ChatGPTとプライバシー：個人情報はどうなるの？

ChatGPTはリリースから数ヶ月で、史上最も急速に成長したコンシューマ向けアプリ記録を更新しました。質問にある程度正確かつ人間らしく答えるだけでなく、コンピュータのコードや音楽さえも作成できるチャットボットの高度な機能を、1億人以上の人々が試しました。

AIが芸術や法律などの分野を混乱させる可能性については多く議論されてきましたが、個人のプライバシーへの影響についてはあまり語られてきませんでした。しかし、イタリアのデータ保護当局が3月31日から4月28日まで一時的にChatGPTサービスを禁止する事態になったことで、状況は変わりつつあります。

AIはウェブ上のデータを使って学習します。もしあなたがオンラインで何かを投稿したことがあるなら、ChatGPTはそれを読んでいる可能性があります。膨大なデータの山の一角に、自分たちの個人情報が存在します。

ChatGPTが個人情報を収集する方法は？

ChatGPTが個人情報を入手する方法の一つに、ChatGPTに入手可能なデータが一括でアップロードされ、学習させる手法があります。しかし、自分の情報の使い道について同意できないので、この方法自体が問題です。例えば、Reddit（質問サイト）のAMAで個人的な話をする場合、そのコメント内容はOpenAI（ChatGPTの開発企業）がChatGPTを学習させるために使用される可能性があります。

別の方法もあります。ChatGPTの使用を通じて、チャットボット（自動会話プログラム）は会話やその他の入力内容など、利用中のセッションに関するさまざまな情報を収集します。OpenAIのプライバシーポリシーによると、収集されるデータには以下のものが含まれます。

• ログデータ：ユーザーのIPアドレス、ブラウザの種類と設定、利用日時、ツールとのやり取り内容。ChatGPTは、ユーザーのチャット内容も収集し保存します

• 使用データ：ユーザーがどのようにサービスを利用し、関与するか。その他、タイムゾーンや国別の位置情報、ソフトウェアのバージョン、デバイスの種類、接続情報などの収集も含まれます

• デバイス情報：ChatGPTへのアクセスに使用するOS、デバイス、ブラウザ情報が収集されます

• クッキー：OpenAIは、ユーザーの閲覧行動に関するデータを保存し、ウェブ上でユーザーを追跡し、分析するためにクッキーを使用します

• ユーザーコンテンツ：OpenAIは、ユーザーがChatGPTにアップロードまたは入力した情報を収集、保存します

• コミュニケーション情報：OpenAIのサポートに連絡したり、ニュースレターに登録したりすると、個人情報や送信したメッセージが保存されます

• ソーシャルメディア情報：ソーシャルメディア上でOpenAIとやり取りする場合、プロフィール上で公開されている情報が収集されます。プロフィール上に電話番号やメールアドレスを入力している場合は、それらも含まれる可能性があります

• アカウント情報：名前、連絡先、支払い情報など、利用中のアカウントを作成するために入力した情報は、保存されます

これらは他のウェブサイトが収集するものと大差ないと思った方は、あながち間違いではありません。しかし、ここでは「ユーザーコンテンツ」の収集とChatGPTの仕組みに注目してみましょう。

ChatGPTは、検索エンジンのように動くのではなく、ユーザーと会話するように設計されています。なので、チョコケーキのレシピを検索しても、Googleのように結果を表示することはありません。その代わり、ChatGPTはレシピについてユーザーと「会話」します。これは誤った安心感をもたらし、Google検索では普段しないような情報を共有するよう誘惑する可能性があります。

仕事ツールとしてのChatGPTの有効性は、機密情報の漏洩にもつながっています。Samsungでは、社員がチャットボットに会議を記録させたり、独自のコードをチェックさせたりして、大変な目に遭いました。OpenAIはユーザーコンテンツをすべて収集するため、プライベートな情報であろうとなかろうと、情報は決して削除されることはありません。

ChatGPTはイタリアで一時利用停止、その後解禁へ

2023年3月31日、イタリアはChatGPTの学習データにおける個人情報の利用をめぐり、一時的な禁止措置をとりました。イタリアのデータ保護当局 (Garante per la Protezione dei Dati Personal) は、OpenAIがChatGPTの学習に個人情報を使用する法的権利を有していないと主張しました。

この決定は、ChatGPTがヨーロッパのユーザー向けにプライバシー関連の変更を行って改善措置を示した後、4月末に解除されました。

他の国も、プライバシー保護の有無についてChatGPTを精査しています。では、イタリアは具体的にどのようなことに抗議したのでしょうか？

イタリアは欧州連合 (EU) 加盟国として、データ収集に明示的に同意することを義務付けるEU一般データ保護規則 (GDPR) を施行しています。これは通常、データの収集を承認または拒否できるポップアップを使用して行われますが、OpenAIはできませんでした。イタリアはGDPRのルール上、以下の4つの問題がChatGPTにあったと考えています。

• 13歳未満の人がChatGPTを利用することを阻止するための年齢制限が設けられていない
• ChatGPTは、人々に関する誤った情報を提供する可能性がある
• 自分のデータが収集されることを、人々に認知していない
• ChatGPTの学習に使用されるデータにおける個人情報の収集には「法的根拠」がない

イタリアのChatGPTの一時的な使用禁止は、欧米諸国が生成型AIツールに対して行動を起こした最初の事例であり、これは今後も起こりうる可能性が高いです。

プライバシーに関する苦情により、より多くのEU保護当局がChatGPTのプライバシー問題に直面する

アーティストやメディア企業は、生成型AIに学習させる目的で自分たちの作品が許可なく使用されていることに不満を抱いています。EU保護当局も、人々の個人情報の使用について同様のことを述べています。イタリアがChatGPTをブロックして以来、他の複数のヨーロッパ諸国も現在、プライバシー問題についてAIツールの調査を開始しています。

フランスでは、データ保護機関CNILが、プライバシーに関する「いくつかの」苦情を受けてChatGPTを調査しています。フランスのデジタル省は、ChatGPTはGDPRを遵守していないとしながらも、禁止には至らなかったと述べました。しかし、CNILは禁止令を制定する可能性はあります。

他にもスペインは、ChatGPTのプライバシーに関する懸念に対処するため、欧州データ保護委員会の関与を要請しています。この動きにより、ChatGPTは欧州データ保護委員会の本会議での審議日程に組み込まれ、AIモデルを含むEUのGDPR対応について調整を進める可能性があります。

ChatGPTのプライバシーに関する懸念

ChatGPTをめぐるプライバシーに関する主な懸念事項を再確認しておきましょう。

1. ChatGPTはユーザーのデータを大量に収集する

これについてはすでに前述しましたが、再度強調する必要があります。ChatGPTに入力したものはすべてChatGPTのデータベースに追加される可能性があります。この情報は、Samsungの機密会議の記録や、弁護士が法的文書に組み込みたい顧客情報など、機密性の高い情報である可能性があります。

2. データ利用の透明性とGDPRの遵守について

イタリアのChatGPTに対する主な苦情は、収集される個人データに関するユーザーへの説明が不足していること、さらにプラットフォームのアルゴリズムの学習に使用されるデータのうち、個人データの収集と保存に関する法的根拠が欠如していることでした。

ChatGPTはその後、AIの学習アルゴリズムに使用される個人データの説明を開示し、誰でもオプトアウト（脱退）できることを明示的に述べています。しかし、ChatGPTは人々の情報を処理するための強力な法的根拠をまだ提供していないとする一部の専門家もいます。

またChatGPTは、OpenAIのホームページでプライバシーポリシーをよりわかりやすく表示する対策も行いました。

3. 個人情報収集のオプトアウトが可能

イタリアでChatGPTが禁止されて以来、同サイトは、ユーザーコンテンツがAIモデルの性能向上に使用されないようにするオプトアウトフォームを、簡単に見つけられるようにしました。また、EUのユーザーが、ChatGPTの学習に個人データを使用することに異議を唱えられるフォームも、新たに追加されました。

しかし専門家は、ChatGPTがGDPRの「忘れられる権利」（EUの人々が検索結果から除外されることを要求できるルール）をどのように遵守できるのかについて疑問を呈しています。ChatGPTに不用意に提供した情報は、アルゴリズムの学習に使われる可能性があります。アナリストによると、これらの情報を分離することはほとんど不可能であるそうです。

4. 電話番号の登録

ChatGPTに登録する際、電話番号を提供し、送られてくる認証コードを入力する必要があります。この措置は、ユーザーが人間であることをチェックし、スパムボットによるサービス利用を防ぐのに役立つ一方で、ユーザーにとっては匿名性が欠如しているという懸念もあります。

5. 年齢制限

世界各国には、子どものデータの使用と収集を保護する法律があります。GDPRのルールでは、企業が保護者の同意なしに16歳未満の子どものデータを処理することは違法ですが、加盟国ではその年齢を13歳まで引き下げることができます。

OpenAIの利用規約には、ChatGPTのユーザーは「13歳以上であること」と記載されています。4月に行われた変更のうちのひとつは、イタリアのユーザーが年齢条件を満たしていることを確認するためのボタンを追加することでした。

多くのプラットフォームと同様、年齢要件を強制することは難しく、その過程で幼児のデータが簡単に収集されてしまうのが現状です。

ChatGPTでプライバシーを保護する方法

1. 機密情報を共有しない

機密情報は、理由があって機密なのです。ChatGPTに入力した内容はOpenAIのサーバーに保存されるため、仕事であれ個人であれ、あらゆる種類の機密情報の共有は避けるべきです。むしろ、誰かがこのデータにアクセスできると思っていたほうがいいかもしれません。また、セキュリティ侵害があった場合、個人情報が悪用される可能性もあります。

2. VPNを使用する

ChatGPT対応のVPNを使用してインターネットに接続すると、ChatGPTサーバーとの間のトラフィックが暗号化され、データを盗んだり破壊したりしようとする悪意ある攻撃者から保護されます。またVPNは、IPアドレスとロケーションを隠してChatGPTに渡すデータ量を減らすることで、ChatGPTを使用する際の匿名性を高めるのにも役立ちます。

3. ChatGPTの個人データ処理をオプトアウトする

世間の監視の目が厳しくなる中、OpenAIは新たに、ChatGPTへデータコントロール機能を導入しました。アカウント設定でチャット履歴を無効にすると、ChatGPTとの会話が30日以内に削除されるようになります。ただし、この設定ではChatGPTの学習目的でのデータ使用を止められるわけではないようです。ChatGPTの学習に個人情報やプライベートな情報が使用されることをオプトアウトするには、OpenAIデータのオプトアウトを申請するGoogleフォームに入力してください。GDPRのルールが適用されるヨーロッパの人々は、別のフォームからOpenAIに個人データの削除をリクエストできます。

まとめ

ChatGPTでデータがどのように利用されるかをまず理解し、上記でご紹介したような対策を取りながら、ご自分が安全と思える範囲で利用されることをおすすめします。