっています。4月5日にOpenAIが公表したAIの安全性に関する文章においても、表面上の仕様変更ではなく、データセットからの可能な限りの個人情報の削除など根本的な問題解決に踏み込んでいると思います。

松岡：分かりました。ただ、迅速にChatGPTのGDPR上の問題を解決することができないのであれば、他の欧州当局は、イタリア当局と同様に、ChatGPTについて処分を下すのでしょうか？特に、ドイツのデータ保護機関は、「イタリア当局と同様の処分を検討中である」と報道されています。

ベッカー：イタリア以外のデータ保護機関による処分の可能性が低いとは言えないでしょう。
上述した通り、GDPR上の問題はすぐには解決できませんし、OpenAIは、欧州に拠点を有していないことから、GDPRによれば、欧州各国のデータ保護機関は、それぞれがGDPRをOpenAIに域外適用（GDPR3条）することが可能です。
イタリア以外のデータ保護機関も、データ主体から何らかの申立てがあれば、調査を開始する可能性は高いと思います。

松岡：GDPR違反の場合、制裁金が課せられることは多いと思いますが、利用禁止措置はそれほど多くないように思います。欧州においてChatGPTの利用が禁止されるとすると、OpenAIはもちろん、ChatGPTを既に利用しているビジネスは、困ることとなります。利用禁止という強い措置について、データ保護機関に対して、反発は生じないのでしょうか？

ベッカー：反発は生じています。イタリア当局による本件処分に対しては、イタリア副首相のMatteo Salvini氏は、イタリア当局の決定を「行き過ぎ」（Excessive）と批判しました。これまでのGDPR違反の事例にかんがみれば、調査の上で制裁金が課せられることはあるかもしれませんが、多くの国において利用禁止となる可能性は高くないと思います。もっとも、ドイツでもイタリアと同様に禁止となるという報道もありますので、なかなか予想が難しいですね。
アメリカでは、「Center for AI and Digital Policy」というAIに関する団体が、米国連邦取引委員会（FTC）に対して、GPT4のビジネス上の利用を差し止めるよう要請したと発表しました。本当に差し止めまでなされるのかというと、アメリカの問題ではありますが、少し懐疑的に考えています。

松岡：一方、中国では、ChatGPTの利用は禁止されているようです。

ベッカー：中国では、FacebookやGoogleも禁止されています。イタリア当局の本件処分や欧州データ保護機関の調査の動向は、中国における禁止とは関係がないと思います。

松岡：分かりました。現状、欧州当局は、GDPRを解釈・適用してChatGPTを規制しようとしていますが、例えば、GDPRの「正当な理由」は解釈・適用の幅が大きいように思います。このような場合、法令リスクの予見が難しくなり、ChatGPTのようなサービスの開発・利用に悪影響を与えるようにも思います。もっと直接的にＡＩを規制するルールはないのでしょうか。

ベッカー：GDPRの解釈・適用の幅が大きいことは、その通りだと思います。この点、仮にAIそのものを規制対象としたルールがあれば、それを適用することとなるのでしょうが、「AI規則」（Artificial Intelligence Act）案は、各国の間で、長期間、議論が続いており、まだ成立の見込みはありません。
しばらくの間、GDPRを解釈・適用し、ＡＩを規律していくこととなると予想しています。

３．AIに対する過去の処分

松岡：次に、AIに対する過去の処分事例を確認していきたいと思います。過去の処分事例を見ることにより、イタリア当局による本件処分の位置づけやイタリア当局以外のデータ保護機関の動きを一定程度予測できるように思います。
最も有名な事例は、ClearviewAIの事例ですよね。ClearviewAIは、アメリカの企業であり、人の写真データを収集し、顔を認識するソフトウェアを提供しています。
このClearviewAIに対して、フランス、イタリア、ギリシャ、イギリスのデータ保護機関がClearview AIに制裁金を課しました。また、カナダ、オーストラリアのデータ保護機関もデータ保護法違反を認定しています。
ChatGPTとClearviewAIの相違点を教えてください。

ベッカー：例えば、ドイツのハンブルクのデータ保護委員ヨハネス・キャスパーは、ClearviewAIは欧州法に永久に違反するとの見解を示しています。これは、ClearviewAIが、ソーシャルネットワークや多くのウェブサイトで公開されている人々の写真を利用し、極めて多くの画像コレクションを作成しているにも関わらず、データ主体は、この画像コレクションの作成について、尋ねられることもなく、知らされることさえなかったからです。
顔のデータは、人種などを識別し得るセンシティブなデータであり、画像コレクションを作成するのであれば、データ主体の同意は必須でしょう。この同意を得ることなく、画像コレクションを作成したので、ClearviewAIは、GDPRに明確に違反していると思います。
他方、ChatGPTは、センシティブなデータの学習を主な標的とはしていませんので、ClearviewAIと比較すると、GDPRに明確に違反するとまではいえないようにも思います。ただ、禁止処分の必要性は別論、イタリア当局が指摘する通り、現時点では、ChatGPTはGDPR上の問題を抱えていると思います。

４．日本におけるChatGPTに対する規制

ベッカー：日本では、ChatGPTの利用について規制の動きはありますか？

松岡：現時点では、イタリア当局のような禁止が必要とする動きはないと思います。日本の個人情報保護法は、GDPRと同等なものとされていますが、完全に同一のルールではありません。例えば、日本の個人情報保護法は、GDPR6条のような法的根拠による規律を有しておらず、利用目的を中心とした規律を有しています。この部分については、GDPRとはルールが少し異なりますので、イタリア当局がGDPR違反を指摘した場合であっても、直ちに日本の個人情報保護委員会が調査・処分を行うということにはならないと思います。 2023年4

[1] Provvedimento del 30 marzo 2023 [9870832] – Garante Privacy　（一時的な禁止命令、イタリア語のみ）
[2] Announcement: OPC launches investigation into ChatGPT – Office of the Privacy Commissioner of Canada　
[3] Our approach to AI safety (openai.com)
[4] ChatGPT: OpenAI collabora con il Garante privacy con impegni per… – Garante Privacy　

【過去の対談記事】
対談記事(1)：ChatGPTのビジネスの利用について、工学博士と弁護士が対談
対談記事(2)：ChatGPT・GPT4の利用とセキュリティなどの問題点について、工学博士と弁護士・弁理士が対談
対談記事(3)：対談記事(3)：ChatGPTのプラグイン、Midjourneyなどの画像生成AIによる生産性向上
対談記事(4)：Midjourneyなどの画像生成AIによる著作権の問題

AIB協会から対談記事の公開などのお知らせをしています。ご希望の方はこちらから配信先をご登録ください。

ご質問等は、以下にご連絡ください。
人工知能ビジネス創出協会　事務局

対談者ご紹介

渥美坂井ヤンセン弁護士法人（ドイツ、フランクフルト）　マネージング・パートナー
ドイツ連邦共和国弁護士(Rechtsanwalt)　フランク・ベッカー

英国及び米国の名高い法律事務所において15年以上の勤務経験を有し、主に欧州や日本におけるプライベート・エクイティ、企業再編及びクロスボーダーのM&A等の大型案件、及び、内部通報制度やGDPR等、コンプライアンスに関する事案について助言を提供している。
対応可能な言語は、ドイツ語、日本語、英語、スペイン語及びフランス語