個人情報保護委員会

PPC JAPAN
読み: こじんじょうほうほごいいんかい

読み: こじんじょうほうほごいいんかい

個人情報保護委員会とは役割と企業対応

個人情報保護委員会は、日本の個人情報保護法を所管する内閣府の外局に位置する独立機関である。個人情報の取扱いに関する監視・監督、法律の解釈指針の策定、国際的なデータ保護ルールとの調整を担う。AI開発においてユーザーデータや学習データをどう扱うかの判断基準は、この機関が出すガイドラインに依拠する。

かんたんに言うと

企業が個人情報を正しく扱っているかを見張る「国の番人」にあたる機関である。ルールを作り、違反があれば是正を命じ、重大な場合は刑事告発もできる権限を持つ。

省庁バラバラの監督体制を統一した個人情報保護委員会の設立経緯

個人情報保護委員会が発足したのは2016年1月のこと。それまで個人情報保護は各省庁がバラバラに所管していた。金融庁が金融分野、厚労省が医療分野という具合で、横断的な監督体制がなかった。
EUとの間で個人データの越境移転を認める「十分性認定」を取得するには、独立した監督機関の存在が前提条件になる。この国際的な要請が設立の直接的な契機だった。
現在は委員長と委員4名で構成される合議制の機関で、事務局の職員数は200名を超える。2022年の改正法施行以降、権限が強化され、立入検査や命令、さらには刑事告発の権限も持つ。

GDPRとの共通点と決定的な違い

EUのデータガバナンスを支えるGDPRと日本の個人情報保護法は、2019年に相互の十分性認定が成立した。これにより日EU間のデータ移転は原則として追加的な契約なしに行える。
ただし中身を比べると差は大きい。GDPRは「忘れられる権利」や「データポータビリティ権」を明文化しているが、日本法にはこれに完全対応する規定がない。制裁金もGDPRが売上高の4%を上限とするのに対し、日本は個人に対する罰金が最大1億円、法人に対しては別途両罰規定が適用される。
実務上の違いとして、GDPRではDPO(データ保護責任者)の選任が義務化されているが、日本では法律上の義務ではない。とはいえ、グローバルにサービスを展開する企業は両方の要件を満たす必要があるため、GDPRの基準に合わせておくのが現実的な対応になっている。

AI開発における個人データの取扱いルール

AI開発でもっとも注意が必要なのは、学習データに含まれる個人情報の扱いである。
個人情報保護委員会は2023年6月に「生成AIサービスの利用に関する注意喚起」を公表し、事業者がAIに個人データを入力する際の留意点を示した。要約すれば「利用目的の範囲内であること」と「本人の権利利益を侵害しないこと」の2点に集約される。
LLMファインチューニングに社内の顧客データを使う場合、その利用目的がプライバシーポリシーに記載されているかを確認する必要がある。記載がなければ、目的の追加と本人への通知が必要になる。
匿名加工情報や仮名加工情報に変換すれば制約は緩和されるが、変換処理自体にも一定の基準がある。「名前を消せば匿名」という単純な話ではない。

オプトアウトの仕組みとCookie規制の動向

オプトアウトとは、本人が自分のデータの利用停止を事後的に申し出る仕組みである。個人情報保護法では、第三者提供に際してオプトアウト手続きを設けることが認められているが、要配慮個人情報については事前のオプトイン同意が必須になる。
2022年の改正法ではCookieに関する規制も強化された。Cookie自体は個人情報に該当しないが、他の情報と照合して個人を特定できる場合は「個人関連情報」として規制の対象になる。同意管理プラットフォームの導入が広がっているのは、この規制強化が背景にある。
EU圏ではCookieバナーの表示が義務化されて久いが、日本ではまだ法的義務とまでは言い切れない。ただし、個人情報保護委員会のガイドラインは年々厳格化の方向にあり、対応しておいて損はない。

企業が今やるべきことの優先順位

法律の条文を全部読む必要はない。まず確認すべきはプライバシーポリシーの記載内容が現在の業務実態と合っているかどうかである。
AIツールの業務利用が広がった結果、ポリシー策定時に想定していなかったデータの取扱いが日常的に発生している企業は多い。ChatGPTに顧客の問い合わせ内容を貼り付けて要約させる行為が、利用目的の範囲内かどうかを真剣に検討した企業は少ないのではないか。
個人情報保護委員会のサイトには業種別のガイドラインやFAQが公開されている。法務部門に丸投げする前に、AI活用に関わる担当者自身が一度目を通しておくことを勧める。

当社の見解

当社はAIの安全運用のために3層防御を設計・実装している。万が一インシデントが発生しても数分以内に復旧できるバックアップ体制を持つ。実際にAIが暴走してテスト環境を停止させた経験があり、その教訓から「失敗を防ぐ」だけでなく「失敗しても戻せる」設計が本質だと確信している。加えて、AIは事実でないことを断定する。この前提で事実/推測の強制分離とファクトチェックを実装した。安全性は仕組みで担保するものだ。

関連用語

データガバナンス同意管理プラットフォームゼロトラストAI活用要約CTファインチューニングGDPR生成AIGPTオプトアウト個人情報保護

同じ失敗を二度としないAIエージェント

今のAIは、聞けば何でも答えてくれます。
でも、セッションが切れた瞬間に前回の失敗を忘れます。

当社が開発しているAIは、過去の経緯を念頭に置いて、
聞かれる前に「それは前回うまくいきませんでした」と声をかけます。
人間にも同じ失敗をさせず、AI自身も繰り返しません。

古参の社員が横にいるように、黙っていても気づいてくれる。
それが、当社が考える本当のAI社員です。

相談する