先日、NEC本社地下講堂にて「AI・データの利活用に関する法と政策の潮流」セミナーが開催された。冒頭、NECデータ流通戦略室長 若目田 光生は次のように語った。

　ネットで個人情報を集め、それを基にして高付加価値サービスを提供する企業が増えてきた。もはや、世界の時価総額十傑のうち、7社がこうしたビジネスを営む企業であり、いかに高い価値を生むかがわかる。また、顔照合やIoTなど、現実世界から生活者の赤裸々な行動や素性を知ることができるデータ収集技術の利用も広がりつつある。

　その一方で、個人情報の保護基準の強化を推し進める動きが世界中で活発化してきている。欧州では2016年4月27日にEU一般データ保護規則(General DataProtection Regulation：GDPR)が採択され、2018年5月25日に施行された。日本ではグローバル化対応を意識した改正個人情報保護法が2017年5月30日に施行されている。このような個人情報の保護に加え、関係する法令や倫理に関する基準は幅広く、検討を要する論点は多岐にわたる。実際に、我々事業者にとって、グレーゾーンの判断、対応に窮する具体的な案件が増えてきている。サービスの開発側は、それぞれの国や地域の法令などを遵守しながら、価値あるサービスを生み出していかなければならない。

　こうした現状をふまえ、行政、法曹、学会、企業の立場から招かれた講師たちが、AI・データ関連ビジネスに向けた最新の法制、政策について講演している。

個人情報の定義や罰則、義務など、まずは各国の違いの理解から

　最初に登壇したTMI総合法律事務所 弁護士 大井 哲也氏は、世界中で強化されつつあるビッグデータの活用規制について説明した。日本の個人情報保護法は、2017年の改正で、匿名加工情報に対する規制が明記されている。これは、データをどの程度加工すれば個人情報ではなくなるのかを定めた規制だ。また、欧州で施行されたGDPRは、あくまでベースとなる規制であり、英国、ドイツなどではさらに1段厳格な上乗せ規制が課される。

　GDPRでは、個人情報の定義が日本の個人情報保護法とは異なり、例えば、IPアドレスやCookieなどオンライン識別子も個人情報に含まれる。また、EU域外移転規制（EU域内の居住者の個人情報をEUが認めた国以外に持ち出すことを禁じた規制）に違反した場合では、2000万ユーロまたは年間総売上額の4％のうち高い金額を上限とした制裁金が課される。ちなみに、現時点で日本は移転規制の対象国だが、2018年秋には、個人情報保護委員会が発行するガイドラインの遵守を条件に、持ち出しできるようになる予定である。

　データを国内のサーバーで管理することを義務付けるデータローカライゼーション規制を施行する国もある。典型例は、中国のサイバーセキュリティ法とロシアの情報技術・情報保護並びに個人情報保護に関する連邦法である。これらは、自国の重要機密データの保護や国防、検閲の容易性、自国の産業保護を狙った法律である。

　このように、国や地域ごとに個人情報の定義や規制などは大きく異なる。海外の居住者から個人情報を収集する際には、まずこの違いを明確に理解して対応する必要性を大井氏は強調している。

技術の進化とグローバル化に、民間主導の自主ルールで対応

　前個人情報保護委員会参事官(現内閣官房内閣人事局内閣参事官)小川 久仁子氏からは、我が国の個人情報保護法の概要について全体的な説明がされた。個人情報保護法は「個人の権利・利益の保護と個人情報の有用性とのバランスを図るための法律」であるという。個人情報保護法の遵守及びプライバシーへの配慮による「パーソナルデータの保護」により信頼を得ることが、特に先進的分野において、社会的に受容された新たな「パーソナルデータの利活用」やイノベーションの実現へと結びつくだろう。

　改正個人情報保護法は、2003年以降の情報通信技術の進展などの環境変化をふまえたものであり、2013年の検討開始から全面施行まで4年を費やした。ハードローによる対応には、どうしても一定の時間を必要とする。そこで期待されるのが、民間の自主ルールを策定し当該業界の信頼を高める仕組みである認定個人情報保護団体の果たす役割だ。個人情報保護委員会の2018年度の活動計画において、認定個人情報保護団体の活動支援や新たに認定を受けようとしている団体の支援を行う方針を打ち出している（2018年７月5日現在で43団体が認定）。今後、Society5.0の実現に向けて、カメラ画像やIoTの活用を含むさまざまなシステムやサービスの導入が進められる中で、特定のシステムやサービスについて認定個人情報保護団体などが民間の自主ルールを策定し、信頼を得ることも社会的に受容された利活用を進める上で有用である。

　個人情報保護委員会は、国際的連携も推進していることも紹介された。EUとの間では、相互の円滑な個人データの移転を実現するために個人情報保護委員会と欧州委員会との間で対話を進めており、2018年7月17日に「お互いの個人データ保護の制度が同等であると認識するための議論を成功裏に終了した」と両委員間で発表し、両首脳間で確認された。米国との間では、APEC越境プライバシールール(CBPR)システム(企業がデータ移転の枠組みに準拠を認証する仕組み)を促進する協力関係を構築している。

　このような国際的なデータ流通構造を視野に入れながら、個人情報保護法の遵守とプライバシーの配慮に関して、新たな技術やサービスの進化に民間の自主ルール等を活用しつつ適切に対応し、国民・利用者の信頼を得ていくことが今後の企業には求められるのだ。

AI関連のビジネスには倫理を含む法律以外も視野に入れ、組織横断的な対応を

　AI関連のビジネスについては、渥美坂井法律事務所・外国法共同事業弁護士・ニューヨーク州弁護士三部 裕幸氏が示唆に富む講演をしている。

　まず、適用されるかもしれないルールは何かを早期に把握する必要性を説いた。関わる可能性がある法律は、意外と多い。民法や商法、刑法などに加え、銀行法・金融商品取引法等の業者規制、消費者契約法・特定商取引法などの弱者保護の法律、個人情報保護法などが挙がる。自動運転などでは、自動車損害賠償保障法や製造物責任法、さらには条約なども関係する。「人間同士の関係を想定していたこれまでの法律が想定していない数多くの法的な論点が出てきます」と三部氏が語る通り、考えられる法律と論点を洗い出すことが大切だ。

　また、利用規約などの契約を、戦略的なツールとして活用することも重要であるという。AIを使ったビジネスで事故が発生し取引先やユーザーに損害が発生したが、法律上、被害者が救済を受けられないとする。そのまま被害者が救済をまったく受けられなければ、そのビジネスの取引先やユーザーになろうとする人はいなくなるだろう。しかし、ありとあらゆる損害について完全に被害者を保護する方策を契約に入れなければならないというのではビジネスが成り立たない。あくまで自社の利益や権利を保全しながら、取引先やユーザーに参入してもらうためには、どのような枠組みを契約で整えればいいのか。その視点を持って、戦略的なツールとして契約を作り込んでいくことが大切なのである。

　三部氏は、法律とは別のテーマとして、法律以外のものや海外の動向も視野に入れる必要性を強調している。「AIネットワーク社会推進会議」の活動のため欧州を視察調査した経験をふまえ、海外では倫理（Ethics）や安全性が重視されることを意識しなくてはいけないとし、続けて「欧州の視察先の担当者が口を揃えて仰っていたのが、AIが人の差別・プライバシー侵害・人間性の破壊などを引き起こさないようにすることの大切さでした。憲法・法律は、そのための道具として使われる可能性があります」と述べた。日本でどれだけ素晴らしいAIを活用した製品・サービスを開発しても、Ethicsや安全性を考慮していないと、海外で受け入れられないリスクがあることを念頭に置く必要があるのだ。「AIネットワーク社会推進会議」のAI開発ガイドライン案・AI利活用原則案、人工知能学会倫理方針、SDGs（Sustainable Development Goals）なども、倫理や安全性をはじめさまざまな課題提起をしており、こちらにも目配りする必要があるだろう。

　これらをふまえ、三部氏は「対外的に、ルールメイキングに積極的に関与していくことが考えられる」と述べた。そして、企業の内部では、横串を通す形で社内・グループを見通しながら対策を取ることが重要であるという。例えば、AIに関する標準化の推進や、社内ルール・原則・ガイドラインの策定、組織横断的な対応チーム・窓口の設置だ。何よりも、AIに関する社内のプロジェクト・ビジネスの情報や、苦情・クレーム・問題発生などの情報、海外を含めて、企業・官庁・研究機関・学術団体などの場での問題提起や議論の情報などを一元化し、ビジネスや危機管理に活かすことを提唱している。

テクノロジー企業に求められる責任と期待

　AIの利用に際しては、個人情報やプライバシー、人権の保護などに加えて、知的財産権や個人・企業の財産に関わるさまざまな課題がある。自動運転車による死亡事故など、生命や社会全体の安全に関わる課題が残されている。こうした課題の解決に向けた法制度の整備は追いついていない。「ITの世界では法律でコントロールできることがどんどん少なくなっている」と語るのは情報セキュリティ大学院大学教授湯淺 墾道氏だ。

　「ハードローと呼ばれる従来の憲法、法律、特別法などではなく、ソフトローと呼ばれる技術標準やガイドライン、組織のガバナンス体制を構築するマネジメントシステムの役割が非常に高まってきた」という。GAFAのようなグローバルなサービスを、特定の国のガラパゴスな法制度で管理するのには限界がある。技術や利用法の変化や国の枠組みを超えて柔軟に定められる、技術標準やガイドラインの役割が高まっている。テクノロジー企業にとって、これらソフトローのルール形成の場における発言力と発信力が非常に重要となる。

　また、企業は法律を遵守した活動をしているのに、消費者には感情的に受け入れられない状況が生じる場合がある。しかし、企業がプライバシー保護に対する姿勢を事前に示しておくことで、リスクを軽減することができる。企業としてのスタンス、取組みを積極的に明示することが大切なのである。

　個人情報やプライバシーを守る活動は、ひいては「生命や社会全体の安全を守ることにもつながる」と湯淺氏は語る。個人情報やプライバシーを保護する技術を生み出すことが、今、テクノロジー企業に期待されている。

情報対策の戦略的な行動が価値あるサービスの創出につながる

　セミナーの最後に、「AI社会に求められる企業の行動」と題したパネルディスカッションが行われた。NEC 執行役員常務兼CTO江村克己は「技術を社会実装するには、技術を使ってサービスを提供する企業だけではなく、それによって受益する消費者ともコンセンサスを取る必要があります。その時、個人情報保護への配慮は欠かすことができません。一方で、倫理的な配慮を過剰に考えすぎて、価値あるサービスやシステムの創出が萎縮してしまうのは避けたいものです」と話し、三部氏は「AIの活用に際しては、前もって個人情報保護をはじめさまざまな対策を立てないとリスクが増大します。契約を戦略的なツールとして使うことに加え、社内の体制の整備、そして情報発信につきましても、戦略的に行うことが大切だと思います」と語った。湯淺氏は「企業内の各部門間の情報共有不足や、消費者やメディアに対する事前の丁寧な説明不足により、大事になってしまうことがある」と社内外のコミュニケーションの重要性を指摘した。また「消費者に対して、達成する目的と手段の合理性、必然性を明確に示すことが重要である。消費者目線で考えて消費者のメリットをアピールしてほしい」と企業に対する期待を述べた。

　AI・データの利活用において個人情報保護や倫理的問題に適切に対応するには、法令遵守だけでは不十分である。しかし、リスクを過度に避け、データ活用に臆病になってしまうと、価値あるサービスを創出できない。企業は手をこまねくのではなく、社内の情報を一元化できる体制を整備すること。そして、個人情報保護、プライバシーへの配慮、倫理的問題に対する姿勢をステークホルダーに対して明確に情報発信し、ユーザーから信頼を得ることが極めて重要なのである。こうした活動は、必ずや企業価値の向上につながっていく。