Emilio Administrative Law Office
【個人事業主向け】ChatGPTに個人情報を入力してしまったら?法的リスクと対策をわかりやすく解説
最近、仕事でChatGPTなどの生成AIサービスを使う人が増えています。
「メールの文章を作ってもらう」「会議のメモをまとめてもらう」など、便利な使い方がたくさんありますよね。でも、ちょっと待ってください!生成AIサービスに入力した情報に、「個人情報」は入っていませんか?
海外からのお問合せメールを翻訳しようと、送り主の氏名やメールアドレスもコピペして入力してしまった。
契約書のリーガルチェックをお願いしようとそのまま送ったら、契約当事者の氏名や会社情報が含まれていた。
社内資料の誤字脱字チェックをお願いしたら、担当者の氏名・メールアドレス・内線番号が記載されていた。
こうした行為が、法律違反になったり、情報漏えいのリスクを引き起こしたりする可能性があるのです。
この記事では、個人事業主の方でも広く利用されているOpen AI社の生成AIサービス「ChatGPT」に個人情報を入力すると、日本の法律上、何が問題になるのか、他にどんなリスクがあるのか、そして具体的にどう対策すればいいのかを、やさしく解説します!
ChatGPTに個人情報を入力すると、日本の法律ではどうなる?
日本の個人情報保護法では、個人情報の利用目的のなかに、あらかじめChatGPTなどのツールを業務に利用することが含まれていれば、直ちに違法と判断されるわけではありません。
個人情報保護法第17条第1項では、�「個人情報を取得する際には利用目的をできる限り特定しなければならない」とされています。また第18条第1項では、「特定された利用目的の達成に必要な範囲を超えて個人情報を利用してはならない」としています。
つまり、ChatGPTに個人情報を入力する行為が、あらかじめ公表・通知した利用目的の範囲内で行われているなら、直ちに法律違反とはなりません。
例えば、プライバシーポリシーに「入力データを分析し、業務効率化に利用する」といった目的が明記されており、その一環としてChatGPTを使っているのであれば、目的の範囲内で利用していることになるでしょう。
とはいえ、お客様の個人情報を入力すれば、「プライバシーの侵害だ!」と問題になりかねません。また、「個人情報の適切な管理」としてどうなのか?という疑問が残ることに注意してください。
個人データの場合はどうか?
まず、日本の個人情報保護法では、大まかに言うと、「個人情報」と「個人データ」には下記のような違いがあります。
個人情報 …氏名や住所など、特定の個人を識別できる情報(検索できるように整理はされていないバラバラの状態)
個人データ …個人情報のうち、検索できる状態に整理され、データベースの一部になっている情報
「個人情報」と「個人データ」の違いについては、ブログ「知らないと危ない!個人情報と個人データの違いと管理方法を分かりやすく解説」も参考にしてください。
日本の個人情報保護法では、「個人情報」と「個人データ」では、取り扱いの厳しさが違っています。そして、個人データを第三者(他の会社や人)に提供する場合は、原則として本人の同意が必要です(法27条1項)。
ChatGPTは、私たちが入力した質問や情報をサーバーに送信し、AIが処理して返答する仕組みです。つまり、ChatGPTに入力した情報は、自分のパソコンの中だけにあるわけではなく、インターネットを通じて外部に送られています。ChatGPTに個人データを入力すると、それが「第三者提供」にあたる可能性があるのです。
なお、個人データではない、個人情報は、第三者に提供する際に、本人から同意を取る義務はありません。そのため、先ほど説明した利用目的の範囲で活用するのであれば、個人情報(お客様の名前やメールアドレスなど)をChatGPTに入力したとしても、それが「個人データ」ではない限��り、厳密には違法とはなりません。
どうすれば、第三者提供にならないの?
個人データを第三者に提供するには原則として本人の同意が必要ですが、「提供」とみなされないケースもあります。
法令上、「提供」とは「自己以外の者が利用可能な状態に置くこと」と定義されます。例えば、クラウドサービスで、クラウド事業者にファイルを保管する場合、その事業者が個人データを取り扱わないこととなっている場合には、個人データを提供したとはならず、第三者提供に該当しないので、「本人の同意」を得る必要はないとされています(これを「クラウド例外」と呼んでいます)。
貸倉庫のように、ただ荷物を預かっている状態なら、「自己以外の者が利用可能な状態に置くこと」とは言えない、というわけです。
ChatGPTはどうでしょうか?ChatGPTは、ユーザーが入力した情報を保存し学習することで、ChatGPT全体の機能を高めたり、ユーザーの好みに合わせて返事したりする仕組みになっています。とすると、皆さんの入力した情報は、「自己以外の者が利用可能な状態に」あり、第三者提供に当たってしまうのです。
一方で、ChatGPTにデータを入力してもOpenAI社がその個人データを自分の学習に利用しない設定(ユーザーの質問に対する答えを出力するだけ)になっている場合には、法律上「第三者提供」には当たらないので、本人の同意は必要ないと考えられます。
具体的には、入力した内容を、ChatGPTに学習させない設定にしておき(これを「オプトアウト」といいます)、OpenAI社がデータを保管し、学習利用しない状態にしておきます。外部に個人データを提供していないとみなすことも可能でしょう。
ここまで読んで、適切な方法を取れば、ChatGPTに個人情報・個人データを入力しても、直ちに違法にはならないことが、お分かりいただけたかと思います。
情報流出のリスクは残るので注意!
しかし、法的な問題をクリアしたとしても、ChatGPTに個人情報を入力することのリスクは完全に消えません!
ChatGPTへの入力内容は基本的にインターネット経由で外部サーバーへ送信されます。また、OpenAI社ではサービス改善や不正防止の目的で一定期間ユーザーの会話ログを保持しています。そのため、不正アクセスなどを原因とした、意図しない第三者への情報流出という危険をゼロにすることはできません。
また技術的な不具合で情報が漏れるリスクもあります。実際、2023年3月に�は、ChatGPTのバグにより、他ユーザーのチャット履歴の一部が誤表示される事故が起きたのをご存じですか?この事故で、一部のユーザーの氏名やクレジットカード情報が流出しました。こうしたシステム上の事故による漏えいも起こり得ることにご注意ください。
まとめると、そもそもChatGPTに個人情報を入力しないことが最も安全、ということなのです。
ChatGPTに学習させないよう設定する方法は?
それでは、ChatGPTに学習させないよう設定する方法を具体的に見ていきましょう。
ChatGPTでは、アカウントの設定から「すべての人のためにモデルを改善する」をオフにすることができます。これにより、会話の履歴を残しつつも、新規のチャット内容がモデルの学習に使われなくなり、他のユーザーへの回答に自分の入力内容が反映されるなどのリスクを減らせます。
以下は実際の設定画面のイメージです。
このように、ChatGPTの「データ コントロール」の設定画面。で、チャット履歴を無効化することで、モデルの学習に入力内容が使用されなくなります。
この他、会話の履歴が残らず、学習にも利用されない「一次チャット機能」を利用する方法もあります。また、履歴をオフにしたチャットは左側の履歴一覧にも残らず、OpenAI社側でも、30日間保存後に完全削除される運用となります。
設定ひとつで「入力データを保持・学習しない」選択ができますので、ChatGPTを使う際は、必ず設定を確認し、必要ならオプトアウトを有効化しましょう!
ChatGPTに個人情報を入力してしまったら?
万が一、ChatGPTに個人情報を含むデータを送信してしまった場合の対応策も押さえておきましょう。
ChatGPTの画面上で送信してしまった内容が、会話の履歴に残っている場合、まずその会話スレッドを、速やかに削除します。ChatGPTには履歴を個別に削除する機能がありますので、該当するチャットをメニューから消去してください。こうすることで第三者が自分の端末でその履歴を閲覧するリスクは減ります。30日間はOpenAI社のサーバー上に保存されますが、その後、完全に削除されます。
心配な場合は、OpenAI社のサポートに連絡して、即時削除をお願いする手もあります。OpenAI社の公式サイトでは、ユーザーからの削除リクエストに対応しており、申請が認められればサーバー上の会話データが削除されます。
(ただ、OpenAI社のサポートは全て英語での会話となります。また、連絡も一両日中にはこないでしょう。やっと返事がきても、会話データを削除することをすすめて、それで終わり、というケースも多々あることに注意が必要です。)
安全対策をしっかりして、活用しよう!
ChatGPTは便利なツールですし、業務の効率化には今やかかせないツールになっています。しかし使い方を間違えるとトラブルの原因になります。
何度も繰り返しますが、個人情報を入力しないように徹底するのが、一番の安全策です。ルールをしっかり理解し、安全に生成AIを活用していきましょう!
この記事のまとめ
ChatGPTに個人情報を入力すること=直ちに違法ではない。
法的にも、安全対策にも、データを学習させない設定にすることが大切。
個人情報を入力しないのが一番安全!しっかり対策して安全に使おう!