【コラム】GDPRがAIに与える影響
GDPRがAIに与える影響
髙木 亮 氏 Ryo Takagi
Marunouchi AI Club Executive Secretary
このブログをご覧の皆さんはGDPR※について既にご存知かと思いますが、皆さんが携わっているプロジェクトとGDPRとの関係について、またそのリスクについて想像したことはありますでしょうか。また、チーム内で話し合いをされたことはありますでしょうか。
GDPRはEU諸国内において個人情報をより強固に保護するために2016年に制定された規則です。詳細は本ブログでは省略させていただきますが、簡単に言うと
- 全ての個人情報がユーザーとの合意に基づいた使用目的以外に用いられないこと
- 全ての個人情報をしっかりと管理できており、透明性や可搬性が保証されること
- 全ての個人情報が「忘れられる権利」を履行できるための仕組みがあること
これらの要素をすべて満たした状態で初めて個人情報を使っても良い、という規則です。EUの規則なのですが、筆者はほぼすべてのサービスは規則に則った実装をするべきではないかと考えています。
理由として、本規則内で監視対象となる個人情報の具体的な線引きがなされていない点があります。サービス内で利用されるデータが完全なクローズド環境で収集された・されるものである以外は、保有データに何がしかのEU関連の個人情報が紛れ込まない保証ができない限り規則遵守のリスクは高いと考えるのが現実的でしょう。皆さんのビジネスが拡大し、EUへ進出することになった際の障壁とならないためにも、あまり対岸の火事と捉えず、データ管理に関する良い機会だと思って実装を検討することをお勧めします。
AIという観点で言えば、GDPRはこれからのAIサービスにおいて重要な前提条件となります。先のブログにも記述しましたが、今現在AIと言われているものはほぼ機械学習や深層学習をベースにしたアルゴリズムです。そして、これら学習による結果をより正確なものにするためのデータとして個人情報は多用されています。多くの場合、個人情報は入力データやテレメトリーデータと共に加工され、傾向のクラスタリングに用いられ、特にインタラクティブなサービスにおいてはAIをAIたらしめる重要な要素となります。そしてその意思決定プロセスは多くの場合ブラックボックス化されており、開発者当人ですらなぜその結論に至ったかを説明するのが困難であることが多く、その場合は当然第三者に説明することも難しいという現実があります。これはデータ利用の透明性に抵触する問題であり、今後本当にGDPRが厳しく遵守されることが求められるようになれば、AIサービス上でのGDPR遵守は世界的なチャレンジになるのではないかと想像しています。
現段階においても、AIサービスを展開する上でEUからの情報だけをはじくことは技術的にも難しいこと、データ収集の点でも利益がないことなどから、体力のないスタートアップでさえ形だけでもGDPRを遵守することが求められており、開発の大きなボトルネックとなっています。罰金の額が大きいこと、同時にAIサービスは個人情報が重要かつ必要な要素であることを合わせると、個人情報を利用してサービスを運用しているプロバイダーがGDPRを遵守する姿勢を見せ続けることは非常に大切です。GDPR遵守にはそれなりのコストがかかるため、個人情報を基盤とするスタートアップが今後一時的に減少することも考えられます。
とは言え、現段階においては遵守の線引きもブラックボックス化されており、今のところは喧嘩両成敗と言った感があります。今後どうなるかは様子を見る必要があるでしょう。
AIという観点からはあまり利益の無いように見えるGDPRですが、その反面、本規則はデータエンジニアやデータサイエンティストのモラル醸成という意味では非常に有用だと筆者は考えています。アメリカの学校では(日本の大学でも同じかもしれませんが)、データサイエンスを学ぶ際に倫理的観点からデータを読み取ることについても学ぶ機会があります。多くは結果の正当性を証明するための偏りや偏見の排除といったものになりますが、どのようなデータをどのように扱うべきかという、データ倫理(Data Ethics)に関する勉強もあります。今後テクノロジが陳腐化すればサービスも多岐にわたることになるため、健全な開発コミュニティを醸成するためにも、データエンジニアやデータサイエンティストの倫理観を育むことはとても重要だと思います。
GDPRはデータ倫理に関する一つの具体的指標とも言えます。データを扱う者が倫理だけを学ぶために学校に行く時間はないかもしれませんが、仮に座学で学ばなかったとしても、組織内でGDPRを学びあうことで個々の倫理観が向上し、結果として個人情報に関する強固なコーポレートガバナンスが確立されるような良いサイクルができれば良いなと思います。また、そのサイクルが日本のAI産業全体に大きく広がることになれば本望です。
※GDPR (General Data Protection Regulation) : EU一般データ保護規則
https://eugdpr.org/the-regulation/
前の記事「日本におけるAIサービスの参入障壁とビジネスの可能性」