2025年2月7日
先週から今週にかけて、個人情報保護委員会より「DeepSeekに関する情報提供」および「株式会社ビーバーズに対する個人情報の保護に関する法律に基づく行政上の対応について」が公表されました。本ブログでもそれらについてご紹介します。
DeepSeekに関する情報提供が公表され、また合わせて、外国制度(中華人民共和国)が更新されました。
①当該サービスの利用に伴いDeepSeek社が取得した個人情報を含むデータは、中華人民共和国に所在するサーバに保存されること
②当該データについては、中華人民共和国の法令が適用されること
また、デジタル庁からも政府機関向けに DeepSeek等の生成AIの業務利用に関する注意喚起(事務連絡)が2月6日に公表されました。
・ DeepSeek等の生成AIの業務利用に関する注意喚起(事務連絡)(令和7年2月6日 デジタル社会推進会議幹事会事務局)
※なお生成AIの利用に関して個人情報保護委員会からは昨年6月に「生成AIサービスの利用に関する注意喚起等について」を公表されています。
個人情報護法についてのガイドライン(通則編)では、安全管理措置の一環として、外国において個人データを取り扱う場合は「外的環境の把握」が義務づけられています。
10-7 外的環境の把握
個人情報取扱事業者が、外国において個人データを取り扱う場合、当該外国の個人情報の保護に関する制度等を把握した上で、個人データの安全管理のために必要かつ適切な措置を講じなければならない。
※「外的環境の把握」に関して、外国にある第三者の提供するクラウドサービスを利用等する場合についてはFAQ 10-25に記載があります。
また、外国にある第三者への個人データを提供する場合は、法令に沿って場合分けをし、必要に応じて外国の制度に関する情報等について本人に情報提供を行わなければなりません(個人情報保護法についてのガイドライン(外国にある第三者への提供編))。
個人情報保護に関する法令は国や地域によって異なるため、外国において個人データを取り扱う場合は、該当する国ごとに法令等を確認して措置を講じる必要があります。あらためてご注意ください。
個人情報保護委員会により、個人情報保護法に基づく勧告が行われました。
・株式会社ビーバーズに対する個人情報の保護に関する法律に基づく行政上の対応について (令和7年1月29日)
2022年4月施行の個人情報保護法律改正よって追加された同法第20条第1項(適正な取得)への違反に対する勧告となります。
3-3-1 適正取得(法第20条第1項関係)
個人情報取扱事業者は、偽り等の不正の手段により個人情報を取得してはならない。
【個人情報取扱事業者が不正の手段により個人情報を取得している事例】
事例1)十分な判断能力を有していない子供や障害者から、取得状況から考えて関係のない家族の収入事情などの家族の個人情報を、家族の同意なく取得する場合
事例2)法第27条第1項に規定する第三者提供制限違反をするよう強要して個人情報を取得する場合
事例3)個人情報を取得する主体や利用目的等について、意図的に虚偽の情報を示して、本人から個人情報を取得する場合
事例4)他の事業者に指示して不正の手段で個人情報を取得させ、当該他の事業者から個人情報を取得する場合
事例5)法第27条第1項に規定する第三者提供制限違反がされようとしていることを知り、又は容易に知ることができるにもかかわらず、個人情報を取得する場合
事例6)不正の手段で個人情報が取得されたことを知り、又は容易に知ることができるにもかかわらず、当該個人情報を取得する場合
本件の大まかな流れは以下の図のようになります。
本件においては、図における②のプロセスが適正な取得への違反と判断され、また ③において本人(現場監督等)の権利利益に対する侵害が発生していると判断され、 勧告が出されています。
事業者の皆様におかれましても、不適正な取得が発生していないか今一度点検をおすすめいたします。
個人情報に関わる資格制度の運営や社員教育、認証付与など総合的ソリューションを提供し、個人情報保護の推進に貢献してまいります。