AIChatGPTEU法律

ChatGPT、EUのプライバシー法違反疑い – イタリア当局からの通知

ChatGPT、欧州のプライバシー法違反の疑い
Mohamed HassanによるPixabayからの画像

ChatGPT、欧州のプライバシー法違反の疑い

OpenAIが運営するAIチャットボット、ChatGPT欧州連合(EU)のプライバシー法に違反している疑いがあると、イタリアのデータ保護当局から指摘されました。数ヶ月にわたる調査の後、この疑いが持ち上がり、OpenAIには反論のための30日間の猶予が与えられました。EU全体の規制に違反した場合、最大で2,000万ユーロ、または全世界の年間売上の4%に相当する罰金が科される可能性があります。さらに、データ保護当局は、確認された違反を終わらせるためにデータ処理方法の変更を要求する命令を出すことができます。これにより、OpenAIは運営方法を変更するか、プライバシー当局が変更を求めるEU加盟国からサービスを撤退させる可能性に直面しています。

欧州連合(EU)のプライバシー法

欧州連合(EU)のプライバシー法は、EU加盟国において個人情報の保護とプライバシーの権利を強化するために制定された法律や規制の総称です。主要なEUプライバシー法としては、以下のものがあります。

  1. GDPR(一般データ保護規則): GDPRは、2018年に施行されたEUのプライバシー法の中核です。この規則は、EU内外で個人情報の収集、処理、保護に関する一貫した基準を設け、個人情報の所有者である個人に対する権利を強化しました。また、企業や組織に対しては厳格なデータ保護措置と規制順守の義務を課しました。
  2. ePrivacy指令: ePrivacy指令は、電子通信業界におけるプライバシー保護を規定するもので、電子メール、ウェブブラウジング、電話通信などの電子通信に関連するプライバシーに焦点を当てています。個別の国ごとにePrivacy指令を実施するため、各国で異なる法令が存在します。
  3. プライバシーシールド: プライバシーシールドは、EUとアメリカ間で個人情報の転送を規定する枠組みです。この枠組みに基づき、アメリカの企業はEUから個人情報を受け取る際に一定のプライバシー基準を遵守する必要があります。
  4. データ保護委員会(DPA): 各EU加盟国には、データ保護委員会(DPA)が設置され、GDPRの規則を監督し、データ保護に関する相談を受け付け、制裁措置を課す権限を持っています。

これらの法律や規制は、EUの市民と個人情報を取り扱う組織に対して、厳格なプライバシー保護を確保するために設けられました。企業や組織はこれらの法律を順守し、個人情報の取り扱いに慎重さと透明性を持たなければなりません。プライバシー法に違反した場合、罰金や制裁が科される可能性があります。

イタリアのデータ保護当局とは

イタリアのデータ保護当局は「Garante per la protezione dei dati personali」(個人データ保護監督機関)として知られています。

  1. 名称: Garante per la protezione dei dati personali(通称 Garante)
  2. 役割: Garanteは、イタリア国内における個人データの保護とプライバシーの監視を担当する公的機関です。EUの一般データ保護規則(GDPR)に基づき、個人データの処理に関する規制や基準を定め、監視・執行し、市民のデータ保護権利を保護します。
  3. 権限: Garanteは、個人データの収集、処理、保管、転送などに関連するすべての法的および技術的側面に関与します。彼らの権限には、データ保護違反の調査、制裁の課罰、データ保護に関するガイダンスの提供、市民からの苦情の処理などが含まれます。
  4. 監視: Garanteは、企業、組織、政府機関、個人などが個人データを適切に取り扱っているかどうかを監視し、データ保護法に準拠しているかを確認します。違法なデータ処理に対しては制裁を科す権限を持っています。
  5. 教育と啓発: Garanteは、市民や企業に向けてデータ保護に関する教育と啓発活動を行います。GDPRの規則に適合する方法やデータ保護の重要性について情報提供を行います。

Garanteは、イタリア国内におけるデータ保護の主要な機関であり、市民と企業に対してデータ保護の遵守と意識を高めるために重要な役割を果たしています。このようなデータ保護当局は、EU加盟国全体で個人データのプライバシーを保護するために設けられており、GDPRの規則を実施し、監視・執行しています。

主な懸念点

イタリアの当局は、ChatGPTが個人データを収集し、アルゴリズムのトレーニングに使用するための適切な法的根拠を欠いていること、AIツールが個人に関する不正確な情報を生成する可能性(いわゆる「ハルシネーション」)があること、子供の安全性が問題であることを指摘しています。これらの疑いに対し、OpenAIは一部の問題に対処するための措置を講じた後、昨年イタリアでChatGPTのサービスを比較的迅速に再開することができました。しかし、当局は引き続き疑いのある違反について調査を続け、現在、ツールがEU法を破っているという予備的結論に達しました。

OpenAIの対応

OpenAIは、自社の実践がGDPRおよびその他のプライバシー法に準拠しており、人々のデータとプライバシーを保護するための追加措置を講じていると信じています。同社は、AIが世界について学ぶことを目指しており、個人に関するプライベートまたは機密情報の要求を拒否していると述べています。OpenAIは、Garanteと建設的に協力し続ける予定です。

GDPRとは

GDPR(General Data Protection Regulation)は、一般データ保護規則の略称で、欧州連合(EU)および欧州経済領域(EEA)で個人データのプライバシーと保護を強化するために制定された法律です。以下は、GDPRに関する要点です。

  1. 目的: GDPRは、EUおよびEEA内での個人データの処理とプライバシー保護を統一し、市民のデータ保護権利を強化することを目的としています。個人データの収集、処理、保管、転送など、あらゆるデータ活動に関連します。
  2. 適用範囲: GDPRはEU加盟国とEEA諸国に適用され、EU内外のすべての組織や企業に影響を与えます。EU市民のデータを処理する場合、GDPRの規則に従う必要があります。また、EU市民のデータを取り扱う非EU国の企業にも一定の要件が適用されます。
  3. 主要な要点: GDPRには、以下の主要な要点が含まれます。
    • 個人データの適切な処理: 個人データは適法かつ公正な手段で収集・処理される必要があります。
    • データ主体の権利: 個人データの主体は、自分のデータにアクセスし、修正・削除を要求できる権利を持ちます。
    • データポートビリティ: データ主体は、自分のデータを別のサービスプロバイダーに移行できる権利があります。
    • 同意: データ処理のための同意は、明確で取り消し可能でなければなりません。
    • データ侵害通知: データ侵害が発生した場合、関連当局およびデータ主体に対して速やかに通知する義務があります。
  4. 制裁: GDPRに違反すると、企業や組織に対して罰金が科される可能性があります。違反の種類や重大性に応じて罰金が異なりますが、最大で収益の2%または4%に達することがあります。
  5. データ保護委員会: GDPRは各EU加盟国にデータ保護委員会を設置することを義務付けており、データ保護法の執行と指導を担当します。

GDPRは、個人データのプライバシーとセキュリティを保護し、市民のデータ保護権利を尊重するために非常に重要な法律です。企業や組織は、GDPRの要件を遵守し、データ保護に関する最高水準の慎重さを持つ必要があります。

今後の見通し

この問題は、EU内でのAIモデルトレーニングの法的根拠に関する広範な議論を呼び起こしています。特に、ChatGPTが公開インターネットから収集した大量のデータを使用して開発されたことが、EUの個人のデータを処理するために有効な法的根拠を持つ必要があるというEUの要件と衝突しています。この問題の解決策として、OpenAIがどのような措置を講じるか、また、イタリアのデータ保護当局がどのような最終的な決定を下すかが注目されています。

参照元: ChatGPT is violating Europe’s privacy laws, Italian DPA tells OpenAI | TechCrunch

コメント

タイトルとURLをコピーしました