ではプロファイリングを行う事業者としては、今後どのような点に留意すればよいでしょうか。
以下は、今後プロファイリングを行う際に望ましいと考える設計や運用の提案です。
- プライバシーポリシーの利用目的において、AIを用いたプロファイリングが行われることを記載しておく(個情法15条1項)。特定の程度としては、ガイドライン通則編(GL通則編P26)より一歩踏み込んで、プロファイリングを行うことに加え、プロファイリング結果にどのようなラベル(本件であれば「内定辞退率」)をつけて利用する予定かについても、可能な限り記載しておく。
要は、後でユーザーや世間にビジネスモデルの全容が知られた場合でも炎上しない運用こそ、最大のリスクヘッジであると考える。
- 特定個人が識別されるかたちのプロファイリング結果は、その全体が個人情報となることを十分に理解しておく。
- 出力されるプロファイリング結果に要配慮個人情報(個情法2条3項。本人の人種、信条、社会的身分、病歴、犯罪の経歴等)が含まれる場合は、プロファイリングによる要配慮個人情報の予測が要配慮個人情報の取得にあたるとの見解(上記※3)があることにも鑑みて、本人の同意を得ておくことが無難な運用と考える。
- AIプロファイリングの結果のみに基づいて意思決定をしない。AIプロファイリング結果は、あくまで人間による判断をサポートするものとして用いる(ケンタウルスモデル)。このような取り扱いは、GDPRにおいて自動処理のみに基づいて重要な決定をされない権利(GDPR22条)を明記していることにも沿う。
- AIプロファイリングを拒否するユーザーに対して、サービスを使えないとするのではなく、サービスを利用継続できるような仕組み(AIプロファイリングを回避してもサービスを利用できる仕組み)を設計しておく(GDPR21条、22条参照)。
- プロファイリングを実施することがユーザーの利益につながることを、あらかじめユーザーに理解してもらう(例えばユーザーが求める新たな商品やサービス、取引相手などユーザーによりマッチする選択肢を提案できる、無償や低廉な価格でのサービス提供が可能になるなど)。そのうえで納得を得たうえでサービスを利用してもらう。
上記の設計運用案は、現在の個人情報保護法やガイドラインで求められている基準を、さらに一歩進めたものです。しかし昨今の個人情報に関する世間の感覚や、GDPR等の海外法、そして今後予定される個人情報保護法改正等を見据えれば、このような個人情報を尊重する設計や運用を法やガイドラインに先んじて行うことは、自社のサービス自体が評価される契機になるものと考えます。
「法律に明確に違反してないからOK」ではなく、「ビジネスモデルが明るみに出た場合にもユーザーの支持を得られるか」「ユーザーとクライアントに胸を張ってサービスの意義や正当性を説明できるか」という視点は、今後はより求められていくものと考えますし、このような「正直さ」「誠実さ」を自社の強みとできる企業こそが、今後はより求められていくものと考えます。
Copyright © ITmedia, Inc. All Rights Reserved.