英国 ICO 生成的AIに関するコンサルテーションに対する情報コミッショナー事務局の回答:生成的AIの開発者たちよ、あなたたちが人々の情報をどのように使っているのか伝える時だ(2024.12.12)
こんにちは、丸山満彦です。
このブログでも紹介したのですが...英国の情報コミッショナー事務局が今年の1月に開始したコンサルテーション(意見募集)に対する回答が公表されていますね...
生成AIモデルを訓練するためにウェブでスクレイピングされたデータの合法的な根拠と、生成AIモデルへの個人の権利のエンジニアリングについて、ICOの立場を明確にしたということですね...
どのように個人情報が収集されたかを理解できるように、人々に伝えなければ、透明性が欠如し、せっかくの生成的AIを合法的に使っているかどうかがわからなくなるため、利用がすすまない...
ということのようですね...
たしかに、合法か違法かがわかりにくいと萎縮しますよね...
日本の個人情報保護委員会も「生成AIサービスの利用に関する注意喚起等」は5月にしていますが、プロンプト入力をした個人情報の利用に関する話で、スクレイピングについては触れていなかったように思いますが、これからどのようなガイド等を公表していくのでしょうかね...
● U.K. Information Commissioner's Office; ICO
ブログ...
・ 2024.12.12 Generative AI developers, it’s time to tell people how you’re using their information
| Generative AI developers, it’s time to tell people how you’re using their information | 生成的AI開発者よ、あなたが彼らの情報をどのように使用しているかを人々に伝える時だ |
| In January we launched our consultation series on data protection in generative AI, receiving over 200 quality responses from stakeholders. We are today publishing our outcomes report which details our policy positions on generative AI and sets out what further work is still needed by industry. | 1月、我々は生成的AIにおけるデータ保護に関するコンサルテーション・シリーズを開始し、関係者から200を超える質の高い回答を得た。我々は本日、生成的AIに関する我々の政策的立場を詳述し、産業界がさらにどのような作業を行う必要があるかを示した成果報告書を発表する。 |
| We looked at five areas which resulted in us refining our position in two key areas: the lawful basis for web scraped data to train generative AI models and the engineering of individual rights into generative AI models. We found a serious lack of transparency, especially in relation to training data within the industry, which our consultation responses show is negatively impacting the public’s trust in AI. | 我々は5つの分野について検討し、その結果、2つの重要な分野、すなわち、生成的AIモデルを訓練するためにウェブスクレイピングされたデータの合法的根拠と、生成的AIモデルへの個人の権利のエンジニアリングについて、我々の立場を洗練させることになった。私たちは、特に業界内のトレーニングデータに関する透明性の深刻な欠如を発見し、私たちのコンサルテーションへの回答が、AIに対する一般の人々の信頼に悪影響を及ぼしていることを示した。 |
| Generative AI developers, it’s time to tell people how you’re using their information. This could involve providing accessible and specific information that enables people and publishers to understand what personal information has been collected. Without better transparency, it will be hard for people to exercise their information rights and hard for developers to use legitimate interests as their lawful basis. | 生成的AI開発者たちよ、今こそ、彼らの情報をどのように使用しているかを人々に伝える時だ。これには、どのような個人情報が収集されたかを人々やパブリッシャーが理解できるように、アクセス可能で具体的な情報を提供することが含まれる。透明性が向上しなければ、人々は情報の権利を行使することが難しくなり、開発者は正当な利益を合法的な根拠として使用することが難しくなる。 |
| We have been clear in our view that generative AI offers great potential for the UK and the opportunity must be realised in a responsible way that appropriately considers data protection law. We have engaged openly to develop our positions. We have also been clear that there is no excuse for generative AI developers not to embed data protection by design into products from the start. | 我々は、生成的AIは英国に大きな可能性を提供し、その機会はデータ保護法を適切に考慮した責任ある方法で実現されなければならないという見解を明確にしてきた。我々の立場を発展させるために、オープンに関与してきた。また、生成的AIの開発者が最初からデータ保護を製品に組み込まない言い訳はできないことも明確にしてきた。 |
| Our engagement is ongoing, and global, and we continue to work with government, other digital regulators and our international counterparts to play our part in safeguarding people and enabling responsible innovation. | 我々の関与は継続的かつグローバルであり、政府、他のデジタル規制当局、国際的なカウンターパートと協力し、人々を保護し、責任あるイノベーションを可能にするための役割を果たし続ける。 |
| I encourage firms looking to innovate responsibly to get advice from us through our Regulatory Sandbox and Innovation Advice service, as well as from other regulators through the DRCF AI & Digital Hub. | 責任あるイノベーションを行おうとする企業には、我々の規制サンドボックスやイノベーション・アドバイス・サービスを通じて、またDRCFのAI&デジタル・ハブを通じて他の規制当局からアドバイスを受けることを勧める。 |
| Our report provides regulatory clarity and certainty which will enable responsible AI developers to thrive. We will now focus our attention on organisations that are not doing enough. | 我々の報告書は、責任あるAI開発者の繁栄を可能にする規制の明確性と確実性を提供するものである。我々は今後、十分な取り組みを行っていない組織に注目していく。 |
・Information Commissioner’s Office response to the consultation series on generative AI
目次...
背景...
| Background | 背景 |
| As part of the ICO’s work on artificial intelligence (AI) regulation, we have been quick to respond to emerging developments in generative AI, engaging with generative AI developers, adopters and affected stakeholders. In April 2023, we set out questions that developers and deployers needed to ask1. In January 2024, we launched our five-part generative AI consultation series2, which this consultation response summarises. | 人工知能(AI)規制に関するICOの作業の一環として、我々は生成的AIの新たな進展にいち早く対応し、生成的AIの開発者、採用者、影響を受ける利害関係者と関わってきた。2023年4月、ICOは開発者や導入者が問うべき質問を提示した1。2024年1月、我々は5部構成の生成的AIコンサルテーションシリーズ2を開始した。 |
| The series set out to address regulatory uncertainties about how specific aspects of the UK General Data Protection Regulations (UK GDPR) and the Data Protection Act (DPA) 2018 apply to the development and use of generative AI. It did that by setting out our initial analysis of these areas, along with the positions we wanted to consult on. | このシリーズは、英国一般データ保護規則(英国GDPR)とデータ保護法(DPA)2018の特定の側面が生成的AIの開発と使用にどのように適用されるかについての規制上の不確実性に対処することを目的としている。これは、これらの領域に関する我々の初期分析を、我々が協議したい立場とともに示すことによって行われた。 |
| What follows is a summary of the key themes that emerged from the responses to the consultation. This summary is not intended to be a comprehensive record of all the views expressed, nor a response to all individual points raised by respondents. | 以下は、コンサルテーションへの回答から浮かび上がった主要テーマの要約である。この要約は、表明されたすべての意見の包括的な記録であることを意図したものではなく、また、回答者から提起された個々の指摘すべてに対する回答でもない。 |
| In addition to summarising feedback, this consultation response sets out our analysis on how specific areas of data protection law apply to generative AI systems. This response does not cover the entirety of our regulatory expectations (these are covered in more detail in our core guidance on AI and data protection)3. This response does provide clear views on the application of data protection law to specific issues. In due course, we will be updating our existing guidance to reflect the positions detailed in this response. | フィードバックの要約に加え、本協議への回答は、データ保護法の特定の分野が生成的AIシステムにどのように適用されるかについての我々の分析を示している。本回答は、我々の規制上の期待事項の全てをカバーするものではない(これらは、AIとデータ保護に関するコアガイダンスでより詳細にカバーされている)3。本回答は、特定の問題に対するデータ保護法の適用に関する明確な見解を提供するものである。いずれ、本回答に詳述された立場を反映させるべく、既存のガイダンスを更新する予定である。 |
| The response also flags areas where we think further work is needed to develop and inform our thinking. We also recognise that the upcoming data reform legislation4 may have an impact on the positions set out in this paper. | また、本回答では、我々の考え方を発展させ、情報を提供するためにさらなる作業が必要と思われる分野についても指摘している。また、今後予定されているデータ改革法4が、本稿で示した見解に影響を与える可能性があることも認識している。 |
| 1 Generative AI: eight questions that developers and users need to ask | 1 生成的AI:開発者とユーザーが問うべき8つの質問 |
| 2 ICO consultation series on generative AI and data protection | 2 生成的AIとデータ保護に関するICOコンサルテーション・シリーズ |
| 3 Artificial intelligence | 3 人工知能 |
| 4 See the Data (Use and Access) (DUA) Bill | 4 データ(利用とアクセス)(DUA)法案を参照 |
エグゼクティブサマリー...
| Executive summary | エグゼクティブサマリー |
| Our consultation series on generative AI and data protection covered five key areas: | 生成的AIとデータ保護に関する我々のコンサルテーション・シリーズは、5つの主要分野を取り上げた: |
| ・The lawful basis for web scraping to train generative AI models.5 | ・生成的AIモデルを訓練するためのウェブスクレイピングの合法的根拠5 |
| ・Purpose limitation in the generative AI lifecycle.6 | ・生成的AIのライフサイクルにおける目的制限6 |
| ・Accuracy of training data and model outputs.7 | ・訓練データとモデル出力の精度7 |
| ・Engineering individual rights into generative AI models.8 | ・生成的AIモデルへの個人の権利のエンジニアリング8 |
| ・Allocating controllership across the generative AI supply chain.9 | ・生成的AIのサプライチェーン全体における管理権の割り当て9 |
| In total, we received 192 responses from organisations and 22 from members of the public. The majority of the responses came from the creative industries, trade or membership bodies, the technology sector (including ‘big tech’ firms) and law firms. In addition, we also held roundtable sessions with civil society, creative industries and technology firms. | 合計で、組織から192件、一般市民から22件の回答を得た。回答の大半は、クリエイティブ産業、業界団体または会員制団体、テクノロジー・セクター(「ビッグ・テック」企業を含む)、法律事務所からのものであった。さらに、市民社会、クリエイティブ産業、テクノロジー企業との円卓会議も開催した。 |
| Many of the responses were highly detailed. They often combined evidence (eg technical explanations of generative AI), analysis (eg interpretations of the application of data protection law) and arguments (eg the negative or positive effects of generative AI on a particular stakeholder). | 回答の多くは非常に詳細であった。それらはしばしば、証拠(生成的AIの技術的説明など)、分析(データ保護法の適用法の解釈など)、議論(特定の利害関係者に対する生成的AIの否定的または肯定的な影響など)を組み合わせたものであった。 |
| We are grateful to those who responded to the consultation. We are also grateful to those who were willing to discuss these issues in further detail with us. In particular, thank you to the British Screen Forum, the Ada Lovelace Institute and TechUK for facilitating roundtable discussions with the creative sector, civil society and the technology sector respectively. We also thank colleagues at the French data protection authority, the CNIL, for sharing their insights on this issue. | 本協議にご回答いただいた方々に感謝する。また、これらの問題について私たちとさらに詳しく議論してくださった方々にも感謝する。特に、それぞれクリエイティブ・セクター、市民社会、テクノロジー・セクターとの円卓会議を進行してくれた英国スクリーン・フォーラム、エイダ・ラブレス研究所、TechUKに感謝する。また、フランスのデータ保護当局であるCNILの同僚の方々にも、この問題に関する見識を共有していただいたことに感謝する。 |
| Summary of positions after consultation | コンサルテーション後の立場のまとめ |
| The following points set out our positions after reviewing the consultation responses: | 以下の点は、コンサルテーション回答を検討した後の我々の立場を示したものである: |
| We retained our position on purpose limitation,10 accuracy11 and controllership.12 | 私たちは、目的制限、10正確性、11管理責任に関する立場を維持した。 |
| We updated our position on the legitimate interests lawful basis for web scraping to train generative AI models.13 | 私たちは、生成的AIモデルの訓練を目的としたウェブスクレイピングの正当な利益に関する立場を更新した。 |
| ・We heard that data collection methods other than web scraping exist, which could potentially support the development of generative AI. For example, where publishers collect personal data directly from people and license this data in a transparent way. It is for developers to demonstrate the necessity of web scraping to develop generative AI. We will continue to engage with developers and generative AI researchers on the extent to which they can develop generative AI models without using web-scraped data. | ・ウェブスクレイピング以外のデータ収集方法も存在し、生成的AIの開発を潜在的に支援できる可能性があることを私たちは耳にした。例えば、パブリッシャーが人々から直接個人データを収集し、透明性のある方法でこのデータをライセンス供与する場合などである。生成的AIの開発にウェブスクレイピングが必要であることを示すのは開発者の役割である。私たちは、開発者および生成的AIの研究者がウェブスクレイピングされたデータを使用せずに生成的AIモデルを開発できる範囲について、引き続き彼らと協議していく。 |
| ・Web scraping is a large-scale processing activity that often occurs without people being aware of it. This sort of invisible processing poses particular risks to people’s rights and freedoms. For example, if someone doesn’t know their data has been processed, they can’t exercise their information rights. We received minimal evidence on the availability of mitigation measures to address this risk. This means that, in practice, generative AI developers may struggle to demonstrate how their processing meets the requirements of the legitimate interests balancing test. As a first step, we expect generative AI developers to significantly improve their approach to transparency. For example, they could consider what measures they can provide to protect people’s rights, freedoms and interests. This could involve providing accessible and specific information that enables people and publishers to understand what personal data the developer has collected. We also expect them to test and review these measures. | ・ウェブスクレイピングは、人々が気づかないうちに実行されることが多い大規模な処理活動である。このような目に見えない処理は、人々の権利や自由に対して特にリスクをもたらす。例えば、データが処理されたことに気づかなければ、情報に関する権利を行使することができない。このリスクに対処するための緩和措置の存在を示す証拠はほとんど得られなかった。つまり、実際には、生成的AIの開発者は、その処理が正当な利益のバランステストの要件を満たしていることを実証するのに苦労する可能性がある。第一歩として、生成的AIの開発者には透明性へのアプローチを大幅に改善することを期待する。例えば、人々の権利、自由、利益を保護するためにどのような措置を講じることができるかを検討することができる。これには、開発者が収集した個人データがどのようなものかを人々や発行者が理解できるように、アクセス可能な具体的な情報を提供することが含まれる可能性がある。また、これらの対策をテストし、見直すことも期待している。 |
| ・We received evidence that some developers are using licences and Terms of Use (ToU) to ensure deployers are using their models in a compliant way. However, to provide this assurance, developers will need to demonstrate that these documents and agreements contain effective data protection requirements, and that these requirements are met. | ・一部の開発者が、ライセンスや利用規約(ToU)を使用して、デプロイヤーがモデルを準拠した方法で使用していることを確認しているという証拠を得た。しかし、このような保証を提供するためには、開発者はこれらの文書や契約に効果的なデータ保護要件が含まれていること、そしてこれらの要件が満たされていることを実証する必要がある。 |
| We updated our position on engineering individual rights into generative AI models, as set out in the consultation chapter four.14 | 私たちは、コンサルテーションの第4章で述べたように、個人の権利を生成的AIモデルに組み込むことに関する見解を更新した。 |
| ・Organisations acting as controllers must design and build systems that implement the data protection principles effectively and integrate necessary safeguards into the processing. This would put organisations in a better place to comply with the requirement to facilitate people’s information rights. | ・管理者として行動する組織は、データ保護の原則を効果的に実施するシステムを設計・構築し、必要な保護措置を処理に統合しなければならない。これにより、人々の情報に関する権利を促進するという要件を遵守する上で、組織はより良い立場に立つことができる。 |
| ・Article 11 (on processing which does not require identification) may have some relevance in the context of generative AI. However, organisations relying on it need to demonstrate that their reliance is appropriate and justified. For example, they must demonstrate they are not able to identify people. They must also give people the opportunity to provide more information to enable identification. | ・第11条(識別を必要としない処理)は、生成的AIの文脈において、ある程度関連性があるかもしれない。しかし、これに依存する組織は、その依存が適切かつ正当であることを証明する必要がある。例えば、個人を識別できないことを証明しなければならない。また、個人に識別を可能にするための追加情報を提供する機会を与える必要もある。 |
| 5 Generative AI first call for evidence: The lawful basis for web scraping to train generative AI models | 5 生成的AIに関する最初の証拠提出要請:生成的AIモデルのトレーニングにおけるウェブスクレイピングの適法な根拠 |
| 6 Generative AI second call for evidence: Purpose limitation in the generative AI lifecycle | 6 生成的AIに関する第2回目の証拠提出要請:生成的AIライフサイクルにおける目的の制限 |
| 7 Generative AI third call for evidence: accuracy of training data and model outputs | 7 生成的AIに関する第3回目の証拠提出要請:トレーニングデータとモデル出力の精度 |
| 8 Generative AI fourth call for evidence: engineering individual rights into generative AI models | 8 生成的AIに関する第4回目の証拠提出要請:生成的AIモデルへの個人の権利の組み込み |
| 9 Generative AI fourth call for evidence: engineering individual rights into generative AI models | 9 生成的AIに関する第4回目の証拠提出要請:生成的AIモデルへの個人の権利の組み込み |
| 10 Generative AI second call for evidence | 10 生成的AIに関する第2回目の証拠提出要請 |
| 11 Generative AI third call for evidence | 11 生成的AI第3回証拠提出要請 |
| 12 Generative AI fifth call for evidence | 12 生成的AI第5回証拠提出要請 |
| 13 Generative AI first call for evidence | 13 生成的AI第1回証拠提出要請 |
| 14 Generative AI fourth call for evidence: engineering individual rights into generative AI models | 14 生成的AI第4回証拠提出要請:生成的AIモデルへの個人の権利の組み込み |
ここがポイントですかね...
誤解への取り組み...
| Tackling misconceptions | 誤解への取り組み |
| This section clarifies several data protection issues to address misconceptions highlighted in the consultation responses. Some of them are about generative AI, while others are about AI (including ‘narrow’ AI) or data protection in general. We have set out existing ICO positions to offer clarity. | このセクションでは、コンサルテーション回答で強調された誤解に対処するため、いくつかのデータ保護問題を明確にする。その中には生成的AIに関するものもあれば、AI(「狭い」AIを含む)やデータ保護全般に関するものもある。明確にするために、ICOの既存の見解を示した。 |
| 1) The “incidental” or “agnostic” processing of personal data still constitutes processing of personal data. Many generative AI developers claimed they did not intend to process personal data and that their processing of that data was purely incidental. Our view is clear: data protection law applies to processing of personal data (which includes special category data), regardless of whether this is ‘incidental’ or unintentional. | 1) 個人データの「付随的な」または「不可知論的な」処理は、依然として個人データの処理を構成する。多くの生成的AI開発者は、個人データを処理する意図はなく、そのデータの処理は純粋に付随的なものだと主張している。データ保護法は、それが「偶発的」か意図的でないかにかかわらず、個人データ(特別カテゴリーデータを含む)の処理に適用される。 |
| 2) Common practice does not equate to meeting people’s reasonable expectations. Organisations should not assume that a certain way of processing will be within people’s reasonable expectations, just because it is seen as “common practice”. This applies particularly when it comes to the novel use of personal data to train generative AI in an invisible way or years after someone provided it for a different purpose (when their expectations were, by default, different). | 2) 一般的な慣行は、人々の合理的な期待に応えることとは一致しない。組織は、ある処理方法が「一般的な慣行」とみなされるからといって、人々の合理的な期待の範囲内であると仮定すべきではない。これは特に、生成的AIを目に見えない方法で学習させるために個人データを新規に使用する場合や、誰かが別の目的のために個人データを提供してから何年も経ってから個人データを使用する場合(デフォルトでは、人々の期待は異なっている)に当てはまる。 |
| 3) “Personally identifiable information” (PII) is different to the legal definition of “personal data”. Many organisations focus their generative AI compliance efforts around PII. However, to ensure compliance in the UK they should be considering processing of any “personal data” (which is a broader and legally defined concept in the UK). Organisations must not undertake compliance based on a fundamental misunderstanding or miscommunicate their processing operations. | 3)「個人を特定できる情報」(PII)は、「個人データ」の法的定義とは異なる。多くの組織はPIIを中心に生成的AIコンプライアンスに取り組んでいる。しかし、英国でのコンプライアンスを確保するためには、あらゆる「個人データ」(英国ではより広範で法的に定義された概念である)の処理を検討すべきである。組織は、根本的な誤解に基づいてコンプライアンスに取り組んだり、処理業務を誤って伝えたりしてはならない。 |
| 4) Organisations should not assume that they can rely on the outcome of case law about search engine data protection compliance when considering generative AI compliance. A few respondents sought to rely on these case outcomes, arguing that as the initial collection of data was substantively the same (ie crawling the web), the decisions should also apply to the generative AI context. However, while we can see there are similarities in terms of data collection, there are key differences which means that the logic of these decisions may not be applicable. For example, while a search engine intends to index, rank and prioritise information and make this available to the public, generative AI goes beyond this. It synthesises information and creates something new in its outputs. Traditional search engine operators also enable people to exercise their rights, in particular the right to erasure through ‘delisting’. The current practices of generative AI developers make it difficult for people to do the same. | 4) 組織は、生成的AIコンプライアンスを検討する際に、検索エンジンのデータ保護コンプライアンスに関する判例法の結果に依拠できると考えるべきではない。数名の回答者は、最初のデータ収集が実質的に同じである(つまりウェブをクロールしている)ため、その判断は生成的AIの文脈にも適用されるはずだと主張し、これらの判例結果に頼ろうとした。しかし、データ収集という点では類似点が見られるものの、重要な相違点があるため、これらの判決の論理は適用できない可能性がある。例えば、検索エンジンは情報をインデックス化し、ランク付けし、優先順位をつけて一般に公開することを意図しているが、生成的AIはそれを超えている。情報を合成し、そのアウトプットに新しいものを生み出すのだ。従来の検索エンジン事業者は、人々が権利、特に「上場廃止」による消去権を行使することも可能にしている。生成的AI開発者の現在のやり方は、人々が同じことをするのを難しくしている。 |
| 5) Generative AI models can themselves have data protection implications. Some developers argued that their models do not “store” personal data. Our 2020 guidance on AI and data protection stated that AI models can contain personal data.18 In the generative AI consultation chapters, we explained that generative AI models may embed the data they have been trained on in a form that may allow their retrieval or disclosure by transmission. In particular, this may have implications for open-access models. This needs further research to understand when and how this risk may materialise. We intend to explore this issue in more detail in future, taking account of ongoing developments in the technological and academic spaces. | 5) 生成的AIモデルは、それ自体がデータ保護に影響を及ぼす可能性がある。一部の開発者は、自分たちのモデルは個人データを「保存」しないと主張している。AIとデータ保護に関する2020年のガイダンスでは、AIモデルには個人データが含まれる可能性があると述べている18。生成的AIのコンサルテーションチャプターでは、生成的AIモデルは学習させたデータを、送信による検索や開示が可能な形で埋め込む可能性があると説明している。特に、これはオープンアクセスモデルに影響を与える可能性がある。このリスクがいつ、どのように顕在化するかを理解するためには、さらなる研究が必要である。私たちは今後、技術的・学術的な領域で進行中の発展を考慮しつつ、この問題をより詳細に調査するつもりである。 |
| 6) The ICO cannot determine or provide guidance on compliance with legal requirements which are outside the scope of our remit (ie data protection and information law). There was a perception by some respondents that the lawfulness principle19 meant that we could provide views or guidance on lawfulness under regimes other than data protection. Some also thought that data protection could be a useful lever to address issues within other regulatory remits. To be clear, data processing that is unlawful because it breaches other legal requirements (such as Intellectual Property law) will also be unlawful under data protection law. However, that does not mean we will or can be the arbiter of what is lawful under legislation outside of our remit. | 6) ICO は、ICO の権限範囲外(すなわち、データ保護法や情報法)の法的要件の遵守につい て判断したり、ガイダンスを提供したりすることはできない。回答者の中には、適法性の原則19 は、ICO がデータ保護以外の制度における適法性につい て見解やガイダンスを提供できることを意味するとの認識を持つ者もいた。また、データ保護は他の規制の範囲内の問題に対処するための有効な手段となり得ると考える者もいた。明確にしておくと、他の法的要件(知的財産法等)に違反して違法となるデータ処理は、 データ保護法においても違法となる。しかし、だからといって、われわれが、われわれの権限外の法律のもとで、何が合法であるかの裁定者になるわけではないし、なれるわけでもない。 |
| 7) There is no ‘AI exemption’ to data protection law. Some of the respondents argued that data protection law should not complicate generative AI development. While we support responsible AI development and deployment, it is important for organisations to be aware that there are no carve-outs or sweeping exemptions for generative AI. If an organisation is processing personal data, then data protection law will be applicable. We encourage organisations that are uncertain about compliance to adopt a “data protection by design approach”, considering compliance issues before they start processing. | 7) データ保護法に「AI免除」はない。回答者の中には、データ保護法が生成的AI開発を複雑化すべきではないと主張する者もいた。我々は責任あるAIの開発と展開を支持するが、生成的AIには除外規定も適用除外もないことを組織が認識することが重要である。組織が個人データを処理する場合は、データ保護法が適用される。私たちは、コンプライアンスに不安がある組織には、処理を開始する前にコンプライアンス問題を検討する「データ保護バイ・デザイン・アプローチ」を採用することを奨励している。 |
| 18 We said that model inversion and membership inferences show that AI models can inadvertently contain personal data: How should we assess security and data minimisation in AI? | 18 モデルの反転とメンバーシップの推論により、AIモデルが意図せずして個人情報を含む可能性があることが示された。AIにおけるセキュリティとデータ最小化をどのように評価すべきか? |
| 19 Principle (a): Lawfulness, fairness and transparency | 19 原則(a):適法性、公正性、透明性 |
日本の場合...
● 個人情報保護委員会
・ 2024.06.05 生成AIサービスの利用に関する注意喚起等について
・・[PDF] 【別添1】生成AIサービスの利用に関する注意喚起等
・・[PDF] 【別添2】OpenAIに対する注意喚起の概要
● まるちゃんの情報セキュリティ気まぐれ日記
・2024.01.24 英国 ICO 生成的AIとデータ保護に関する意見募集シリーズ1 ウェブスクレイピングの合法性の根拠 (2024.01.15)
Comments