2024年4月30日 | 10分で読める
記事を聞く 4分
AI 開発者は、消費者のプライバシー権の侵害を理由とした訴訟や執行上の苦情の増加に直面している。しかし、彼らがその慣行を変えるかどうかはまだ分からない。
LLM はデータプライバシーの慣行に関してますます非難を浴びている / Adobe Stock
OpenAIは、同社の超人気生成AIプラットフォームChatGPTが、民間人に関する「幻覚」、つまり不正確な情報を作り出して、EUの包括的な消費者プライバシー法である一般データ保護規則(GDPR)に違反したという新たな苦情に直面している。
この苦情は、非営利団体Noyb(EUと米国間のデータ移転に関する先駆的なルール作りに貢献したオーストリアのプライバシー擁護者マックス・シュレムス氏が設立)が月曜日にオーストリアのデータ保護局(DPA)に提出した個人苦情の申し立てである。Noybが「著名人」とだけ紹介した匿名のこの個人は、ChatGPTが自分の生年月日を不正確に生成したと主張している。
GDPRは、EU居住者に、個人データに関するいくつかの権利を保証しており、その中には、自分に関する虚偽または不正確なデータを訂正する権利も含まれる。Noyb氏は、OpenAIがこの要件を満たしていないと主張し、OpenAIは技術的に不可能であるという理由で、個人が誤っている生年月日を修正する要求を拒否したと述べている。
「大規模言語モデルにおける事実の正確性は、依然として活発に研究されている分野です」とOpenAIはNoybに語ったと報じられている。
ノイブ氏は月曜日に公開したブログ記事で次のように書いている。「EUでは、GDPRにより、個人に関する情報が正確であること、保存されている情報や情報源に関する情報に完全にアクセスできることが義務付けられています。しかし驚くべきことに、OpenAIはChatGPTの誤った情報を訂正できないことを公然と認めています。さらに、同社はデータの出所やChatGPTが個人に関するどのようなデータを保存しているかを明かすことができません。同社はこの問題を十分に認識していますが、気にしていないようです。」
ChatGPTやその他の生成AIプラットフォームが消費者データプライバシー法に違反しているとして批判されるのは今回が初めてではない。
9月、OpenAIとその最大の投資家であるマイクロソフトに対して集団訴訟が起こされ、両社が何億人ものインターネットユーザーから違法に取得した個人データを使ってAIモデルをトレーニングしていると主張した。一方、Clearview AIは、オンライン上の何十億もの画像を本人の同意なく顔認識ソフトウェアに使用したことでイリノイ州の生体認証情報プライバシー法に違反したとして訴訟に直面している。他の多くのAI企業、およびAI技術を採用している消費者向け企業も、データプライバシーに関する懸念をめぐって訴訟に直面している。
ブルームバーグ法律事務所の最近の調査によると、現状では、弁護士の97%が、生成AIの普及を踏まえて、データのプライバシーについてある程度の懸念を示している。
個人もさまざまな管轄区域のDPAに懸念を表明している。そうした苦情の1つは、独立した研究者、コンサルタントであり、2023年の書籍「サイバーセキュリティの哲学」の共著者でもあるLukasz Olejnik氏によって1月に提出されたもので、同氏はChatGPTが彼に関する誤ったデータを生成するだけでなく、架空の作品を彼に帰属させるまでになっていると主張している。
オレニク氏の苦情は、このモデルが、透明かつ公正なデータ処理の原則、EU居住者が個人情報にアクセスして不正確な点を修正することを認めること、処理されたデータのセキュリティ、および「設計によるプライバシー」のルールに関するGDPRの規則に違反していると主張している。
彼は、Noyb 氏のような他の人々もヨーロッパの DPA に懸念を表明していることを喜んでいる。「LLM と ChatGPT の同じ側面に関する私の既存の苦情に新たな苦情が加わることを歓迎します」と彼は The Drum に語った。「これらのデータ保護の問題は現実であり、人間の尊厳の側面を浮き彫りにします。」
当社の編集チームが厳選した、その日の最も重要なニュースをチェックしましょう。
先週のベスト広告をすべて 1 か所でご覧ください。
編集者に提案して The Drum に掲載される方法を学びます。
また、OpenAIや他のLLM開発者は、プライバシー保護の取り組みをめぐる監視をすぐに逃れることはできないだろうと専門家は言う。
「GDPRは個人データを取り巻く権利に焦点を当てており、意図的に技術中立の立法手段となるよう設計されています。しかし、GDPRは、私たちが知っているような生成型AIが予見されていなかった時代に策定されました」と、ワシントンDCに拠点を置くプライバシー重視のシンクタンク、Future of Privacy Forumの人工知能担当副社長、アン・フラナガン氏は言う。「技術の進歩は、今後も法律の解釈に課題をもたらし、規制当局はガイダンスを発行する際にGDPRの精神に寄り添って対応していくことになるでしょう。」
しかし、Noyb の GDPR 苦情の中心にある問題、つまり幻覚の問題と EU 市民が自分自身に関する誤ったデータを訂正する権利は、特に難しい問題となる可能性がある。
「生成AIモデルの複雑さのため、[個人に関するデータの]修正と削除は特に困難です」と、データプライバシーソフトウェア会社DataGrailの共同創設者兼CEOのダニエル・バーバー氏は説明する。
バーバー氏の見解では、AI 開発者がモデルのトレーニングにどのようなデータをどのように処理し、使用しているかを示す能力が向上したとしても、データ修正に関する保護は生成 AI のプライバシー問題の中心であり続けるだろう。「LLM は取得したデータに対する信頼度評価を提供する必要があるかもしれないが、EU の修正権は引き続き問題となるだろう」と同氏は言う。
しかし、AI 業界は、他にもより広範なデータ プライバシーの懸念に直面しています。収集されるデータの種類に関する透明性や、特定の目的に関連し必要な個人データのみを収集、処理、保存することを多くの企業に義務付けるデータ最小化に関する規則など、世界中のデータ プライバシー法に組み込まれている共通の保護は、多くの AI モデルの固有の設計によって脅かされる可能性があります。つまり、多くのモデルは、多くのプライバシー法の中核原則の一部に違反することなくは機能できないのです。
「OpenAIや他の生成AI企業が製品を構築してきた方法は、GDPR、ブラジルのLGPD、カナダのプライバシー法(その他)などの国際プライバシー法、および基本的なデータ処理とプライバシーの原則に直接反しています…」と、公益研究組織である電子プライバシー情報センターの上級顧問兼グローバルプライバシー顧問であるCalli Schroeder氏は言う。
Noyb 氏の苦情は、GDPR の不正確な個人データを修正する権利に焦点を当てているが、AI プログラムはまもなく、「削除や異議申し立ての権利など、他の種類のデータ権利や、そもそもトレーニング データセットで個人データを使用するための法的根拠を確立するなどの基本的なデータ処理要件」に取り組まなければならないだろうと Schroeder 氏は言う。
もちろん、AI 開発におけるプライバシー侵害を軽減することは可能です。開発者は、不正確なデータや合法的に取得されていないデータをフィルタリングして、そのような情報が処理され、モデルのトレーニングに使用されるのを防ぐことができます。入力、出力、アルゴリズム設計を評価する定期的な監査も、世界的なプライバシー規制への準拠を保証するのに役立ちます。
シュローダー氏はさらにこう付け加えた。「適切な法的根拠なく使用している不正確な情報や個人データを含むトレーニングデータセットの売却を強制される可能性がある。また、不正に入手したデータでトレーニングされたアルゴリズムの売却も強制される可能性がある。」
こうした慣行は、最終的には開発者が処理および保存するデータの量を減らすことになるが、当然ながら、AI ツールの適用範囲と機能を低下させる可能性が高い。このため、シュローダー氏のような専門家は、OpenAI のような企業が、自社のビジネスに差し迫った存続の脅威がない限り、やり方を変えることはないだろうと懐疑的だ。
彼女はこう述べています。「生成 AI 企業はこれらのプライバシー問題を解決できるでしょうか? はい。できるでしょうか? 唯一の選択肢が「法律に従うか、ビジネスをしないか」になるまでは。[これらの変更] には時間とお金がかかるため、他の選択肢がなくなるまで、企業はこれを避け、これらの法律を施行すると「イノベーションが阻害される」と主張するだろうと私は推測します。」
シュローダー氏は、多くの生成 AI 開発者が、AI は特定のプライバシー要件に準拠できないため、法律の適用除外となるべきだと DPA や司法当局に主張するだろうと予測しています。
もちろん、プライバシー擁護者、データ権利に関心のある議員、執行機関も引き下がる可能性は低い。シュローダー氏の言葉を借りれば、「法執行機関とプライバシー擁護者は、[AI開発者が]基本的な保護を遵守できないのであれば、彼らは存在すべきではないと反論するだろう」。
詳細については、こちらからThe Drumの毎日のニュースレターにご登録ください。