主要な生成型人工知能(AI)企業の個人情報処理方針が不十分で、改善が必要だという意見が出た。
個人情報保護委員会は4日、ソウル中区韓国プレスセンターで開いた「生成型AI分野の個人情報処理方針改善のための懇談会」で、「昨年の個人情報処理方針評価の結果、生成型AI分野の適正性、可読性、アクセス性などが他分野に比べ不十分な事例が多数確認された」としてこのように明らかにした。
この日の懇談会にはグーグル、Meta(メタ)、NAVER、カカオ、マイクロソフト、オープンAI、SKテレコム、LG U+、NC AI、スキャターラボ、リートンテクノロジーズなど、国内外の主要な生成型AI企業11社とAI専門家が出席した。
個人情報委は2024年から、個人情報取扱事業者が策定・公開した処理方針を評価する制度である「個人情報処理方針評価」を実施している。個人情報処理の透明性と責任性を高めることを目的とし、AI・自動運転などの新技術を活用したり大規模なセンシティブ情報と個人情報を処理する代表的サービスを対象として行っている。
ソン・ギョンヒ委員長は「AIが扱う情報がテキストを越え、位置と移動経路、音声、映像などへと幅広く拡散し、データ処理の範囲と方式が複雑化した」と述べ、「このように複雑なデータ環境では、利用者が自らの個人情報の処理過程を予測できるよう助ける透明性が社会的信頼を形成する核心基盤となり、その透明性を具現する代表的手段がまさに個人情報処理方針だ」と語った。
個人情報委が昨年、コネクテッドカー、エドテック、スマートホーム、生成型AI、通信、予約・顧客管理、ヘルスケアアプリの7分野を対象に評価した結果、全体の平均点は71点で、前年の57.9点と比べ大幅に上昇したことが分かった。
生成型AI分野の場合、相対的に個人情報処理方針が不十分な事例が多数見つかったというのが個人情報委の説明だ。ソン・ギョンヒ個人情報委員長は「プロンプト(命令文)入力情報の処理に関する法的根拠を記載しなかったり、情報主体の権利行使方法を英語のみで案内した事例などが代表的だ」と述べた。
個人情報委によると、一部サービスは「処理する個人情報項目」を包括的に記載したり、「処理の法的根拠」を具体的に明らかにせず、「個人情報の保有・利用期間」を曖昧に表現したケースもあった。個人情報を第三者に提供しながら「協力会社」「サービス提供会社」など抽象的な用語を使い、提供先を明確に特定しない場合や、個人情報関連の苦情処理を遅延する事例も確認された。一部のモバイルアプリは処理方針を確認するためにログインを要求したり、複数の手順を経るようにしており、アクセス性の観点で改善が必要だとの評価を受けた。
これを受け個人情報委は、最近急速に拡散・高度化する生成型AIサービスが、より具体的で利用者の目線に合わせて処理方針を改善できるよう支援すると明らかにした。
この日、処理方針評価の結果を発表したファン・ジウン個人情報委個人情報政策局自律保護政策課長は、「AIエージェントの拡散に伴う現場の不確実性を解消するため、安全なデータ処理基準と保護措置を盛り込んだAIガイドを用意し、サービス企画段階からプライバシーリスクを併せて点検して安全なAI活用を支援する『AX革新支援』ヘルプデスクを運営する」と述べた。
出席企業は、生成型AIの技術的特性上、処理構造が複雑でグローバル本社の方針との調整が難しいとし、苦情を吐露した。その一方で、利用者の信頼確保のため、より明確で理解しやすい説明方式が必要だという点に同意した。
とりわけ、プロンプトに入力した情報が学習に活用されるかどうかと保有期間、利用者がこれを拒否できるオプトアウト(Opt-out)手続については、利用者が直感的に理解できるよう改善していくべきだとの意見も出た。
個人情報委は今回の懇談会での議論を踏まえ、個人情報処理方針作成ガイドラインを補完し、来月にガイドライン改訂版を発刊する計画だ。企業・機関が改訂基準を十分に理解し現場に適用できるよう、説明会も開催する予定だ。
ソン委員長は「利用者が自らの情報がどのように活用されるかを容易に把握できるとき、AIに対する信頼度も同時に高まる」とし、「今後も企業と継続的に疎通し、現場で適用可能な合理的基準を用意する」と述べた。