« 米国 政府による監視技術の使用に関する指導原則 権威主義的な政権に対抗するための民主主義を肯定する検閲防止技術を推進するための米国政府官民の呼びかけ (2023.03.30) | Main | 欧州 EDPB GDPRにおける個人データ侵害通知に関するガイドライン 9/2022 Ver. 2.0 »

2023.04.05

英国 ICO ブログ 生成的人工知能:開発者とユーザーが問うべき8つの質問...

こんにちは、丸山満彦です。

英国の情報コミッショナー (Information Commissioner Office: ICO) が話題の生成的AIの利用に関する留意点をブログで公開していますね。。。

Ico

⚫︎ U.K. Information Commissioner Office: ICO

・2023.04.03 Generative AI: eight questions that developers and users need to ask

Generative AI: eight questions that developers and users need to ask 生成的AI:開発者とユーザーが問うべき8つの質問
News stories about the implications of generative artificial intelligence (AI) and large language models (LLMs) are reaching a climax, with almost two thousand academics and technology experts signing a letter last week calling for a six-month moratorium. 生成的人工知能(AI)と大規模言語モデル(LLM)の影響に関するニュースは、先週、2千人近い学者や技術専門家が6ヶ月間のモラトリアムを求める書簡に署名し、クライマックスを迎えている。
LLMs (such as ChatGPT) and their use cases – from writing essays to powering chatbots or creating websites without human coding involved – have captured the world’s imagination. But it is important to take a step back and reflect on how personal data is being used by a technology that has made its own CEO “a bit scared”. LLM(ChatGPTなど)とその使用例(エッセイの執筆からチャットボットのパワーアップ、人間のコーディングを必要としないウェブサイトの作成まで)は、世界の想像力をかき立てている。しかし、一歩引いて、自社のCEOを「ちょっと怖い」と思わせたテクノロジーによって、個人データがどのように利用されているのかを振り返ることは重要である。
ChatGPT itself recently told me that “generative AI, like any other technology, has the potential to pose risks to data privacy if not used responsibly”. And it doesn’t take too much imagination to see the potential for a company to quickly damage a hard-earned relationship with customers through poor use of generative AI. But while the technology is novel, the principles of data protection law remain the same – and there is a clear roadmap for organisations to innovate in a way that respects people’s privacy. ChatGPT自身も最近、「生成的AIは、他のテクノロジーと同様に、責任を持って使用しなければ、データプライバシーにリスクをもたらす可能性がある」と話している。そして、企業が生成的AIの使い方を誤ると、せっかく築いた顧客との関係を一気に損なう可能性があることは、あまり想像に難くありません。しかし、技術が斬新であっても、データ保護法の原則は変わりません。そして、組織が人々のプライバシーを尊重する方法でイノベーションを起こすための明確なロードマップがある。
Organisations developing or using generative AI should be considering their data protection obligations from the outset, taking a data protection by design and by default approach. This isn’t optional – if you’re processing personal data, it’s the law. 生成的AIを開発または使用する組織は、当初からデータ保護義務を考慮し、データ保護byデザインおよびbyデフォルトのアプローチを取るべきである。これはオプションではありません - 個人データを処理している場合、これは法律である。
Data protection law still applies when the personal information that you’re processing comes from publicly accessible sources. If you’re developing or using generative AI that processes personal data you need to ask yourself the following questions: データ保護法は、処理する個人情報が一般にアクセス可能なソースに由来する場合にも適用されます。個人データを処理するジェネレーティブAIを開発または使用している場合、以下の質問を自問する必要がある:
1. What is your lawful basis for processing personal data? If you are processing personal data you must identify an appropriate lawful basis, such as consent or legitimate interest. 1. 個人データを処理するための合法的な根拠は何であるか? 個人データを処理するための合法的な根拠は何か。個人データを処理している場合は、同意や正当な利益など、適切な合法的根拠を特定する必要がある。
2. Are you a controller, joint controller or a processor? If you are developing generative AI using personal data, you have obligations as the data controller. If you are using or adapting models developed by others, you may be a controller, joint controller or a processor. 2. あなたは、管理者、共同管理者、または処理者であるか? 個人データを使用して生成的AIを開発している場合、データ管理者としての義務がある。他者が開発したモデルを使用または適応している場合、あなたは管理者、共同管理者、または処理者のいずれかになる可能性がある。
3. Have you prepared a Data Protection Impact Assessment (DPIA)? You must assess and mitigate any data protection risks via the DPIA process before you start processing personal data. Your DPIA should be kept up to date as the processing and its impacts evolve. 3. データ保護影響評価(DPIA)を準備しましたか? 個人データの処理を開始する前に、DPIAプロセスを通じてデータ保護リスクを評価し、軽減する必要がある。DPIAは、処理とその影響の変化に応じて、常に最新の状態に保つ必要がある。
4. How will you ensure transparency? You must make information about the processing publicly accessible unless an exemption applies. If it does not take disproportionate effort, you must communicate this information directly to the individuals the data relates to. 4. 透明性はどのように確保するのであるか? 免責事項が適用されない限り、処理に関する情報に一般にアクセスできるようにする必要がある。不釣り合いな労力を必要としない場合は、データが関係する個人に直接この情報を伝えなければならない。
5. How will you mitigate security risks? In addition to personal data leakage risks, you should consider and mitigate risks of model inversion and membership inference, data poisoning and other forms of adversarial attacks. 5. セキュリティリスクはどのように軽減されますか? 個人情報の漏洩リスクに加え、モデルの反転やメンバーシップ推論、データポイズニング、その他の形態の敵対的攻撃のリスクを考慮し、軽減する必要がある。
6. How will you limit unnecessary processing? You must collect only the data that is adequate to fulfil your stated purpose. The data should be relevant and limited to what is necessary. 不必要な処理をどのように制限するのか? 明示された目的を果たすのに十分なデータのみを収集する必要がある。データは関連性のあるもので、必要なものに限定されるべきである。
7. How will you comply with individual rights requests? You must be able to respond to people’s requests for access, rectification, erasure or other information rights. 個人の権利要求にはどのように対応するのか? アクセス、修正、消去、またはその他の情報の権利に関する人々の要求に応じることができなければならない。
8. Will you use generative AI to make solely automated decisions? If so – and these have legal or similarly significant effects (e.g. major healthcare diagnoses) – individuals have further rights under Article 22 of UK GDPR. 生成的AIを使用して、もっぱら自動化された意思決定を行うのであるか? もしそうなら - そしてこれらが法的またはそれに準ずる重大な影響(例:主要な医療診断)を持つ場合 - 個人は英国GDPR第22条に基づくさらなる権利を有する。
As the data protection regulator, we will be asking these questions of organisations that are developing or using generative AI. We will act where organisations are not following the law and considering the impact on individuals. データ保護規制当局として、私たちは生成的AIを開発または使用している組織に対して、これらの質問をする予定である。私たちは、組織が法律に従わず、個人への影響を考慮していない場合に対処する。
We are here to support organisations, enabling them to scale and maintain public trust. Our recently updated Guidance on AI and Data Protection provides a roadmap to data protection compliance for developers and users of generative AI. Our accompanying risk toolkit helps organisations looking to identify and mitigate data protection risks. 私たちは組織をサポートし、組織の規模を拡大し、社会的信頼を維持できるようにする。最近更新された「AIとデータ保護に関するガイダンス」は、ジェネレーティブAIの開発者と利用者のためのデータ保護コンプライアンスへのロードマップを提供する。また、付属のリスクツールキットは、データ保護リスクの特定と軽減を目指す組織を支援する。
Innovators identifying novel data protection questions can get advice from us through our Regulatory Sandbox and new Innovation Advice service. Building on this offer, we are in the process of piloting a Multi-Agency Advice Service for digital innovators needing joined up advice from multiple regulators with our partners in the Digital Regulation Cooperation Forum. データ保護に関する新たな問題を発見したイノベーターは、当社のレギュラトリー・サンドボックスや新しいイノベーション・アドバイス・サービスを通じて、当社からアドバイスを受けることができます。このサービスをベースに、デジタル規制協力フォーラムのパートナーとともに、複数の規制当局からの統合されたアドバイスを必要とするデジタル・イノベーターのためのMulti-Agency Advice Serviceを試験的に導入しているところである。
There really can be no excuse for getting the privacy implications of generative AI wrong. We’ll be working hard to make sure that organisations get it right. 生成的AIのプライバシーへの影響を見誤ることは、本当に許されないことである。私たちは、組織がそれを正しく理解できるよう、懸命に取り組んでいく。

 

ちなみに、2023.03.15に改定された「AIとデータ保護のガイダンス」はこちら...

・2023.03.15 Guidance on AI and data protection

20230405-52848

 

・[DOCX] 仮訳

 

 

 

 

 

|

« 米国 政府による監視技術の使用に関する指導原則 権威主義的な政権に対抗するための民主主義を肯定する検閲防止技術を推進するための米国政府官民の呼びかけ (2023.03.30) | Main | 欧州 EDPB GDPRにおける個人データ侵害通知に関するガイドライン 9/2022 Ver. 2.0 »

Comments

Post a comment



(Not displayed with comment.)


Comments are moderated, and will not appear on this weblog until the author has approved them.



« 米国 政府による監視技術の使用に関する指導原則 権威主義的な政権に対抗するための民主主義を肯定する検閲防止技術を推進するための米国政府官民の呼びかけ (2023.03.30) | Main | 欧州 EDPB GDPRにおける個人データ侵害通知に関するガイドライン 9/2022 Ver. 2.0 »