第17回:AI・ロボット法の文脈における欧州一般データ保護規則(GDPR)の「自動化された決定」に対抗する権利

1. 日本も欧州にあわせないといけない?

 欧州と日本の間で何らかの合意が今年の春にも結ばれ、欧州とのデータ流通が自由化されるという観測が報じられている*1

 これは、特に欧州との取引や欧州子会社のある日本企業にとっては大変な朗報である。もっとも、今後の日本と欧州の間の合意内容によっては、日本の改正個人情報保護法に準じた取扱いを超えて、欧州並みの取扱いが求められる可能性も出てくる。そのため、欧州におけるデータ保護の一般法であり、施行間近な欧州一般データ保護規則(GDPR)の規制内容について学んでおくことは有益であろう。

 そこで今回は、前々回、前回に続き、AI・ロボット法とプライバシーに関する3回目として、GDPRのうちAI・ロボット法と最も密接に関係する「自動化された決定」について触れておきたい。ここでは、「自動化された決定」に関連する様々な規定のうち、最も重要と思われる第22条について簡単に解説する。

2. 「自動化された決定」に関するGDPR 第22条の規定

 GDPRは第22条で「自動化された決定」について定めている。「自動化された決定」とは、AIによるプロファイリングのように自動化された情報処理にのみ基づく決定をいう。GDPR第22条の内容は以下の通りである(https://www.jipdec.or.jp/archives/publications/J0005075 を参考にした)。

1. データ主体は、当該データ主体に関する法的効果をもたらすか又は当該データ主体に同様の重大な影響をもたらすプロファイリングなどの自動化された取扱いのみに基づいた決定に服しない権利を持つ。

2. 第1項は次に掲げるいずれかの決定には適用されない。

(a)データ主体とデータ管理者間の契約締結、又は履行に必要な決定。

(b)データ主体の権利及び自由並びに正当な利益を保護するための適切な対策が定められた管理者が従うEU法又は加盟国の国内法によって認められた決定。

(c) データ主体の明示的な同意に基づく決定。

3. 第2項(a)号及び(c)号で定める状況に関して、データ管理者は、データ主体の権利及び自由並びに正当な利益を保護するための適切な対策を実施し、少なくとも管理者側で人を介在させる権利、当該データ主体の観点を表明する権利、及び決定に同意する権利を実施するものとする。

4. 第2項で定める決定は、第9条第2項(a)号又は(g)号が適用されず、データ主体の権利及び自由並びに正当な利益を保護するための適切な対策が機能していないならば、第9条第1項で定める特別な種類の個人データに基づいてはならない。

  このような規定は日本の個人情報保護法には存在しないので、一体何を言っているのか、と面食らう読者の方も少なくないかもしれない。

 現在AIの活用が進められているが、現実の実務におけるAI等による処理の大部分はあくまでも人間による判断に対してAIが参考情報を供するにすぎない。しかし、将来的には、人が介入せず、AI等が自動処理を行うオンライン上での借入申込みやインターネットでの採用活動(GDPR前文第 71 項参照)等がますます増加すると見込まれる。

 このようなAI等を利用した自動処理により、大量のデータをもとに正確な判断を下すことができるようになり、利便性の向上といったプラスの面が期待されることは事実である。もっとも、たとえば元となるデータが誤っていて、何回就職活動をしても「お祈り」されるとか、借入れの申込みをいつまでも断られ続けるといった状況はありうる。ここで、それが人間の判断であれば、一定程度の判断はしたその人間等に対し「どうしてこうなっているのか理由を説明してくれ、元となるデータが誤っているのではないか?」といった説明を要求し是正する余地*2がある。しかし、AIは理由を付さない/付せないことも多く、「自動化された決定」に基づく決定については、その誤りを正す契機がなくなるのではないか等と懸念されている*3

 GDPR第22条はこのような懸念を反映した規定といえる。これは、非常に簡単に言えば、「法的効果」または「重大な影響」をもたらす「自動化された決定」については、原則として本人(データ主体)はこれに服しない権利を有するとするものである。もっともGDPR第22条は例外として、その2項で(a)〜(c)の3つの場合には「自動化された決定」を適用できる場合があるとしている。しかし、いずれの場合でも、本人(データ主体)の「権利及び自由並びに正当な利益を保護するための適切な対策」を実施しなければならない(GDPR第22条3項および2項(b)参照)。

3. 実務対応の方向性

 上記のような採用や融資に関する事例を念頭に置くと、これらはGDPR第22条1項のいう「法的効果」または「重大な影響」をもたらすものと一応は評価せざるをえないだろう。そこで、1つの方向性としては、あくまでもAIの役割を支援にとどめ、最後は人間が判断することで「自動化された決定」に該当しないようにするという対応がありうる*4。とはいえ、常にAIの判断を「参考」としてしか利用できないとすれば、AIの利便性を阻害してしまう。

 もし、AIによる情報処理にのみ基づいて決定を行うこととし、「自動化された決定」に該当することを前提に対応する場合には、契約締結に必要な決定(2項(a))または本人同意(2項(c))の例外に該当するものと整理することになるだろう。もっとも、その場合に「権利及び自由並びに正当な利益を保護するための適切な対策」として何を実施すべきかは問題である。この点、ガイドライン*5においては、以下のようなリストが提示されている。

 以下のリストは網羅的ではないが、データコントローラーがプロファイリングの場合において考慮するべきグッドプラクティスのいくつかを示している。

・本人が公平に扱われ、特別な種類の個人データ〔筆者注:要配慮個人情報に近いもの〕その他を理由にした差別がされないことを確保するためのシステムにおける品質保証確認を定期的に行うこと。

・アルゴリズム監査 - 機械学習システムにより利用・開発されるアルゴリズムが、意図されたとおりに実働し、差別、誤答または不当な結論を導き出していないことを示すための検査を行うこと。

・プロファイル及びプロファイルを作成し又は適用するために利用される個人データについて明確な保存期間を設けることでデータの最少化のための具体的対策を講じること。

・プロファイリングの文脈で匿名化又は半匿名化技術を利用すること。

・データ主体(本人)が見解を表明し、決定に異議を述べることを認める方法を講じること。

・一定の場合における人間による介入メカニズムを構築すること。例えばデータ主体(本人)に自動化された決定が伝達された場合における異議申立てプロセスへのリンクの提供、合意されたレビュー期間及び質問に対する個人名が明示された連絡先の提供等が考えられる。

4. おわりに

 そもそも欧州と日本の合意はまだ本決まりではなく、あくまでも方向性が示されているにとどまる。

 もっとも、上記でみた通り、GDPRと日本の個人情報保護法とは、たとえばAI・ロボットと密接に関係する重要分野に関する内容において大きな相違があることから、今後の合意の内容によっては、「欧州並み」の対応が迫られる可能性がある。このことに鑑み、特に、欧州との合意に基づくデータ移転を検討している企業は、やはりGDPRについて今のうちからリサーチしておく必要があるだろう。

(加藤伸樹・大島義則・松尾剛行)

*1:たとえば、 http://www.okinawatimes.co.jp/articles/-/184786 参照。

*2:とはいえ、これは程度問題であり、たとえば就職活動で「お祈り」された場合に、企業に説明を求めても「総合判断です」と言われてしまう可能性は高いだろう

*3:具体的なシナリオをもとにこのことを論じるものとして、山本龍彦「AIと『個人の尊重』」福田雅樹=林秀弥=成原慧編『AIがつなげる社会』(弘文堂・2017年)参照。その他、同「個人化される環境」松尾陽編『アーキテクチャと法』(弘文堂・2017年)、同『おそろしいビッグデータ』(朝日新書・2017年)など。

*4:「最後は人間が判断する」ことの重要性とそのための方策については、座談会「AI・ロボットの研究開発をめぐる倫理と法」福田=林=成原編・前掲注3)127~134頁〔河島茂生・久木田水生・平野晋・高橋恒一〕参照。

*5: ec.europa.eu/newsroom/document.cfm?doc_id=47742 参照。