【更新】伊プライバシー当局、ChatGPTにイタリアのユーザの情報の取扱いの即時制限を命令

(4月2日16時更新) 現地（ローマ）時間3月30日、イタリアの個人データ保護監督機関であるGPDP¹(通称: Garante)は、米企業OpenAI LLCが運営するChatGPTサービスに関連するイタリア在住のユーザの個人データの処理について、仮の制限措置を命じました。GPDPは、ChatGPTによって収集されたデータ主体やユーザーに情報が提供されておらず、アルゴリズムのトレーニングのための個人データの収集や処理に適切な法的根拠がないことを指摘しました。また、13歳未満の子供のためのフィルタがなく、ユーザーの個人データ、特に未成年者の個人データの処理が、EUの一般データ保護規則（GDPR）のいくつかの条項に違反していることも指摘しました。仮の制限措置は、イタリアにおけるデータ主体の個人データ全般に適用され、措置に違反した場合は刑事罰や行政罰が科されます。データ管理者は、改善のために取られた手順と、この違反行為を正当化するために有用と思われる情報を20日以内に提供するよう要請されました。

以上、ChatGPTによる命令112号の要約でした²?

命令の詳細

さて、では詳細に入りたいと思います。この命令112号は、前文というか、命令を正当化する部分と、命令本体の２つの部分よりなっています。

前文

前文部分では、冒頭でGDPR(2016)とイタリアの個人情報保護法(2003)と、昨今の報道に基づく命令だとわかります。そして、次に以下のことが考慮されたと記述されます。

1. ChatGPTについての多くの報道
   • これは3月20日に発覚したデータ漏洩（バグのせいで他の人の最初の会話が見えてしまう、日曜から月曜にサービス一時停止するまでの9時間の間にアクティブであったChatGPT Plusユーザの内1.2%のユーザの支払い関連情報³が見えてしまうことが多く報道されたことを指していると思われます（詳細はOpenAIの3月24日発表資料⁴ 参照））
2. 本件調査によると、ユーザもしくはOpenAIによるデータ収集およびChatGPTにおける処理対象になった者に何ら情報が提供されていないこと。
3. ChatGPTのトレーニングのためにデータを収集・処理することに適法な根拠⁵が無いこと。
4. データ主体の個人データの処理が、ChatGPTが提供する情報が実際のデータと必ずしも一致しないことに表されるように、データ主体の個人データの処理が不正確なものであること。
5. 利用規約で13歳以上のためのサービスとしているにも関わらず、年齢確認していないこと。
6. 13歳未満の子供向けのフィルターが無いため、発達段階や自己認識のに比して全く不適切な回答に子供がさらされること。

これらに鑑みて、処理対象となった児童を含むユーザの個人情報の処理に関して、GDPRの第5条⁶、6条⁷、８条⁸、１３条⁹、２５条¹⁰に違反したと認定しています。

このことから、GDPR第58条(2)(f)¹¹に基づき、調査が継続中ではあるものの、緊急性に鑑みて暫定的なデータの取扱い停止命令を出すとしています。対象は、13歳未満を含む全てのイタリア在住者のデータです。利用規約で13以上としているのに13歳未満も対象としているのは、年齢制限の仕組みが実装されていないからです。これは、この処分通知が到達した時点¹²で有効となります。また、処分の内容は調査の結果によって変わる可能性があります。

次に、この命令に違反した場合には、禁錮3ヶ月〜2年（イタリア個人情報保護法第170条）の罰則が与えられることが述べられています。

また、この命令は、緊急性に鑑みて、イタリア個人情報保護委員会設置法第5条8項¹³に基づき、委員長の決定で出されていることが述べられます。

主文

かくなる上で、個人情報保護委員会は以下の命令を通知しています。

• a) 規則第58条2項(f)に基づき、ChatGPTを開発・運営する米国企業OpenAI L.L.C.に対して、当該アプリケーションを通じて行われる個人情報の処理のデータ管理者として、イタリア領内に存在するデータ対象者¹⁴の個人情報の処理を暫定的に制限する措置を緊急に命ず。
• b) この命令は受け取り即時に有効であり、追加措置がありうる。

加えて

• GDPR第58条に基づき、データ管理者は20日以内に本違反事件にかかわるデータの取扱を正当化する主張を委員会に届けること

をもとめています。なお、第58条に基づく照会に違反した場合には第83条5項eに基づき行政罰を受ける可能性があることもあわせて述べています。

感想

OpenAIにとってはなかなかしんどいですね。日本のこの手のことをやっている企業にも参考になると思います。

まず、ユーザもしくはOpenAIによるデータ収集およびChatGPTにおける処理対象になった者に何ら情報が提供されていない点。公開されているデータにも個人情報はたくさんはいっていますし、その処理に先立ち当該個人に処理する旨の情報提供が必要だということでしょう。かなりしんどいですね。

次にトレーニングに関するデータの使用に適法な根拠が無いという点。

GDPR第6条では

• (a) 特定の目的のための同意、
• (b) 契約の履行または契約にさきだつ手続き、
• (c)法的義務、
• (d) 生命の保護、
• (e) 公共の利益、
• (f) 正当利益（13歳未満およびデータの対象者の処理されない利益が上回る場合を除く）

を適法性根拠として上げているわけですが、まず(a)。学習データとして使うことの同意はまず取れてないですから「同意」は根拠として使えなさそうです。

さらに(b)。そもそも学習データとして使う段階では、契約をするかどうかわからないわけですから無理です。

(c)(d)が無理なのは言わずもがな。(e)の公共の利益も厳しそうです。

最後(f)の正当利益ですが、これに関して20日以内に回答せよとまずは言っていますね。普通に考えると、13歳未満のデータが入っていないこと、データ対象者の利益を害さないことを立証しているPIAレポートが求められそうです。

次が「正確性の原則」違反。デタラメ返しますからね。正確性の原則は、ついデータベースなどに保管しているデータの正確性と思いがちですが、これは処理全体にかかるので、処理の結果出てくる情報にもあてはまります。

5と6は子どもに対する対応の無さへの指摘。規約に書くだけでは不十分であり、年齢認証がもとめられるようです。

そして、処理を停止しなかったら禁錮３ヶ月〜２年。とりあえずChatGPTは日本からはまだ動いているように見えるのですが、イタリアからのアクセスはできないようにとかしたのだろうか…。いや、それだけではだめで、イタリア領内のデータ対象者のデータの処理をやめなければいけないわけですが、いったいどうやって？？？モデルからその部分を取り除けるようになっているのかしら…。

そして主文についてですが、これはもう端的に書いてある通り。加えて、ちゃんと20日以内に申し開きを提出することができるのかが注目されますね。

今日(4月2日)のところはこんなところで。続報はこちら＝＝＝＝▷ イタリアのChatGPT制限関連ニュースと感想

【参考資料】

• GPDPの命令原文とDeepL英訳版
• Politico: Italian privacy regulator bans ChatGPT
• ChatGPTの2023年3月14日版のプライバシーポリシー
• 同利用規約

1. Garante per la protezione dei dati personali
2. イタリア語の原文をDeepLで英語化し、その要約を作らせて、さらに「日本語で」とお願いしました
3. first and last name, email address, payment address, the last four digits (only) of a credit card number, and credit card expiration date
4. March 20 ChatGPT outage: Here’s what happened <https://openai.com/blog/march-20-chatgpt-outage>
5. GDPR第6条。(a) 特定の目的のための同意、(b) 契約の履行または契約にさきだつ手続き、(c)法的義務、(d) 生命の保護、(e) 公共の利益、(f) 正当利益（こども及びデータ対象者の利益並びに基本的な権利及び自由のほうが優先する場合を除く）
6. 個人データの取扱いと関連する基本原則
7. 取扱いの適法性
8. 情報社会サービスとの関係において子どもの同意に適用される要件
9. データ主体から個人データが取得される場合において提供される情報
10. データ保護バイデザイン及びデータ保護バイデフォルト
11. 取扱いの禁止を含め、一時的な制限又は恒久的な制限を課すこと
12. 要は即日
13. 緊急時には委員会を開催せず、委員長の独断で決定できることを規定
14. degli interessati 英語で data subject