個人情報保護について。
目次
AI・ディープラーニングの全体像
- 人工知能
- 機械学習
- ディープラーニングの基本・応用
- ディープラーニングの研究
- AIプロジェクト
- AI社会実装に伴う法律・倫理
個人情報の定義
- 「個人情報」→特定の個人を識別するために使える情報
- 他の情報と容易に照合することができ、それによって個人を識別できる情報も含まれる
- 「個人識別符号」→単独で特定の個人を識別可能な文字・番号・符号
※生体情報を変換した符号、公的な番号など - 「個人データ」→データベース化された個人情報
- 「保有個人データ」→自社が保有し、開示などの権限を持つ個人データ
- 「要配慮個人情報」→取り扱いの制限が多い
- 「機微情報」→金融分野ガイドラインに定められている、要配慮個人情報など
- 本人の同意なく、取得・利用・第三者への提供が原則禁止されている
個人情報保護法
- 「個人情報保護法」→2005年から全面施行された個人情報の保護に関する法律
- 個人情報を正しく取り扱ったうえで有効に活用できるようにするための規則
- 「個人情報取扱事業者」→個人情報の名簿を事業に用いている事業者
- 「個人情報保護委員会」→行政機関で、個人情報の有用性に配慮しつつ、適切に取り扱われるよう管理することが任務
匿名加工情報、仮名加工情報
匿名加工情報
- 「匿名加工情報」→特定の個人を識別できないかつ復元できないように、個人情報を加工したもの
- パーソナルデータの利活用の促進を目的として導入された
仮名加工情報
- 「仮名加工情報」→個人情報から個人を特定できる情報を削除し、単体では個人を特定できないよう加工した情報
- 他の情報と照らし合わせると個人を特定できる可能性が残る
オプトアウト制度
- その個人情報を持つ本人が反対しない限りは、個人情報の第三者提供に同意したものとみなし、第三者提供を認めること
- 本人から要求があった場合には、直ちにその要求に応じて、本人が識別される個人データの第三者への提供を停止することができるようにする
改正個人情報保護法
- 「個人情報保護法の改正」→2022年4月1日
- データ利活用の促進
- 「仮名加工情報」の導入→匿名加工情報よりはゆるく、他の情報と照らし合わせると個人を特定できる可能性が残る
- 変更前の利用目的と関連性を有すると合理的に認められる範囲であれば、個人情報の利用目的を変更できる
- 利用目的の変更の程度→社会通念上、客観的に合理的に認められる範囲とみなされ、本人が予期できる範囲内に限られる
- 変更された利用目的→変更された利用目的は、本人に通知するかor公表しなければならない
カメラ画像
- 顔画像から、目・鼻・口などの形や位置関係といった特徴を抽出し、数値化→データセットを作成する
- 「個人識別符号」
- 単体では個人と識別できず、かつ、本人を判別可能な別の画像や個人識別符号と容易に照合できない→個人情報には該当しない
- 「カメラ画像利活用ガイドブック ver.3.0」→IoT推進コンソーシアムにおける、プライバシーや肖像権に配慮したカメラ画像の利活用について検討
EU一般データ保護規則(GDPR)
- GDPR(General Data Protection Regulation;EU一般データ保護規則)
- EUにおける個人データやプライバシー保護に関する規則
- EU域内に拠点を有する管理者・処理者が、EU域内の拠点の活動の過程において取り扱う場合
- EU域内に拠点がなくとも、域内のデータ主体に対して物品やサービスの提供または行動の監視を行う場合
- 日本国内にのみ拠点を持つ企業でもGDPRが適用される可能性あり
- 無断でEU域外へ個人データを移転することが禁止されている
- 移転先の第三国が「十分なデータ保護の水準を確保」していると欧州委員会が判断する必要あり
- 欧州委員会から「十分性認定」を受けた国には、越境移転規制は適用されない
- 「データポータビリティ権」→サービスのユーザーが、自身の個人データにアクセスできるとともに、持ち出しや移転が可能になること
- ユーザーの管理権限を強化する
- 新興企業による新規サービス創出を促す
生成AIと個人情報保護
- 個人情報を入力すること→個人情報の提供に該当する→個人情報保護法の規制に従う必要あり
- 生成AIのAPIを利用して開発する場合、個人情報の開示元から許可が必要
- 情報開示者との秘密保持契約に「例外条項」を追記する必要あり
- 個人情報に限らず、いかなる機密情報も、生成AIに入力すると、意図せずに法律に違反する可能性あり
