オーストラリア 市販AIを利用する場合のプライバシーのガイダンスと生成的AIを訓練する際に個人データを利用する開発者向けガイダンス (2024.10.21)
こんにちは、丸山満彦です。
オーストラリア情報コミッショナー事務局(Office of the Australian Information Commissioner: OAIC)が、
- 市販されているAI製品を使用する際に、企業がプライバシー義務を遵守することを容易にし、適切な製品を選択するのに役立つガイダンスと
- 生成的AIモデルを訓練するために個人情報を使用する開発者に対するプライバシーガイダンス
を公表していましたね...
チェックリストもありますね...
これは、よいですね...
● Office of the Australian Information Commissioner: OAIC
・2024.10.21 New AI guidance makes privacy compliance easier for business
| New AI guidance makes privacy compliance easier for business | 新たなAIガイダンスにより、企業のプライバシー遵守が容易になる |
| New guides for businesses published today by the Office of the Australian Information Commissioner (OAIC) clearly articulate how Australian privacy law applies to artificial intelligence (AI) and set out the regulator’s expectations. | オーストラリア情報コミッショナー事務局(OAIC)が本日発表した企業向けの新しい手引きは、オーストラリアのプライバシー法が人工知能(AI)にどのように適用されるかを明確に示し、規制当局の期待を示している。 |
| The first guide will make it easier for businesses to comply with their privacy obligations when using commercially available AI products and help them to select an appropriate product. The second provides privacy guidance to developers using personal information to train generative AI models. | 最初のガイドは、企業が市販のAI製品を使用する際のプライバシー義務を遵守することを容易にし、適切な製品を選択するのに役立つ。2つ目は、生成的AIモデルを訓練するために個人情報を使用する開発者に対するプライバシーガイダンスを提供する。 |
| “How businesses should be approaching AI and what good AI governance looks like is one of the top issues of interest and challenge for industry right now,” said Privacy Commissioner Carly Kind. | プライバシー・コミッショナーのカーリー・カインドは、次のように述べた。「企業がAIにどのように取り組むべきか、また、優れたAIガバナンスとはどのようなものかは、現在、産業界にとって最も関心が高く、課題となっている問題の一つである。」 |
| “Our new guides should remove any doubt about how Australia’s existing privacy law applies to AI, make compliance easier, and help businesses follow privacy best practice. AI products should not be used simply because they are available. | 「我々の新しいガイドは、オーストラリアの既存のプライバシー法がAIにどのように適用されるかについての疑念を取り除き、コンプライアンスを容易にし、企業がプライバシーのベストプラクティスに従うのを助けるものである。AI製品は、利用可能だからという理由だけで使用されるべきではない。 |
| “Robust privacy governance and safeguards are essential for businesses to gain advantage from AI and build trust and confidence in the community,” she said. | 「強固なプライバシーガバナンスとセーフガードは、企業がAIから利点を得、コミュニティにおける信頼と信用を構築するために不可欠である。」 |
| The new guides align with OAIC focus areas of promoting privacy in the context of emerging technologies and digital initiatives, and improving compliance through articulating what good looks like. | この新しいガイドは、OAICの重点分野である、新興技術やデジタルイニシアチブの文脈におけるプライバシーの推進と、何が良いことなのかを明確にすることによるコンプライアンスの改善に沿ったものである。 |
| “Addressing privacy risks arising from AI, including the effects of powerful generative AI capabilities being increasingly accessible across the economy, is high among our priorities,” Commissioner Kind said. | カインド・コミッショナーは次のように述べた。「強力な生成的AI能力が経済全体でますますアクセスしやすくなっている影響を含め、AIから生じるプライバシー・リスクに対処することは、我々の優先事項の中でも高い位置にある。」 |
| “Australians are increasingly concerned about the use of their personal information by AI, particularly to train generative AI products. | 「オーストラリア国民は、AIによる個人情報の使用、特に生成的AI製品の訓練について、ますます懸念を強めている。」 |
| “The community and the OAIC expect organisations seeking to use AI to take a cautious approach, assess risks and make sure privacy is a key consideration. The OAIC reserves the right to take action where it is not.” | 「コミュニティとOAICは、AIを利用しようとする組織が慎重なアプローチをとり、リスクをアセスメントし、プライバシーが重要な考慮事項であることを確認することを期待している。OAICは、そうでない場合には行動を起こす権利を留保する。」 |
| While the guidance addresses the current situation – concerning the law, state of technology and practices – Commissioner Kind said an important focus remains how AI privacy protections could be strengthened for the benefit of society as a whole. | 「このガイダンスは、法律、技術、慣行に関する現状を扱っているが、カインド委員は、社会全体の利益のためにAIのプライバシー保護をどのように強化できるかが重要な焦点である」。 |
| “With developments in technology continuing to evolve and challenge our right to control our personal information, the time for privacy reform is now,” said Commissioner Kind. | 「技術の発展が進化を続け、個人情報を管理する権利に挑戦している今こそ、プライバシー・改革の時である。」 |
| “In particular, the introduction of a positive obligation on businesses to ensure personal information handling is fair and reasonable would help to ensure uses of AI pass the pub test.” | 「特に、個人情報の取り扱いが公正かつ合理的であることを保証するための企業に対する積極的な義務の序文は、AIの利用がパブテストに合格することを保証するのに役立つだろう。」 |
| The OAIC has published a blog post with further information about the privacy guidance for developers using personal information to train generative AI models. | OAICは、生成的AIモデルを訓練するために個人情報を使用する開発者のためのプライバシー・ガイダンスに関する詳細情報をブログで発表した。 |
市販AIを利用する場合のプライバシーのガイダンス
・2024.10.21 Guidance on privacy and the use of commercially available AI products
| Guidance on privacy and the use of commercially available AI products | プライバシーと市販のAI製品の使用に関するガイダンス |
| On this page | このページでは |
| Top five takeaways | トップ5の要点 |
| Quick reference guide | クイック・リファレンス・ガイド |
| Overview | 概要 |
| Artificial intelligence and privacy | 人工知能とプライバシー |
| Interaction with Voluntary AI Safety Standard | AI安全性自主基準との関係 |
| What should organisations consider when selecting an AI product? | AI製品を選択する際、組織は何を考慮すべきか? |
| What are the key privacy risks when using AI? | AIを使用する際の主なプライバシーリスクは何か? |
| What transparency and governance measures are needed? | どのような透明性とガバナンス対策が必要か? |
| What ongoing assurance processes are needed? | どのような継続的保証プロセスが必要か? |
| Checklists | チェックリスト |
| Top five takeaways | トップ5の要点 |
| 1. Privacy obligations will apply to any personal information input into an AI system, as well as the output data generated by AI (where it contains personal information). When looking to adopt a commercially available product, organisations should conduct due diligence to ensure the product is suitable to its intended uses. This should include considering whether the product has been tested for such uses, how human oversight can be embedded into processes, the potential privacy and security risks, as well as who will have access to personal information input or generated by the entity when using the product. | 1. プライバシー義務は、AIシステムに入力される個人情報だけでなく、AIによって生成される出力データ(個人情報を含む場合)にも適用される。市販されている製品の採用を検討する場合、組織はデューデリジェンスを実施し、その製品が意図する用途に適していることを確認する必要がある。これには、製品がそのような用途でテストされているかどうか、人間の監視をどのようにプロセスに組み込むことができるか、潜在的なプライバシーとセキュリティのリスク、さらに製品を使用する際に事業体が入力または生成する個人情報に誰がアクセスできるかを検討することが含まれる。 |
| 2. Businesses should update their privacy policies and notifications with clear and transparent information about their use of AI, including ensuring that any public facing AI tools (such as chatbots) are clearly identified as such to external users such as customers. They should establish policies and procedures for the use of AI systems to facilitate transparency and ensure good privacy governance. | 2. 企業は、AIの使用に関する明確で透明性のある情報をプライバシーポリシーと通知書に記載し、更新する必要がある。これには、顧客などの外部ユーザーに対して、(チャットボットなどの)公衆向けAIツールがそのようなものであることを明確に示すことも含まれる。透明性を促進し、良好なプライバシー・ガバナンスを確保するために、AIシステムの使用に関する方針と手順を確立すべきである。 |
| 3. If AI systems are used to generate or infer personal information, including images, this is a collection of personal information and must comply with APP 3. Entities must ensure that the generation of personal information by AI is reasonably necessary for their functions or activities and is only done by lawful and fair means. Inferred, incorrect or artificially generated information produced by AI models (such as hallucinations and deepfakes), where it is about an identified or reasonably identifiable individual, constitutes personal information and must be handled in accordance with the APPs. | 3. AIシステムが画像を含む個人情報の生成または推論に使用される場合、これは個人情報の収集であり、APP 3に準拠しなければならない。事業体は、AIによる個人情報の生成が、その機能または活動にとって合理的に必要であり、適法かつ公正な手段によってのみ行われることを保証しなければならない。AIモデルによって生成された(幻覚やディープフェイクなどの)推定、不正確、または人工的に生成された情報は、それが識別された、または個人を合理的に特定できる個人に関するものである場合、個人情報に該当し、APPに従って取り扱われなければならない。 |
| 4. If personal information is being input into an AI system, APP 6 requires entities to only use or disclose the information for the primary purpose for which it was collected, unless they have consent or can establish the secondary use would be reasonably expected by the individual, and is related (or directly related, for sensitive information) to the primary purpose. A secondary use may be within an individual’s reasonable expectations if it was expressly outlined in a notice at the time of collection and in your business’s privacy policy. | 4. 個人情報がAIシステムに入力される場合、APP6は、事業体に対し、同意があるか、または二次利用が個人によって合理的に予想され、かつ一次目的に関連する(または機微情報の場合は直接関連する)ものであることを証明できない限り、情報が収集された一次目的のためにのみ情報を使用または開示することを求めている。二次利用は、収集時の通知や企業のプライバシーポリシーに明示的に記載されていれば、個人の合理的な期待の範囲内となりうる。 |
| 5. As a matter of best practice, the OAIC recommends that organisations do not enter personal information, and particularly sensitive information, into publicly available generative AI tools, due to the significant and complex privacy risks involved. | 5. ベストプラクティスとして、OAICは組織が個人情報を入力しないことを推奨する、 一般に利用可能な生成的AIツールには、重大かつ複雑なプライバシーリスクが伴うため、個人情報、特に機密情報を入力しないことを推奨する。 |
| Quick reference guide | クイック・リファレンス・ガイド |
| The Privacy Act applies to all uses of AI involving personal information. | プライバシー法は、個人情報に関わるすべてのAIの使用に適用される。 |
| This guidance is intended to assist organisations to comply with their privacy obligations when using commercially available AI products, and to assist with selection of an appropriate product. However, it also addresses the use of AI products which are freely available, such as publicly accessible AI chatbots. | このガイダンスは、組織が市販のAI製品を使用する際に、プライバシーに関する義務を遵守し、適切な製品の選択を支援することを目的としている。ただし、一般にアクセス可能なAIチャットボットなど、自由に利用できるAI製品の使用についても言及している。 |
| Although this guidance applies to all types of AI systems involving personal information, it will be particularly useful in relation to the use of generative AI and general-purpose AI tools, as well as other uses of AI with a high risk of adverse impacts. It does not cover all privacy issues and obligations in relation to the use of AI, and should be considered together with the Privacy Act 1988 (Privacy Act) and the Australian Privacy Principles guidelines. | このガイダンスは、個人情報に関わるあらゆる種類のAIシステムに適用されるが、生成的AIや汎用AIツールの使用、および悪影響のリスクが高いその他のAIの使用に関して特に有用である。本書は、AIの使用に関するすべてのプライバシー問題や義務を網羅しているわけではないので、1988年プライバシー法(Privacy Act)およびオーストラリアプライバシー原則ガイドライン(Australian Privacy Principles guidelines)とともに検討する必要がある。 |
| A number of uses of AI are low-risk. However, the use of personal information in AI systems is a source of significant community concern and depending on the use case, may be a high privacy risk activity. The OAIC, like the Australian community, therefore expects organisations seeking to use AI to take a cautious approach to these activities and give due regard to privacy in a way that is commensurate with the potential risks. | AIの多くの用途はリスクが低い。しかし、AIシステムにおける個人情報の利用は、コミュニティにとって重大な懸念の種であり、ユースケースによってはプライバシーリスクの高い活動である。したがってOAICは、オーストラリアのコミュニティと同様に、AIを利用しようとする組織がこれらの活動に対して慎重なアプローチをとり、潜在的リスクに見合った方法でプライバシーに十分配慮することを期待する。 |
| Selecting an AI product | AI製品の選択 |
| Organisations should consider whether the use of personal information in relation to an AI system is necessary and the best solution in the circumstances – AI products should not be used simply because they are available. | 組織は、AIシステムに関連して個人情報を使用することが必要かどうか、またその状況において最善の解決策であるかどうかを検討すべきである。- AI製品は、利用できるからという理由だけで利用すべきではない。 |
| When looking to adopt a commercially available product, businesses should conduct due diligence to ensure the product is suitable to its intended uses. This should include considering whether the product has been tested for such uses, how human oversight can be embedded into processes, the potential privacy and security risks, as well as who will have access to personal information input or generated by the entity when using the product. | 市販されている製品の採用を検討する場合、企業はデューデリジェンスを実施し、その製品が意図する用途に適していることを確認すべきである。これには、製品がそのような用途でテストされているかどうか、人間の監視をどのようにプロセスに組み込むことができるか、潜在的なプライバシーとセキュリティのリスク、さらに製品を使用する際に事業体が入力または生成する個人情報に誰がアクセスできるかを検討することが含まれる。 |
| Due diligence for AI products should not amount to a ‘set and forget’ approach. Regular reviews of the performance of the AI product itself, training of staff and monitoring should be conducted throughout the entire AI product lifecycle to ensure a product remains fit for purpose and that its use is appropriate and complies with privacy obligations. | AI製品のデューデリジェンスは、「セット・アンド・フェザー」アプローチになるべきではない。AI製品のライフサイクル全体を通じて、AI製品自体の性能の定期的なレビュー、スタッフのトレーニング、モニタリングを実施し、製品が目的に適合していること、その使用が適切であること、プライバシー義務を遵守していることを確認する必要がある。 |
| Privacy by design | プライバシー・バイ・デザイン |
| Organisations considering the use of AI products should take a ‘privacy by design’ approach, which includes conducting a Privacy Impact Assessment. | AI製品の使用を検討している組織は、プライバシー影響アセスメントの実施を含む「プライバシー・バイ・デザイン」のアプローチをとるべきである。 |
| Transparency | 透明性 |
| Organisations should also update their privacy policies and notifications with clear and transparent information about their use of AI, including ensuring that any public facing AI tools (such as chatbots) are clearly identified as such to users. They should establish policies and procedures for the use of AI systems to facilitate transparency and ensure good privacy governance. | 組織はまた、プライバシーポリシーと通知を更新し、AIの使用に関する明確で透明性のある情報を提供すべきである、 これには、一般向けのAIツール(チャットボットなど)が、ユーザーに対して明確に識別されるようにすることも含まれる。透明性を促進し、優れたプライバシー・ガバナンスを確保するために、AIシステムの使用に関する方針と手順を確立すべきである。 |
| Privacy risks when using AI | AI使用時のプライバシーリスク |
| Organisations should be aware of the different ways they might be handling personal information when using AI systems. Privacy obligations will apply to any personal information input into an AI system, as well as the output data generated by AI (where it contains personal information). | 組織は、AIシステムを使用する際に、個人情報を取り扱う可能性のあるさまざまな方法を認識しておく必要がある。プライバシー義務は、AIシステムに入力されるあらゆる個人情報だけでなく、AIによって生成される出力データ(個人情報を含む場合)にも適用される。 |
| Personal information includes inferred, incorrect or artificially generated information produced by AI models (such as hallucinations and deepfakes), where it is about an identified or reasonably identifiable individual. | 個人情報には、AIモデル(幻覚やディープフェイクなど)によって生成された、推測、不正確、または人工的に生成された情報が含まれ、それが個人を特定できる、または合理的に特定できる個人に関するものである場合に適用される。 |
| If personal information is being input into an AI system, APP 6 requires entities to only use or disclose the information for the primary purpose for which it was collected, unless they have consent or can establish the secondary use would be reasonably expected by the individual, and is related (or directly related, for sensitive information) to the primary purpose. | 個人情報がAIシステムに入力される場合、APP 6は、事業体に対して、同意があるか、または二次利用が個人によって合理的に予想され、かつ一次目的に関連する(または機微情報の場合は直接関連する)ものであることを立証できない限り、情報が収集された一次目的のためにのみ情報を使用または開示することを求めている。 |
| A secondary use may be within an individual’s reasonable expectations if it was expressly outlined in a notice at the time of collection and in your organisation’s privacy policy. Whether APP 5 notices or privacy policies were updated, or other information was given at a point in time after the collection, may also be relevant to this assessment. It is possible for an individual’s reasonable expectations in relation to secondary uses to change over time. | 二次利用が、収集時の通知や組織のプライバシーポリシーに明示的に概説されていれば、個人の合理的な期待の範囲内である可能性がある。APP 5の通知やプライバシーポリシーが更新されたかどうか、または収集後の時点でその他の情報が提供されたかどうかも、このアセスメントに関連する可能性がある。二次利用に関連する個人の合理的な期待は、時間の経過とともに変化する可能性がある。 |
| Given the significant privacy risks presented by AI systems, it may be difficult to establish reasonable expectations for an intended use of personal information for a secondary, AI-related purpose. Where an organisation cannot clearly establish that such a secondary use was within reasonable expectations, to avoid regulatory risk they should seek consent for that use and/or offer individuals a meaningful and informed ability to opt-out. | AIシステムによってもたらされる重大なプライバシーリスクを考慮すると、二次的なAI関連目的のための個人情報の意図された利用について、合理的な期待を立証することは難しいかもしれない。そのような二次利用が合理的な期待の範囲内であることを組織が明確に立証できない場合、規制上のリスクを回避するために、その利用について同意を求める、および/またはオプトアウトするための有意義で十分な情報を提供する能力を個人に提供すべきである。 |
| As a matter of best practice, the OAIC recommends that organisations do not enter personal information, and particularly sensitive information, into publicly available AI chatbots and other publicly available generative AI tools, due to the significant and complex privacy risks involved. | ベストプラクティスとして、OAICは、一般に利用可能なAIチャットボットやその他の一般に利用可能な生成的AIツールには、重大かつ複雑なプライバシーリスクが伴うため、組織が個人情報、特に機微情報を入力しないことを推奨する。 |
| If AI systems are used to generate or infer personal information, this is a collection of personal information and must comply with APP 3. Entities must ensure that the generation of personal information by AI is reasonably necessary for their functions or activities and is only done by lawful and fair means. | AIシステムが個人情報の生成または推論に使用される場合、これは個人情報の収集であり、APP 3を遵守しなければならない。事業体は、AIによる個人情報の生成が、その機能または活動にとって合理的に必要であり、適法かつ公正な手段によってのみ行われることを保証しなければならない。 |
| Organisations must take particular care with sensitive information, which generally requires consent to be handled. Many photographs or recordings of individuals (including artificially generated ones) contain sensitive information and therefore may not be able to be generated by, or used as input data for, AI systems without the individual's consent. Consent cannot be implied merely because an individual was notified of a proposed collection of personal information. | 組織は、一般的に取り扱いに同意を必要とする機微(センシティブ)情報には特に注意を払わなければならない。個人の写真や録画(人工的に生成されたものを含む)の多くには機微情報が含まれているため、個人の同意なしにAIシステムで生成したり、AIシステムの入力データとして使用したりすることはできない。個人情報の収集が提案されたことを個人が通知されたからといって、同意が黙示されることはない。 |
| The use of AI in relation to decisions that may have a legal or similarly significant effect on an individual’s rights is likely a high privacy risk activity, and particular care should be taken in these circumstances, including considering accuracy and the appropriateness of the product for the intended purpose. | 個人の権利に法的または類似の重大な影響を及ぼす可能性のある決定に関するAIの使用は、プライバシーリスクが高い活動である可能性が高く、このような状況では、正確性および意図された目的に対する製品の適切性を考慮するなど、特に注意を払う必要がある。 |
| Accuracy | 正確性 |
| AI systems are known to produce inaccurate or false results. This risk is especially high with generative AI, which is probabilistic in nature and does not ‘understand’ the data it handles or generates. | AIシステムは不正確な結果や誤った結果を出すことが知られている。このリスクは生成的AIで特に高く、その性質上確率的であり、取り扱ったり生成したりするデータを「理解」していない。 |
| Under APP 10, organisations have an obligation to take reasonable steps to ensure the personal information collected, used and disclosed is accurate. Organisations must consider this obligation carefully and take reasonable steps to ensure accuracy, commensurate with the likely increased level of risk in an AI context, including the appropriate use of disclaimers which clearly communicate any limitations in the accuracy of the AI system, or other tools such as watermarks. | APP10に基づき、組織には、収集、使用、開示される個人情報が正確であることを保証するために合理的な措置を講じる義務がある。組織は、この義務を慎重に検討し、AIシステムの精度に限界があることを明確に伝える免責事項の適切な使用や、電子透かしなどの他の手段を含め、AIの文脈で増大すると思われるリスクレベルに見合った、正確性を確保するための合理的な措置を講じなければならない。 |
ファイル...
| Top 5 takeaways privacy and use of commercial AI products | 商用AI製品のプライバシーと使用に関する5つのポイント |
 |
|
| Checklist privacy considerations when selecting an AI product | AI製品を選択する際のプライバシーに関するチェックリスト |
 |
|
| Checklist privacy and use of commercial AI products | チェックリスト プライバシーと商用AI製品の使用 |
 |
|
生成的AIモデルを訓練するために個人情報を使用する開発者に対するプライバシーガイダンス
| Guidance on privacy and developing and training generative AI models | プライバシーと生成的AIモデルの開発およびトレーニングに関するガイダンス |
| On this page | このページでは |
| Top five takeaways | トップ5の要点 |
| Quick reference guide | クイック・リファレンス・ガイド |
| Overview | 概要 |
| Artificial intelligence and privacy | 人工知能とプライバシー |
| Privacy considerations when planning and designing an AI model or system | AIモデルやシステムを計画・設計する際のプライバシーへの配慮 |
| Privacy considerations when collecting and processing the training dataset | 学習データセットの収集と処理におけるプライバシーへの配慮 |
| Other considerations | その他の考慮事項 |
| Checklist – privacy considerations when developing or training an AI model | チェックリスト - AIモデルを開発またはトレーニングする際のプライバシーに関する考慮事項 |
| Top five takeaways | 上位5項目 |
| 1. Developers must take reasonable steps to ensure accuracy in generative AI models, commensurate with the likely increased level of risk in an AI context, including through using high quality datasets and undertaking appropriate testing. The use of disclaimers to signal where AI models may require careful consideration and additional safeguards for certain high privacy risk uses may be appropriate. | 1. 開発者は、生成的AIモデルの正確性を確保するために、高品質のデータセットを使用し、適切なテストを実施するなど、AIの文脈で増大する可能性のあるリスクレベルに見合った合理的な措置を講じなければならない。AIモデルが慎重な検討を必要とする可能性があることを示す免責事項の使用や、プライバシー・リスクの高い特定の用途に対する追加的な保護措置は適切かもしれない。 |
| 2. Just because data is publicly available or otherwise accessible does not mean it can legally be used to train or fine-tune generative AI models or systems. Developers must consider whether data they intend to use or collect (including publicly available data) contains personal information, and comply with their privacy obligations. Developers may need to take additional steps (e.g. deleting information) to ensure they are complying with their privacy obligations. | 2. データが公開されている、あるいは他の方法でアクセス可能だからといって、生成的AIモデルやシステムの訓練や微調整に合法的に使用できるわけではない。開発者は、使用または収集しようとするデータ(一般に入手可能なデータを含む)に個人情報が含まれているかどうかを検討し、プライバシー義務を遵守しなければならない。開発者は、プライバシーの義務を遵守していることを確認するために、追加の措置(情報の削除など)を講じる必要があるかもしれない。 |
| 3. Developers must take particular care with sensitive information, which generally requires consent to be collected. Many photographs or recordings of individuals (including artificially generated ones) contain sensitive information and therefore may not be able to be scraped from the web or collected from a third party dataset without establishing consent. | 3. 開発者は、一般的に収集に同意が必要な機密情報には特に注意を払わなければならない。個人の写真や記録(人工的に生成されたものを含む)の多くは、機微情報を含んでいるため、同意を確立することなくウェブからスクレイピングしたり、サードパーティーのデータセットから収集したりすることはできないかもしれない。 |
| 4. Where developers are seeking to use personal information that they already hold for the purpose of training an AI model, and this was not a primary purpose of collection, they need to carefully consider their privacy obligations. If they do not have consent for a secondary, AI-related purpose, they must be able to establish that this secondary use would be reasonably expected by the individual, taking particular account of their expectations at the time of collection, and that it is related (or directly related, for sensitive information) to the primary purpose or purposes (or another exception applies). | 4. 開発者がすでに保有している個人情報をAIモデルの学習目的で使おうとしており、それが収集の主な目的ではない場合、開発者はプライバシー義務を慎重に検討する必要がある。二次的な、AIに関連する目的について同意がない場合、開発者は、この二次的な利用が、収集時における個人の期待を特に考慮した上で、個人によって合理的に期待されるものであり、かつ、主たる目的(または別の例外が適用される場合)に関連する(または機微な情報については直接関連する)ものであることを立証できなければならない。 |
| 5. Where a developer cannot clearly establish that a secondary use for an AI-related purpose was within reasonable expectations and related to a primary purpose, to avoid regulatory risk they should seek consent for that use and/or offer individuals a meaningful and informed ability to opt-out of such a use. | 5. 開発者が、AI に関連する目的のための二次利用が、合理的に期待される範囲内であり、かつ一次目的に関連するものであることを明確に立証できない場合、規制上のリスクを回避するために、その利用について同意を求めるべきであり、かつ/または、そのような利用をオプトアウトするための、十分な情報に基づいた有意義な手段を個人に提供すべきである。 |
| Quick reference guide | クイック・リファレンス・ガイド |
| The Privacy Act applies to the collection, use and disclosure of personal information to train generative AI models, just as it applies to all uses of AI that involve personal information. | プライバシー法は、生成的AIモデルを訓練するための個人情報の収集、使用、開示に適用される。 |
| Developers using large volumes of information to train generative AI models should actively consider whether the information includes personal information, particularly where the information is of unclear provenance. Personal information includes inferred, incorrect or artificially generated information produced by AI models (such as hallucinations and deepfakes), where it is about an identified or reasonably identifiable individual. | 生成的AIモデルの学習に大量の情報を使用する開発者は、特に情報の出所が不明確な場合、その情報に個人情報が含まれているかどうかを積極的に検討すべきである。個人情報には、(幻覚やディープフェイクのような)AIモデルによって生成された、推測、不正確、または人為的に生成された情報が含まれ、それが特定された個人または合理的に特定できる個人に関するものである。 |
| A number of uses of AI are low-risk. However, developing a generative AI model is a high privacy risk activity when it relies on large quantities of personal information. As for many uses of AI, this is a source of significant community concern. Generative AI models have unique and powerful capabilities, and many use cases can pose significant privacy risks for individuals as well as broader ethical risks and harms. | AIの多くの用途はリスクが低い。しかし、生成的AIモデルの開発は、大量の個人情報に依存する場合、プライバシー・リスクの高い活動である。AIの多くの用途と同様、これは地域社会の重大な懸念の原因となっている。生成的AIモデルにはユニークで強力な能力があり、多くのユースケースは、個人にとって重大なプライバシー・リスクだけでなく、より広範な倫理的リスクや危害をもたらす可能性がある。 |
| For these reasons, the OAIC (like the Australian community) expects developers to take a cautious approach to these activities and give due regard to privacy in a way that is commensurate with the considerable risks for affected individuals. Developers should particularly consider APPs 1, 3, 5, 6 and 10 in this context. | これらの理由から、OAICは(オーストラリアのコミュニティと同様に)、開発者がこれらの活動に対して慎重なアプローチをとり、影響を受ける個人にとってのかなりのリスクに見合った方法でプライバシーに十分配慮することを期待している。開発者は、この観点から特に APP1、3、5、6、10 を考慮すべきである。 |
| Other APPs, such as APPs 8, 11, 12 and 13 are also relevant in this context, but are outside the scope of this guidance. This guidance should therefore be considered together with the Privacy Act 1988 (Privacy Act) and the Australian Privacy Principles guidelines. | APP8、11、12、13のような他のAPPもこの文脈に関連するが、本ガイダンスの範囲外である。従って、本ガイダンスは、1988年プライバシー法(Privacy Act 1988)およびオーストラリアプライバシー原則ガイドライン(Australian Privacy Principles guidelines)とともに考慮されるべきである。 |
| Privacy by design | 設計によるプライバシー |
| Developers should take steps to ensure compliance with the Privacy Act, and first and foremost take a ‘privacy by design’ approach when developing or fine-tuning generative AI models or systems, including conducting a privacy impact assessment. | 開発者は、プライバシー法の遵守を確保するための措置を講じるべきであり、生成的AIモデルやシステムを開発または微調整する際には、プライバシー影響評価の実施を含め、何よりもまず「プライバシー・バイ・デザイン」のアプローチを取るべきである。 |
| AI technologies and supply chains can be complex and steps taken to remove or de-identify personal information may not always be effective. Where there is any doubt about the application of the Privacy Act to specific AI-related activities, developers should err on the side of caution and assume it applies to avoid regulatory risk and ensure best practice. | AI技術やサプライチェーンは複雑な場合があり、個人情報の削除や識別を解除するための措置が必ずしも効果的であるとは限らない。特定のAI関連活動へのプライバシー法の適用に疑問がある場合、開発者は慎重を期し、規制リスクを回避し、ベストプラクティスを確保するために、プライバシー法が適用されると仮定すべきである。 |
| Accuracy | 正確性 |
| Generative AI systems are known to produce inaccurate or false results. It is important to remember that generative AI models are probabilistic in nature and do not ‘understand’ the data they handle or generate. | 生成的AIシステムは、不正確な結果や誤った結果を生み出すことが知られている。生成的AIモデルは本質的に確率的なものであり、扱ったり生成したりするデータを「理解」するものではないことを覚えておくことが重要である。 |
| Under APP 10, developers have an obligation to take reasonable steps to ensure the personal information collected, used and disclosed is accurate. Developers must consider this obligation carefully and take reasonable steps to ensure accuracy, commensurate with the likely increased level of risk in an AI context, including through using high quality datasets, undertaking appropriate testing and the appropriate use of disclaimers. | APP10では、開発者は収集、使用、開示される個人情報が正確であることを保証するために合理的な手段を講じる義務がある。開発者はこの義務を慎重に検討し、AIの文脈で増大すると思われるリスクレベルに見合った、正確性を確保するための合理的な措置を講じなければならない。これには、高品質のデータセットの使用、適切なテストの実施、免責事項の適切な使用などが含まれる。 |
| In particular, disclaimers should clearly communicate any limitations in the accuracy of the generative AI model, including whether the dataset only includes information up to a certain date, and should signal where AI models may require careful consideration and additional safeguards for certain high privacy risk uses, for example use in decisions that will have a legal or similarly significant effect on an individual’s rights. | 特に、免責事項は、データセットが特定の日付までの情報しか含まないかどうかなど、生成的AIモデルの正確性におけるあらゆる制限を明確にコミュニケーションすべきであり、また、例えば個人の権利に法的または類似の重大な影響を及ぼす意思決定における使用など、特定のプライバシーリスクの高い使用について、AIモデルが慎重な検討と追加のセーフガードを必要とする可能性があることを示すべきである。 |
| Transparency | 透明性 |
| To ensure good privacy practice, developers should also ensure they update their privacy policies and notifications with clear and transparent information about their use of AI generally. | 良好なプライバシー慣行を確保するために、開発者は、一般的なAIの使用に関する明確で透明性のある情報を用いて、プライバシーポリシーと通知を更新することも確認すべきである。 |
| Collection | 収集 |
| Just because data is publicly available or otherwise accessible does not mean it can legally be used to train or fine-tune generative AI models or systems. Developers must consider whether data they intend to use or collect (including publicly available data) contains personal information, and comply with their privacy obligations. | データが公開されている、あるいは他の方法でアクセス可能だからといって、生成的AIモデルやシステムの訓練や微調整に合法的に使用できるわけではない。開発者は、使用または収集しようとするデータ(一般に入手可能なデータを含む)に個人情報が含まれているかどうかを検討し、プライバシー義務を遵守しなければならない。 |
| Developers must only collect personal information that is reasonably necessary for their functions or activities. In the context of compiling a dataset for generative AI they should carefully consider what data is required to draft appropriate parameters for whether data is included and mechanisms to filter out unnecessary personal information from the dataset. | 開発者は、その機能や活動に合理的に必要な個人情報のみを収集しなければならない。生成的AI用のデータセットをコンパイルする文脈では、どのようなデータが必要かを慎重に検討し、データを含めるかどうかの適切なパラメータと、データセットから不要な個人情報をフィルタリングするメカニズムを作成しなければならない。 |
| Developers must take particular care with sensitive information, which generally requires consent to be collected. Many photographs or recordings of individuals (including artificially generated ones) contain sensitive information and therefore may not be able to be scraped from the web or collected from a third party dataset without establishing consent. | 開発者は、一般的に収集に同意が必要とされる機密情報には特に注意を払わなければならない。個人の写真や記録(人工的に生成されたものを含む)の多くには機微情報が含まれているため、同意を確立することなくウェブからスクレイピングしたり、サードパーティーのデータセットから収集したりすることはできない。 |
| Where sensitive information is inadvertently collected without consent, it will generally need to be destroyed or deleted from a dataset. | 機微な情報が同意なしに不注意に収集された場合、一般にデータセットから破棄または削除する必要がある。 |
| Developers must collect personal information only by lawful and fair means. Depending on the circumstances, the creation of a dataset through web scraping may constitute a covert and therefore unfair means of collection. | 開発者は、合法的かつ公正な手段によってのみ個人情報を収集しなければならない。状況によっては,ウェブスクレイピングによるデータセットの作成は, 隠密な,したがって不公正な収集手段となりうる. |
| Where a third party dataset is being used, developers must consider information about the data sources and compilation process for the dataset. They may need to take additional steps (e.g. deleting information) to ensure they are complying with their privacy obligations. | サードパーティーのデータセットを使う場合、開発者はそのデータセットの データソースや編集過程についての情報を考慮しなければならない。開発者は、プライバシーの義務を遵守していることを確認するために、 追加の措置(情報の削除など)をとる必要があるかもしれない。 |
| Use and disclosure | 利用と開示 |
| Where developers are seeking to use personal information that they already hold for the purpose of training an AI model, and this was not a primary purpose of collection, they need to carefully consider their privacy obligations. | 開発者がすでに保有している個人情報を、AIモデルの学習のために使おうとしており、それがデータ収集の主要な目的ではない場合、開発者はプライバシー義務を慎重に検討する必要がある。 |
| Where developers do not have consent for a secondary, AI-related purpose, they must be able to establish that this secondary use would be reasonably expected by the individual, taking particular account of their expectations at the time of collection, and that it is related (or directly related, for sensitive information) to the primary purpose or purposes (or another exception applies). | 開発者が、AIに関連する二次的な目的について同意を得ていない場合、開発者は、この二次的な利用が、収集時の個人の期待を特に考慮した上で、個人によって合理的に期待されるものであり、一次的な目的(または機微な情報については直接関連するもの)に関連するものであることを立証できなければならない(または別の例外が適用される)。 |
| Whether a secondary use is within reasonable expectations will always depend on the particular circumstances. However, given the unique characteristics of AI technology, the significant harms that may arise from its use and the level of community concern around the use of AI, in many cases it will be difficult to establish that such a secondary use was within reasonable expectations. | 二次利用が合理的な期待の範囲内であるかどうかは、常に特定の状況に依存する。しかし、AI技術のユニークな特性、その使用から生じるかもしれない重大な損害、AIの使用をめぐる社会的関心のレベルを考慮すると、多くの場合、そのような二次利用が合理的な期待の範囲内であったことを立証するのは困難であろう。 |
| Where a developer cannot clearly establish that a secondary use for an AI-related purpose was within reasonable expectations and related to a primary purpose, to avoid regulatory risk they should seek consent for that use and offer individuals a meaningful and informed ability to opt-out of such a use. | 開発者が、AIに関連する目的での二次利用が合理的な期待の範囲内であり、主要な目的に関連するものであることを明確に立証できない場合、規制上のリスクを回避するために、その利用について同意を求め、そのような利用からオプトアウトするための有意義かつ十分な情報を提供する必要がある。 |
| Top 5 takeaways privacy consideration training AI model | トップ5の要点 プライバシー配慮トレーニング AIモデル |
 |
|
| Checklist privacy consideration training AI model | チェックリスト プライバシー配慮トレーニング AIモデル |
 |
|
ちなみに、日本の場合は...
● 個人情報保護委員会
・2023.08 [PDF] 生成AIサービスの利用に関する注意喚起
OpenAI等に対する注意喚起
・2023.06.02 生成AIサービスの利用に関する注意喚起等について
- 【別添1】生成AIサービスの利用に関する注意喚起等
- 【別添2】OpenAIに対する注意喚起の概要
シンプルー....
Comments