生成AIに入力したデータは「委託」にあたりますか?
クラウドサービスとしての生成AIの利用は、多くの場合、個人情報保護法25条における「委託」や法27条「第三者提供」に該当する可能性が高いと考えられます。
個人情報保護法25条における「委託」とは
生成AI利用が個人情報保護法25条の「委託」に該当するかどうかの議論は、同法27条5項1号(第三者提供の制限)の文脈で議論されています。
法27条1項は、個人データを第三者に提供する場合には、原則として「本人の同意」が必要とされている一方、同条5項1号では、この第三者への委託の場合(法25条の場合)には、例外として第三者に該当させず、同意が不要という整理を行っているからです。なぜこのような委託の場合に本人の同意が不要かと言えば、アウトソーシングなどの際に常に同意が必要となるとアウトソーシング行為が実質的に不可能となるためです。このような場面で、法25条は委託先への個人データ安全管理措置を担保する監督義務を負っているため、これら理由の組み合わせにより例外とされています。
個人データの取扱いの委託の意味
個人データの取扱いの委託とは、個人情報保護委員会のガイドラインにて、次のように説明されています。
利用目的の達成に必要な範囲内において、個人データの取扱いに関する業務の全部又は一部を委託することに伴い、当該個人データが提供される場合は、当該提供先は第三者に該当しない。この場合、当該提供先は、委託された業務の範囲内でのみ、本人との関係において提供主体である個人情報取扱事業者と一体のものとして取り扱われることに合理性があるため、委託された業務以外に当該個人データを取り扱うことはできない。
クラウドサービスにおけるクラウド例外とは
この議論とよくセットで見受けられる議論が、「クラウド例外」という論点です。これは、データベースサービスなどのクラウドサービス利用時において、本人の同意が必要かという論点で、確かに、個人データはクラウドサービス提供者のサーバー内に送信され、保存されているため、第三者提供ともいえそうですが、クラウドサービス提供者はそのデータを閲覧したり、そのデータを処理するようなことはありません。ここでいう「提供」とは、対象個人データを、自己以外の者が利用可能な状態に置くことと考えられています。「Box」などのサービスのようにデータの置き場を提供しているが、クラウドサービス提供者は当該情報を利用しないようなクラウドサービス利用時に「本人の同意」が必要かどうかという問題がありました。
これに対して、個人情報保護委員会は、次のように解説しています。
当該クラウドサービス提供事業者が、当該個人データを取り扱わないこととなっている場合には、当該個人情報取扱事業者は個人データを提供したことにはならないため、「本人の同意」を得る必要はありません。
このように、クラウドサービス事業者が、ユーザーが送信等した個人データを取り扱わないこととしている場合には、第三者提供には該当しないとしたものです。
クラウド例外に関する事例
クラウド例外に関する法の適用関係について、MK事件(株式会社エムケイシステム)というものがあり、クラウドサービス提供者の利用規約において、以下のような事情からクラウドサービス事業者は個人情報取扱事業者に該当するとされています。つまり、利用規約等において、個人データを事業者が閲覧、操作可能な状況にある際に、先に見た純粋にデータベースサービスを提供している事業者と同一には見られないという判断がなされたという趣旨になります。
クラウドサービス提供事業者が個人情報保護法上の個人情報取扱事業者に該当する場合の留意点について(注意喚起)令和6年3月25日個人情報保護委員会
- 特定の場合にクラウドサービス利用者の個人データを使用等できることとなっていたこと。
- クラウドサービス提供事業者が保守用IDを保有し、クラウドサービス利用者の個人データにアクセス可能な状態であり、取扱いを防止するための技術的なアクセス制御等の措置が講じられていなかったこと。
- クラウドサービス利用者と確認書を取り交わした上で、実際にクラウドサービス利用者の個人データを取り扱っていたこと。
小括
ここまでを整理すると、原則として、個人データを第三者に提供する場合には本人の同意が原則として必要です。しかし、これが委託関係の場合は、委託先への監督義務により個人データの安全管理が確保されるなどの理由から例外とされています。
これとは別に、クラウドサービス事業者が個人データを取り扱わないこととなっている場合は、そもそも第三者提供には該当しないという、いわゆるクラウド例外という解釈があります。これは例えるなら、金庫(データベースサーバー)を提供しているだけで、中身(個人データ)には関与しないような場合は、そもそも委託にも第三者提供にも該当しないとしたうえで、事例では、個人データの閲覧等が利用規約上可能であったためこの例外を認めなかったという整理となります。
生成AIの利用は第三者提供や委託に該当するか
では、ここまでの整理を使って、生成AIの利用が個人情報保護法とどのような関係に立つのかですが、主要な生成AIサービス事業者は、不正使用の検知やサービス改善等の目的で、プロンプトに入力された情報や出力結果を閲覧・利用する余地をプライバシーポリシー等において残しています。ただし、その範囲や条件は事業者ごとに異なり、API利用時にはデフォルトでモデル学習への利用を行わない事業者や、ユーザーによるオプトアウト設定を設けている事業者もあります。いずれにせよ、不正利用の監視等の目的での閲覧可能性は各社に共通しており、クラウド例外における「個人データを取り扱わないこととなっている場合」には該当しないと考えるべきでしょう。
OpenAI:プライバシーポリシー
Anthropic:プライバシーポリシー
Google:Geminiアプリのプライバシーハブ
また、個人情報保護委員会がOpenAIに対して、要配慮個人情報に関する注意喚起文書を公開していることからも、これらサービス提供者は個人情報取扱事業者として考えられます。
そうすると、いわゆる学習データ提供を許可している場合は文字通り第三者提供に該当する可能性が極めて高いと思われます。
また、一般に生成AIサービスにおいて、いわゆるクラウド例外は利用できないと考えるべきでしょう。現に、これらサービスにおいては、プロンプト情報を基盤モデルなどの生成AIの演算処理に回し、その結果をユーザーに送信している関係であり、クラウド例外が認められるための要件、すなわちクラウドサービス提供者が個人データを取り扱わないという条件を満たしていない点は明確であり、生成AIサービスの利用に伴う個人データの入力は、第三者提供や委託の概念に該当する場合が多いと整理すべきと思われます。
なお、個人情報保護委員会では、個人データのみならず、個人情報のレベルでも利用目的の範囲内の利用であるかという点について注意喚起がなされています。