英国個人データ保護監督機関 (ICO)による「AI及びデータ保護に関するガイダンス (Guidance on AI and Data Protection)」が2023年3月15日に更新されました。本ガイダンスは、組織がいかにデータ保護法を遵守しつつAIシステムを使用するべきかをより明確にするものです。
どのような項目がICOのガイダンスに含まれているか?
ガイダンスには以下の項目が含まれています:
- 公平性
- 説明責任
- 透明性
- 説明可能性
- バイアス
- データ保護影響評価
また、最新のガイダンスには、実際に組織がどのようにこのガイダンスを適用してきたかを示すケーススタディがもいくつか含まれています。
ICOのガイダンスは、AIシステムを利用する組織にとって貴重な情報源となり、AIシステムを使用する際にデータ保護法を遵守する方法について、明確かつ実践的なアドバイスを提供するものです。
「公平性」の原則はどのような影響を受けるのか?
データ保護法の重要な原則の一つは公平性です。これは、組織が不公平または差別的な方法でAIシステムを使用してはならないことを意味します。
ICOのガイダンスでは、組織が公平性を評価するにあたっては、以下のような要素を検討すべきとしています:
- AIシステムの利用目的
- AIシステムが個人に与える影響
- 個人を保護するために設けられている保護措置
説明責任はどのような影響を受けるのか?
AIシステムを使用する組織は、これらのシステムの使用方法について説明責任を負わなければなりません。つまり、データ保護法を遵守していることを証明することができなければなりません。
ICOのガイダンスは、組織がAIシステムの利用について説明責任を果たすための方法をいくつか提示しています。
- AIシステムの利用についての文書化
- 適切なガバナンス体制の実施
- データ保護影響評価の実施
- データ保護法についての社員研修
なぜ透明性が重要なのか?
AIシステムを使用する組織は、そのシステムがどのように機能するのかについて明確かつオープンでなければなりません。つまり、AIシステムによる個人データの利用方法について、対象となる個人にその情報を提供する必要があります。
ICOのガイダンスは、組織がAIシステムの利用について透明性を確保するための方法ををいくつか提示しており、それには以下のものが含まれます。
- AIシステムに関する明確かつ簡潔な情報を提供すること
- 個人データがどのように使用されているかを、対象となる個人が容易に理解できるようにすること
- 対象となる個人がAIシステムの利用をオプトアウトできる選択肢を提供すること
説明可能性とは何か?
AIシステムを使用する組織は、そのシステムがどのように機能するのかについて説明できなければなりません。つまり、個人データがAIシステムによってどのように使用されているのかについて、対象となる個人に説明できなければなりません。
ICOのガイダンスでは、組織がAIシステムの利用について説明する方法として、以下の例を挙げています:
- AIシステムで使用されるデータへのアクセスを個人に提供すること
- AIシステムが使用するアルゴリズムに関する情報を個人に提供すること
- AIシステムがどのように意思決定を行うかについての情報を個人に提供すること
AIによるバイアスはどのように緩和できるのか?
AIシステムにバイアスがかかることがあります。つまり、AIが不公平な判断や差別的な判断を下す可能性があるということです。
AIシステムによるバイアスを軽減するために、ICOは以下のステップを推奨しています:
- 多様な人々からデータを収集すること
- 公平性を追求したアルゴリズムを使用すること
- AIシステムにバイアスがかかっていないかどうかを確かめること
- AIシステムのバイアスを監視すること
データ保護影響評価はどのような場合に必要なのか?
AIシステムの使用により、個人の権利と自由に高いリスクをがもたらされる可能性がある場合、これらのシステムを使用する組織はデータ保護影響評価 (DPIAs)を実施する必要があります。
DPIAとは、AIシステムの使用によってもたらされる個人の権利と自由に対するリスクを特定、評価、また緩和するために組織が実施するプロセスです。
DPIAを実施するために組織が取るべき行動として、ICOは以下を推奨しています:
- AIシステムの利用がもたらすリスクの特定
- これらのリスクが個人の権利と自由に与える影響の評価
- AIシステムがもたらすリスクの軽減
- 緩和措置の効果の監視
3CSにできること
AIやデータ保護、また、企業法務や商業法務に関するアドバイスが必要な場合、3CSの担当者までご連絡ください。
