OpenAI がジェネレーティブ AI チャットボットである ChatGPT の一連のプライバシー コントロールを発表してから数日後、このサービスはイタリアのユーザーが再び利用できるようになりました。地域のデータ保護規則への準拠のローカル調査が続いているとしても.
これを書いている時点で、イタリアの IP アドレスから ChatGPT を閲覧している Web ユーザーは、サービスが「イタリアのユーザーに対して無効になっている」ことを示す通知を受け取りません。 代わりに、OpenAI が「イタリアで ChatGPT の提供を再開できることを嬉しく思います」というメモが表示されます。
ポップアップは、ユーザーがサービスを使用するために親または保護者の同意を得て、18 歳以上または 13 歳以上であることを確認する必要があることを規定しています。「私は OpenAI の年齢要件を満たしています」というボタンをクリックします。
通知のテキストには、OpenAI のプライバシー ポリシーと、「ChatGPT の開発とトレーニングの方法」に関する情報を提供していると同社が述べているヘルプ センターの記事へのリンクも含まれています。
OpenAI がイタリアのユーザーに ChatGPT を提示する方法の変更は、管理された規制リスクでサービスを再開するために、ローカル データ保護機関 (DPA) によって設定された初期条件セットを満たすことを目的としています。
ここでバックストーリーの簡単な要約: 先月末、イタリアの Garante は、サービスが EU データ保護法に違反していることを懸念して、ChatGPT の一時的な処理停止命令を命じました。 また、一般データ保護規則 (GDPR) 違反の疑いについても調査を開始しました。
OpenAI は、今月初めにイタリアの IP アドレスを持つユーザーをジオブロックすることで、介入に迅速に対応しました。
この動きに続いて、数週間後、Garante は、4 月末までに一時停止命令を解除するために OpenAI が実施しなければならない措置のリストを発行しました。これには、未成年者がサービスにアクセスするのを防ぐための年齢制限の追加が含まれます。ローカルユーザーのデータを処理するために主張されている法的根拠を修正します。
規制当局は、介入のためにイタリアやヨーロッパの他の場所で政治的な批判に直面しました。 懸念を表明しているデータ保護機関はこれだけではありませんが、ブロックの規制当局は今月初め、調査を支援し、施行に関する協力を行うことを目的として、ChatGPT に焦点を当てたタスクフォースを立ち上げることに同意しました。
で プレスリリース 本日発行されたイタリアでのサービス再開を発表したガランテは、OpenAI が以前の命令に応じて実施された措置を詳述した書簡を送ったと述べ、次のように書いています。ユーザーと非ユーザーが権利を行使できるように、いくつかのメカニズムを修正および明確化し、従順なソリューションを展開しました。 これらの改善に基づいて、OpenAI はイタリアのユーザーの ChatGPT へのアクセスを回復しました。」
DPA は、OpenAI が取った措置をより詳細に拡張し、OpenAI がプライバシー ポリシーを拡大し、アルゴリズムのトレーニングのために処理されている個人データに関する詳細情報をユーザーと非ユーザーに提供したと述べています。これは、同社が現在、アルゴリズムをトレーニングするためのデータ処理の法的根拠として、正当な利益の主張に依存していることを示唆しています (その根拠では、オプトアウトを提供する必要があるため)。
さらに、Garante は、OpenAI が、AI のトレーニングにデータを使用しないようにヨーロッパ人に要求する方法を提供するための措置を講じたことを明らかにしています (要求はオンラインフォームで行うことができます) — そして彼らに「メカニズム」を提供するためにデータを削除します。
また、現時点では、特定の個人に関する虚偽の情報を作成するチャットボットの欠陥を修正することはできないと規制当局に伝えました. したがって、「データ主体が不正確と見なされる情報の消去を取得できるようにするメカニズム」を導入します。
AIのトレーニングのために個人データの処理をオプトアウトしたいヨーロッパのユーザーは、OpenAIが利用可能にしたフォームでオプトアウトすることもできます.DPAは、「トレーニングに使用されるデータからチャットとチャット履歴を除外する」アルゴリズム」。
そのため、イタリアの DPA の介入により、ChatGPT がヨーロッパ人に提供するコントロールのレベルにいくつかの顕著な変化がもたらされました。
とは言うものの、OpenAI が実装を急いだ微調整が、提起されているすべての GDPR の懸念を解決するのに十分であるかどうか (またはできるかどうか) はまだ明らかではありません.
たとえば、歴史的にGPTモデルのトレーニングに使用されたイタリア人の個人データ、つまりインターネットから公開データをスクレイピングしたときに使用されたイタリア人の個人データが、有効な法的根拠に基づいて処理されたかどうか、または実際にデータがモデルのトレーニングに使用されたかどうかは明らかではありませんユーザーが自分のデータを今すぐ削除するように要求した場合、以前は削除されるか、削除される可能性があります。
そもそも OpenAI が人々の情報を処理するために必要だった法的根拠は何かという大きな問題が残っています。当時、OpenAI は使用しているデータについてそれほどオープンではありませんでした。
米国の会社は、欧州の人々の情報を使って行ってきたことについて提起されている異議を制限することを望んでいるようです処理は歴史的に行われています。
実装された変更について尋ねられた OpenAI の広報担当者は、TechCrunch に次の要約声明を電子メールで送信しました。
イタリアのユーザーは、ChatGPT を再び利用できます。 私たちは彼らを歓迎することに興奮しており、彼らのプライバシーを保護することに専念しています. Garante によって提起された以下の問題に対処または明確化しました。
Garante の協力に感謝するとともに、継続的な建設的な議論を楽しみにしています。
ヘルプセンターの記事で、OpenAI は ChatGPT をトレーニングするために個人データを処理したことを認めていますが、実際にはそうするつもりはなかったが、データはインターネット上に転がっているだけだったと主張しています。インターネット上の大量のデータは人に関するものであるため、当社のトレーニング情報には個人情報が付随的に含まれています。 モデルをトレーニングするために積極的に個人情報を探し出すことはありません。」
これは、たまたま見つけたこの個人データを処理するための有効な法的根拠があるという GDPR の要件をかわすための素晴らしい試みのようです。
OpenAI は、「ChatGPT の開発はプライバシー法にどのように準拠していますか?」というタイトルのセクションで (肯定的に) 弁護をさらに展開します。 — A) チャットボットが有益であることを意図していたため、人々のデータを合法的に使用したことを示唆している。 B) AI 技術を構築するには大量のデータが必要だったため、選択の余地がありませんでした。 C) 個人に悪影響を与える意図はなかったと主張する。
「これらの理由から、トレーニング情報に含まれる個人情報の収集と使用は、GDPR などのプライバシー法に基づく正当な利益に基づいています」と、次のように書いています。この情報を合法的かつ責任を持って収集および使用していることを確認するのに役立つデータ保護影響評価。」
繰り返しになりますが、データ保護法違反の告発に対する OpenAI の弁護は、本質的に次のようになります。
その説明では、このデータを使用して個人に関するプロファイルを作成していないという主張を強調するために、太字のテキストも提供しています。 それらに連絡するか、それらに宣伝します。 または彼らに何かを売ろうとします。 そのデータ処理活動が GDPR に違反しているかどうかという問題には、いずれも関係ありません。
イタリアの DPA は、その顕著な問題の調査が継続していることを確認しました。
Garante は最新情報で、OpenAI が 4 月 11 日の命令で規定された追加の要求に準拠することを期待していることにも言及しています。これは、年齢確認システムを実装する必要があることを示しています (未成年者によるサービスへのアクセスをより確実に防止するため)。 また、地元の情報キャンペーンを実施して、イタリア人にデータの処理方法と、アルゴリズムのトレーニングのために個人データの処理をオプトアウトする権利を通知します。
「イタリアのSA [supervisory authority] は、個人の権利を尊重しながら技術の進歩を調整するために OpenAI によってなされた前進を認め、同社が欧州のデータ保護法を遵守するための努力を継続することを望んでいます。」この規制ダンスで。
したがって、100% 善意であるという OpenAI のさまざまな主張はすべて、しっかりとしたテストが必要です。