AIネットワーク社会推進会議が公表した「AI利活用ガイドライン〜AI利活用のためのプラクティカルリファレンス〜」(以下「ガイドライン」)から、プライバシーに関する原則、具体的方策を取り上げて考察する。
ガイドラインでは、プライバシーの原則を「利用者およびデータ提供者は、AIシステムまたはAIサービスの利活用において、他者又は自己のプライバシーが侵害されないよう配慮する」と定義し、前提として、日本では個人情報保護法の順守が必要であるとしている。その上で、主な論点として次の3つを提示し、解説している。
主な論点(1)に対して期待される措置の1つ目である「プライバシーを侵害した場合に講ずるべき措置」は、最終利用者および第三者のプライバシーを侵害する情報を、誤って取得した場合、または拡散した場合における、当該情報の消去、AIのアルゴリズムの更新が例示されている。
しかし、そもそも「プライバシーを侵害する情報」か否かの判断自体が、私生活上の事柄をみだりに公開するなどの明白な場合を除き、とても困難だ。
また「誤って取得」や「拡散した」場合に適時に検知することができるのか、当該情報を取り扱うデータ事業者やAIシステムの開発・運用業務の委託先などと、責任分界点と役割分担を明確にした上で、消去などが速やかに実施できるのか、確実に全てを消去したといえるのか──など、実務上の対応は容易ではない。
期待される措置の2つ目も同様に、「必要な情報提供」を行う必要があることは理解できるが、必要な情報とは何か、どのような体制や手段で行えばよいのか、悩みは尽きないだろう。
この際に重要になるのが、自社の取り組みをデータ主体や委託先などのステークホルダーに対して開示・説明し、フィードバックを得て自社のプライバシー保護施策の継続的な改善を行うことだ。
例えば「プライバシーを侵害する情報」か否かの判断に迷う際などには、社内外の多様なメンバーが参画する会議体で議論・確認を行う事例がみられる。また、自社のプライバシー保護に関する基本的な考え方や取り組みを広く周知するとともに、プライバシーに関するユーザーとのインタラクティブなコミュニケーション窓口として、UIやUXを考慮したWebサイトを作成するケースが増えている。
自社とビジネスパートナーとのコミュニケーションでは、両者がそれぞれ主体的に管理すべき範囲・責任分界点、プライバシーリスクの評価および統制の状況について明確にしておくことが重要である。
経産省と総務省が公表した「DX時代における企業のプライバシーガバナンスガイドブックver1.1」では、発注元企業がベンダーなどの取引先に対して、利用する技術のプライバシーにかかわる説明文書や同意書のテンプレートなどを求めることも有効である──と例示されている。AIシステムを開発するベンダーなどのビジネスパートナーでも、プライバシー保護の責任を発注元企業と共有しているという意識で、協力しながら開発や運用を進めることが望ましい。
プライバシー保護の取り組みは、個人情報保護法の順守というコンプライアンス対応にとどまりがちである。しかし、AIやパーソナルデータの活用を進めるには、積極的な開示・説明を通じたステークホルダーとの対話と信頼の獲得が、より一層、重要になるだろう。
Copyright © ITmedia, Inc. All Rights Reserved.
Special
PR注目記事ランキング