個人情報を含むデータは、AI＆機械学習に使えるのか？〜個人情報保護法〜 ― DLLAB勉強会：AIと法律・知財・契約（3/3 ページ）

[一色政彦，デジタルアドバンテージ]

3　自社がやろうとしているビジネスの、どのプロセスに、どのような規制がかかっているかを具体的に知る

図25　自社がやろうとしているビジネスの、どのプロセスに、どのような規制がかかっているかを具体的に知る

　個人情報保護法上の規制について理解したところで、実際の具体例を見ていこう。前掲の図7で示した、

1. 患者さんの診療データ
2. 来店者の顔写真データ
3. 就活生の入社後の離職率データ

の3つを取り上げる。まずは1つ目。

AIに個人情報が絡む具体例（1）

図26　AIに個人情報が絡む具体例（1）

　「1. 患者さんの診療データ」を全体像（取得＋処理＆利用＋提供）の図に当てはめると、図27のようになる。

図27　具体例（1）の全体像

　まず患者は本人自らの意志で医療機関（病院）に行って診療を受け、医療機関は個人データを取得している。そして医療機関は、その個人の診療データをAIベンダーに「提供」する。AIベンダーは、データを処理してからAI医療機器で利用する、という流れになっている。

　医療機関からAIベンダーへの診療データの「提供」は、第三者提供であるため、患者本人の同意を得る必要がある。もし同意が得られていない場合は、既存のデータを医療機関側で匿名加工処理した後のデータ（匿名加工処理情報）を、AIベンダーに提供しなければならない。もちろん前向き、つまり今から新たに個人データを取得する場合は、あらためて同意を取ればよいのだが、通常は後ろ向き、要するに既存の個人データを扱うことになるので、既に本人からの同意が得られない状態である。このような場合は、基本的には匿名加工などの別スキームを用いる必要があるというわけだ。

　ただし、そのような匿名加工を病院自身が行うことは、ハードルがかなり高い。よって、匿名加工を行う事業者を使って処理をしたり、AIベンダー側が匿名加工処理を行うツールを提供したりといったように、何らかの工夫を行う必要があるだろう。

AIに個人情報が絡む具体例（2）

図28　AIに個人情報が絡む具体例（2）

　「2. 来店者の顔写真データ」を全体像（取得＋処理＆利用＋提供）の図に当てはめると、図29のようになる。

図29　具体例（2）の全体像

　まず本人はお店（小売店）に来ているだけなので、本人の同意は取れない状況だ。この場合、利用目的を「特定」した上で「公表／通知」する必要がある、と説明済みだ。とはいっても、店頭で細かに「こういうふうにデータを使います」という看板を出すわけにもいかないだろう。そこで例えば、Web上に存在するお店のホームページを、QRコードなどを利用して簡単に開けるようにし、そのページ上で「顔写真がどのように使われるのか」といった利用目的を表示（＝公表／通知）すればよい。これによって、個人情報を含むデータ（この例では顔写真）が「適法」に取得できる。

　次に小売店は、データを処理するわけだが、もし小売店自身がデータ処理できない場合、外部のデータ処理業者に処理を委託することが考えられる。その場合、処理委託は前述の例外に該当するため、本人の同意がなくても問題はない。

　処理委託先では、顔写真から特徴量データの生成や人物属性の推定を行うモデルを持っており、そのモデルを使ってデータを処理する、と仮定しよう。生成された特徴量データは、前述した「個人識別符号」に該当するため、それ自体が個人情報となるので注意が必要だ。

　特徴量データを使ってリピート分析を実施し、来店履歴、推定属性、購買履歴などの分析結果を蓄積して利用する。これらも個人情報である。個人情報が、万が一、流出した場合には大変なことになるため、データ管理には厳格な扱いかつ細心の注意が求められる。

　ただし、「人がどこにいるか」「人数がどれくらいか」だけを知りたい場合は、そういった内容の処理済みデータは、特徴量データのような「個人識別符号」ではない、つまり個人情報ではないということになる。よって個人情報としての厳密なデータ管理も必要ない。個人情報よりは緩やかなデータ管理で大丈夫だろう。

　よくある質問に、「Webサイト上などにアップロードされた顔写真を、データ処理後にすぐに削除した場合、個人情報にはならないのではないか？」というのがある。これは、そんなことはなく、取得している以上は個人情報である。よって個人情報保護法による規制もなくならない点に注意しなければならない。ただし先ほどと同様に、取得した個人データを処理した後の「処理済みデータ」が個人情報ではなくなっている場合は、その処理済みデータの管理は楽になるだろう。

AIに個人情報が絡む具体例（3）

図30　AIに個人情報が絡む具体例（3）

　「3. 就活生の入社後の離職率データ」を全体像（取得＋処理＆利用＋提供）の図に当てはめると、図31のようになる。この内容で、さらにモデルを第三者に提供する場合は、話がややこしくなるが、この例では、自社内で使用するにとどめる前提で話を進める。

図31　具体例（2）の全体像

　まず取得に関しては、就活生本人が自分の意志で面接を受けているので、本人自ら提供された個人情報を取得したもの、という扱いになる。

　取得した「入社時情報＋就職実績」データの処理を、自社内で処理できない場合は、外部の業者に委託することが考えられる。その場合、処理委託は前述の例外に該当するため、本人の同意は必ずしも取る必要はない。

　処理委託先では、「入社時情報＋就職実績」から離職率を推定するモデルを生成する、と仮定しよう。生成された離職率推定モデルを使って、離職率の予測を行う。モデル自体は、個人データが入っているわけではないので、個人情報保護法による規制の対象外である。

　つまりこの例で、個人情報の観点で厳格なデータ管理が必要なのは、「入社時情報＋就職実績」という生データの部分だけということになる。

まとめ

　まとめると、図32に再掲する「3つのポイント」が、個人情報の取り扱いを判断するためには大切である。ぜひこれは覚えてほしい。

図32　AI学習用データとしての個人情報と、AI処理対象としての個人情報、についての3つのポイント

　今回のセッションスライドは、下記のリンク先で参照できる。

• セッションスライド：「AI と個人情報 〜AI 学習用データとしての個人情報と AI 処理対象としての個人情報〜」

　個人情報保護法については、下記のリンク先が参考になる。

• 個人情報保護委員会（PPC）： 個人情報保護法等

　併せて、本連載「AIと法律・知財・契約」の、

• 前回の記事：「生データ使い放題？！ 「日本は機械学習パラダイス」になった ― DEEP LEARNING LAB 勉強会：AIと法律・知財・契約 - ＠IT」（スライド「AI開発を円滑に進めるための契約・法務・知財」）

も非常に有用なので、ぜひ参照してほしい。さらに上記リンク先のスライドもお勧めである。

「AIと法律・知財・契約」