第4章 生成AI開発・提供・利用と個人情報、プライバシー、名誉毀損342ⅸ その他の留意点(外的環境の把握)AI 利用者による生成 AI サービスへの個人データの入力が「提供」に当たる場合のみならず、「提供」に当たらない場合であっても、AI 利用者は自らが管理する個人データの安全管理措置を講じる義務を負い(法 23 条)、かかる義務には外的環境の把握が含まれます(Q&A10-25)。外的環境の把握とは、個人データを外国において取り扱う場合、①当該外国の個人情報の保護に関する制度等を把握したうえで、②個人データの安全管理のために必要かつ適切な措置を講じなければならないことを指します。また、保有個人データについて講じた安全管理措置については、本人の知りうる状態(求めに応じて遅滞なく回答する場合を含む)に置く必要があります(法 32条1項4号、政令 10 条1号)。クラウドサービスの場合、「クラウドサービス提供事業者が所在する外国の名称」と「個人データが保存されるサーバが所在する外国の名称」のいずれについても明らかにし、当該外国の制度等を把握したうえで講じた措置の内容を本人の知りうる状態に置く必要がありますが、個人データが保存されるサーバが所在する国を特定できない場合には、サーバが所在する外国の名称に代えて、①サーバが所在する国を特定できない旨およびその理由、および、②本人に参考となるべき情報(たとえば、サーバが所在する外国の候補が具体的に定まっている場合における当該候補となる外国の名称等)を本人の知りうる状態に置く必要があります(Q&A10-25)。生成 AI サービスにおいて、データの保存や処理が特定のリージョンに依存していない場合(OpenAI における Global-Standard(グローバル標準)モデル等。第7章2⑴「入出力データが保存されるサーバの所在国(リージョン)」参照)は、「個人データが保存されるサーバが所在する国を特定できない場合」に当たると考えられますので、これらの仕組みを説明する内容を本人の知りうる状態に置くことで、上記の要請を満たすことになると考えます。イ 取得AI サービスからの出力として要配慮個人情報(のように見える情報)を AI 利用者が取得した場合、要配慮個人情報の取得に該当するかが問題となりますが、本章3⑸アアで記載したとおり、該当しないと考えます。
元のページ ../index.html#34