英国の個人情保護期間である「Information Commissioner’s Office(ICO)」の新しいガイダンス(7/30/20発行)によると、人工知能を扱う企業は、AIシステムを扱う際によくあるミスが原因で、うっかり欧州のGDPR(欧州の個人情報保護法)に違反してしまう可能性があるという。
欧州連合(EU)の一般データ保護規則では、企業はAIプロジェクトに使用される大規模なデータセットに含まれる個人データを特定し、削除しなければなりません。それを適切に行わないと、罰則の対象となる可能性があります。
しかし、簡単にそれに沿えない場合もある。AIに使用される複雑で大規模なデータセットに含まれる個人データの識別を誤って間違ってしまう可能性があり、個人情報を公開してしまったり、サイバー攻撃の口火を切ったりする可能性があります。
英国のガイダンスでは、AIのアルゴリズムを訓練・検証することに関連性のない個人データを削除したり、匿名化と呼ばれる手法を適用して個人を特定できる情報をデータから削除するなどして、そのデータを使用するよう企業に助言しています。また、企業は企業システム内でのデータの動きをすべて記録すべきだとしています。このガイダンスはICOが7月末に発表したものです。しかし、このやり方は既に数々の国々や業界で導入されているやり方なので、特に新しい手法でもなく、比較的に対応しやすい。しかしながら、AI・機械学習のアドバンテージを引き出すためにはデータの質は確保しながらも、なるべく削除するデータを減らすことなのでそれがチャレンジングになるかもしれない。
企業は、使用するさまざまなデータソースと、特定のプロジェクトで個人データが必要な理由を適切に説明する必要があると思います。
難しい「個人を特定できるのか?」の判定
ノルウェーのオスロ大学病院と提携して2017年に開発を開始した医療技術ツールは、病気を理解するために研究室で処理されたゲノムデータが個人の患者を特定できる可能性があるかどうかを法律の専門家が審議した結果、行き詰まったと、ビッグ・メッド・プロジェクトのプロジェクト・マネージャーであるビベケ・ビンズ・ヴァレヴィク氏は述べている。ビッグメッド・プロジェクトとオスロ大学病院は、患者のデータを利用して精密医療ソリューションを開発し、疾患に関する研究を行うためのツールを開発している。弁護士によると、患者が珍しい病気を患っていて、そのデータの変異がオンラインで公開されている場合など、特定の状況ではゲノムデータが人を再特定する可能性があるとヴァレヴィク氏は述べた。このプロジェクトには約50人の弁護士が参加している。
オスロ大学病院はまだこのツールの使用を開始していないとヴァレヴィク氏は言う。しかし、このツールはデンマークの病院でテストされています。デンマークの病院は以前、他の医療機関と遺伝子変異データを共有していたため、このツールの使用を開始するのが早かったという。
GDPRは、特定の個人を特定する可能性のあるデータに適用される為、企業は単独で、あるいは他の情報と組み合わせて、個人を特定する可能性のあるデータを使用することを注意しています。
企業への勧め
当局のガイドラインでは、研究者がソフトウェアに影響を与える問題を特定した場合に通知を受けるために、企業がセキュリティ・アドバイザリに加入することを推奨している。また、特定のAIタスクのためにあらかじめ設定された仮想マシンとして知られるツールの使用も推奨している。これらのツールは企業のシステム内で動作しますが、企業のインフラとは切り離されているため、セキュリティ上の問題は隔離されることになります。
ガイドラインは監査も勧めておりウェブサイトには監査のフレームワークも載せている。
ガイドラインと監査フレームワークのリンク
ICOガイドライン – Guidance on AI and data protection
ICO AI監査フレームワーク – AI Auditing Framework