Journal of Information and Communications Policy
Online ISSN : 2432-9177
Print ISSN : 2433-6254
ISSN-L : 2432-9177
New Challenges for Privacy and Personal Information Protection in the Age of the AI / IoT
Masao Horibe
Author information
Keywords: AI, IoT, privacy, personal information, ICDPPC, connected car, AI declaration
JOURNAL FREE ACCESS FULL-TEXT HTML

2019 Volume 3 Issue 1 Pages 1-24

Details
Download PDF (1061K)
Download citation RIS

(compatible with EndNote, Reference Manager, ProCite, RefWorks)

BIB TEX

(compatible with BibDesk, LaTeX)

Text
How to download citation
Contact us
要旨

AIやIoTは、グローバルな規模でこれまで経験しなかったような影響を与えている。それは、プライバシー・個人情報保護に新たな問題を投げかけている。これまでにまとめられているAI原則の中にプライバシー保護を揚げるのが通例となっている。それでは実際にどのように保護するのか。

プライバシー・個人情報保護の問題は、情報通信技術(Information and Communication Technology : ICT)などの進展との関係でかなり論じてきた。その必要性は、日本の法律(2015年改正個人情報保護法附則第12条第3項)でも認められるようになった。これまでもそうであったが、グローバルな規模でプライバシー・個人情報保護問題を検討する必要性を痛感している。

そこで、プライバシー・個人情報保護に日常的に取り組んでいる主要国のデータ保護機関(Data Protection Authority : DPA)で構成されている「データ保護プライバシー・コミッショナー国際会議」(International Conference of Data Protection and Privacy Commissioners : ICDPPC)における議論が実践的であり、それを参照する意義は極めて大きいと考えるに至った。日本の個人情報保護委員会は2017年にメンバーとして認められた。この会議においては2017年にIoTの具体的な事例である自動化・コネクト(接続)された車両のデータ保護に関する決議(Resolution on data protection in automated and connected vehicles)が採択された。また、2018年には、同会議においてAIにおける倫理及びデータ保護についての宣言(Declaration on Ethics and Data Protection in Artificial Intelligence)が採択された。従来からの研究に加え、個人情報保護委員会の委員長として、これらの国際的文書にコミットしてきた。特に後者については、常設のAI作業部会が設けられ、日本としてもインプットしなければならない。そのためには、英知が結集されるべきである。

Abstract

AI and IoT have had an impact on a global scale. It poses new problems for privacy and personal information protection. It is common to put privacy protection in the AI principles that have been compiled so far. The problem is how to protect it actually? The issue of privacy and personal information protection has been discussed considerably in relation to developments in information and communication technology (ICT). This need has also been recognized in Japanese law (Article 12, Paragraph 3 of the Amended Act on the Protection of Personal Information (2015). As was the case before, I have felt the need to consider privacy and personal information protection issues on a global scale.

The discussions at the International Conference of Data Protection and Privacy Commissioners (ICDPPC) consisting of data protection authorities (DPAs) of major countries that routinely work on privacy and personal information protection are practical, and it has become extremely meaningful to refer to it. Japan's Personal Information Protection Commission (PPC) was recognized as a member in 2017. This year the Resolution on data protection in automated and connected vehicles was adopted. It is a specific example of IoT. In 2018, the ICDPPC adopted the Declaration on Ethics and Data Protection in Artificial Intelligence. In addition to his previous research, the chairman of the PPC has been committed to these international documents. Especially for the latter, a permanent AI working group was established and Japan will have to input. To that end, wisdom should be gathered.

1. はじめに―プライバシー・個人情報保護関係国際的文書検討の必要性

このところ、様々な分野において、AI(Artificial Intelligence:人工知能)やIoT(Internet of Things : モノのインターネット)が実装されてきている。これに伴い、社会・経済等様々な分野に様々な影響が見られるようになってきている。しかも、グローバルな規模でこれまで経験しなかったような影響が出てきている。それらの影響のうち、ここでは、プライバシー・個人情報への影響について検討することにする。

本稿のテーマは、「AI/IoT時代のプライバシー・個人情報保護の新課題」である。プライバシー・個人情報保護の問題は、情報通信技術(Information and Communication Technology : ICT)などの進展との関係でかなり論じてきた1

その必要性は、日本の法律でも認められるようになった。例えば、2015年の改正個人情報保護法附則第12条第3項は「政府は、前項に定める事項のほか、この法律の施行後三年ごとに、個人情報の保護に関する国際的動向、情報通信技術の進展、それに伴う個人情報を活用した新たな産業の創出及び発展の状況等を勘案し、新個人情報保護法の施行の状況について検討を加え、必要があると認めるときは、その結果に基づいて所要の措置を講ずるものとする」(太字は筆者)と規定している。

ここでは、「情報通信技術の進展」ばかりでなく、「国際的動向」も個人情報保護法の見直しの条件になっている。また、国際関係については、改正個人情報保護法第6条の「法制上の措置等」では、「政府は、個人情報の性質及び利用方法に鑑み、個人の権利利益の一層の保護を図るため特にその適正な取扱いの厳格な実施を確保する必要がある個人情報について、保護のための格別の措置が講じられるよう必要な法制上の措置その他の措置を講ずるとともに、国際機関その他の国際的な枠組みへの協力を通じて、各国政府と共同して国際的に整合のとれた個人情報に係る制度を構築するために必要な措置を講ずるものとする」(太字は筆者)と規定している。その国際的動向・国際関係についても本稿では重要視する。

これまでのICT化と現在のAI/IoT化場合、特にAIについては、従来のICT化によるものよりも多くの大きな便益をもたらすであろうという考え方が強く、不利益よりも利益が大きいことから、その利益を最大限に享受できるようにすることが重要である。

AIのメリットを活かしつつ、プライバシー・個人情報の保護をも図るという二律背反的な目的を達成するにはどのようにすればよいか。

この目的を追求するために、従来ものしてきた論稿を再検討した。AIについては、国際機関・諸外国・政府の報告書、多数の文献等が公になっている。それらを渉猟した。

思考の過程において、これまでもそうであったが、グローバルな規模でプライバシー・個人情報保護問題を検討する必要性を痛感した。

そこで、プライバシー・個人情報保護に日常的に取り組んでいる主要国のデータ保護機関(Data Protection Authority : DPA)で構成されている「データ保護プライバシー・コミッショナー国際会議」(International Conference of Data Protection and Privacy Commissioners : ICDPPC)における議論が実践的であり、それを参照する意義は極めて大きいと考えるに至った。

1979年に始まったICDPPCは、今年、第41回会議をアルバニアで開くが、この会議にはかつては研究者として、また最近では(特定)個人情報保護委員会の委員長として、20数回参加してきている(参加回数の最も多い一人である)ので、そこでの議論・決議・宣言等については比較的よく知り得る立場にある。しかも、後述するように、2017年には日本の個人情報保護委員会が正式メンバーとして認められ、その委員長として国際的にも一定のコミットをしてきている。

AIについては、2018年にベルギーのブリュッセルで開かれた第40回ICDPPCにおいて、10月23日に「AIにおける倫理及びデータ保護についての宣言」(Declaration on Ethics and Data Protection in Artificial Intelligence2)(「AI宣言」という。)(ちなみに宣言の原文ではArtificialではなく、Artificalになっている)が採択された。また、IoTについては、2017年に香港で開催された第39回ICDPPCにおいて、9月27日に、「自動化・コネクト(接続)された車両のデータ保護に関する決議」(Resolution on data protection in automated and connected vehicles3)(「コネクテッドカー決議」という。)が採択された。

このような国際的な議論に日本が主体的に加わるためには、日本においてICDPPCが定めている基準を満たす機関を設置することが必要であった。その必要性についても長年にわたり議論を展開し、2013年のマイナンバー法で2014年1月1日に設置された特定個人情報保護委員会の初代の委員長を拝命し、2016年1月1日にその当初の委員会を改組して設置された個人情報保護委員会の委員長に就任し、2018年12月31日に、5年の法定任期を終えるまでの間に、AI/IoTに関わる、ICDPPCの関係文書をも検討してきた。その経験からすると、研究者としての研究に加えて、継続性・専門性を有する国際会議体における議論は、各国の実際を踏まえた知見に裏打ちされており、説得的であると言える。日本におけるAI/IoT時代のプライバシー・個人情報保護も、グローバルな視点に立つならば、国際的な文書(現在はそれぞれ主権を有する国家が協力して作成している文書であるので、グローバルではなく、「国際的文書」という表現を用いる)を参考にして論じられるのが適切である。

日本がこのように諸外国と肩を並べて議論できるようになるまでには相当な年月を要した。日本では制度化に時間がかかる傾向がある。国際的には制度化がなされていないと信用されないと言っても過言ではないので、国内的には保護されているように思われていても、国際的には通用しないことを、この際、肝に銘じなければならない。

AI一般やAIの特定分野については、国内的・国際的にかなり論じられてきている。そのような状況の中で、プライバシー・個人情報保護に特化した議論を国内的・国際的に展開し、国際的合意がなされているものについては、国内において法的に又は準法的・倫理的に具体化する努力をしなければならない。これも新課題の重要な側面である。

日本も、重要な国際会議体のメンバーとしてAI/IoTにも関係してきたところを明らかにし、そこで一定の結論に達している合意事項について論じることにする。

なお、AI/IoT時代の概念についても述べる必要があると考えて、その準備もしたが、多くの文献において既に説明されているので、ここでは、割愛させていただく。

2. 政府のAI関係の報告書等

2. 1. 文書・検討状況等

日本においてばかりでなく、諸外国においても、AIについてかなり論じられているが、ここでは、2019年に日本で公表された文書を見るにとどめることにする。

国際機関・諸外国の文書・検討状況等については、後掲の総務省情報通信政策研究所「AIネットワーク社会推進会議報告書2019」(2019年8月9日)において紹介されているので、参照されたい。

その他、文書・検討状況等をまとめたもので、意見交換をしている文献としては、次のようなものがある。

  • ◇ 加藤尚徳・鈴木正朝・板倉 陽一郎・村上陽亮「いわゆるAIに関する国際規制動向調査報告~OECDによるAI原則の分析~」、信学技報119(141)、325-331頁、2019年。
  • ◇ 同上「いわゆるAIに関する国際規制動向調査報告~欧州委員会によるガイドラインの分析~」、信学技報、119(67)、27-34頁、2019年。
  • ◇ 同上「いわゆるAIに関する国際規制動向調査報告~仏CNILによる報告の分析~」、情報処理学会研究報告電子化知的財産・社会基盤(EIP)、2019-EIP-84(8)、1-6頁、2019年。
  • ◇ 加藤尚徳・鈴木正朝・村上陽亮「いわゆるAIに関する国際規制動向調査報告~ICDPPC2018における議論を中心として~」、信学技報118(480)、121-126頁、2019年。

2. 2. 統合イノベーション戦略推進会議決定「人間中心のAI社会原則4」(2019年3月29日)

この決定は、「第4章 人間中心のAI社会原則」として、(1)人間中心の原則、(2)教育・リテラシーの原則、(3)プライバシー確保の原則、(4)セキュリティ確保の原則、(5)公正競争確保の原則、(6)公平性、説明責任及び透明性の原則、並びに(7)イノベーションの原則の7原則を挙げている。その一つが「(3)プライバシー確保の原則」である。これについては、次のように説明している。

「全てのAIが、パーソナルデータ利用に関するリスクを高めるわけではないが、AIを前提とした社会においては、個人の行動などに関するデータから、政治的立場、経済状況、趣味・嗜好等が高精度で推定できることがある。これは、重要性・要配慮性に応じて、単なる個人情報を扱う以上の慎重さが求められる場合があることを意味する。パーソナルデータが本人の望まない形で流通したり、利用されたりすることによって、個人が不利益を受けることのないよう、各ステークホルダーは、以下の考え方に基づいて、パーソナルデータを扱わなければならない。

  • ・パーソナルデータを利用したAI及びそのAIを活用したサービス・ソリューションにおいては、政府における利用を含め、個人の自由、尊厳、平等が侵害されないようにすべきである。
  • ・AIの使用が個人に害を及ぼすリスクを高める可能性がある場合には、そのような状況に対処するための技術的仕組みや非技術的枠組みを整備すべきである。特に、パーソナルデータを利用するAIは、当該データのプライバシーにかかわる部分については、正確性・正当性の確保及び本人が実質的な関与ができる仕組みを持つべきである。これによって、AIの利用に際し、人々が安心してパーソナルデータを提供し、提供したデータから有効に便益を得られることになる。
  • ・パーソナルデータは、その重要性・要配慮性に応じて適切な保護がなされなければならない。パーソナルデータには、それが不当に利用されることによって、個人の権利・利益が大きく影響を受ける可能性が高いもの(典型的には思想信条・病歴・犯歴等)から、社会生活のなかで半ば公知となっているものまで多様なものが含まれていることから、その利活用と保護のバランスについては、文化的背景や社会の共通理解をもとにきめ細やかに検討される必要がある。」

ここには、大変重要な考え方が示されている。

2. 3. 統合イノベーション戦略推進会議決定「AI戦略2019~人・産業・地域・政府全てにAI~5」(2019年6月11日)

この決定の中の「Ⅳ.倫理6」において、次のように指摘している。

「AIの利活用への関心が高まる中、文明的な利便性を過度に追求することは、AIが引き起こす負の側面が拡大しかねない。これを抑制するには、文化的な背景が持つ高い倫理的観点が重要であり、より人間を尊重した利活用を進めるためには、いわゆる、AI社会原則が必要となってきている。そのような中、我が国では2019年3月に、また、EUでは同年4月に、AI社会原則を策定し、発表した。さらに、同年5月のOECD閣僚理事会では、AIに関する勧告が採択され、同年6月のG20貿易・デジタル経済大臣会合では、『人間中心』の考えを踏まえたAI原則に合意した。

現時点では、日本、EUに加え、カナダやシンガポールなどが同様の検討を進めているが、UNESCO、G7といった国際的フレームワークにおいても、倫理に関する議論が進行中であり、今後、新たな社会の在り方を含め、様々な議論が更に活発化することが予想される。

また、専門家の集まりである、『データ保護・プライバシーコミッショナー国際会議』においても、AI倫理及びデータ保護に関する原則に沿った指針の策定に向けて議論が始まっている。」

これに続けて<目標>では「AI社会原則の普及と、国際連携体制の構築」を掲げている。

本稿では、ここに引用した最後に出ている「専門家の集まりである、『データ保護・プライバシーコミッショナー国際会議』においても、AI倫理及びデータ保護に関する原則に沿った指針の策定に向けて議論が始まっている」という指摘にあるように、研究者として、また、2014年1月以降は(特定)個人情報保護委員会の委員長として関わってきたICDPPCにおける議論を重要視し、先に名称のみを挙げた、2018年のAI宣言について、後にやや詳しく検討することにする。

2. 4. 総務省情報通信政策研究所「AIネットワーク社会推進会議報告書20197」(2019年8月9日)

この報告書は、2016年10月から検討を開始し、OECD(Organisation for Economic Co-operation and Development : 経済協力開発機構)をはじめ、国際的にも大きな貢献をしてきている推進会議の2019年の報告書として注目される。

報告書2019は、よく知られているように、次のような10のAI利活用原則を定立している8

  • 1. 適正利用の原因
  • 2. 適正学習の原則
  • 3. 連携の原則
  • 4. 安全の原則
  • 5. セキュリティの原則
  • 6. プライバシーの原則
  • 7. 尊厳・自律の原則
  • 8. 公平性の原則
  • 9. 透明性の原則
  • 10. アカウンタビリティの原則

これら10原則の中の「6. プライバシーの原則」は、次のようになっている9

「プライバシーの原則:利用者及びデータ提供者は、AIシステム又はAIサービスの利活用において、他者又は自己のプライバシーが侵害されないよう配慮する。

  • (主な論点)
  • ア AIの利活用における最終利用者及び第三者のプライバシーの尊重
  • イ パーソナルデータの収集・前処理・提供等におけるプライバシーの尊重
  • ウ 自己等のプライバシー侵害への留意及びパーソナルデータ流出の防止」

3. 国際会議体の正式メンバーとしての参加

3. 1. ICDPPCへのオブザーバー参加申請

個人情報保護関係の国際的会議体はいくつかあるが、前述したように、そのうちの最大規模で、この分野で最も長い歴史を有するのがICDPPCである。

特定個人情報保護委員会としては、2014年及び2015年のICDPPCにはオブザーバー参加の申請をして参加を認められ、クローズド・セッション10に出席した。

3. 2. 2016年第38回ICDPPCの正式メンバーとしての申請不承認とオブザーバー参加

3. 2. 1. ICDPPCの正式メンバーとしての申請と不承認

個人情報保護委員会がこの会議の正式メンバーとして“仲間入り”するためには、同会議が定めた認証基準及び手続(Accreditation Rules and Procedures)を満たす必要があり、承認される可能性は高まってきたが、そのためには個人情報保護委員会の権限等を説明する文書を作成しその手続をとらなければならない11

2016年の第38回ICDPPCは、10月17日から20日にかけて、モロッコのマラケシュで開かれることになった。この会議で正式メンバーとして承認されるであろうという期待もしながら、申請手続を取った。事前に質問されたことの1つは、法的権限はどうなっているかということであった。しかし、その時点では執行権限は持っていなかった(改正個人情報保護法のその後の施行期日政令によって2017年5月30日に各主務大臣の権限が個人情報保護委員会に一元化された)。法執行を非常に重視するので、2016年に承認されるのは難しいかもしれないという悪い予感はしていた。

ICDPPCの執行委員会(Executive Committee)から、2016年は正式メンバーとしては認められないという連絡が事前にあった。5カ国で構成されている執行委員会で検討したところ、委員長を出しているニュージーランドとホスト国のモロッコは承認には賛成であったが、カナダ、フランス及びオランダが反対であったということが分かった。

10月17日のクローズド・セッションの最初の決議でオブザーバー参加の申請は承認された。

3. 2. 2. クローズド・セッションの議題―AI

クローズド・セッションの議題はいくつかあったが、その一つがAIであった。

オブザーバーとして発言はできるであろうと思い、2016年2月に始まった、総務省の「AIネットワーク化検討会議」(「AIネットワーク社会推進会議」は同年10月から開催)の議論などを聞いて発言の準備はしてみた。当時、総務省情報通信政策研究所調査研究部長であった福田雅樹氏(現在、大阪大学大学院法学研究科教授)からヒアリングを行い、資料もいただいた。

10月17日のロボット及びAIのセッションにおけるプレゼンテーションは、大変興味深かった。発言の準備もしてはみたが、時間もなく、また、各国の状況について説明する場でもなかったので、発言は控えた。

後に祥述する、2018年の第40回ICDPPCで採択されたAI宣言は、前文の最初で「マラケシュでの第38回データ保護プライバシー・コミッショナー国際会議におけるAI、ロボットエ学、プライバシー及びデータ保護に関する当初の議論を考慮し」と、この2016年の第38回データ保護プライバシー・コミッショナー国際会議における議論に言及している。

3. 3. 2017年の第39回ICDPPC(2017年9月25日~29日 香港)への正式メンバーとしての参加とコネクテッドカー決議

3. 3. 1. 正式メンバーとしての承認

2017年の第39回ICDPPCは、9月25日から29日まで、香港のカオルーン・シャングリ・ラ・ホテルで開催された12

クローズド・セッション第1日(9月26日)には、正式メンバーとして承認されるであろうことは、事前に連絡があったので、そのつもりで会議に臨んだ。クローズド・セッションの冒頭で「承認決議」が行われるのを会場の外で待っていた。やがて承認されたとの連絡があり、会場に入るように指示され、Japanのフラッグのある席に着いた。

3. 3. 2. クローズド・セッションの議題―コネクテッドカー決議

クローズド・セッション第2日目の9月27日午前はいくつかの報告の後に、次のような決議(Resolutions)を採択した13

  • ・ Resolution on data protection in automated and connected vehicles
  • ・ Resolution on collaboration between data protection authorities and consumer protection authorities for better protection of citizens and consumers in the digital economy
  • ・ Resolution on exploring future options for International Enforcement Cooperation (2017)

これらの決議のうち、最初の「コネクテッドカー決議」を見ると、提案は、ドイツ・連邦データ保護・情報公開監督官(Die Bundesbeauftragte für den Datenschutz und die Informationsfreiheit)であった。自動車産業で有名なドイツのデータ保護機関が提案していることに注目した。採択されるまでのプロセスは、次のようになっていた。

  • ・2017年8月21日バージョンが会議事務局から配布された。メンバーの意見を踏まえて若干修正された。
  • ・2017年9月5日提案者から簡略な報告があった。字句を一部修正したにとどまった。
  • ・2017年9月27日採択された。ただし、米国の連邦取引委員会(Federal Trade Commission)は棄権した。

3. 3. 3. IoTの一事例としてのコネクテッドカーとプライバシー・個人情報保護―ICDPPCの決議(2017年)の前文

このコネクテッドカー決議については、2018年2月19日に東京の一橋大学一橋講堂で開かれた理化学研究所革新知能統合研究センター(AIP)〈法と技術シンポジウム(第2回)〉において、「プライバシーコミッショナー会議とコネクティッドカー」というタイトルの報告の中で取り上げた。

コネクテッドカーは、本稿のメインテーマである「AI/IoT時代のプライバシー・個人情報保護」で言えば、IoTの一事例である。

コネクテッドカー決議は、前文と本文でA4判4頁以上になる。その主要部分を見ることにする。

前文に当たる部分は、第38回ICDPPCが「自動化・コネクテッド(接続された)車両が、ユーザビリティ及び利便性の向上を図ることで、ユーザーにとっても、並びに、車両のドライバー及びその乗客、他の道路利用者及び歩行者の交通効率性及び安全性を向上させることで、一般の人々にとっても、大きなメリットをもたらす可能性があることを認識し」で始まる改善点や従来の議論の経緯などに触れている。

3. 3. 4. ICDPPCのコネクテッドカー決議(2017年)の本文

本文は、「第39回ICDPPCは、すべての関係者、特に、次に掲げる関係者に考慮することを要求する」としている。

  • ・標準化機関(standardization bodies)
  • ・公的機関(public authorities)、
  • ・車両・設備製造者(vehicle and equipment manufacturers)、
  • ・私的運輸サービス提供者・レンタカー業者(personal transportation services and car rental providers)、
  • ・データに基づくサービス提供者(例、音声認識、ナビゲーション、遠隔保守又は自動車保険テレマティク・サービス)(providers of data driven services、 such as e.g. speech recognition、 navigation、 remote maintenance or motor insurance telematics services)

要求することは、個人データ・プライバシー保護への利用者の権利を十分に尊重し、新しいデバイス又はサービスの創設・開発のあらゆる段階においてこれを十全に考慮することである。

したがって、これらの者は、次に掲げる措置をとることが強く求められる、となっている。

  • 1. どのようなデータが、どのような目的で、また、誰によってコネクテッドカーの配備において収集・処理されるかについて、包括的な情報をデータ主体に提供すること、
  • 2. 匿名化手段を利用して、個人データの量を最小限に抑え、又は実現不可能な場合には仮名化を行うこと、
  • 3. 個人情報は、その処理を行う正当な目的に関して、さらに矛盾しない目的のために、又は、法に従い若しくは同意を得て、必要以上に長く個人情報を保有しないこと、及びこの期間以降は削除すること、
  • 4. 車両が販売又は所有者に返却されたときに個人情報を消去する技術的手段を提供すること、
  • 5. 車両ユーザーに対して、適切な場合には、車両内の様々なデータ・カテゴリへのアクセスを認め又は認めないことを可能にする、きめ細かく使いやすいプライバシー・コントロールを提供すること、
  • 6. 車両ユーザーがデータの収集を制限するための技術的手段を提供すること、
  • 7. 車両ユーザーが車両で収集したデータへのアクセスに関して完全な制御を行う安全なデータ保管デバイスを提供すること、
  • 8. サイバー攻撃から保護し、個人情報への不正アクセス及び傍受を防止する安全なオンライン通信コンポーネントに対する技術的措置を提供すること、
  • 9. 次に掲げる方法で協調的なITS(インテリジェント交通システム)の技術を開発し、及び実施すること、
  •   a. 車両(v2v)、交通インフラ(v2i)又はその他の第三者の事業体(v2x)によって収集された個人情報への不正アクセス及び傍受を防止する方法、
  •   b. 車両ユーザーが道路危険警報を受けている間は、位置データ及び運動データの共有を禁止できるようにすること、
  •   c. ドライバーの違法な追跡及び探知に対する保護措置を提供すること、
  •   d. 認証プロセス中の v2v、v2i、及び v2x 通信のセキュリティメカニズムが、プライバシー及び個人情報に追加的なリスクをもたらさないことを確認すること、
  •   e. 違法な車両追跡及び運転者識別の可能性を制限すること
  • 10. 処理の手段を決定するとき及びデータを処理するときの双方において、データ主体のプライバシーが尊重されることを確保するための技術的及び組織的措置及び手順を提供することにより、プライバシー・バイ・デフォルト及びプライバシー・バイ・デザインの原則を尊重すること、
  • 11. 車内で個人情報を適切に処理するプライバシー保護技術及びアーキテクチャを開発すること、
  • 12. 自動化されコネクトされた自動車に必要な自己学習アルゴリズムの機能を透明化し、差別的な自動決定のリスクを減らすために、独立した機関による事前評価の対象となっていることを保証すること、
  • 13. デフォルト設定でプライバシーに優しい運転モードを車両ユーザーに提供すること、
  • 14. これらの技術の新規、革新的、又はリスクの高い開発又は実装に対するデータ保護影響評価を実施し、
  • 15. 車両ユーザーの個人情報の責任ある処理によって、車両ユーザーの個人情報の尊重を促進し、その処理及び利用の結果として車両ユーザーに及ぼす潜在的な危害に配慮すること、並びに、
  • 16. コネクテッドカー関連の処理に法的安定性(legal certainty)を付加し提供するためのコンプライアンス・ツールを開発するためにデータ保護プライバシー・コミッショナーとの対話を開始すること。(太字・下線筆者)

以上の項目は、極めて具体的であって、最後の第16項は、個人情報保護委員会との関係では重要である。その前提として、コネクテッドカーに関わる自動車業界、その所管庁における検討を期待したい。

3. 4. IWGDPTのコネクテッドカー文書(2018年4月)

これまで言及してきたICDPPCの関連国際会議体として「情報通信分野におけるデータ保護に関する国際ワーキンググループ」(International Working Group on Data Protection in Telecommunications:IWGDPT)がある14

IWGDPTという会議体は、ICDPPCの枠内においてベルリンのコミッショナーにより1983年に組織されたといわれている(当初、1980年に、ベルリンの当時のデータ保護コミッショナー・ハンス-ヨアヒム・ケルカウ博士(Dr. Hans-Joachim Kerkau)が提案されたという記述もある)。

近年は原則年2回開催している。知り得る限りでは、1990年から2005年までは、WGの議長は、ハンスユルゲン・ガルストカ教授・博士(Prof. Dr. Hansjürgen Garstka)であった。その後、2015年までは、アレキサンダー・デックス博士(Dr. Alexander Dix)が議長、それ以降は、マヤ・スモルツイク(Maja Smoltczyk)女史が議長を務めている。

ベルリン・グループの会議には1990年前後からときどき参加したことがあった。特定個人情報保護委員会の委員長になって参加したのは、2014年5月5日~6日、マケドニア(Macedonia)の首都スコピエ(Skopje)で開かれた第55回会議であった。

これまで研究者として参加してきたが、出席者の多くは、各国又はその州のデータ保護機関(Data Protection Authority:DPA)のコミッショナーやその事務局スタッフであった。数十人の集まりであるので、パーティやコーヒー・ブレークの機会などで参加者の多くと話ができるばかりでなく、知り合いにもなれた。

日本でも独立データ保護機関である特定個人情報保護委員会が2014年1月1日に設置されることが決まった2013年秋の国際会議などから、簡単なペーパーを配りながら説明した。また、2013年12月にはシーズンズ・グリーティングを兼ねて知り合いに情報提供した。

このような経験をしてきたので、2014年5月初旬の会議は、委員長として自ら出席し、日本の状況について説明する絶好の機会であると考えた。

ベルリン・グループの一つの大きなメリットは、参加者がそれぞれの国又は州のデータ保護関係の報告(country report)をA4判1枚~数枚にまとめて準備し、参加者全員が共有できることである。そして、参加者がそれについて数分で報告するのがならわしである。日本の特定個人情報保護委員会をSpecific Personal Protection Commissionと英訳して紹介したが、Specificとは何かなどについて当然のことながら質問があり、それについて説明しなければならなかった。

このような経験しているのは日本では筆者のみであり、その議論の動向は会議への参加の有無を問わず、注視してきている。

そのようなIWGDPTが、2018年4月9日・10日、ハンガリーのブダペストで開催した第63回会合において、「コネクテッドカー15」(Connected Vehicles)という文書をまとめている。この文書は、13頁にわたって、IWGDPTにおける自動車について議論してきた経緯、プライバシー・リスク(Privacy risks)を具体的に指摘し、勧告(Recommendations)をまとめている。

4. 第40回ICDPPC(2018年、ブリュッセル)― AI宣言

4. 1. 第40回クローズド・セッションの議題

第40回ICDPPCが2018年10月22日から26日まで、ベルギーのブリュッセル及びブルガリアのソフィアにおいて開催された。

そのクローズド・セッションは、10月22日終日及び23日の午前、エグモント宮殿(Palais d'Egmont)で開かれた。この会場は、1997年の第19回ICDPPCが開催されたところで同じであった16

そのクローズド・セッションの議題のうち、決議及び宣言は、原文で示すと、次のとおりであった。

  • ・ Resolution on e-learning platforms
  • ・ Declaration on Ethics and Data Protection in Artificial Intelligence
  • ・ Resolution to amend the ICDPPC rules and procedures
  • ・ Resolution on a roadmap on the Future of the International Conference
  • ・ Resolution on Collaboration between Data Protection Authorities and Consumer Protection
  • ・ Resolution on the Conference Census

4. 2. AI宣言の採択

データ保護プライバシー・コミッショナー国際会議などに臨む際には、対処方針を検討しておくのが通例である。ここでは、AI宣言について記すが、委員長は次のような発言を行うことにした。

「データ保護を語る上で、これからAIとの関係は避けられない課題であり、新たな指針の検討は不可欠である。国際的水準に沿った、将来のガバナンスモデル策定に向けた今後の議論に、我が国としても積極的に協力していきたい。」

このように日本の個人情報保護委員会は、AI宣言にコミットしているので、その内容については適切に理解し、広めていく必要がある。

この宣言は、全会一致で採択された。

4. 3. 個人情報保護委員会における国際会議の報告とAI宣言の仮訳

2018(平成30)年11月14日(水)14:30~15:30に開かれた第79回個人情報保護委員会17の議題2で「第40回データ保護プライバシー・コミッショナー国際会議出張報告について」を取り上げた。

事務局がこの議題のために用意した資料は、「資料2-1 第40回データ保護プライバシー・コミッショナー国際会議 出張報告」及び「資料2-2 AIにおける倫理及びデータ保護についての宣言(仮訳)」であった。

前者は、次のようなものであった。

「平成30年10月22日(月)から同26日(金)まで、ベルギー(ブリュッセル)及びブルガリア(ソフィア)において開催された第40回データ保護プライバシー・コミッショナー国際会議(以下「本会議」という。)に、委員長等が参加した。

データ保護機関のみが参加するクローズドセッションにおいては、本会議の将来の在り方等について議論が行われるとともに、AI時代に対応するための常設WGの設置等について、宣言・決議が採択された。

また、データ保護機関に加え有識者や民間企業等も参加するオープンセッション(1,000人以上が参加)においては、欧州委員会ヨウロバ―委員の講演があり、日EU間の相互認証について、データが自由かつ安全に流通する世界最大のエリアを創出するものであるとの言及があった。また、企業等からデータ保護に係る取組について紹介があった。

さらに当委員会は、本会議のサイドイベントとして、フランスのデータ保護機関(CNIL)委員長、英国のデータ保護機関(ICO)副コミッショナー、その他国際的な専門家の参加を得て、「Data protection in the era of connected world(世界がつながった時代におけるデータ保護)」をテーマとしたワークショップを開催した。また、欧州データ保護監察機関(EDPS)及び欧州データ保護会議(EDPB)主催のサイドイベントに委員長が登壇し、当委員会の国際的な取組等についてプレゼンテーションを実施した。

次回(第41回)は2019年10月にアルバニア(ティラナ)で、次々回(第42回)はメキシコで行われることとなった。」

後者は、「資料2-2 AIにおける倫理及びデータ保護についての宣言(仮訳)」であった。(以下、AI宣言の紹介は、原則として、この仮訳による。)

この宣言については、前掲の加藤尚徳・鈴木正朝・村上陽亮「いわゆるAIに関する国際規制動向調査~ICDPPC2018における議論を中心として~18」に詳しく紹介されている。また、総務省情報通信政策研究所「AIネットワーク社会推進会議報告書2019」においては、AI宣言の6原則(①基本的人権の尊重及び公正の原則に従ったデザイン、開発及び使用、②継続的な注意及び警戒と、説明責任、③AIシステムの透明性及び明瞭性の改善、④プライバシー・バイ・デフォルト及びプライバシー・バイ・デザインによる責任をもったデザイン及び開発、⑤すべての個人の権限強化の推進及び個人の権利行使の促進と、広範な参画の機会の創設及び⑥違法なバイアス又は差別の軽減及び緩和)が紹介され、「ICDPPCでは、同宣言に沿った指針を定めるため、AIワーキンググループが創設され、2019年10月予定の第41回ICDPPCに向けて、より具体的な指針を策定する予定である」と記されている19

4. 4. AI宣言の作成者・共同提案者

4. 4. 1. 宣言の作成者

「宣言の作成者」(Authors)は、次のとおりであった。(上記仮訳では省略)

  • ・ Commission Nationale de l’Informatique et des Libertés (CNIL)、 France
  • ・ European Data Protection Supervisor (EDPS)、 European Union
  • ・ Garante per la protezione dei dati personali、 Italy

4. 4. 2. 共同提案者

共同提案者(Co-Sponsors)は、次のとおりであった。(上記仮訳では省略)

  • ・ Agencia de Acceso a lAInformación Pública、 Argentina
  • ・ Commission d’accès à l’information、 Québec、 Canada
  • ・ Datatilsynet (DatAInspectorate)、 Norway
  • ・ Information Commissioner’s Office (ICO)、 United Kingdom
  • ・ Préposé fédéral à la protection des données et à la transparence、 Switzerland
  • ・ Data protection Authority、 Belgium
  • ・ Privacy Commissioner for Personal Data、 Hong-Kong
  • ・ Data protection Commission、 Ireland
  • ・ Data Protection Office、 Poland
  • ・ Instituto Nacional de Transparencia、 Acceso a lAInformación y Protección de Datos Personales (INAI)、 Mexico
  • ・ National Authority for Data Protection and Freedom of Information、 Hungary
  • ・ Federal Commissioner for Data Protection and Freedom of Information、 Germany
  • ・ Office of the Privacy Commissioner (OPC)、 Canada

日本は、共同提案者に入っていない。

4. 5. 宣言の構成

4. 5. 1. 前文

宣言では、前文という名称は使っていないが、本文の前にあるので、そのように呼ぶことにする。15項目を掲げている。

4. 5. 2. 本文

宣言では、本文という名称が使われているわけではないが、宣言の主要な部分である。ここでは、大きく6つの指導原則(guiding principles)を支持するとしている。各原則は、いくつかの項目に分かれている。

4. 5. 3. 後文

前文及び本文につづく後文がある。ここでICDPPCの今後の予定が示され、また、決意が表明されている。

4. 6. 宣言策定の経緯

宣言の前文の最初は「マラケシュでの第38回データ保護プライバシー・コミッショナー国際会議におけるAI、ロボットエ学、プライバシー及びデータ保護に関する当初の議論を考慮し」と、2016年の第38回データ保護プライバシー・コミッショナー国際会議における議論を挙げている。この会議には、個人情報保護委員会はオブザーバー参加したので、経緯は理解している。2016年10月17日クローズド・セッションのテーマの一つが「深堀り討論」(In-depth Discussion)であった。

クローズド・セッションにおいては、これまでにも、データ保護関係のその時代時代の重要な問題についても、外部の専門家を招き、そのプレゼンテーションを聞いて、議論を行い、決議や宣言にまとめている。

2016年のクローズド・セッションでは、深堀り討論(In-depth Discussion)という議題のタイトルで次のようなテーマについて議論を行った。

  • ・ロボット工学及び人工知能(Robotics and Artificial Intelligence)
  • ・暗号及び法の支配(Encryption and the rule of law)

2016年は、個人情報保護委員会は、既述のように、正式メンバーとしてではなく、オブザーバーとして参加を認められたにすぎなかったので、どのようなプロセスを経てテーマが選ばれるかは知る由もなかったが、第1日の最後の議長のまとめを聞いてある程度理解できたように思えた。議事概要に出ている議長の総括の一部を見ると、次のような発言があった。

「前回の会議の後、私たちは、2016年のプログラムを作成するためにトピックについてメンバーに意見を聞きました。いただいた提案を、人工知能(AI)、ロボット及び暗号化の3つのトピックに絞り込む前に、かなりのプロセスを経て多くの議論を重ねました。

これらが一緒になって首尾一貫したセッションを形成できるのか、それとも興味深いが3つのばらばらなトピックと思われるかは、私にとりましては、すぐにはわかりませんでした。

折よく、いくつかの共通する特徴があらわれてきました。(以下省略)」

4. 7. AI宣言の内容

4. 7. 1. 前文の各項

AI宣言は、上記のような構成になっている。AI時代におけるプライバシー・個人情報保護の新課題として重要であるので、その内容を紹介することにする。

4.7.1.1 前文1 経緯

前文1と名付けるとすれば、それは、前述のように、「マラケシュでの第38回データ保護プライバシー・コミッショナー国際会議におけるAI、ロボット工学、プライバシー及びデータ保護に関する当初の議論を考慮し」と、前に見たように、2016年にマラケシュで開かれた第38回ICDPPCにおける議論を挙げている。

4.7.1.2 前文2 AIシステムの認識事項

前文2と名付けるならば、それは、次のようになっている。

「AIシステムが、使用者及び社会に大きな利益をもたらし得ること、これらの利益には、プロセスの迅速性向上及び意思決定支援、民主的プロセスへの参加のための新しい方法の創設、公的部門及び産業における効率性の改善、資源及び機会のより公平な配分の達成、国民の健康・医療・セキュリティ・持続可能な発展・農業及び運輸などの様々な分野における新たな方策及び解決策の提供、科学的研究及び教育における新しい機会の提供、個人に対するよりパーソナライズされたサービスの提供が含まれることを認識し、」

4.7.1.3 前文3 考慮事項

前文3は、「AIにおける特定の分野、特に、大量の情報の処理、人の行動及び性格の分析及び予測に関する著しい進展、そして、近い将来において著しい進展が見込まれるロボット工学、コンピュータービジョン及び自立型システムなどの関連分野を考慮し」となっている。

4.7.1.4 前文4 不透明性の強調

前文4は、「ビッグデータ及びAIの急速な進歩、特に、機械学習、特に、深層学習技術の進歩に伴い、潜在的な決定を導く複雑な操作をアルゴリズムが解決できるようになるが、そのプロセスはより不透明になることを強調し」(太字は筆者)と不透明性(opaque)を強調している。

4.7.1.5 前文5 確認事項

前文5は、「プライバシー及びデータ保護に関する権利の尊重は、AIの進展によってますます課題になってきていること、またこの進展は、倫理的かつ人権的配慮によって補完されるべきであることを確認し」と、プライバシー・個人データ保護が課題となっているとしている。

4.7.1.6 前文6 考慮事項

前文6は、「特に機械学習の技術は、また一般にAIシステムは、その発展を大量の個人データの処理に依存しており、データ保護及びプライバシーに影響を与える可能性があることを考慮し、また、AIの分野における現在の市場集中の傾向によって引き起こされる潜在的リスクについても考慮し」と、プライバシー・個人データ保護への影響を指摘している。

4.7.1.7 前文7 データ保護及びプライバシー機関他の機関との協力の必要性の認識

前文7は、「個人情報の収集・使用及び開示―プライバシー及びデータ保護の従来の範囲―と、特に差別や表現及び情報の自由に関するより広範な人権への直接的な影響との相関関係を認識し、その結果として、データ保護及びプライバシー機関がより幅広く人権を考慮し、人権を扱う他の機関と協力する必要性を認め」(太字は筆者)と、データ保護及びプライバシー機関(data protection and privacy authorities)の役割、他の機関との協力の必要性を認識している。

4.7.1.8 前文8 固有のバイアスの指摘

前文8は、次のように固有のバイアスなどを問題視している。

「機械学習ベースのシステム及びAIシステムの訓練に使用されるいくつかのデータセットには、特定の個人又はグループを不公平に差別しうる決定につながり、また、潜在的に特定のサービスやコンテンツの利用を制限し、これにより、表現及び情報の自由など個人の権利を侵害し、又は、個人的、社会的、職業的な生活における特定の側面から人々を排除する結果をもたらすこととなる、固有のバイアスが含まれていることが明らかとなっていることを指摘し」

4.7.1.9 前文9 説明責任・基本的な疑問の惹起の重視

前文9は、「その決定につき説明が不可能なAI動力システムは、プライバシー及びデータ保護法における説明責任のみならず、エラー及び損害が生じた場合の責任に関する基本的な疑問を惹起させることを重視し」と、説明責任・基本的な疑問の惹起をしている。

4.7.1.10 前文10 懸念の惹起の指摘への留意

前文10は、「AIの分野における多くの利害関係者は、プライバシー、データ保護及び人間の尊厳に関連するリスクと同様に、AIの悪用のリスクに関しても懸念を表明しており、例えば、大衆監視と組み合わせたAIの進展は、基本的な権利及び自由の抑制に使用される可能性についての懸念を惹起すると指摘していることに留意し」と、懸念の惹起の指摘への留意の必要性を述べている。

4.7.1.11 前文11 不明確性の強調

前文11は、「これらのリスク及び諸課題は、個人及び社会に影響を与えるであろうこと、また、将来的な影響の程度及び性質は、現在のところ不明確であることを強調し」と、不明確性を強調している。

4.7.1.12 前文12 将来的な影響の程度及び性質の不明確性の強調

前文12は、「これらのリスク及び諸課題は、個人及び社会に影響を与えるであろうこと、また、将来的な影響の程度及び性質は、現在のところ不明確であることを強調し」と、将来的な影響の程度及び性質の不明確性を強調している。

4.7.1.13 前文13 信頼の重要性の力説

前文13は、「強力なデータ保護及びプライバシー保護措置は、データ処理過程における個人の信頼の構築に資し、データ共有を推進することによりイノベーションを促進することから、信頼の重要性を力説し」と、信頼の重要性を力説している。

4.7.1.14 前文14 国際的なアプローチ及び基準の採択の必要性

前文14は、「AI及び機械学習システムによって引き起こされた現在の諸課題は、国際的なレベルでのすべてのデジタル開発における人権の促進及び保護を確保するため、国際的なアプローチ及び基準の採択の必要性を高めているとの見解を採り」と、国際的なアプローチ及び基準の採択の必要性を高めているとの見解を採っている。

4.7.1.15 前文15 再確認

前文15は、「データ保護機関及びデータ保護プライバシー・コミッショナー国際会議が行った、この変わりゆく環境への適応に当たり、データ保護及びプライバシー原則を維持すること、特に、将来の変化に備えるべく資源を投入し、新しいスキルを開発するというコミットメントを再確認する」と、プライバシー・個人データ保護の原則の維持を再確認している。

4.7.1.16 前文の総括

これらを総括して、「第40回データ保護プライバシー・コミッショナー国際会議は、AIシステムに関するすべての創作、開発及び使用においては、人間の尊厳、無差別及び基本的価値と同様に、人権、特に、個人データの保護及びプライバシーの権利が尊重されなければならず、かつ、個人がAIシステムの管理及び理解を維持できる解決策が提供されなければならないと考える」と、プライバシー・個人データ保護の尊重を重視している。

4. 8. 本文―6項目の指導原則の支持

以上のように様々な問題点の指摘、プライバシー・個人データ保護の重要性を明らかにした後、「したがって、当会議は、AIの開発における人権保護のための本質的価値として、次の指導原則(guiding principles)を支持する」として、6項目の原則を挙げている。

4. 9.  6項目の指導原則

6項目の指導原則の主要部分は、次のようになっている。

  • 1 AI及び機械学習の技術は、基本的人権を尊重し、公正の原則に従ってデザイン、開発及び使用されるべきである。
  • 2 AIシステムは、説明責任と同様に、その潜在的な影響及び結果に対する継続的な注意及び警戒が確保されるべきである。
  • 3 AIシステムの透明性及び明瞭性は、効果的な執行の観点から、改善されるべきである。
  • 4 「エシックス・バイ・デザイン」の全体アプローチの一部として、AIシステムは、プライバシー・バイ・デフォルト及びプライバシー・バイ・デザインの原則の適用により、責任をもってデザインされ開発されるべきである。
  • 5 すべての個人の権限強化が推進され、広範な参画の機会の創設と同様に、個人の権利行使が促進されるべきである。
  • 6 AIにおけるデータの使用の結果もたらされるであろう違法なバイアス又は差別は軽減及び緩和されるべきである。

4. 9. 1. 第1原則―基本的人権・公正の原則に従ったデザイン、開発及び使用

第1原則の全文は、次のとおりである。

「AI及び機械学習の技術は、特に次に示すところによって、基本的人権を尊重し、公正の原則に従ってデザイン、開発及び使用されるべきである。

  • a. AIシステムの使用につきその当初目的との一貫性を確保すること、そして、データがその当初の収集目的と矛盾しない形で使用されることを確保することにより、個人の合理的な期待を考慮すること。
  • b. AIの使用が個人に与える影響の程度のみならず、グループ及び社会全体に与える集団的影響についても考慮すること。
  • c. AIシステムは、人間の発達を促進し、それを妨害又は危険にさらすことのないよう開発されることを確保すること、したがって、特定の使用において説明と線引きの必要性を認識すること。」

原文では、公正の原則(fairness principle)のみが太字になっているにすぎないが、基本的人権(fundamental human rights)も重要であるので、「基本的人権・公正の原則」とした。

その基本的人権についてコメントしておきたい。基本的人権のところは、in respect of fundamental human rightsとなっている。in respect of は、通常は「…の点では、…に関する限りでは」というような意味で使われる。また、respectは、「尊重」の場合は、respect for が普通であると言える。ここでは、文脈からは「基本的人権の尊重」と解釈できるので、そのようにしてみた。ここで注目したのは、「基本的人権」(fundamental human rights)という用語である。日本では、日本国憲法で「基本的人権」が使われているので、親しみがある。しかし、例えば、GDPRの前文(Recital)(1)では、次のようにfundamental rightになっている。

(1)The protection of natural persons in relation to the processing of personal data is a fundamental right. Article 8(1) of the Charter of Fundamental Rights of the European Union (the ‘Charter’) and Article 16(1) of the Treaty on the Functioning of the European Union (TFEU) provide that everyone has the right to the protection of personal data concerning him or her.

「基本的人権」という概念は、日本に対して、1945年(昭和20年)7月26日に、アメリカ合衆国大統領、イギリス首相、中華民国主席の名において大日本帝国(日本)に対して発された、全13か条から成るポツダム宣言(Potsdam Declaration)の中で使われている。これがAI宣言で用いられたことに注目した。

4. 9. 2. 第2原則―説明責任、継続的な注意及び警戒の確保

第2原則の全文は、次のようになっている。

「AIシステムは、特に次に示すところによって、説明責任と同様に、その潜在的な影響及び結果に対する継続的な注意及び警戒が確保されるべきである。

  • a. すべての関連する利害関係者の個人、監督機関及び必要に応じてその他の第三者に対する説明責任を促進すること。これには、AIシステムに対する監査の実施継続的監視及び影響評価、監督メカニズムの定期的な見直しといった手段を含む。
  • b. 行為者及び利害関係者全体の繋がりを含めた共同かつ連帯の責任を、例えば、共同基準の作成及びベストプラクティスの共有により培うこと。
  • c. AI及び社会におけるその潜在的影響に関する及びその理解のための十分な情報を確保するため、注意喚起、教育、研究及び研修に投資すること、そして、
  • d. 信頼できる第三者への依頼や独立の倫理委員会の立ち上げなどにより、すべての関連行為者に対し証明可能な管理プロセスを確立すること。」

原文では、「継続的な注意及び警戒」(Continued attention and vigilance)が太字になっている。a. にあるように、「説明責任」(accountability)を促進することには、AIシステムに対する監査の実施、継続的監視及び影響評価、監督メカニズムの定期的な見直しといった手段が含まれるのであって、後述するように、日本においては、個人情報保護委員会の役割が重視されなければならない。

4. 9. 3. 第3原則―システムの透明性及び明瞭性の効果的執行の観点からの改善

第3原則は、「AIシステムの透明性及び明瞭性は、効果的な執行の観点から、特に次に示すところによって、改善されるべきである」として、5項目を掲げている。

  • a. 説明可能なAIに関する公的及び私的な科学的研究への投資
  • b. 各関連する聴衆のために求められるそれぞれ異なったレベルの透明性及び情報を考慮し、例えば、革新的な通信手段の開発を通じて、透明性、明瞭性及び到達可能性を促進すること。
  • c. 組織の慣行について、特に、提供された情報の有意性を確保しつつ、システムのアルゴリズム的透明性及び監査可能性の促進により、さらに透明化すること。そして、
  • d. 情報に基づく自己決定の権利について、特に、個人がAIシステムと直接交流しているとき又は彼らがそのシステムによって処理される個人データを提供するとき、常に適切な方法で知らされていることを確保することにより、保証すること。
  • e. 個人の期待に沿った継続的な協力を立証するために、またそのようなシステムに対する人間による全体的な制御を可能とするために、AIシステムの目的及び効果に関する十分な情報を提供すること。

第3原則は、「システムの透明性及び明瞭性」(systems transparency and intelligibility)が太字になっている。

4. 9. 4. 第4原則―プライバシー・バイ・デフォルト及びプライバシー・バイ・デザインの原則

第4原則は、「“エシックス・バイ・デザイン”の全体アプローチの一部として、AIシステムは、特に次に示すところによって、プライバシー・バイ・デフォルト及びプライバシー・バイ・デザインの原則の適用により」ということで、次のような3項目を挙げている。

  • a. データ主体のプライバシー及び個人データが、処理方法の決定時点及びその処理の時点の双方において尊重されることを確保するため、開発されたシステムの形態に比例した、技術的かつ組織的な手段及び手続を実施すること。
  • b. AIプロジェクトの開始時点において予想される個人や社会に対する影響及びそのライフサイクル全体にわたる関連する開発について、評価し文書化すること。そして、
  • c. システムの倫理的かつ公正な使用のため、及び、すべてのAIシステムの開発・運用の一部としての人権の尊重に係る具体的な要件を明らかにすること。
  • いずれも、デザインの段階において一定の措置が講じられる必要性を指摘している。

4. 9. 5. 第5原則―すべての個人の権限の強化

第5原則は、「特に次に示すところによって、すべての個人の権限強化が推進され、広範な参画の機会の創設と同様に、個人の権利行使が促進されるべきである」として、個人の権利を次のように具体的に挙げている。

  • a. データ保護及びプライバシー権-これには、適用できる場合には、情報に対する権利、アクセス権、処理に反対する権利及び削除権が含まれる-を尊重すること、また、教育及び注意喚起キャンペーンを通じてこれらの権利を促進すること。
  • b. 無差別の権利と同様に、表現及び情報の自由を含む関連する権利を尊重すること。
  • c. 個人の成長や見解に影響を与える技術への適用に異議を申し立てる又は抗議する権利を認めること、及び、適用できる場合には、もしそれが個人に重大な影響を与える場合には自動化された処理のみに基づく決定には従わない個人の権利を保証すること、また、適用できない場合にはその決定に異議を申し立てる個人の権利を保証すること。
  • d. 平等な権利強化を育成し、例えば、適応できるインターフェイスやアクセスが可能なツールを通じて、広範な参画を促進するAIシステムの能力を活用すること。

すべての個人の権限の強化(Empowerment of every individual)が太字になっていて、様々な権利が具体的に示されている。

4. 9. 6. 第6原則―違法なバイアス又は差別の軽減・緩和

第6原則は、「AIにおけるデータの使用の結果もたらされるであろう違法なバイアス又は差別は軽減及び緩和されるべきである。これには、次の方法が含まれる」として、4項目を掲げている。

  • a. 人権及び無差別に関する国際的な法的手段の尊重を確実にすること。
  • b. バイアスを特定し、対処し、緩和するための技術的方法の研究に投資すること。
  • c. 自動化された意思決定に使用される個人データ及び情報が、正確、最新かつ可能な限り完全であることを確保するための合理的なステップを踏むこと。
  • d. バイアス及び差別への対処に際しての具体的な指針及び原則を詳細に定め、個人及び利害関係者の意識を促進すること。

4. 10. 協調した国際的な取組の要求

以上のような前文及び本文に続く後文は、まず、次のように協調した国際的な取組を求めている。

「上記の原則を考慮して、第40回データ保護プライバシー・コミッショナー国際会議は、その開発及び使用が倫理及び人間の価値に即して行われ、人間の尊厳を尊重することを確保するため、AIに関する一般的なガバナンス原則の確立及びこの分野における協調した国際的な取組を求める。これらの一般的なガバナンス原則は、すべての重要な横断的問題に対処するため、マルチステークホルダーアプローチに基づき、AI技術の急速な革新により生ずる課題に取り組むことができるものでなければならない。AIの開発は国境を越えた現象であり、すべての人類に影響を与えることから、これらは国際的なレベルで行われなければならない。本会議は、この国際的な取組に関与し、競争、市場及び消費者規制など他の分野における一般及び部門の当局との共働及び支援をすべきである。」

AIに関する一般的なガバナンス原則(common governance principles on artificial intelligence)が太字になっている。日本としても役割を果たさなければならない。

そして最後に、次のように常設作業部会(permanent working group)を立ち上げること及びそのAIにおける倫理及びデータ保護に関する作業部会の役割を明示して、締めくくっている。

「したがって、第40回国際データ保護プライバシー・コミッショナー会議は、国際的なレベルにおける将来の一般的なガバナンスヘの貢献として、また、AIにおける倫理及びデータ保護に関する原則に沿った指針をより詳細に定めるため、AIの開発に係る課題に取り組む常設作業部会を立ち上げる。このAIにおける倫理及びデータ保護に関する作業部会は、現在の決議の原則に対する、AIシステムの開発に関与するすべての関係者(政府及び公的機関、規格統一団体、AIシステムデザイナー、プロバイダー及び研究者、企業、市民及びAIシステムのエンドユーザーを含む)による理解及び尊重の促進を担当することになるであろう。AIにおける倫理及びデータ保護に関する作業部会は、本会議の他の作業部会が行う業務を考慮するものとし、その活動を定期的に本会議に報告するものとする。したがって、本会議は、この分野における力強い倫理文化及び個人の認識の創設を目的としたデジタル倫理に関する活発な議論を積極的に支援するよう努める。」

4. 11. 作業部会への参加

作業部会は、既に作業を開始している。日本の個人情報保護委員会もこれに参加した。テクノロジー先進国である日本としては、様々なインプットをして、国際的に貢献しなければならない。

4. 12. IWGDPTのプライバシーとAIに関するワーキングペーパー(2018年11月)

前掲の3. 4. で見たIWGDPTは、「プライバシーとAIに関するワーキングペーパー20」(Working Paper on Privacy and Artificial Intelligence)を、2018年11月29-30日、ニュージーランドのクイーンズタウンで開いた第64回会合においてまとめている。

この文書は、AIの開発及び使用に関連するプライバシーの課題に光を当て、異なるステークホルダーがプライバシー・リスクを軽減するのに役立つ一連の技術的な推奨事項を提供することを目的とするということで、前掲のICDPPCのAI宣言のような包括性はないが、従来のプライバシー・個人情報保護の原則である目的制限等も侵害されるなどの具体的な問題も提起している。また、ICDPPCのAI宣言と同様に、「公正性及び基本的人権の尊重」(Fairness and respect of fundamental human rights)を勧告(Recommendations)の一つに掲げるなどしている。さらに、データ保護機関の役割を明確にしている。これは、本稿を草しながら、最後に論じようとしていたことと軌を一にしている。

このワーキングペーパーも、先のAI宣言とともに検討される必要がある。

5. 個人情報保護委員会の役割

個人情報保護委員会については、前述のように、特定個人情報保護委員会の委員長の2年を含め、合計5年の法定任期を務めた経験から、論じたいことは尽きない21

ここでは、個人情報保護委員会への期待を表明することにする。直ぐ上で述べたことであるが、IWGDPTのワーキングペーパーは、データ保護機関の役割を第84項から第87項にかけて、重要視している。その部分を訳出すると、次のようになる。

「84. データ保護機関 (DPA) は、ガイダンスを提供し、関連するデータ保護又はプライバシー規制の可能性のある違反を調査するために十分な知識及び専門知識を持つことを確保しなければならない。これは、DPAスタッフによる専門知識の取得、又は学界、産業界、NGO、その他の適切な政府機関とのパートナーシップを通じて、関連する外部の専門知識へのアクセスを確保することにより達成される得る。

85. DPAは、関係するステークホルダーにガイダンスを提供することにより、意識向上活動を強化すべきである。これには、AIベースのサービス開発者、プロバイダー及びユーザーとのプライバシー・バイ・デザイン原則の適用の促進が含まれ得る。

86. DPAは、プライバシーに優しいAIベースのシステム及びサービスの開発を促進するために、行動規範、データ保護及びプライバシー認証スキームの実施、並びに適切なデータ保護及びプライバシー影響評価(privacy impact assessment)のフレームワーク及びツールの開発を支援しなければならない。

87. DPAはまた、彼らの監督活動を強化しなければならない。これには、執行協力のための国際的な取決めの開発及び共同執行活動の実施を支援することが含まれる。また、個人にとってのリスクを生み出すプラクティスを特定するために、AIシステム及びサービスの開発、実施及び使用を監査することも含まれる。必要に応じて、DPAはこれらの監査の結果を他の規制機関と共有しなければならない。」

個人情報保護委員会がこのような指摘を認識し、国際的に重要な役割を果たすことを期待したい。

6. データ保護オフィサー(DPO)の必要性

このように述べてみたものの、委員長の経験からすると、個人情報保護委員会にのみで対応するのは困難である。民間の協力が必要である。個人情報保護法では、「民間団体による個人情報の保護の推進」(法第47条~第58条)があるが、それに加えて、EU(European Union:欧州連合)のGDPR(General Data Protection Regulation: 一般データ保護規則)第37条で(ア)処理が公的機関又は団体によって行われる場合(ただし、裁判所が司法上の権限を行使する場合はこの限りではない)、(イ)管理者又は処理者の中心的な活動が、その性質、適用範囲及び/又は目的から、大規模にデータ主体の定期的かつ体系的な監視を必要とする処理業務で構成される場合、又は(ウ)管理者又は処理者の中心的な活動が、第9条に基づく特別な種類のデータ及び第10条に定める有罪判決及び犯罪に関する個人データの大規模な処理で構成される場合には、指名しなければならない「データ保護オフィサー」(data protection officer: DPO22)のようなデータ保護法・実務に関する専門知識を持つ者が必要になってくるであろう。日本でもその必要性があることを強調しておきたい。

7. むすびに代えて

本稿で取り上げた国際的文書は、日本においてはほとんど議論になっていないと言える。AI/IoT時代のプライバシー・個人情報保護については早急に検討されなければならない。個人情報保護法は、「はじめに」でも指摘したように、3年ごとに、国際的動向や情報通信技術の進展に応じて見直されることになっている。

法改正には時間が必要であるので、倫理的に対応する必要がある。「法と倫理」についての議論は割愛せざるを得ないが、2018年10月に開かれた第40回ICDPPCのオープン・セッションの主要テーマであった「デジタル倫理」(digital ethics)の成果から学ばなければならない。

40年近く前の1980年に『現代のプライバシー』(岩波書店)を著わしたことがある。その「あとがき」で「検討すればするほど、無限の拡がりと奥行きのある問題であることがわかってきた。このような形でまとめてみたものの、新たな課題がつぎからつぎへと脳裡を去来している」と書いたことがある。今回も同じような状況であって、終わりのない問題であることを認識し、今後も果敢に取り組んでいこうと考えている。

脚注

1 かなり多くの論稿で論じてきている。例えば、堀部政男「情報通信の進展とプライバシー・個人情報保護の展開」、同編著『情報通信法制の論点分析』(別冊NBL/No.153) : (商事濠務、2015年)49頁以下;同「テクノロジーの発達とプライバシー・個人情報保護論」、Law&TechnologyNo.41(2008年10月)37頁以下;同「ユビキタス社会と法的課題― OECD のインターネット経済政策による補完」、ジュリストNo.1361(2008年8月1日-15日)2頁以下参照。

2 https://icdppc.org/wp-content/uploads/2018/10/20180922_ICDPPC-40th_AI-Declaration_ADOPTED.pdf#search='Declaration+on+Ethics+and+Data+Protection+in+Artificial+Intelligence'

3 https://icdppc.org/wp-content/uploads/2015/02/Resolution-on-data-protection-in-automated-and-connected-vehicles-.pdf

4 https://www8.cao.go.jp/cstp/aigensoku.pdf

5 https://www.kantei.go.jp/jp/singi/tougou-innovation/pdf/aisenryaku2019.pdf

6 同上53頁。

7 http://www.soumu.go.jp/main_content/000637096.pdf

8 同上34-36頁。

9 同上35頁。

10 堀部政男「個人情報保護委員会の設置と役割(下)―小さな委員会の大きな実績」、季報情報公開・個人情報保護74号(2019年9月)19頁で最近のクローズド・セッションとオープン・セッションについて説明している。

11 同上(下)19頁以下参照。

12 同上(下)22頁以下参照。

13 同上(下)23頁以下参照。

14 堀部政男「個人情報保護委員会の設置と役割(上)―小さな委員会の大きな実績」、季報情報公開・個人情報保護73号(2019年6月)12頁以下参照。

15 https://www.datenschutz-berlin.de/fileadmin/user_upload/pdf/publikationen/working-paper/2018/2018-IWGDPT-Working_Paper_Connected_Vehicles.pdf#search='IWGDPT+connected+car'

16 その一部については、堀部政男「個人情報保護論の現在と将来」、ジュリスト1144号(1998年11月1日)31頁-32頁)で紹介したことがある。

17 https://www.ppc.go.jp/aboutus/minutes/2018/20181114/

18 信学技報(一般般社団法人電子情報通信学会)118(480)、121頁-126頁(2019年)。

19 総務省情報通信政策研究所「AIネットワーク社会推進会議報告書2019」http://www.soumu.go.jp/main_content/000637096.pdf 9頁。

20 https://www.datenschutz-berlin.de/infothek-und-service/veroeffentlichungen/working-paper/

21 前掲注10)及び注14)参照。

22 DPOについては、Article 29 Working Party(現在のEuropean Data Protection Board)が2017年4月5日に採択したGuidelines on Data Protection Officers(DPOs)が参考になる。その仮日本語訳が個人情報保護委員会事務局から出ている。https://www.ppc.go.jp/files/pdf/dpo_guideline.pdf#search='データ保護オフィサー

 
© 2019 Institute for Information and Communications Policy
feedback
 Top