ハンガリー AIを利用したコールセンターでの顧客対応がGDPR違反と判定された事例（ハンガリー銀行）

こんにちは、丸山満彦です。

欧州データ保護委員会 (EDPB)が、ハンガリーの個人データ保護委員会が、AIを利用したコールセンターでの顧客対応がGDPR違反と判定された事例（ハンガリー銀行）を紹介しています。。。

興味深いがハンガリー語...

AIを使った処理をする場合は、慎重な対応が必要という感じは伝わってきます。。。

 

● European Data Protection Board: EDPB

・2022.05.20 Data protection issues arising in connection with the use of Artificial Intelligence

Data protection issues arising in connection with the use of Artificial Intelligence	人工知能の活用に伴うデータ保護の問題点
Background information	背景情報
Date of final decision: 8 February 2022	最終決定日：2022年2月8日
Cross-border case or national case: National case	国境を越えたケースか、国内のケースか：国内ケース
Controller: Budapest Bank Zrt.	コントローラー：ブダペスト銀行.
Legal Reference: Lawfulness of Processing (Article 5(1)(a), Article 6(1), Article 6(4)), Purpose Limitation (Article 5(1)(b)) Transparency (Article 12(1), Article 13), Right to Object (Article 21(1), Article 21(2)), Appropriate Measures (Article 24(1)), Data protection by design and by default (Article 25(1), Article 25(2)	法的参照 処理の合法性（5条1項（a）、6条1項、6条4項）、目的の制限（5条1項（b）） 透明性（12条1項、13条）、異議申し立ての権利（21条1項、21条2項）、適切な措置（24条1項）、デザインによるデータ保護とデフォルトによるデータ保護（25条1項、25条2項
Decision: Infringement of Articles 5(1)(a), 6(1), 6(4), 5(1)(b), 12(1), 13, 21(1), 21(2), 24(1), 25(1), and 25(2) of the GDPR, Order to comply with the above Articles, Imposing administrative fine in connection with the above infringements	決定 GDPR5条1項a号，6条1項，6条4項，5条1項b号，12条1項，13条，21条1項，21条2項，24条1項，25条1項，25条2項違反，上記条文の遵守命令，上記違反に伴う行政罰賦課決定
Key words: artificial intelligence, new technologies, analysis of phone audio recording, analysis of emotions, bank, legitimate interest assessment, transparent information, right to object, privacy by design and by default, administrative fine	キーワード：人工知能、新技術、電話の音声録音の分析、感情の分析、銀行、正当な利益評価、透明な情報、異議を唱える権利、デザインによるプライバシーとデフォルトによるプライバシー、行政処分による罰金
Summary of the Decision	判決の概要
Origin of the case	事件の発端
In another procedure, the Hungarian SA became aware of the fact that the data controller performs automated analysis on the customer service phone calls. Due to the fact that this data processing was not clearly specified in the information provided to data subjects, the Hungarian SA started an ex officio investigation against the data controller in 2021 to review the general data processing practice of data controller regarding the automated analysis.	別の手続きにおいて、ハンガリーSAは、データ管理者が顧客サービスの電話について自動分析を行っている事実を知った。このデータ処理がデータ対象者に提供される情報に明確に規定されていなかったため、ハンガリーSAは2021年にデータ管理者に対して職権調査を開始し、自動分析に関するデータ管理者の一般的なデータ処理慣行を見直した。
Key Findings	主な調査結果
The data controller records all customer service phone calls. Each night, a software automatically analyses all new audio recordings. The software uses artificial intelligence to find keywords, and guesses the emotional state of the client at the time of the call. The result of the analysis is stored connected to the phone call within the system of the software for 45 days, along with the voice call. The result of the analysis is a list of persons sorted by the likelihood of dissatisfaction, anger based on the audio recording of the customer service phone call. Based on the result of the analysis, designated employees mark clients to be called by customer service trying to assess their reasons for dissatisfaction. No information on this particular data processing was provided to data subjects and no right of objection is technically possible, and the data processing was planned and carried on aware of this.	データ管理者は、すべての顧客サービスの電話を記録している。毎晩、ソフトウェアがすべての新しい音声記録を自動的に分析する。このソフトウェアは、人工知能を使用してキーワードを見つけ、通話時の顧客の感情状態を推測する。分析結果は、音声通話とともに45日間、ソフトウェアのシステム内に電話機と関連付けて保存される。分析結果は、接客電話の音声記録をもとに、不満の可能性が高い順に並べられた怒りの人物リストとなる。分析結果に基づいて、指定された従業員は、不満の理由を評価しようとする顧客サービスによって呼び出されるように顧客をマークする。この特定のデータ処理に関する情報はデータ対象者に提供されておらず、技術的に異議の申し立ては不可能であり、データ処理はこのことを認識した上で計画・実施された。
The impact assessment of the data controller also confirmed that the reviewed data processing uses artificial intelligence and causes high risk to the fundamental rights of data subjects. Neither the impact assessment, nor the legitimate interest assessment provided any actual risk mitigation, and the measures only on paper (information, right of objection) were insufficient and non-existent. Artificial intelligence is by nature difficult to deploy in a transparent and safe manner, additional safeguards are necessary. Due to its internal working, it is difficult to confirm the results of personal data processing by artificial intelligence, and it may be biased.	データ管理者の影響評価では、見直されたデータ処理には人工知能が使用されており、データ主体の基本的権利に高いリスクをもたらすことも確認された。影響評価も正当な利益評価も、実際のリスク軽減策を何ら提供しておらず、紙面上だけの対策（情報、異議申し立ての権利）は不十分であり、存在しないものであった。人工知能は本来、透明で安全な方法で展開することが難しく、追加のセーフガードが必要である。人工知能による個人データの処理結果は、その内部的な働きにより、確認が困難であり、偏りがある可能性がある。
Decision	決定事項
The Hungarian SA determined the serious infringement of numerous articles of the GDPR for a long period, ordered the data controller to stop processing emotional state of the clients, only continue the data processing if made compliant with the GDPR, and issued an administrative fine in HUF equal to approximately EUR 650,000.	ハンガリーSAは、GDPRの多数の条文に長期間にわたり重大な違反があったと判断し、データ管理者に対して、顧客の感情状態の処理を停止し、GDPRに準拠した場合にのみデータ処理を継続するよう命じ、約65万ユーロに相当するHUFの行政罰金を発した。

 

ハンガリーのデータ保護機関(データ保護と情報公開のための国家機関)

● Nemzeti Adatvédelmi és Információszabadság Hatóság

・2022.02.08 Mesterséges intelligencia alkalmazásának adatvédelmi kérdései

・[PDF] [downloaded]

・[DOCX] 仮訳