EU的法律の作り方は日本のIT事業者を幸せにするのか？
GDPRとCookieから考える「プライバシーの問題」

Cookieの有用性

司会者：そういう意味では、最近、GDPR（General Data Protection Regulation）とかの関係だったと思うんですけど、世の中のWebサイトで、（サイトを開くと）すごく大きなポップアップが出てきて、「Cookieを許容しますか？　『はい』『いいえ』」みたいな（笑）。とにかく「はい」を押すしかこの先を読む手段はないみたいなものがけっこうあるじゃないですか。

似たような話になりますが、そのあたりはどうなんですか（笑）？　そもそもGDPR自体（が）みたいな話もあると思うんですけど。宮脇先生（はどう考えていますか）。

宮脇正晴氏（以下、宮脇）：まぁ、あれ（Cookieの許可）はあれ（個人情報）の対策として行っているので。「はい」と了解を取らないといけないルールになっているから仕方なくやっている。どんな意味があるのかはよくわからないところはありますけど。要はそんなところですね（笑）。

上原哲太郎氏（以下、上原）：あの（Cookie）話が厄介なのは、「はい」と押さないとWebが見られないわけですよね。あるいはサービスも使えないわけで、ある意味、（「はい」を押すことを）強制しているものなんですよね。

これは消費者保護という観点からするととんでもない話です。基本的に消費者保護ではそれを選択せざるを得ない状況に追い込んだ契約の有効性が時々争われるものなので、「Cookieを送っていいですね？　『はい』『いいえ』」といって、認めたほうは本当に認めたことになるんだろうかというのはなかなかややこしい問題になっているなと思っています（笑）。

そもそもクリックの契約が有効かどうかって、日本は判例か何かあるんでしたっけ？

宮脇：うーん。

上原：例えばソフトウェアライセンスなんかでも、わーっと長いものが出てきて、一番下まで読んで、「同意します」と押さないとソフトが使えないことはよくありますが、これが本当に有効なのかっていつも思います（笑）。

宮脇：判例があるかどうかは把握していないですが、原則的にそれはたぶん有効扱いになるんだろうと思いますね。

上原：でしょうね（笑）。

宮脇：ただ、条項によっては、あかんやつがあることになるかと思います。

上原：先ほどのお話のように、「すごく不利益な契約を無理やり呑ませるようなやつは無効だよ」ということは、消費者保護の観点から「それは契約として駄目ですよ」みたいな論理で作っていけると思います。

Cookieのレベルになると、（クリックを押すことが）本当に消費者にとって不利益なのかどうかがよくわからないので、「まぁ、しょうがないよね」と言ってクリックを押す文化になっちゃっているわけですよね。

司会者：そうですよね。

日本でGDPRを実施した場合にどれくらいの影響力があるか

司会者：この話は控室で話していた時に、「EUだからけっこう効力がある」みたいな話題もあったと思います。日本でも電気通信事業法が改正されてそういう話題が出るみたいな話も出ていますが、日本の企業とか日本でWebサービスをやる時に、EUのGDPRがそもそもどれくらい影響があったりするのかって、肌感的にわからなかったり、あまり現実味がないような気も若干するんですが、そのあたりはどうなんですかね？

上原：あれは法律屋さんの理屈を立て直したようなところがあるなと思っています。ちょっと話が小難しくなるので申し訳ないんですけど。

日本には「通信の秘密」という概念があるんですよね。電気通信というものでは通信をしているわけですが、通信をしている内容は保護しなくちゃいけません。保護する内容は通信そのものじゃなくて、通信するログと呼ばれるものも含んでいて、これが通信の秘密ですと。

例えば電話で言ったら、「何時何分に誰がどこにかけた」というのも通信の秘密に含まれるという括りになっていたわけです。それの類推でWebのサービスも見ちゃったもんだから、Webに関してはログも通信の秘密ではある。

通信の秘密である一方、通信を受けた一方当事者であるサーバーは、通信を受けた側であって、媒介している側ではない。（通信を）受けちゃっている（側だ）から、その後はもう通信の秘密に当たらないみたいな論理が発生していたことがあって、それがいろいろなことを許しちゃっていたんですよね。

上原：例えば、Webのカウンターって（ものが）よくありましたが、あれがなぜ許されているかというと、「一方当事者であるサーバーがカウントするには勝手だ」という理屈だったわけですよ。

でも、よく考えたらWebサービスというのは、Webサーバーとそのユーザーだけをつないでいるんじゃなくて、実際にはユーザーとユーザーを媒介をしているわけです。なので、その媒介の通信事業もちゃんと（もともとの）通信事業（の範囲）に組み入れましょうということが書かれるようになって。

その結果、当事者間の通信であるCookieに対して、勝手に渡すのは電気通信事業法上どうなのかという話に、たぶん建て付けとしては作られ直されたのかなと思っています。

Cookieの第三者提供はプライバシー侵害ではないのかというのも含めて、もともといろいろな意味で議論があります。なんせみなさんにとってはターゲティング広告という格好で、わかりやすく「俺の嗜好があちこちに漏れているぞ」みたいな雰囲気を持つものだから、けっこう話題になっているわけです。

今回、これに規制が一定入るようになるわけですよね。それに対するカウンターも取られるようになってきた。ただ一方で、この話は、法の建て付けを作っていくというのは、大きく言ったら「日本はEU側につく」（ことを表明している）みたいな。「この手の議論についてはEU側につきますよ、アメリカ側ではないですよ」という理屈になっちゃっているところは気になっていて。「それで大丈夫なんですかね」と。

日本は経済的にはアメリカのサービスをいっぱい享受している立場ですが、「それでもEUに乗っかるんですかね」「どうするんですかね」ということは時々考えるところではあります。

司会者：そういう話題でいうと、宮脇先生はどうですか？

宮脇：欧州はすごく個人情報に対する権利意識が強い印象があります。自然権、Cookie情報を利用されない権利を生まれ持っているという前提に立っているんです。

なんでそう言えるのかは非常に難しい問題で。欧州の議論とかを見ていても僕もまだよくわからないところがあります。「ここまでコントロールできるんだ」と（いうことをどのように）考えるかという答えのない話なので、理屈をつけるのもけっこう難しいんですよ。

「自然に（その権利を）持っているんだ」と言っちゃえばいいですけど、「本当にそうか」と言われた時によくわからない。でも、プライバシーってそうじゃないと説明できないところがあるので、「なぜ嫌なんだ？」「いや、誰だって嫌でしょう」というところですよね。たぶんね。

じゃあその「嫌でしょう」の範囲がどこまでが社会的に理解可能かというと、欧州はけっこう（考え方が）広いというか。政治的な理由もあるんでしょうけどね。

で、日本はどうなのかというのもよくわからないところがある。まぁ、難しいですね（笑）。

上原：法の建て付け上、もともと日本の法律の作りはたぶんヨーロッパに近いというか。ドイツからいわゆるコピーをして始まった文化というのもあって。大陸法に属するということもあるから、（ヨーロッパの法律の作りに）乗っかりやすいというのはあったのかもしれないんですが。

一方、これで、個人情報とかプライバシーとかいう問題の法律の作りがEU的になっていくことは、その法律を見て育っている日本のIT事業にとってどれだけ幸せか、やりやすいかというと、（EU的になっていくことで、逆に）けっこう大変なことになりつつあるなという意識はあるんですよね。

もちろん、プライバシーがなくていいとは思わないし、守られるべき範囲は適切であるべきだろうとは思います。（でも）法のキリキリの解釈をしてしまって、それでブレーキをかけた状態からサービスを始めるのはあんまりよろしくはないよねと。

それこそCookieに関して、日本でも「どんなCookieでもとりあえず安全のために了承を得ておきましょう」とか、「もう渡すのをやめておきましょう」とかなるのはどうなんだろう、とは思っていますね。

ChatGPTの情報漏洩リスク

司会者：質問をちょっと拾おうかなと思います。それこそ上原先生はけっこうセキュリティの専門家的な立場でニュースに出られたりとかもしていますが、（そのセキュリティに関する）質問が来ていて。

社内の機密情報をChatGPTに投げて秘書的に使うとか、情報を整備してもらうみたいなことはけっこうあると思うんですが、そういうのはどういうふうに捉えられたりしていますか？　そういう情報漏洩のリスクみたいなところ。

上原：とりあえず、今のところChatGPTを企業でカジュアルに使うのはやめたほうがいいと僕は思っています（笑）。ちょっと今はまだ、よく見えていないところがやはりあるので。

「いや、そんなのどんどん使えばいいじゃないか」と言われるかもしれないんですが、明らかなことの1つは、ChatGPTを鍛えるためにみなさんの入力（した内容）が使われているのは間違いないので（笑）。それがどういう格好でみなさんに返ってくるのかが見えるまでは、カジュアルに使うのはどうかなと思っています。それこそChatGPTの学習済みモデルみたいなものがローカルで動かせるような世界になるのが一番いいんですけどね（笑）。

司会者：オンプレ版。

上原：そうです。そういうのがうまくできるか、あるいはChatGPTによってどういう情報がやり取りされているかが、もう少し透明化されるといいとは思うんですけどね。

現時点では「ちょっと、もう少し待ってください」と。もちろんリスクがある程度あるというのをわかった上で使うんだったらいいんですが、社内でリテラシーが高い人、低い人、全員まとめてバンッて（ChatCPTを使うことを）やったら、それこそ社内の契約文書をいきなり（ChatCPTに）バンッて貼り付ける（ような）人が出るので（笑）。これはちょっとどうかなと。

司会者：そうですよね。ああいうテキスト入力フォームを見ると、うっかり（誰かが）貼っちゃうんじゃないかみたいな。けっこうドキドキしますよね（笑）。

上原：AIの話だけじゃなくて、クラウドサービス全般の（要項も）やはりよく読まないといけないんですよね。私は芦屋市でCIO補佐をやっていて、芦屋市でもいろいろなニーズが出てきます。

（例えば）窓口に外国の方がいっぱいいる。「その人たちに応対をするために、クラウドサービスでやる自動翻訳機を使いたい」と（芦屋市の方が）言ったんですね。「使いたいのはわかるんだけど、ちゃんと要項を読んでいる？」という話をして。その（クラウドサービス）会社のサービス（要項に）は「録音内容を使います」と明記してあったわけですよ。

海外の人が日本の窓口でする話って、ムチャクチャ機微な話が多いんですよ。「本当に生活保護を受けたいんですか？」みたいな話がけっこうあるので、これはやばいと。だから「クローズであることがライセンス上わかっているやつに変えてくれ」と言ってお願いして、変えてもらったことがあるんですよね。

そういうリスク判断ができることが大事で。やはり要項をよく読みましょう。どう使われているかをよく調べましょうというのは、大事なことだと思います。

司会者：なるほどです。

「忘れられる権利」がある場合に、学習モデルの削除も実施する必要があるのか

司会者：宮脇先生に（別の質問を）ちょっと聞いてみようかと思います。ちょっと話を戻して。GDPR（の話）で、先ほどの（お話しで言われていた、）「ヨーロッパでは個人情報とか厳密に削除しないといけない」みたいな、忘れられる権利みたいなのがあると思います。

今日のAIの話とかも含めてだと思いますが、例えばユーザーのテキストとか写真とかを学習していたモデルを使ってAIをやっていると（します）。その本人のデータを忘れられる権利（がある）として、モデルから消すことはやらないといけないのかとか、そもそもそれが求められることがあるのかみたいなところって、どういうふうに考えていますか（笑）？

宮脇：忘れられる権利自体は、一般には個人を特定する情報について言われるもので、日本だとそれを定めている法律はないです。ただ、一定の場合には、（裁判の）判例で検索エンジンとかに検索結果の削除請求ができることにはなっていますが、それはプライバシーの侵害の1バリエーションなんですよね。

自分の作品というのはそれとはちょっと異なるものなので、著作権法上許されている以上は、「それを削除しろ」というような（ことを言えるような）法的な根拠はちょっと考えにくいですね。

司会者：例えばこの質問の場合だと、ユーザーの自分の写真みたいなものが学習モデルの中に含まれている。利用されている。

宮脇：自分の顔写真ですね。自分の撮影した写真だと著作権になりますが、自分を撮影した写真とかはいわゆる肖像権と呼ばれているものの問題になって。（問題は）それの使われ方ですよね。ただ学習に使われたというだけで人格権の侵害になるかというと、難しいと思いますね。

だから、アウトプットで自分の顔が出てきたとか、顔を生成するようなもので自分そっくりな人が使われている、コマーシャルとかで使われているとかだと、それは「削除してくれ」（と言うこと）はできると思う。

司会者：それはモデルに対してじゃなくて、生成結果を利用していることに対して……。

宮脇：そうです。アウトプットに対してはできます。「そもそも学習するな」は、そういう問題が起こっても……。まあ、起こったらいける可能性もあるかもしれませんが、それがないんだったら「削除せよ」はたぶんできないと思いますね。

グレーゾーンがある方こそ議論や対話が大切

司会者：そろそろ時間が迫ってきたので、お二人に最後に一言ずついただいて終わろうかと思います。じゃあ上原先生から一言。一言と言っても、けっこう自由に一言。はい（笑）。

上原：私個人はもともとエンジニアでコード書き（をするところ）から始まって。でもいろいろなことで、社会との関わりをやる上では法律を守らなきゃなとなって法律に首を突っ込むようになったというバックグラウンドなんですけど。

みなさんにお願いしたいのは、法律屋さんの考える考え方のロジックみたいなものがあるんですよね。この勘が働くようになると、「あっ、これをやるとやばいな」というものが未然に考えられるようになるので、ぜひこういう議論を時々してもらって、いいプロダクトを作ってもらいたいなと思っています。

一方で、過度に気にすることはないというか（笑）。気にすることはないというか、グレーゾーンがある時には、僕らは民主主義の世界に住んでいるので、なんとかして法律を変えさせるというやり方もあるわけですよ。

それこそAIの話は、世の中のニーズでちゃんと法律が変わった例でもあるので、こういう成功体験を進めていくことができればいいなと思っています。すみません最後に大きい話をして。どうもありがとうございます。

司会者：ありがとうございました。じゃあ宮脇先生もお願いします。

宮脇：法律自体は知ってもらいたいんですが、私は別にプログラムに詳しいとかではなくて、ちょっと知っているというレベルなので。みなさんが言っている「本当になにが問題なのか」ということは、話をよく聞いてみないと今ひとつわからないところではあるので、対話していくことは重要かなと今日あらためて思いました。

あとは「結局よくわからない」という話が多いんですけど（笑）。法律というのはそういうもので、常にグレーなんですよね。だから、上原先生が言われたように法律を変えるということも（選択肢に）あるし、「こういう解釈が正しいはずだ」と信じてリスクを取るというのもあると思います。ただその場合でも、必ず専門家に相談してもらえればと思います。今日は楽しかったです。ありがとうございました。

司会者：はい。ありがとうございました。では「法と技術の交差点」を終わろうと思います。あらためてお二人に拍手をお願いします。

（会場拍手）

司会者：ありがとうございました。