【個人情報・データ保護】技術と法改正の最新動向をキャッチアップしてAIを使いこなす - Business & Law(ビジネスアンドロー)

© Business & Law LLC.

基本的な技術と法的リスクを理解すればAIは怖くない

この数年、話題に上らない日はないと言ってよいほど、産業界から注目を集めているテクノロジーと言えば、AIをおいてほかにない。事業への有効活用を求める声が社内外から上がる中、仕組みはよくわからないが法的リスクが気になり、二の足を踏んでいる……という法務担当者も少なくないのではないだろうか。
杉村萬国特許法律事務所は100年間続く歴史ある国際特許事務所を発端とする法律事務所ではあるものの、杉村光嗣弁護士が「我々は、技術が非常に大好きな、いわば“技術オタク”です。所内システムも内製で設計し、AI機能もいち早く取り入れました。技術面でも法律面でも最新の情報をフォローし、それらを使いこなすことができています」と語るとおり、デジタル分野をはじめ、技術に対する造詣が深い弁護士・弁理士が所属しており、AIにまつわる法的問題に悩んだときには頼りになるパートナーだ。今回は、個人情報保護委員会に2度の出向経験があり、この分野に詳しい寺田光邦弁護士を中心に、主に個人情報保護法制の観点から、企業のAIとの向き合い方についてお話をうかがった。

読者からの質問(AIの仕組みと法的リスク)

Q AIの仕組みと法的リスクについて、法務担当者でも理解しやすいように教えてください。
A AI以前のコンピュータシステムでは、人間があらかじめルールや計算式を設定し、それに則ってコンピュータが処理を行います(電卓がわかりやすい例かと思います)。対してAIは、AI自身が大量のデータを学習することで、ルールやパターンを見つけ出し、それに基づいた予測や判断を行います。これを“機械学習”といいます。この機械学習の一種であり、発展形が“ディープラーニング(深層学習)”です。人間の脳を模した多層的なネットワーク(ニューラルネットワーク)を介した複雑なデータ処理を行うことによって、より高度な予測や判断を行います。AIでは、機械自身がパターンやルールを生み出すため、人間からすると出力結果を生み出した過程がわかりづらい、ブラックボックスになっているという点に特徴があります。その法的リスクは場面によりさまざまですが、一般に言われることとして、高度な予測が可能であるがゆえに、人に知られたくない情報がAIによって明らかにされてしまう“プロファイリング”のリスクがあります。さらには、AIが事実とは異なる情報(ハルシネーション)やバイアスのかかった情報を出力する問題が知られています。企業がAIを事業で活用する際、プロファイリングやハルシネーション等の問題を回避できずに、ユーザーに不利益を与えたり、そのことによって企業自身も不利益を被ることがあり得ます(寺田弁護士)。

“個人情報の問題があるかもしれない”と察知するセンスを養おう

AIにまつわる法的リスクにはさまざまな観点があるが、個人情報保護はその一つだ。最先端技術が絡んでいると、“さぞ複雑な論点があるのでは”と思うが、寺田弁護士は、「“複雑な論点に取り組む”というより、むしろ“これは個人情報にあたるのか”“本人の同意が必要か”といった、基本的な論点を押さえるべき案件が多いですね」と述べる。
これは、AIツールのユーザーや、事業への導入を検討する事業者の母数が増えたことに一因があるのだろう。“個人情報”や“匿名加工”などの用語が独り歩きして、現場の勝手な解釈で、基本的なルールに則っていない形で個人情報等を扱うプロジェクトが動いてしまい、対応が後手に回る例もあるという。
また、AIの思考プロセスがユーザーにとってブラックボックスであるがゆえの漠然とした“怖さ”も混乱増加の要因だと杉村弁護士が続ける。

「技術の仕組みを理解しないと、問題の所在をつかむことは難しくなります。AIは、情報の提供の仕方自体は、従来のIoTツールの延長線上にあることが多いのですが、予想もしない出力結果が出てしまうことが大きな違いです。“情報がどう利用され、どのような仕組みでアウトプットされるか”がわからないと、“個人情報の問題になるかもしれない”という発想にもたどり着きにくいといえます」(杉村弁護士)。

“基本的な法律知識”と“技術への理解”、いずれも重要ということだ。一方で、現実にはシステムを設計する技術者には法律知識が乏しく、法務担当者には技術を理解するのが難しいという問題があり、そのために社内でミスコミュニケーションが生じたり、問題の把握が後手、不正確になることがままある。この点について、両弁護士は口を揃えて「まずは“このシステム設計には個人情報保護法上の問題があるかもしれない”と察知できる程度の感度を養えれば十分」と述べる。そのうえで、法律と技術の両方に明るい専門家に相談すれば、早めに正しい判断ができる。それを繰り返す中で、担当者の知見を高めていけばよいのだという。

杉村 光嗣 弁護士

個人情報保護法の改正動向をキャッチアップする

法務担当者が個人情報保護法の勘所をつかむにあたっては、同法に3年ごとの見直し規定があることを意識しなければならない。“ようやく現行法に慣れたところで改正が繰り返されてはキャッチアップが難しい”という声も聞かれるところだが、この分野に関わる技術の進歩や社会情勢の変化が目まぐるしいことを踏まえれば、必要な措置であろう。
2025年は現行法の施行から3年目にあたり、現在、個人情報保護委員会を中心に改正の検討が進められている。事業者においては、現行法とビジネスの実情との間にあるギャップを自覚するとともに、法改正の動向を注視することが求められている。
この3年で最も変わったことといえば、やはりAIの普及だが、寺田弁護士は、これが現在の個人情報保護法の根幹ともいえる“本人の同意取得”のあり方に再考を促す可能性を指摘する。

「個人データを第三者に提供する際の本人同意の取得は、個人情報保護法上の原則です。しかしAIを用いた事業では、学習のために大量の個人データを集めることに意味があることが多いでしょう。そのとき、一人ひとりから本人同意を得なければならないのは明らかに非効率で、物理的に不可能なレベルともいえます。結果として十分なデータが集まらず、そのために、たとえば新薬など、社会に必要な新製品の開発ができないとすれば非常にもったいない。そこで今回の改正では、“一定の分野や一定の場面では、本人同意を受けずに活用できる方法がないか”ということが議論されています。プライバシーに関わる権利の侵害を防ぐ仕組みは、仮名化や匿名化などのように本人の同意以外にも考えられますから、そういった代替措置がとれる分野であれば、“同意不要”と処理する考え方もあり得ます」(寺田弁護士)。

読者からの質問(個人情報保護法改正でAI規制がなされる可能性)

Q 個人情報保護法の改正で、AIに関する個別の規制がなされる可能性はありますか。
A 個人情報保護委員会では、AIの普及による個人情報の取扱いの変化を意識した法改正の検討が行われています。2024年5月末時点においては、法改正についての個人情報保護委員会の“中間整理”も公表されていないため、どのような法改正になるか見通すことは難しい部分があります。ただ、一口に“AI”と言っても、その範囲や技術内容はさまざまであるため、個人情報保護法にAIにのみ着目した個別の規制が設けられるという形ではなく、現行法の特定の条文の修正やガイドラインの制定・修正を通してAIの適正な利活用を図っていくという流れになるのではないかと予想します。

情報定義の見直しや課徴金制度の導入はどうなるか

もう一つの個人情報保護法の根幹といえる、個人情報などの取扱いを規制する情報について、“バリエーションが増えすぎている”という指摘がある。個人情報、個人データ、保有個人データ、仮名加工情報、匿名加工情報、個人関連情報……それぞれの定義も複雑であり、その取扱いに関する規定も異なるため、“ついていけない”という問題提起が、個人情報保護委員会による事業者ヒアリングで確認されているという。これについて、寺田弁護士は以下のように述べる。

「用語の定義は法律を遵守するうえで重要なので、“ここがわかりにくくて困る”という指摘はもっともです。最初の個人情報保護法では“個人情報”“個人データ”“保有個人データ”の3分類だったものが、改正を重ねるにつれて増えていったという経緯があります。一方で、GDPRは最初から“個人データ”のみです。ただ、これをGDPRに倣って一つに集約するとなると、もともと3分類が根幹になっている法律なので、かなり広範囲の検討が必要となる改正になるように思われます。そのため、今回の改正ですぐに簡素化されるという方向性にはなりにくいのではないかと予想しています」(寺田弁護士)。

また、法改正の際には毎回議題に上るものの、検討課題として先送りにされてきた“課徴金制度の導入”についても検討がなされている。これには、“データを活用したビジネスについて過度な萎縮を招く”という懸念から、事業者側からの反対意見が根強い。一方で、個人情報を不当に利用する悪質な事業者に対する制裁や抑止も考える必要があるだろう。果たして今回はどうなるのか。

「高額の制裁金を課すことで制度の実効性を高めている諸外国と比べると、日本の個人情報保護法の罰則は弱すぎるというのは厳然たる事実だと思います。私も個人情報保護委員会で働いていたときに、海外の当局からその点を指摘されることがありました。特にAIを利用した事業を念頭に置くと、情報の取得・利用範囲がグローバルですから、海外企業による違反行為も想定しなければなりません。“GDPRの制裁は厳しいけど、日本ではこの程度だから踏み越えてもいいだろう”といった考え方をされることは回避しなければなりません。グローバル企業に対する必要性を考慮すると、課徴金制度の導入は視野に入るかもしれません。一方で、日本ではこれまで個人情報保護法に基づく勧告や命令などの罰則の執行事例が乏しいという事実もあります。ここから、課徴金のような強い制裁手段を用いなくても、大多数の事業者は概ね個人情報保護法を遵守している状況にあると考えることもできます。その状況で“本当に課徴金制度を導入する必要性があるのか”というのが事業者側の意見だと思います。こういった現状を踏まえると、今回の改正での課徴金制度の導入はやや難しいのではないかと個人的には見ていますが、予断は許さないと思います」(寺田弁護士)。

いずれの論点も、AIの活用を検討する事業者にとって関心の高いところであり、今後の改正動向を注意深く見守る必要がある。「もし自社のビジネスに照らして“こうしてほしい”という要望があれば、パブリックコメントなどの機会を通して意見を出すことも検討することをお勧めします」と寺田弁護士は続ける。

寺田 光邦 弁護士

法律オタクと技術オタクがAI事業を前に進める

AI技術やこれを活用した事業は今後もさらなる進化を遂げ、今日の常識は早晩に通用しなくなり、新しい常識に塗り替えられるだろう。そして、個人情報保護法がそうであるように、技術の進化、社会の変化に対応すべく、関連法や行政・司法判断も定期的にアップデートが繰り返される。そのような世界で勝負するのであれば、技術面でも法律面でも、常に最新の動向をしっかりと押さえたリーガルサービスを提供できる法律事務所をパートナーに選ぶ必要があろう。杉村弁護士も寺田弁護士もそれぞれ特許庁、個人情報保護委員会へ出向経験があり、法改正の現場を知っている“法律オタク”であり、冒頭の杉村弁護士の言にあるように、同事務所には技術が非常に大好きな“技術オタク”が多数在籍しているというのだから、まさにこの分野のパートナーとして心強い存在だ。
「結局、AIに関する法務というのは、昔からあるデジタルに関する法務の進化系ですから、デジタルに関連するあらゆる法律が関わってきます。個人情報保護法もさることながら、知的財産法や独占禁止法、特定商取引法などもそうです。当事務所には、これら諸法についてさまざまな知見と経験を有するスタッフがいて、相互に連携しています。あらゆる法的観点から漏れなくサポートできる体制を整えており、扱う案件も技術・デジタル絡みのものがとても多いのです。デジタルに強い事務所を選べば間違いはありません」と杉村弁護士は力を込める。
寺田弁護士も「現実には“個人情報保護法の観点のみで検討してください”ということではなく、あるサービスの法的リスクについて“ざっくり”相談を受けることも多いです。そのときには、“デジタル技術にまつわるさまざまな法域のリスクをどれだけ把握できるか”が問われます。その点、当事務所は多くの実績がありますので、きっとお役に立てると思います」と添える。
技術と法律を熟知する立場からのリーガルアドバイスは、事業者にとって、もちろんリスクの芽を摘むうえでも役立つが、AIを活用した取組みや事業を前に進めるうえでも重要だ。最後に寺田弁護士は、その意義について以下のように述べた。

「AIのような新しいテクノロジーは、よくわからないがゆえに“リスクがありそうだからやめておこうか”という判断にもなりがちです。しかし、それはビジネスの機会を逸し、先行者利益を失うことにつながります。大事なのは、“そのリスクを低減するために、技術的に、あるいは法律的にできることはないか”と事業者様内部においても我々弁護士においても知恵を絞ること。当事務所なら、AIや新しい技術に関するご相談に対しては、適切なアドバイスができると自負しています」(寺田弁護士)。

→『LAWYERS GUIDE 企業がえらぶ、法務重要課題2024』を 「まとめて読む」
他の事務所を読む

 DATA 

所在地・連絡先
〒100-0013 東京都千代田区霞が関3-2-1 霞が関コモンゲート西館36階
【TEL】03-3581-7888(法務代表) 【FAX】03-3580-0588(法務代表)

ウェブサイトhttps://sugimura.partners/jpn/

杉村 光嗣

弁護士
Koji Sugimura

06年東京大学法学部卒業。08年東京大学法科大学院修了。09年弁護士登録(第一東京弁護士会)、西村あさひ法律事務所入所。12~14年特許庁総務部総務課制度審議室にて特許法等改正法の企画・立案等を担当。14年弁理士登録。17年~杉村萬国特許法律事務所代表弁護士。

寺田 光邦

弁護士
Mitsukuni Terada

05年東京大学法学部卒業。08年慶應義塾大学法科大学院修了。09年弁護士登録(第二東京弁護士会)、西村あさひ法律事務所入所。20年南カリフォルニア大学ロースクルール修了(LL.M.)。18~19年および20~21年個人情報保護委員会事務局国際室にて日EU相互認証交渉、DFFT推進業務および諸外国法制調査等を担当。23年杉村萬国特許法律事務所入所、弁理士登録。