新着情報WHAT'S NEW
IT法レポート(2023年9月版)
IT企業の皆さまをサポートすることを目標とし、IT関連法やビジネス関連法に関するレポートを定期的にお送りしています。
取り上げるトピックは、ITやビジネスに関連する事項とし、必ずしも法律だけには限りません。
※IT法レポートの配信(無料)はこちらから
【今回の目次】
1 2023年8月の概要
2 レポート(生成AIと個人情報保護法)
3 IT関連法、ビジネス関連法の施行・施行予定
4 2023年8月の裁判、事件
5 政府会議・審議会、ガイドライン、報告書等
6 トピック
1 2023年8月の概要
8月はIT関連法、ビジネス関連法で大きな法律の施行はありませんでした。
裁判では、ゲームプレイ動画をネット配信していた男性に対して著作権法違反で有罪判決が出ています。ゲームプレイ動画の配信は広く行われている行為ですので、判決を入手し次第、分析を行い、本レポートでも取り上げる予定です。
また、生成AIについては、個情委より利用のパンフレットが出されました。生成AIと個人情報保護法の関係について、一度整理し、本レポートにて紹介します。
2 レポート(生成AIと個人情報保護法)
個人情報保護委員会は、2023年6月、「生成AIサービスの利用に関する注意喚起等」(以下、「注意喚起」といいます。)を発表し、また、8月には、パンフレット「生成AIサービスの利用に関する注意喚起」(以下、「パンフレット」といいます。)を発表しています。
そこで、生成AIを利用する場合の個人情報保護法上の問題点について、①生成AIサービスをコンシューマー(一般利用者)として利用する場合の問題点(下記2.1)と、②生成AIサービスをサービスベンダーとして利用する場合の問題点(下記2.2)に分けて簡単にまとめたいと思います。
なお、大規模言語モデルを利用したAIについては、当職も書籍などで知識を入手しているところですが、今後知識の深化に伴い、本稿は見直しをすることがあることをご了承ください(安藤)。
2.1 コンシューマー(一般利用者)として利用する場合の留意点
生成AIサービスにプロンプトを入力して、その結果を利用する等、生成AIサービスをコンシューマーとして利用する場合には、①プロンプトの入力行為が個人情報の利用目的達成に必要な範囲内での利用となっているか、②プロンプト等の入力が、個人情報の生成AIサービスへの第三者提供とならないかが問題となります(ただし、以下の議論はコンシューマーが個人情報取扱事業者となる場合を念頭に置いています。)。
まず、①利用目的の範囲内での利用について検討します。個人情報保護法は、個人情報取扱事業者が個人情報を利用するにあたり、利用目的の特定と、その利用目的の達成のため必要な範囲内での利用を義務付けています(個情法17条1項、18条1項)。そこで、個人情報取扱事業者が、生成AIサービスをエンドユーザーとして利用し、個人情報をプロンプトに打ち込んで、その結果を得るような場合には、その行為が利用目的の達成に必要な範囲内であるかを確認する必要があります。
次に、②第三者提供について検討します。個人情報保護法は、個人データを第三者に提供する場合には、本人の同意が原則として必要であるとしています(個情法27条1項)。ところで、生成AIサービスでは入力されたプロンプトをサービス向上のためのデータとして利用することがあります。例えばOpen AIでは、FAQにおいて「OpenAI はモデルのパフォーマンスを向上させるために私のコンテンツで訓練しますか?(Does OpenAI train on my content to improve model performance?)」という質問に対して、「ChatGPT や DALL-E などの非 API コンシューマー製品の場合、サービスを向上させるためにプロンプト、応答、アップロードされた画像、生成された画像などのコンテンツを使用する場合があります。(For non-API consumer products like ChatGPT and DALL-E, we may use content such as prompts, responses, uploaded images, and generated images to improve our services.)」と回答しています。
この点、コンシューマーが入力したデータを、生成AIサービスベンダーがAIの精度向上のために利用する場合、パンフレットでは「生成AIサービスの利用者が入力した情報について、生成AIサービスの提供者が自らのAIの精度向上等のために学習データとして利用することとしている場合に、利用者が個人データもしくは保有個人情報を入力すると、利用者から提供者に対し、個人データもしくは保有個人情報を提供したことになります。」としているように、個人情報保護法上は、コンシューマーから生成AIサービスベンダーへの第三者提供に該当することになります。したがって、コンシューマー側はプロンプトの入力にあたって、第三者提供について本人の同意を取得する必要があります。一方で、OpenAIのFAQにもあるように、AIの精度向上のために利用しない場合には、第三者提供にあたらず(委託(個情法25条)、または、自らが直接利用すると構成されるでしょう)、同意の取得は必要ないということになります。
以上のとおり、AIサービスベンダー側の利用の範囲によって法的構成が異なりうるため、予めAIサービスベンダー側の利用の範囲について確認しておく必要があるでしょう。
2.2 サービスベンダーとして利用する場合の留意点
次に、生成AIサービスとAPI連携するなどして、サービスベンダーとして利用する場合ですが、サービスベンダーの場合には、個人情報の提供を受ける側になるという違いはありますが、①利用目的の特定とその利用目的の達成に必要範囲内での利用、②AIの精度の向上に利用する場合の第三者提供の規制については、コンシューマーとして利用する場合と同様の問題があると考えられます。サービスを検討する際には、個人情報保護法上どのようなスキームにしたがって提供することになるのかを検討することが必要です。
また、以上に加えて、注意喚起ではOpenAIに対して、③要配慮個人情報の取得を行わないことが要請され、機械学習のための情報収集において、以下の4点を実施することとされています。
- 収集する情報に要配慮個人情報が含まれないよう必要な取組を行う
こと。 - 情報の収集後できる限り即時に、
収集した情報に含まれ得る要配慮個人情報をできる限り減少させる ための措置を講ずること。 - 上記1及び2の措置を講じてもなお収集した情報に要配慮個人情報
が含まれていることが発覚した場合には、できる限り即時に、 かつ、学習用データセットに加工する前に、 当該要配慮個人情報を削除する又は特定の個人を識別できないよう にするための措置を講ずること。 - 本人又は個人情報保護委員会等が、
特定のサイト又は第三者から要配慮個人情報を収集しないよう要請 又は指示した場合には、拒否する正当な理由がない限り、 当該要請又は指示に従うこと。
大規模言語モデルでは、大量のデータを利用することが知られており、例えばGPT-3では570GBものデータを利用したとされています。要配慮個人情報については、法律上定義はされていますが、どのような情報が要配慮個人情報に該当するかについての教師ありデータが提供されているわけではなく、要配慮個人情報を完全にデータから排除することはかなり難しいものと思われます。そこで、上記のとおり、最初からパーフェクトを求めないが、継続的な対応を要するとの注意喚起がなされたものと推察されます。
3 IT関連法、ビジネス関連法の施行・施行予定
対応が必要となりそうなIT関連法やビジネス関連法についての施行状況を集約しました。
ランクについては、対応が必要となる可能性の高さを独自に示したもので、可能性が高い順にS、A、B、Cの4つのランクとしています。
(施行前)
| 重要度 | 項目 | 対応が必要な企業 | 内容 | 対応 | 施行日 |
| C | 不正競争防止法等 | データを扱っている企業等 | デジタル空間における模倣行為の防止、営業秘密・限定提供データの保護の強化等(経産省) | – | 2024年春ころか? |
| A | フリーランス・事業者間取引適正化等法 | フリーランスに業務を委託している企業 | フリーランスとの取引時に一定の事項の開示義務、報酬支払期日の設定等(厚労省)(公取委)(中小企業庁) | 開示書面の作成 業務フローの見直し |
2024年秋ごろか? |
| B | 内部統制基準等の改訂 | 上場企業、上場準備企業 | 金融商品取引法に基づく内部統制報告制度について、その基準となる内部統制報告基準の改訂(金融庁) | – | 2024年4月1日以後開始する事業年度 |
(施行済)
| A | 外為法 | 外国と関係が深い人を雇用する企業 | みなし輸出管理の運用の明確化(経済産業省) | 適用の有無の確認 | 2022年5月1日 施行済 |
| S | 特定商取引法 | EC事業者 | ECサイトにおける最終確認画面において、申し込みの撤回等の一定の契約事項を簡単に最終確認できるように表示する義務の設定(消費者庁) | ECサイト見直し | 2022年6月1日 施行済 |
| S | 消費者契約法 | BtoCサービスを提供している企業 | 免責の範囲が不明確な条項(いわゆるサルベージ条項)の無効等の明記(消費者庁発表資料) | BtoC規約見直し | 2023年6月1日 施行済 |
| A | 電気通信事業法 | ウェブサイト運営者、アプリケーション提供者等 | 電気通信事業を営む者が、利用者の端末に外部送信を指示するプログラム(いわゆるcookie等)を送る際、一定事項を通知・公表する義務の設定(総務省) | Cookieポリシー等の新設、見直し | 2023年6月16日 施行済 |
| A | 企業内容開示府令 | 上場企業、上場準備企業 | 非財務情報の開示(経産省・非財務情報の開示指針研究会) | 有価証券報告書記載内容の変更 | 2023年5月31日以降に終了する事業年度 施行済 |
4 2023年8月の裁判、事件
4.1 裁判
| 裁判所 | 事案・判決内容 |
| 仙台地裁 | ゲームプレイ実況動画をYouTubeにて配信等した男性に対して、著作権法違反で懲役2年、執行猶予5年、罰金100万円の有罪判決(本判決については追ってトピックにて取り上げる予定です) |
| 東京地裁 | 有名ラーメン店を経営するAFURI株式会社、登録していた日本酒に関する「AFURI」の商標を、吉川醸造株式会社が侵害として提訴 |
4.2 事件・行政対応
レポートする事件はありませんでした。
5 政府会議・審議会、ガイドライン、報告書等
5.1 セキュリティ
| 項目 | 発表者 | 内容 |
| ICTサイバーセキュリティ総合対策2023 | 総務省 | サイバーセキュリティに係る課題の整理や、情報通信分野において講ずべき対策、既存の取組の改善などについて幅広い観点から検討(総務省) |
5.2 データ
| 項目 | 発表者 | 内容 |
| 生成AIサービスの利用に関する注意喚起 | 個情委 | パンフレット「生成AIサービスの利用に関する注意喚起」の公開(レポートで取り上げます) |
5.3 その他情報関連
| 項目 | 発表者 | 内容 |
| AI等を用いた契約書等関連業務支援サービスの提供と弁護士法第72条との関係について | 法務省 | 近時、AI等を用いて契約書等を自動的にチェックするサービスが現れていますが、このようなサービスについて非弁行為を禁止する弁護士法72条との関係につき整理されています(法務省)。一般的に企業が締結する契約書のチェックをAI等にさせることは、「事件性」を欠くものとして弁護士法72条に該当しないと考えることになるでしょう。 |
5.4 ビジネス関連
| 項目 | 発表者 | 内容 |
| 主要監査業務のポイントと事例研究 | 監査役協会 | 監査役協会の監査役スタッフ研究会は、「主要監査業務のポイントと事例研究―監査の実効性と効率性の向上を目指して―(中間報告)」を公表しています。 |
| ICTサイバーセキュリティ総合対策2023 | 監査役協会 | 監査役協会は、監査役(会)監査報告、監査等委員会監査報告等のひな型を改訂し、公表しています(監査役協会)。改訂部分は軽微です。 |
6 トピック
重要であると考えられるトピックを取り上げ、関連する情報を集約しています。
6.1 セキュリティインシデント
セキュリティインシデントは毎月多数発生しているので、その中でも参考になりそうなインシデントを取り上げています。
| 会社名 | 種類 | 概要、対応状況 |
| コクヨ株式会社 | ランサムウェア | グループ会社の情報システムに対するランサムウェアによる外部攻撃 ①6月5日:外部攻撃。同日発覚 ②6月8日:第1報 ③8月7日:第2報、特設ウェブサイトの開設(事案の経緯、情報漏えいの有無、FAQ、問合せ先の告知等) ④9月5日:被害者にインシデントを知らせるはがき届く |
| 医療ISAC | 不正アクセス | 従前の担当者のアカウント情報が流出したことによるウェブサイトにおける不正なアクセス及びファイルの改ざん ①7月27日以降の不正アクセス ②8月4日発覚 ③8月7日第1報 |
| 北都銀行 | 個人情報漏えい | 行員が顧客データベースを私的に利用し、4名の顧客の氏名、住所を弁護士に開示しました。当該行員が弁護士を通じて郵便を出したかったとのことですが、詳細な経緯は不明です。 |
6.2 AI
AIに関する各省庁の取り組みについてまとめています。
| 会議名 | 省庁等 | 内容 |
| AI戦略会議 | 内閣府 | AIに関する論点の整理を目標 中間成果物:AI に関する暫定的な論点整理 |
| AI戦略チーム | 関係省庁連携 | AI戦略会議における議論等を踏まえ、様々な課題に対する関係省庁の連携 |
| AIネットワーク社会推進会議 | 総務省 | 新AIガイドラインの策定 |
| AIガバナンス検討会議 | 総務省 | 新AIガイドラインの策定 |
| 知的財産戦略本部 | 内閣府 | 「知的財産推進計画2023」(本文)(概要)を決定。生成AIと著作権についての言及あり |
| 文化審議会著作権分科会(23期) | 文化庁 | AIと著作権法の改正について議論 「AIと著作権の関係等について」 法制度小委員会において著作権法制度について議論される予定 「AIと著作権に関する論点整理について」 |
| – | 個情委 | 「生成AIサービスの利用に関する注意喚起等について」(7月2日) |
| 生成AI開発支援スキーム検討委員会 | 経産省 | 生成AIの開発を加速する観点から、競争力ある基盤モデル開発を行う企業等への支援を実施するためのスキームを検討(経産省報道発表) |
また、国際的な動向についても次の通りまとめました。
| 地域 | 内容 |
| 欧州 | 欧州議会でAI規則案を採択(6月14日)。生成型AIに対する規制を追加。 |
| 中国 | 生成AIサービスに対する規制(生成型AIサービス管理暫定弁法)を8月15日に施行予定。 |
(弁護士 安藤 広人)