更新日:2024年5月10日 (金)
公開日:2023年11月7日 (火)
企業が顧客の個人情報をChatGPTに入力することは法律上問題ないか
サマリー
Q ChatGPTを使用し、業務の効率化を図ろうと考えています。ChatGPTの使用にあたり、お客様の個人情報を入力することがあります。法律上問題はないでしょうか?
A 個人情報保護法上、問題がある可能性があります。ChatGPTを利用する前に適切なプライバシーポリシー等を定めておく必要があります。
ChatGPTとは
ChatGPTは、米AIベンチャーであるOpen AI社が開発した、人間のような会話をすることができるチャット型の生成AIです。
その機能としては、例えばChatGPTの入力フォームに、「桃太郎を300字で要約して。」等の「プロンプト」と呼ばれる文章を入力することで、すぐにプロンプロト通りの回答を得ることができます。
2022年11月に公開されてから、非常に話題になっておりましたが、特に2023年3月にGPT-4が公開されてから、ニュース等でもよく耳にすることが多いかと思います。
GPT-4は、旧バージョンのGPT-3.5と比べ性能が格段に飛躍しただけでなく、API連携が可能になる等、よりChatGPTを活用したビジネスが行いやすくなりました。
近時では、簡単なプログラミングをChatGPTに任せることで、プログラマーの作業時間を大幅に短縮する等、作業効率を上げる企業も現れてきています。
ChatGPTを利用することで生じうる法律上の問題
利用目的
個人情報を取得した場合は、あらかじめ公表している場合を除き、本人に通知又は公表しなければならない旨定められており(個人情報保護法(以下「法」といいます。)21条1項)、本人の同意を得ずに利用目的の範囲を超えて個人情報を取り扱ってはならないものとされています(法18条1項)。
したがって、個人情報をChatGPTに入力する際には、どのような目的で入力するのか、その利用目的をプライバシーポリシーに記載する必要があります。
利用目的やその他プライバシーポリシーの記載については、本記事をご参照ください。
第三者提供について
次に、ChatGPTに個人情報を入力することが、「第三者提供」にあたるのか(法27条1項)、仮に当たるとすれば、本人の同意を得ておく必要があるため、問題となります。
この点、個人情報保護委員会は以下の解釈を示しており、かかる解釈が参考になります。
「個人情報の保護に関する法律についてのガイドライン」に関するQ&A (Q7-53)
クラウドサービスの利用が、本人の同意が必要な第三者提供に該当するかどうかは、クラウドサービスを提供する事業者において個人データを取り扱うこととなっているのか同課が判断の基準となっており、当該クラウドサービス提供事業者が、当該個人データを取り扱わないこととなっている場合には、当該個人情報取扱事業者は個人データを提供したことにはならないため、「本人の同意」を得る必要はありません。
また、上記の場合には個人データを提供したことにはならないため、「個人データの取扱いの全部又は一部を委託することに伴って…提供される場合」(法27条5項1号)にも該当せず、法25条に基づきクラウドサービス事業者を監督する義務はありません。
つまり、個人情報を入力したChatGPT(OpenAI社)の利用規約上、当該個人情報を取り扱わないこととなっていれば、「第三者提供」には該当しないものと考えられます。
また、個人情報保護委員会は、生成AIの利用に関し、以下の通り、令和5年6月2日付で注意喚起を出しています。
個人情報取扱事業者が、あらかじめ本人の同意を得ることなく生成AIサービスに個人データを含むプロンプトを入力し、当該個人データが当該プロンプトに対する応答結果の出力以外の目的で取り扱われる場合、当該個人情報取扱事業者は個人情報保護法の規定に違反することとなる可能性がある。
そのため、このようなプロンプトの入力を行う場合には、当該生成AIサービスを提供する事業者が、当該個人データを機械学習に利用しないこと等を十分に確認すること。
以上を前提とし、Open AI社のTerms of use(利用規約)をみるに、ChatGPTに入力された情報は、サービスの開発・改良に利用されますが、Non-API Content(無料版)の場合に入力されたものしか利用せず、API Content(有料版)に入力されたものは利用しないと定められております(Terms of use|OpenAI (openai.com))。
そのため、無料版を使用し、個人情報を入力することは第三者提供に該当し、一方で有料版の場合には、第三者提供に該当しないものとも考えられます。
もっとも、ChatGPTのAPIに関するよくある質問において、OpenAI社は以下のような回答をしています。
APIの入力されたデータは、不正行為の特定のため最大30日間保存され、乱用、悪用をレビューする目的で、限定された権限を与えられた従業員、及び機密保持とセキュリティ義務を負う専門の第三者請負業者がしようすることができます。
これをみると、かなり限定的な目的かつ範囲の者ではあるものの、OpenAI社に入力された個人情報が利用される旨定められている以上、API Content版を使用した場合、機械学習に利用しない旨利用規約等に定められていたとしても、これをもって安易に「第三者提供」に当たらないと考えるのは危険です。
したがって、企業としてはChatGPTのAPI版を利用するとしても、第三者提供に該当するものとして、念のためプライバシーポリシー等に個人情報をそのように利用するものと定めた上で、本人からの同意を得ておくのが無難であると考えられます。
まとめ
ChatGPTは非常に便利で、利用方法によっては業務効率化を高めることができるものです。
もっとも、上記の通り、個人情報保護の観点から、企業は適切なプライバシーポリシーを定める必要があります。
ネクスパート法律事務所ではこのような個人情報に関する問題について専門チームで対応させていただいています。
また、日頃分からないことがあれば、チャットワーク等でご相談いただき、弁護士からすぐに返答させていただくサービスも提供しております。
ぜひ一度無料相談のお問い合わせをください。
