近時、各企業や団体等の事業活動において、AIやブロックチェーン等の新たなデジタル技術や、データの分析・活用による新たな製品・サービスの開発・提供、グローバルな人材マネジメント等の動きが急速に進行し、その重要性がますます高まっています。
一方、日本を含め世界各国のデータ保護規制は複雑化の一途をたどり、また、AIやデジタル・プラットフォーム等に関わる新たなルールの導入やその議論も活発化しています。
こうしたなか、企業等が各国の規制を遵守しつつ、グローバルでの競争を勝ち抜いていくためには、AIや、データプライバシー、デジタル・プラットフォーム等に関する各国の法規制の内容やその運用状況、最新の立法動向等をタイムリーに把握し、適切な対応を講じることが必要不可欠といえます。
当事務所は、多様なバックグラウンド・経験を有する各分野のプロフェッショナルが、AIやデータプライバシー、デジタル・テクノロジーに関わる国内外の最新の法規制・ルールの動向等を踏まえ、当事務所の海外オフィスや世界各国の協力先ローファームとの緊密な連携の下、豊富な経験に根差したリーガルサービスを提供しています。また、各プロフェッショナルが有する経験・知識を、より質の高いリーガルサービスにつなげるべく、法分野を横断するプラクティスチームを組成し、所内全体での経験・知識の更なる共有・深化に日々取り組んでいます。
本特集ページでは、これらの分野について、当事務所の弁護士が執筆した記事、ニュースレター、著書、セミナー等をご紹介します。
コンテンツ一覧
国内外の生成AI・AI規制の現在地、処分事例とAIガバナンス
Ⅰ. はじめに
生成AIブームは、ビジネスをはじめとする様々な分野でのAI活用をもたらした反面、生成AIの悪用によるディープフェイクの蔓延、機械学習の原理上避けられない幻覚(Hallucination)による誤情報の出力、著作物の学習利用問題等、多くのリスクが判明しており、どのように対応するかについて各国で検討が進められています。この対応方針については、広島AIプロセスや国連における取組のように国際的な協調体制が見られる一方で、AIビジネスとの親和性やAIガバナンス全体における法規制の位置づけの差異もあって、各国の足並みは必ずしも揃ってはいません。日本国内の動向に目を向けると、本記事執筆時点(2024年7月上旬)は、くしくも、AI規制に直接的な影響が想定される複数の政府ドキュメントが出揃ったタイミングでもあるため、本記事で改めて国内外の動向を紹介したいと思います。なお、本記事で取り上げた各規制・処分事例の詳細は、拙著「生成AI法務・ガバナンス 未来を形作る規範」(商事法務)で解説しています。
Ⅱ. AIガバナンスとは
AIに関連するリスクのうち、現行法の合法違法の議論では割り切れないものも多く、またそのレベル感も日常茶飯事レベルのものから社会的に見逃すことのできないレベルのものまで幅があります。このため、完全にゼロとすることを目指すのは現実的ではなく、社会的に関係する当事者(ステークホルダー)が受容可能な水準に収め、それと同時に、AI活用による効率化その他メリットの最大化を図ることを目的とすることが考えられます。そのような目的で、規範的・技術的・組織的・社会的システムを設計・運用することを、AIガバナンスと呼称する場合があります。
AIガバナンスを実践する主体は、ガバナンスの階層のレベル(国レベル、企業レベル、システムレベルほか)によって異なります。その達成手法も、法規制のみでは難しく、自主規範の策定、技術的な対応措置、組織体制の整備・運用を組み合わせて進める必要があります。いわゆるハードロー・ソフトローの議論と類似しますが、さらに広範な俯瞰した視点からの対応が求められます※1。
本記事では、生成AIをはじめとするAIに対する規制の現在地と、報じられた紛争・処分事例を俯瞰します。
Ⅲ. 日本国内の状況
1. AI事業者ガイドライン(総務省・経済産業省)
筆者もワーキンググループの一員として携わった、AIに関与する事業者(AI開発者・AI提供者・AI利用者)向けのガイドラインであり、総務省・経済産業省より2024年4月に公開されました。この新たなガイドラインは、既存の「AI開発ガイドライン」「AI利活用ガイドライン」「AI原則実践のためのガバナンス・ガイドライン」を統合し、生成AIにも目配りした内容とすべく、AIに携わる事業者が共通で遵守すべき原則を説明した上で(第2部)、事業者を、AI開発者(第3部)、AI提供者(第4部)、AI利用者(第5部)に分類し、各原則を遵守するに際して、どのような留意点を踏まえて行動すべきか、を十大原則の観点を踏まえて解説しています。特に、別添(付属資料)では、開発者・提供者・利用者固有の注意事項や高リスクAIの特記事項をまとめており、現場目線で見ても参考になる内容です。
2. 「AIと著作権に関する考え方について」
2023年7月より、文化審議会著作権分科会法制度小委員会において、AI時代の著作権法のあり方が検討されてきました。社会的に大きな注目を集めているトピックでもあり、2024年1月より開始されたパブリックコメントの手続では、24,938件という異例の数のコメントが寄せられました。2024年3月に公開された本ドキュメントでは、主に生成AIを念頭に、無許諾でAI学習が許容される範囲のみならず、著作権侵害の有無の考え方、AI生成物の著作物としての保護の有無について、踏み込んだ議論が示されており、実務への影響が予想されています。
3. 「新たなクールジャパン戦略」
2024年6月に公表された「新たなクールジャパン戦略」では、繰り返し生成AIに言及しており、「権利保護とのバランスを踏まえつつ生成AIの利活用が推進されるよう、社会的な合意形成、受容性の向上を」図り、「生成AIを活用したクリエイションの支援や効率化」を進めることを明言しています。
4. 「AI時代の知的財産権検討会 中間取りまとめ」
内閣府「AI時代の知的財産権検討会」では、2023年10月より、AIと知的財産権等との関係をめぐる課題への対応について必要な対応方策等を検討し、2024年1月に「論点整理」を、2024年5月に「中間取りまとめ」を公表しました。「中間取りまとめ」では、著作権、商標、意匠、不正競争防止法その他知的財産権の観点からAIの課題を横断的に検討するとともに、「声」の権利やディープフェイクなど新たな課題への問題意識も取り上げています。
5. 「コンテンツ制作のための生成AI利活用ガイドブック」
法律の専門家ではないコンテンツ制作者にも容易に理解できるよう、これまで政府から公表されたドキュメントのポイントを、コンテンツ制作の具体的な場面に引きつけて解説しています。経済産業省「令和5年度コンテンツ海外展開促進事業(コンテンツ産業における先端的技術活用に関する調査)」の成果物として作成されました。
6. 「生成AIサービスの利用に関する注意喚起等について」ほか
個人情報保護委員会は、2023年6月2日付で「生成AIサービスの利用に関する注意喚起等について」を公表するとともに、生成AIサービスであるChatGPTを開発・提供するOpenAI, L.L.C.及びOpenAI OpCo, LLCに対して注意喚起を行ったことを公表し、「OpenAIに対する注意喚起の概要」を公表しています。
Ⅳ. 国際的な協調体制
1. 広島AIプロセス
2023年5月に、G7広島サミットの結果を踏まえて立ち上げられた広島AIプロセスでは、2023年12月の閣僚級会合で安全、安心で信頼できる高度なAIシステムの普及を目的とした指針と行動規範からなる初の国際的政策枠組みとして「広島AIプロセス包括的政策枠組み」が承認されました。同枠組みの下位文書として開発者から利用者まで全てのAI関係者が守るべき責務の概要を示した「全てのAI関係者向けの広島プロセス国際指針」と、開発者向けに責務をより具体化した「高度なAIシステムを開発する組織向けの広島プロセス国際行動規範」が策定されています。
2. 国連
2023年10月、国連は、人工知能(AI)に関する諮問機関を創設しました。同機関が2023年12月に示した中間報告では、AI兵器への警告が含まれています。
3. ブレッチリー宣言
2023年11月にAI安全サミットがロンドンで開催され、29の国と地域によって共同宣言「AI安全に関するブレッチリー宣言」が採択されました。
4. ミュンヘン安全保障会議
2024年2月16日からドイツ・ミュンヘンで開催された安全保障会議では、米国大統領選挙をはじめとして、各国で予定される大型選挙を目前としていたこともあり、AI技術が選挙に及ぼす影響が主要な議題の1つとして取り上げられました。
Ⅴ. EU
1. AI規則(AI Act)
2021年4月、「AI規則」のファーストドラフトが公表されました※2。AIを対象として包括的な規制を行おうとする「AI規則」は画期的で、世界的に注目を集めました。パブリックコンサルテーションに寄せられた意見を踏まえ、2021年11月29日付のAI規則の修正案が公開されました。欧州委員会・欧州議会・欧州連合理事会で三者協議(trilogue)が行われ、2024年3月の欧州議会による採択※3、2024年5月の欧州連合理事会による採択※4を経て、2024年7月12日付けで官報へ掲載され、最終確定版が公布されました。今後の予定は下表のとおりで、公布から20日後である2024年8月1日に発効、2026年8月2日に全面的な適用(Application)がされる見込みです。
2024年8月1日 | AI規則の発効 |
2025年2月2日 | 第1編(総則)及び第2編(禁止AI)の適用開始 |
2025年8月2日 | 第3編第4章、第5編(一般目的AIモデル)、第7編(ガバナンス)、第12編(罰則)及び第78条の適用開始(第101条を除く) |
2026年2月2日 | post-market monitoring(市場投入・使用開始後のモニタリング)の実装行為(implementing act) |
2026年8月2日 | その他の条項 |
2027年8月2日 | 第6条第1項及びこれに対応する義務(高リスクAIシステムに対する義務) |
2. 「AI規則」を補完するルール・周辺のEUのルール
「AI規則」を補完するルールとして、欧州におけるAIシステムの提供・利用に関する法的責任に関する規律の基本ルールを定めるべく、2022年9月28日、AI責任指令案(Proposal for an Artificial Intelligence Liability Directive(AILD))及び製造物責任指令(Product Liability Directive(PLD))の改正案が公表され、後者は2024年3月に欧州議会により採択されています※5。AI責任指令案及びPLD改正案に定める事項は、2023年6月から適用されているEUの集団訴訟指令(Representative Actions Directive)の対象となるため、関連サービスを提供する事業者にとって重要なルールになると考えられています。また、データ周りのルールも、Data Governance Act、Data Act等、充実してきています。
3. 欧州AI人権枠組み条約
2024年5月17日、世界初のAI国際条約とも呼ばれるCouncil of Europe Framework Convention on Artificial Intelligence and Human Rights, Democracy and the Rule of Law(欧州評議会 人工知能と人権、民主主義、法の支配に関する枠組み条約)が、欧州評議会において採択されました。2024年9月5日の正式署名、その後の各国による批准を経て、発効が予定されています。注意すべきは、名称に「欧州」とあるものの、同条約の参加国は欧州に限定されない点です。日本をはじめ、米国、カナダ、メキシコ、ローマ教皇庁が、起草段階から条約交渉に参加しており、早晩のタイミングでの批准が見込まれています。欧州に限らず、米国や日本の批准が見込まれることから、日本企業への影響は免れません。
4. データ保護当局による処分
2023年3月31日、イタリアのデータ保護当局(Garante)は、OpenAI社に対し、ChatGPTがGDPRの各規制(情報提供義務、処理の法的根拠、正確性原則、児童のデータ処理)に違反するとして、イタリアに所在する利用者の個人データの処理を一時停止することを命じました※6。2023年4月28日までにChatGPTは改善措置を遂行し、一時停止の措置は解除されたものの、その後も他のEU加盟国の当局によるものを含め、調査は続けられ、欧州データ保護会議(EDPB)もChatGPTにフォーカスしたタスクフォースを同時期に立ち上げました※7。2024年1月29日、Garanteは、調査の結果、ChatGPTにおいてGDPR違反の事実が確認されたとして、OpenAI社にその旨を通告しました※8。
Ⅵ. 北米
1. 米国
州法レベルでは、雇用場面におけるAI技術の規制が進んでいます(イリノイ州、メリーランド州、ニューヨーク州)。
連邦レベルでは、2022年10月に米国科学技術政策局(OSTP)より「AI権利章典の青写真」(Blue
Print)が発表され、AIシステムの設計、使用、導入の際の指針となる5つの原則(①安全かつ有効なシステム、②アルゴリズムから生じる差別からの保護、③データのプライバシー、④告知と説明、⑤問題発生時の人間による代替、検討、対応)が提示されました。その後、ChatGPTの世界的なブレイクを踏まえ、2023年4月には、米国商務省が生成AIについて安全性の保証を求め、リスク対策の正式な意見公募を開始しました。2023年10月30日には「人工知能(AI)の安心、安全で信頼できる開発と利用に関する大統領令」が発令されました。
米国内では、AI生成物の著作物性を否定した「楽園への新しい入り口事件」「暁のZarya事件」のほか、NYタイムズ紙によるOpenAI及びマイクロソフトに対する訴訟、大手音楽レーベル3社による音楽姿勢AIに対する訴訟ほか、学習段階の著作権侵害の有無をめぐって、多数の訴訟が提起されているのも注目されます。
2. カナダ
2022年6月より「人工知能・データ法(Artificial Intelligence and Data Act: AIDA)」の法案が審議されています※9。同法案は、規制対象となる活動を特定し、コンプライアンスを確保するための監督と執行の仕組みを提供するものです。
Ⅶ. 中国
2023年7月10日、国家サイバースペース管理局(CAC)等中央7部門(省庁)は、共同で、「生成人工知能サービス管理暫定弁法(生成式人工智能服务管理暂行办法)」(以下「本弁法」といいます。)を制定・公布しました。本弁法は2023年8月15日より施行されています(弁法24条)。本弁法は、生成人工知能技術を利用し、中国境内(本土内)の公衆に対し、テキスト、画像、音声、動画(ビデオ)等のコンテンツを生成するサービスを提供することに対し適用されることから、いわゆる域外適用が想定されていることは注意が必要です。
また、AI生成物を著作物と認めた「春風が優しさを運ぶ事件」、生成AIサービス提供者の法的責任を認めた「広州ウルトラマン事件」、生成AIによる「声」の権利の侵害を認めた「吹き替え声優殷さん事件」が注目されています。
※1 主要国のAIガバナンスを比較する資料として、市川類「最近の世界のAIガバナンス政策動向」
※2 なお、当初案の仮訳が総務省から公開されています。(https://www.soumu.go.jp/main_content/000826706.pdf)
※6 https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/9870847
※8 https://garanteprivacy.it/home/docweb/-/docweb-display/docweb/9978020
改正個人情報保護法施行規則(令和6年4月1日施行)の概要と対応
いわゆるウェブスキミングの問題をきっかけとして、個人情報保護委員会(以下「個情委」といいます。)は、個人情報保護法施行規則(以下「規則」といいます。)7条3号を改正し、「個人情報の保護に関する法律についてのガイドライン(通則編)」(以下「通則GL」といいます。)、「「個人情報の保護に関する法律についてのガイドライン」に関するQ&A」(以下「Q&A」といいます。)の関連個所の修正追記を行いました。関連の改正は、令和6年4月1日に施行されていますが、この改正による漏えい報告対象の拡大はウェブスキミングの場面に限られず、漏えい報告の場面以外にも対応を必要とします。本稿では、改めて改正の概要と対応を整理します。
Ⅰ. 改正の背景
個人情報保護法(以下「法」といいます。)は、「個人情報」「個人データ」「保有個人データ」の種別によって、適用するルールを以下のとおり、整理していました。安全管理措置(法23条)や個情委への漏えい等報告(法26条)は「個人データ」を対象とし、公表(法32条以下)は「保有個人データ」を対象としています。
そして、漏えい等報告(法26条)については、個情委が規則7条各号で報告対象事案を規定しており、このうち改正前規則7条3号は「不正の目的をもって行われたおそれがある個人データの漏えい等が発生し、又は発生したおそれがある事態」を報告対象事案としていました。
近年、ECサイトに不正なスクリプトを設置することで、ユーザーが入力フォーム等に入力したパスワードやクレジットカード情報を窃取するいわゆる「ウェブスキミング」の方法による個人情報漏えいが増加していたところ、ウェブスキミングで不正取得される利用者情報は「個人情報データベース等」を構成する前の「個人情報」の状態で、個情法の「個人データ」に該当しないため、漏えい等報告の対象とならないという問題が生じていました。今回の改正は、このような場合も漏えい等報告の対象とすることを目的としたものです。
Ⅱ. 改正内容
1. 漏えい報告対象の拡大
個情委は、ウェブスキミングによる個人情報の漏えい等を報告対象に含めるため、規則7条3号を改正しました(赤字が改正部分)。
「三 不正の目的をもって行われたおそれがある当該個人情報取扱事業者に対する行為による個人データ(当該個人情報取扱事業者が取得し、又は取得しようとしている個人情報であって、個人データとして取り扱われることが予定されているものを含む。)の漏えい等が発生し、又は発生したおそれがある事態」
すなわち、規則7条3号の「個人データ」の範囲に、事業者が「取得し、又は取得しようとしている個人情報であっても個人データとして取り扱うことを予定している個人情報」を新たに含めることにより、これらのいずれかの漏えい等が発生し、又は発生したおそれがある場合には報告対象になるとしたものです。
個情委は、この改正に伴い、報告義務の主体や事例の追加等、通則GLの関係個所を改訂しています※1。とくに、報告対象事案を拡大する方向での以下の記載の追加が実務的に重要です※2。
通則GLへの追加記載の内容 | |
---|---|
1 | 不正行為を受ける「当該個人情報取扱事業者」は、以下の者を含む。 ① 当該事業者自身 ② 当該事業者の個人データの委託先※3、 ③ 当該事業者が個人データの取扱いにあたって利用するサービスを提供する第三者 |
2 | 「取得しようとしている個人情報」に該当するかどうかは、個人情報の取得手段等を考慮して客観的に判断する。 |
3 | 個人情報データベース等へ入力すること等を予定していれば、最終的に個人情報に該当しない統計情報への加工を行うことを予定している場合等であっても、「個人データとして取り扱われることが予定されている」に該当する。 |
個情委は併せてQ&Aを更新し、上記I. 3.の不正行為の相手方の範囲に含まれる「第三者」の具体例として、以下のとおり、ストレージサービスの提供事業者、ECサイトの運営事業者等広範、多岐にわたる事業者が該当することを示しています※4。
「第三者」の具体例 | |
---|---|
1 | ダイレクトメール発送で顧客情報を外部事業者に伝える場合の外部事業者 |
2 | 入力フォーム作成ツールで個人情報を取得・管理する場合のツール提供事業者 |
3 | ストレージサービスで個人情報を保管する場合のサービス提供事業者 |
4 | SNSボタンを第三者サイトに設置し、閲覧履歴を取得する場合の第三者 |
5 | 決済代行サービスがECサイトの決済ページにタグを設置し、個人情報を取得する場合のECサイト運営事業者 |
6 | 決済代行サービスの決済ページに遷移するリンクをECサイトに設置し、個人情報を取得する場合のECサイト運営事業者 |
7 | 入力フォーム最適化サービスやスマートフォンサイト変換サービスを利用し、ウェブサイト上で個人情報を取得する場合のサービス提供事業者 |
8 | 短縮URL作成サービスを利用し、短縮URL経由でウェブサイト上で個人情報を取得する場合のサービス提供事業者 |
9 | アクセス解析ツールを利用し、ウェブサイト閲覧ユーザーの情報を取得・管理する場合のツール提供事業者 |
10 | 返信用封筒を顧客に配布し、配送事業者を通じて個人情報を取得する場合の配送事業者 |
すなわち、A社が利用しているこれらの外部サービスB社に不正行為が行われ、これに起因してA社の「個人データ」又はA社が「取得し、又は取得しようとしている個人情報であって、個人データとして取り扱われることが予定されているもの」が漏えいするおそれが生じた場合には、A社自身が漏えい報告を行わなければならないということになります。
また、通則GLでは、報告を要する具体的な事例として、以下の4つの事例を追加しています。とくに、事例5や事例8はウェブスキミング以外の場面であり、今回の改正による報告対象の拡大がウェブスキミングに限られないことを示しています。
概要 | 内容 |
---|---|
事例5) | |
従業者私用端末、取引先端末のマルウェア感染 | 従業者の私用の端末又は取引先の端末が情報を窃取するマルウェアに感染し、その後、当該端末と個人情報取扱事業者のサーバーとの電気通信に起因して、当該サーバーも当該マルウェアに感染し、個人データが漏えいした場合 |
事例6) | |
入力ページの改ざん | 個人情報取扱事業者のウェブサイトの入力ページが第三者に改ざんされ、ユーザーが当該ページに入力した個人情報が当該第三者に送信された場合であり、かつ、当該個人情報取扱事業者が、当該ページに入力される個人情報を個人情報データベース等へ入力することを予定していたとき※5 |
事例7) | |
入力ページへの遷移リンク等の改ざん | 個人情報取扱事業者のウェブサイト上に設置された、入力ページに遷移するためのリンクやボタンが第三者に改ざんされ、当該リンクやボタンをユーザーがクリックした結果、偽の入力ページに遷移し、当該ユーザーが当該偽の入力ページに入力した個人情報が当該第三者に送信された場合であり、かつ、当該個人情報取扱事業者が、当該個人情報取扱事業者の入力ページに入力される個人情報を個人情報データベース等へ入力することを予定していたとき |
事例8) | |
返信用封筒の改ざん | 個人情報取扱事業者が、第三者により宛先の改ざんされた返信用封筒を顧客に送付した結果、当該返信用封筒により返信されたアンケート用紙に記入された個人情報が当該第三者に送付された場合であり、かつ、当該個人情報取扱事業者が、当該個人情報を個人情報データベース等へ入力することを予定していたとき |
事例 | 概要 | 内容 |
---|---|---|
事例5) | 従業者私用端末、取引先端末のマルウェア感染 | 従業者の私用の端末又は取引先の端末が情報を窃取するマルウェアに感染し、その後、当該端末と個人情報取扱事業者のサーバーとの電気通信に起因して、当該サーバーも当該マルウェアに感染し、個人データが漏えいした場合 |
事例6) | 入力ページの改ざん | 個人情報取扱事業者のウェブサイトの入力ページが第三者に改ざんされ、ユーザーが当該ページに入力した個人情報が当該第三者に送信された場合であり、かつ、当該個人情報取扱事業者が、当該ページに入力される個人情報を個人情報データベース等へ入力することを予定していたとき※5 |
事例7) | 入力ページへの遷移リンク等の改ざん | 個人情報取扱事業者のウェブサイト上に設置された、入力ページに遷移するためのリンクやボタンが第三者に改ざんされ、当該リンクやボタンをユーザーがクリックした結果、偽の入力ページに遷移し、当該ユーザーが当該偽の入力ページに入力した個人情報が当該第三者に送信された場合であり、かつ、当該個人情報取扱事業者が、当該個人情報取扱事業者の入力ページに入力される個人情報を個人情報データベース等へ入力することを予定していたとき |
事例8) | 返信用封筒の改ざん | 個人情報取扱事業者が、第三者により宛先の改ざんされた返信用封筒を顧客に送付した結果、当該返信用封筒により返信されたアンケート用紙に記入された個人情報が当該第三者に送付された場合であり、かつ、当該個人情報取扱事業者が、当該個人情報を個人情報データベース等へ入力することを予定していたとき |
なお、個情委は、関連する論点として、漏えい等した情報が「個人データ」に該当するかどうかは、当該情報を取り扱い、又は取得しようとしている個人情報取扱事業者を基準に判断することを明らかにしています※6。
したがって、例えばIDのみが漏えいした場合であって、当該IDのみからは、本人を識別することができない場合であっても、漏えいを生じさせた個人情報取扱事業者において、当該IDが「個人データ」に該当するのであれば、報告対象に該当し得ることが明らかにしています。
2. 安全管理措置の対象の事実上の拡大
法23条が定める安全管理措置義務は、法文上は法26条と同じく「個人データ」を対象としています。
(安全管理措置)
第二十三条 個人情報取扱事業者は、その取り扱う個人データの漏えい、滅失又は毀損の防止その他の個人データの安全管理のために必要かつ適切な措置を講じなければならない。
今般の改正の対象は、法文上は、規則7条3号にとどまりますが、個情委は、これに併せて、「個人情報取扱事業者が取得し、又は取得しようとしている個人情報であって、当該個人情報取扱事業者が個人データとして取り扱うことを予定しているもの」の漏えい等を防止するために必要かつ適切な措置も、法23条が定める「その他の個人データの安全管理のために必要かつ適切な措置」に含まれるとの趣旨の記載を通則GLに追加しました※7。
この追加記載により、個人情報取扱事業者は、「個人データ」に加えて、「個人情報取扱事業者が取得し、又は取得しようとしている個人情報であって、当該個人情報取扱事業者が個人データとして取り扱うことを予定しているもの」も安全管理措置の対象として取り扱わなければならないことが明らかとなりました。
3. 保有個人データに関する事項の公表等の適用
また、法32条が定める保有個人データに関する公表等の義務は、法文上は「保有個人データ」を対象としています。
(保有個人データに関する事項の公表等)
第三十二条 個人情報取扱事業者は、保有個人データに関し、次に掲げる事項について、本人の知り得る状態(本人の求めに応じて遅滞なく回答する場合を含む。)に置かなければならない。
上記のとおり、今般の規則の改正に伴い、個情委は、法32条の公表等の対象である「保有個人データ」の安全管理のために講じた措置※8に、「個人情報取扱事業者が取得し、又は取得しようとしている個人情報であって、当該個人情報取扱事業者が保有個人データとして取り扱うことを予定しているもの」の安全管理のために講じた措置も含む趣旨の記載を通則GLに追加しました※9。
この追加記載により、個人情報取扱事業者は、「保有個人データ」に加えて、「個人情報取扱事業者が取得し、又は取得しようとしている個人情報であって、当該個人情報取扱事業者が個人データとして取り扱うことを予定しているもの」に関する安全管理措置も、公表等の対象として取り扱わなければならないことが明らかになりました。
Ⅲ. 実務への影響
改正後の規則、通則GL、Q&Aは、2024年4月1日に施行されていますので、事業者は、個人情報保護規程や漏えい時の対応マニュアルがカバーしている範囲を確認し、まだ、改正に沿った体制を整備できていない場合には早急に体制を整備する必要があります。主な対応事項と内容は以下のとおりです。
対応事項 | 具体的内容 |
---|---|
プライバシーポリシー改定 | ・保有個人データの安全管理措置を公表している場合、個人データとして取得予定の個人情報の安全管理措置も公表する(法32条)。 |
・個人情報保護管理規程・漏えい時の対応マニュアル改定 | ・安全管理措置の対象を「個人情報取扱事業者が取得し、又は取得しようとしている個人情報であって、当該個人情報取扱事業者が個人データとして取り扱うことを予定しているもの」にも拡大し、周知しておく。 ・報告対象となる漏えい事案の範囲を明記する。とくに、個人データの取扱いにあたって利用するサービスを提供する第三者が不正行為を受けた場合も報告対象となることから、自社の場合にどのサービスが該当するかを把握しておく。 |
委託契約書の修正変更 | ・受託者の漏えい時の通知・報告義務の範囲に「個人情報取扱事業者が取得し、又は取得しようとしている個人情報であって、当該個人情報取扱事業者が個人データとして取り扱うことを予定しているもの」の漏えいも追加する。 |
※1 https://www.ppc.go.jp/files/pdf/240401_guidelines01_shinkyu.pdf
※2 通則GL 3-5-3-1「報告対象となる事態」(3)
※3 「個人データ」には委託元が個人データとして取り扱うことを予定している個人情報も含みます。委託先が個人データとして取り扱う予定がない場合でも同様です。
※4 Q&A 6-16
※5 Q&A 6-7②の事案
※6 Q&A 6-10
※7 通則GL 3-4-2。なお、個情委はパブリックコメント27番等で従前の解釈を明確化したものであると説明しています。また、同パブリックコメント回答では、冒頭で引用した個人情報保護委員会「個人情報保護法の基本」の25頁において、「個人データ」についてだけ安全管理措置を含む「保管・管理に関するルール」が適用されるとなっている点につき、(「個人情報保護法の基本」は、)「具体的な指針として定めたものではなく、広報・啓発の観点から個人情報保護法等の概要をまとめたもの」と説明しています。
※8 個人情報保護法施行令10条1号
※9 通則GL 3-8-1「保有個人データに関する事項の公表等」(1)
医療情報の二次利用の議論の状況
Ⅰ. はじめに
近年、医療情報の二次利用(診療のために得られた医療情報を、医学研究など当初の目的と異なる目的のために利用すること)に係る取組が進められています。
このような取組の一環として、2023年6月に公開された「医療 DX
の推進に関する工程表」において、医療情報の二次利用について、データ提供の方針等の論点について整理・検討するための体制を2023年度中に構築するとされたことを受け、2023年11月に「医療等情報の二次利用に関するワーキンググループ」(以下「本WG」といいます。)が設置されて以降、現在までに5回開催され、2024年5月15日には、これまでの議論の整理が公表されています。
本稿においては、本WGにおいて議論されている内容(執筆日(2024年6月24日)時点に公表されているものに限ります。)の要点をご紹介します。
Ⅱ. 議論内容の概要及び検討の方向性
1.概要
本WGにおいては、2022年に開催された「医療分野における仮名加工情報の保護と利活用に関する検討会」における議論や、次世代医療基盤法の改正※1により、匿名加工医療情報に加えて、仮名加工医療情報の利活用に係る仕組みが創設されたこと等を踏まえ、特に下記の3点について議論がなされています。
- ① 公的データベースで仮名化情報を利用・提供する場合の法制的論点
- ② 情報連携基盤の整備に係る論点
- ③ 電子カルテ情報の利活用等に関する論点
そして、上記のとおり、2024年5月15日には、上記の各論点に係るこれまでの議論の整理が示されました。当該議論の整理の概要については下記のとおりですが、いずれも現時点における方向性を示したものであって、今後、本WGにおける議論等を踏まえて変更があり得る点にご留意ください。
2.公的データベースで仮名化情報を利用・提供する場合の法制的論点
現在、匿名化情報の提供が行われているNDB等の公的データベースについて、新たに仮名化情報の利用・提供を可能とする法制度を創設することが議論されています。
そして、上記議論の整理においては、現在の匿名化情報を参考に、「相当の公益性」の要件を満たすこと及び仮名化情報の利用の必要性とリスクに関する審査を受けることを求めたうえで、仮名化情報の利用を認めることが検討されています。
さらに、異なる公的データベース間における仮名化情報の連結に関しても、提供する内容や方法について適切に審査を行うこととしたうえで、認めるべきではないかといった点についても検討されています。
もっとも、仮名化情報については、データをダウンロードできないVisiting解析環境での利用を基本とすることが議論されています。
3.情報連携基盤の整備に係る論点
また、情報連携基盤の整備について、上記議論の整理においては、厚生労働大臣が保有する公的データベースにリモートアクセスし、一元的かつ安全に利用・解析できるVisiting環境の情報連携基盤を構築することや、一元的な利用申請の受付・審査体制のあり方について検討することとされています。
4.電子カルテ情報の利活用等に関する論点
さらに、電子カルテ情報の利活用等に関する論点との関係では、上記議論の整理において、電子カルテ情報共有サービスで共有される臨床情報の二次利用を可能とし、他のデータベースとの連結解析も可能とする方向で検討することや、マスターの整備等の取組を一元的に進めるための組織体制の構築についても検討することについても示されています。
Ⅲ. 諸外国における医療情報の利用
上記のような議論の過程で、事務局より、米国、EU及び英国の医療情報の利用に関する取組についてまとめた資料(以下「第2回本WG 資料2」といいます。)※2が公表されています。当該資料の概要について簡単に以下に記載しますが、詳細については原資料をご確認ください。
1.米国
(1) HIPPA及びHITECH法の概要等
米国では1996年にHIPAA (Health Insurance Portability and Accountability Act of 1996) が制定され、個人を特定できる、以下の「保護対象医療情報(PHI)」が保護の対象とされています。
- ● 過去・現在・未来の個人の身体的・精神的な健康の状態
- ● 個人に対する医療行為
- ● 過去・現在・未来におけるヘルスケアの支払いに関する情報
- また、HITECH法は、HIPAAの違反の基準と罰則を定め、セキュリティ監査を義務付けることにより、HIPAAを補完し執行機能を強化しています。
(2) 米国の一次利用・二次利用における全体像
米国における医療情報の利用の全体像については以下のとおり整理されており、原資料においては、下表のAHRQ(医療研究品質庁)におけるHealthcare Cost and Utilization Project (HCUP) の詳細についても説明されています。
2.EU
(1) GDPRの概要等
EUにおいては、一般データ保護規則(General Data Protection Regulation: GDPR)が2016年5月24日に発効し、2018年5月25日から適用が開始されています。特に、GDPR第6条において定められている、個人情報の処理が適法であるとする法的根拠の6要件について以下のとおり整理されています。
(2) 欧州ヘルスデータスペース(EHDS)の概要
また、EUにおいては、健康に特化した欧州の共通データスペースとして、欧州ヘルスデータスペース(European Health Data Space: EHDS)が提案され、2022年5月3日に法案が公表されています。原資料においては、EHDSの概要について以下のとおりまとめられています。
上図記載のとおり、研究者や企業などのデータの利用者は、Health Data Access Bodyに利用申請を行い許可を得たうえで、Health Data@EUのVisiting環境においてデータを利用することが想定されており、統計データや匿名データについてはダウンロード可能である一方で、仮名化データについてはダウンロード不可とされています。
3.英国
(1) UK GDPR等
英国においては、2021年のEU離脱に伴い、GDPRがUK GDPRとして適用されてきましたが、そのUK GDPRの改正の可能性等について紹介されています。
(2) 英国の一次利用・二次利用における全体像
また、英国の一次利用・二次利用における全体像についても以下のとおりまとめられています。
上図のうち、Secondary Uses Service(SUS: 二次利用サービス)において公的データベースの利活用が行われており、NHS Trustsなどから患者データを取り込み、データのクレンジング処理など行った上でデータベースに格納されています。
Ⅳ. 実務への影響
仮に、上記Ⅱ. 2.から4.までの論点について、現在公表されているような方向での法整備等が行われた場合には、公益性や審査等は必要であるものの、仮名化情報の利活用が大きく促進され、医療分野におけるデータの利用に非常に大きな影響を及ぼすものと考えられることから、ヘルスケア企業やアカデミアにおいては、本WGの議論の状況について、注視していくことが望ましいと考えられます。
※1 SH4794 次世代医療基盤法の政省令等の改正案に係るパブリックコメントの実施 龍野滋幹/中山希(2024/02/01) | 商事法務ポータル (shojihomu.jp)
※2 厚生労働省 医政局 特定医薬品開発支援・医療情報担当参事官室「諸外国における取組について」(2024年1月11日)。なお、あくまでも未定稿として公表されているものである点にご留意ください。
コラム AI生成物と知的財産(その1)
生成AIの登場以降、企業や個人の創作・制作活動においても、その活用が急速に進んでいます。AIを用いて生成される情報の種類には様々ありますが、知的財産の観点からは、特に、技術情報(発明等)や、アート作品等の表現物(情報)の取扱いに関して、実務上も重要な法的論点が生じ得ます。
これらの問題は、既存の法制度が想定していなかったようなものもあり、現行法上、明確な答えのないものも多いのが現状です。この連載コラムでは、それら未解決の問題を含め、AI生成物(AIによって生成される情報)と知的財産が交錯する様々な法的論点について、国内外における議論も踏まえつつ、考えをめぐらせてみたいと思います。
初回となる本コラムでは、まずは、イメージを持っていただくため、実例を交えつつ、実務上遭遇しそうな法的論点のいくつかを例示してみたいと思います。
早速、第一問。数日前に作成された下記の文章(詩?)は、知的財産権で保護されるか?
深き夜に、法の庭にて弁護士は語る、正義の夢を。
冷徹なるAI、無限の知恵で闇を照らし、真実を紡ぐ。冷たき鉄の心を持ちし機械の賢者、感情なき瞳。だが、その知恵は古の叡智を越え法の迷宮に光をもたらす。
人の心、揺れる影と共に情熱と共感、時に惑う。
だが、AIの冷静なる判断は誤りなく、真実へと導く。
もし、3年前に同じように問われたとすれば、おそらくあまり迷うことなく、「著作物」として著作権による保護は受けそうだ、と考えたのではないでしょうか。実際、例えば、この文章を、筆者自身が、数日前に、自分の頭と手だけを使って書いたのだとすれば、おそらくは「言語の著作物」として著作権の保護を受けられる可能性は高いように思われます。
ところが、ご明察のとおり、上記の文章は、ChatGPTにより出力されたものです。プロンプトは、「弁護士とAIを題材にした、バイロン風の詩の作成」です。余談になりますが、筆者は、小学生時代の国語の課題のうち、「詩」や「読書感想文」の作成が一番苦手(嫌い)でした。同じお題を与えられたとしても、上記のような一見して良く出来た「詩」は、今でも到底作ることはできなそうです。
さて、生成AIによって出力された上記のような文章(それを「詩」と呼べるのかはわかりませんが)については、例えば、次のようなことが論点となり得そうです。
- そもそも、「著作物」になり得るのか?
- ※(AIによって出力されたことを忘れて)文章それだけを見る限り、「著作物」に当たりそうであるが、それがAIによって出力されたことによって「著作物」には当たらないことになるのか?あるいは、出力過程や出力後の人間の関与のあり方によっては「著作物」になり得るのか?
- 仮に、「著作物」に当たる場合があり得るとして、誰が「著作者」となるのか(プロンプトを書いた人間なのか、それ以外の「誰か」なのか)?
- 仮に、AIの出力結果であることをもって「著作物」に当たらないとした場合、当該文章は、なんらの法的保護も受けないことになるのか?
- (少し視点を変えて、)生成AIによって出力された情報(文章・映像等)が、偶然、人間が作成した既存の作品(著作物)と似ていた場合、著作権侵害の問題は生じ得るのか?
実務上、法的に問題となり得そうな論点は、生成AIによって出力される表現物(情報)の種類(文章、画像、映像、メロディー、ソースコード等)によってもバリエーションがありそうです。また、もちろん、その表現物(情報)についてどの国の法律が適用されるのかによっても異なると思われます。次回以降は、こうした問題について、もう少し掘り下げて考えてみたいと思います。
続いて、第二問。以下のように記述された技術情報は、特許権で保護され得るか?
食品または飲料の容器であって、
容器の内部室を画する略円筒形の壁であって、該壁は内面及び外面を有し、均一な厚さを有し、略円筒形の壁の上端と下端を有し、
前記壁は、対応する内面及び外面上に、対応する凸及び凹のフラクタル要素を備えるフラクタルプロファイルを有し、
前記凸状及び凹状フラクタル要素が、前記壁のプロファイル内に、ピット及びバルジを形成しており、前記容器の壁は可撓性であり、前記フラクタルプロファイルが屈曲可能に構成され、
前記壁のフラクタルプロファイルは、複数の前記容器の相互係合による結合を可能にし、前記壁の可撓性は、前記または複数の前記容器の任意の結合の解除を可能にする、
食品または飲料の容器。
上記は、実際に、AI開発者であるステファン・ターラー(THALER, Stephen L.)博士によって国際特許出願(PCT/IB2019/057809)されたクレーム(請求項)の内容です(原文は英語であり、上記はおおむねその和訳になっています。)。
この国際特許出願は、日本でも国内移行の手続がとられ、その「発明者」の欄には、「ダバス、本発明を自律的に発明した人工知能」と記載されました。要するに、上記の技術情報を生み出したのは、(人間ではなく)AIであるとして、特許出願されたのです。
では、このような特許出願について、特許権が与えられ得るでしょうか?
この特許出願について、日本の特許庁は、発明者として自然人の氏名が記載されていないことを理由に、出願を却下する処分を下しました。これに対し、出願人は、却下処分の取消しを求めて東京地裁に提訴しましたが、裁判所は、結論として、AIは「発明者」にはなり得ないとして請求を棄却しました(東京地判令和6年5月16日裁判所HP参照(令和5年(行ウ)第5001号))。
この判決の結論自体は、少なくとも現行の特許法の解釈としては致し方ないようには思われます。一方、今後、質量ともにますますAIを用いた技術情報の創出が進展すると予想される中、現行制度の下では、様々な実務上の課題が生じそうです。東京地裁の上記判決も、「原告の主張は、AI発明をめぐる実務上の懸念など十分傾聴に値」し、「立法論としてAI発明に関する検討を行って可及的速やかにその結論を得ることが、AI発明に関する産業政策上の重要性に鑑み、特に期待されている」と付言しています。
AIを用いて生み出される技術情報をめぐって、実務上、問題となり得そうないくつかの論点についても、次回以降、もう少し掘り下げて考えてみたいと思います。
ちなみに、筆者がざっと調べた範囲では、AIが「発明者」になり得るか(あるいは、AIによる出力情報が「発明」になり得るか)という論点について、諸外国の現状は次のようになっています。
米国 | 特許商標庁(USPTO)、裁判所(CAFC)とも、AIは発明者として認められないという立場。 |
欧州 | 欧州特許庁は、AIは発明者として認められないという立場。 |
韓国 | 韓国知的財産庁、ソウル地裁・高裁とも、AIは発明者として認められないという立場。 |
オーストラリア | AIを発明者になり得るとした地裁判決が出たが、連邦高裁はそれを覆した。 |
南アフリカ共和国 | 南アフリカ企業・知的財産委員会は、AIを発明者とする出願に特許を付与。 |