GenerativeAI |
ジェネレーティブAI |
個人情報保護法 |
秘密保持義務 |
金融 |
ジェネレーティブAI(Generative AI)とは、画像、文章、音声、プログラムコード、構造化データなど様々なコンテンツを自動的に生成することのできる人工知能のことを指します。
機械学習により大量のデータを学習した学習モデルが、人間が作成するような絵や音楽、文章などを簡単に生成することができます。
2022年頃から、MidjourneyやStable Diffuisionなど画像生成AIが急速に市場にて普及し始め、2023年初頭から、ChatGPTやBingなど自然言語処理に特化したジェネレーティブAIが急速に普及し始めています1。
ジェネレーティブAIの製品例としては例えば以下のような例があります。
製品名 | 分野 | 製品説明 |
Midjourney, Stable Diffusion, DALL·Eなど |
画像生成 | テキストでの指示に基づき、リアル/芸術的な画像を生成するAI |
Artbreeder | 画像生成 | アップロードした画像や複数の画像から、他の新しい画像を生成するAI |
Juke deck | 音楽生成 | ジャンル、テンポ、ムードなどを指定すると、著作権フリーのオリジナル曲を生成するAI |
Runway ML | 動画生成 | テキストを打つことで、動画が作成できるAI |
CHAT GPT, Bing |
テキスト生成 | 自然言語でテキスト入力すると、それに自然言語で回答を行うAI。会話エージェント、自動作文、自動翻訳など |
Catchy | テキスト生成 | 日本語特化のAI文章作成ツール |
なお、本原稿もChatGPTなどのテキスト生成AIを活用して作成しています。具体的には、ChatGPTに「金融機関とジェネレーティブAIについてBlogを書くことを考えています。骨子を教えて下さい。」等と質問したり、「ジェネレーティブAIの商品の例を表形式で教えて下さい。」等と質問した後、出力データを、①人間がチェックし、②人間が再構成し、③人間が修正し、④人間が加筆して、仕上げています。
テキスト生成AIが打ち出すデータは、まだまだ誤りも多く、現時点ではそのままでは使用できません。
AI出力データから大幅な修正加筆をしているのが現状(=まだ人間の仕事がなくなるほどではない)ものの、しかしながら、現時点でも相当程度は業務の効率化に繋がりますし、今後はますます素早く、正確になっていくものと想定されます。
ジェネレーティブAIの急速な進化を受け、多くの金融機関にてAIを利用して業務の効率化が図れないか検討が進められています。
例えば、金融機関は、一般に、対顧客でも行内でも膨大な数の書類を作成しているところ、ジェネレーティブAIにより、説明書類の作成、稟議書の作成等、対顧客業務/行内業務の効率化が可能であれば、大幅なコスト減が可能になりえます。更にAIによる投資助言サービスや自動ポートフォリオ最適化ツールなど、対顧客向けに新しいサービスを提供することや、社内での議論の壁打ち相手2、としてチャットAIからの回答を参考にしてビジネス判断の再検討や思考整理を行うことも考えられます。
金融分野におけるジェネレーティブAIの応用分野 (1) 顧客体験やマーケティングの向上 (2) 対顧客業務の効率化 (3) 行内業務の効率化 (4) 投資助言やポートフォリオ最適化 (5) リスク評価や不正検知 (6) 議論の壁打ち相手 |
他方、ジェネレーティブAIの利用には、下記のような新たな倫理的・法的な問題が生じ得ます。
AIと新たな問題の登場 (1) バイアスの問題 各種審査などに関連し、ジェネレーティブAIの学習に用いられるデータが、特定の人種や地域に偏っている場合、AIが偏った結果を出力する可能性があります。この場合、人種差別や地域差別につながる恐れがあります。 (2) プライバシーの問題 ジェネレーティブAIを用いた金融サービスや商品において、顧客の個人情報が必要な場合、プライバシーの侵害が懸念されます。また、AIが生成した情報を利用する際にも、プライバシーの保護が求められます。 (3) 不正行為の問題 ジェネレーティブAIは、高度な詐欺手法に悪用される可能性があります。例えば、不正な取引の詐欺や、個人情報を盗むためのフィッシングなどが考えられます。 (4) 人間との関係性の問題 ジェネレーティブAIによる自動化が進むことで、人間の労働力や専門性が求められなくなる場合があります。この場合、職業の流動化や失業問題が生じる可能性があります。また、AIによる決定が人間の判断を上回る場合、人間がAIに従属することで、意思決定の権限が人間からAIに移行する可能性があります。 |
以上のように、ジェネレーティブAIと金融分野においては、技術的な問題だけでなく、倫理的・法的な問題や人間との関係性についても十分な考慮が必要です。
現在、金融機関において、もっともAIの活用が検討されている分野は、AIによる業務効率化になります。
筆者らが聞く限り、金融機関から大手のAI会社に対し、AIの利用の相談、業務効率化について多数の相談が寄せられており、新規開発は数か月待ち、とのことです。
例えば、①対顧客の説明資料や契約書、行内の稟議書や各種記録書類、規制当局向け申請書や報告書などの膨大な文章作成をAIによって効率化する、②顧客からの問い合わせをチャットAIによって自動回答(文章回答、音声回答)し、問い合わせ内容を収集、記録し、データ化する、③顧客の不正検知のため架空の取引データを大量に作成する3、④融資先の過去の借入実績等の情報をAIにより分析して融資審査を実施する、等の行為が考えられます。
なお、金融機関のAI利用の特徴として、ChatGPTのようなオープンなデータベースではなく、このようなオープンデータベースに自社独自のデータをも追加した専用のデータベースを利用する(機械学習等させる)、という特徴があるようです。
このような専用のデータベースを利用することにより、より業務に即した回答を得られ、業務の秘密性が確保できるメリットがあります。
ジェネレーティブAIに機械学習をさせるためには、自社の各種のデータをAIに食わせる(=AIに情報を提供して分析して、学習させること)必要があります。
自社でデータを食わせる、又は、外部ベンダーに情報を提供してデータを食わせる場合の両方が考えられますが、金融機関が食わせたいデータには多くの個人情報や秘密情報が含まれており、個人情報保護法や秘密保持義務との関係が問題となります。
現時点での結論としては、以下のようになるのではないかと思われ、それぞれ検討を行います。
自社でのデータ利用 | 各部ベンダーの利用 | |
個人顧客の情報利用で、プライバシーポリシーに「データ分析等による記入商品やサービスの研究開発のため」等と利用目的を記載 | 利用目的の範囲内であり、可能 | 利用目的の範囲内であり、可能 第三者ベンダーとの間では秘密保持契約を締結する必要がある |
個人顧客の情報利用で、プライバシーポリシーに単に「お客様に対するサービス向上のため」等と利用目的を記載 | 議論がありうるが慎重に対処。プライバシーポリシーの改訂を行うことが望ましい | 同左 |
法人顧客の情報利用で、特別の秘密保持契約を締結していない | 当然に負担する秘密保持義務との関係が問題となるが、原則として問題ないのではないかと思われる | 第三者ベンダーとの間では秘密保持契約を締結すれば、問題ないのではないかと思われる |
個人または法人の顧客の情報利用で、特別の秘密保持契約を締結している | 明示の秘密保持契約の内容によるが、契約上は、通常、難しい | 同左 |
① 個人情報保護法と利用目的
自社でデータを食わせる場合、その処理が利用目的の範囲内であるかが問題となります。個人情報保護法では、個人情報を取扱うにあたり、その利用の目的をできる限り特定する必要があり(個人情報保護法17条1項)4、本人の同意を得た場合を除き、特定した利用目的の達成に必要な範囲を超えて個人情報を取扱うことができません(同法18条1項)。また、個人情報を取得した場合には、あらかじめその利用目的を公表している場合を除き、速やかに、その利用目的を、本人に通知又は公表する必要があります(同法21条1項)。
仮に、AIでの利用があらかじめ設定した利用目的の範囲内ではない場合、利用目的の変更が必要となります。AIでの利用が既に設定された利用目的と関連性を有すると合理的に認められる範囲内であれば、変更手続きは利用目的の変更を本人に通知するか公表することで足ります(同法21条3項)。他方で、変更が認められる合理的な範囲を超える場合には、改めてAIでの利用について本人の同意を得たうえで利用目的を設定する必要があります。
なお、プライバシーポリシーの改訂を行う際で上記の通り本人の同意を必要とする場合、。定型約款を一定の場合には同意なく変更できるとする民法上の定型約款の変更手続の規定(民法548条の4)は適用されないと考えられています5。そのため、インターネット取引の場合には、例えばポップアップ等でプライバシーポリシーの変更箇所を明示したうえで、クリックにて顧客の同意を取る等の手続きを行うことになると思われます。
② プライバシーポリシーの利用目的の記載の具体例
例えば、単に「お客様に対するサービス向上のため」とのみ記載されている場合で、対顧客業務の効率化のために、各種個人情報を食わせる場合を考えます。このような場合でも、「お客様に対するサービス向上のため」であり利用目的の範囲内だと考える議論もありえますが、顧客からした場合、自身に対するサービス提供のためではなく、顧客全般へのサービス向上(業務効率化)のために自身の個人情報を利用することは想定できないのではないか、もしそうだとすれば、利用目的の特定として不十分であり、利用目的の変更が必要なのではないか、等の議論になるように思われます。
次に、「市場調査やデータ分析等による金融商品やサービスの研究や開発のため」等と規定されている場合で、対顧客業務の効率化のために各種個人情報を食わせる場合を考えます。この場合、AIによる分析であることは明示はされていないものの、顧客の個人情報を大量に用いて何らかのデータ分析をし、その結果、金融商品やサービスが研究開発されることは当然予想できると思われることから、一般的にはAIでの利用もプライバシーポリシーの利用目的の範囲内であると考えて良いように思われます。
いずれにせよ個別具体的なプライバシーポリシーの文言と、使用目的を考慮の上、法務部門等とも相談の上、検討する必要があります。
① 個人情報保護法と第三者提供
ベンダー等の他社に個人情報を提供してAIに食わせる場合、上記に加えて、第三者提供の範囲か否かが問題となります。
原則として、個人情報取扱事業者は、第三者に対して個人データを提供する場合、本人の同意が必要となります(同法27条1項)。
もっとも、事業者が、その利用目的の達成に必要な範囲内において個人データの取扱いの全部又は一部を委託することに伴い、個人データが提供される場合には、そのような業務委託先は「第三者」には該当せず、本人の同意は不要となります(同法27条5項1号)。そのため、自ら提供するAIサービスの構築のために、個人情報をAIに食わせる作業をベンダー等に委託することに伴って個人データをベンダーに提供する場合には、本人の同意は不要になると考えられます。但し、委託者は、個人データの安全管理が図られるよう、受託者に対する必要かつ適切な監督を行わなければなりません(同法25条)。
また、特定の者との間で共同して利用される個人データをその特定の者に提供する場合にも、共同利用する旨やその個人データの項目等の個人情報保護法が定める一定の情報をあらかじめ本人に通知又は容易に知り得る状態に置いていれば、本人の同意は不要となります(同法27条5項3号)。例えば、個人データを利用したAIをグループ企業間で利用する場合等に、共同利用をすることが考えられます。
② 業務委託として個人データをベンダーに提供する際の具体例
第三者提供に該当しない業務委託を行う具体的な事例としては、例えば、プライバシーポリシーの利用目的に「市場調査やデータ分析等による金融商品やサービスの研究や開発のため」と明示されている場合には、第三者たる外部ベンダーにAIでの分析のために個人データを提供することも、「事業者が、その利用目的の達成に必要な範囲内において個人データの取扱いの全部又は一部を委託することに伴い」と解釈することができるのではないか、と考えます。
③ 秘密保持契約の締結
個人情報保護法上、第三者提供が可能であるとしても、「委託者は、個人データの安全管理が図られるよう、受託者に対する必要かつ適切な監督を行わなければなりません(同法25条)」とあることから、第三者であるベンダーに秘密保持義務を負わせる等の契約は当然、必要になります。
仮に取得した個人情報の利用目的にAIでの分析が含まれていないとしても、AIに食わせる個人情報を匿名加工情報に加工することで、本人の同意なしに目的外利用や第三者提供が行えることになります。
ここで匿名加工情報とは、一定の方法により「特定の個人を識別できないように個人情報を加工して得られる個人に関する情報であって、当該個人情報を復元できないようにしたもの」を意味します(同法2条6項)。もっとも、個人情報を匿名加工情報に加工する場合、個人情報に含まれる特定の個人を識別することができる記述等の全部又は一部の削除、個人識別符号の全部の削除、個人情報と加工後の個人情報とを連結する符号の削除、特異な記述の削除等、個人情報保護委員会規則で定める基準(同法43条1項、個人情報保護法施行規則34条)による加工を行わなければならず、加工が困難であることも多いものと思われます。
そこで、匿名加工情報に比べて高度な加工技術を要しない仮名加工情報を利用することも考えられます。仮名加工情報とは、一定の方法により「他の情報と照合しない限り特定の個人を識別することができないように個人情報を加工して得られる個人に関する情報」を意味します(個人情報保護法2条5項)。匿名加工情報に比べて抽象化の程度が低いため、個人情報の利用価値が維持される点などにメリットがあります。また、未加工の個人情報と異なり、変更前の利用目的と関連性を有すると合理的に認められる範囲を超えた利用目的の変更が可能です(同法41条9項)。もっとも、匿名加工情報等と異なり、原則として第三者への提供が禁止されています(同法41条6項)。
未加工の個人情報 | 仮名加工情報 | 匿名加工情報 | |
加工 | 加工なし | 他の情報と照合しない限り特定の個人を識別することができないように加工 | 特定の個人を識別できず、個人情報を復元できないように加工 |
目的外利用 | 特定された利用目的の範囲内で利用が可能。 また、変更前の利用目的と関連性を有すると合理的に認められる範囲を超える利用目的の変更が不可 |
特定された利用目的の範囲内で利用が可能。 もっとも、変更前の利用目的と関連性を有すると合理的に認められる範囲を超える利用目的の変更が可能 |
目的外利用が可能 |
第三者提供 | 原則、本人の同意が必要 | 法令に定める場合を除き不可(仮名加工情報を作成する前に本人の同意を得ていた場合であっても不可)。なお委託業務の場合には第三者に該当しない旨の規定(法28条5項)は適用される。 | 原則、本人の同意は不要 |
金融機関は、情報の提供者である顧客等との間で当然に秘密保持義務を負い、また、M&Aアドバイスや有価証券の引受など特別な取引を行う際には特別な秘密保持義務を定める秘密保持契約を締結することがあります。AIで情報分析を行う際には、個人情報保護法との関係のみならず、このような秘密保持義務との関係も検討する必要があります。
特別の秘密保持条項を含む契約を締結することなく取得した個人の情報に関しては、個人情報保護法以上の保護を当然の秘密保持義務として負う、という議論は通常は存在しないことから、自社利用、第三者提供とも、概ね、上記で検討した個人情報保護法の議論の範囲で実施するのであれば問題ないのではないか、と考えます。
特別の秘密保持条項を含む契約を締結することなく取得した法人(例えば、通常の銀行取引約定書に基づく取引を行う法人)の情報についても、法人に対する秘密保持義務が、個人に対する秘密保持義務よりも重い等の議論が通常はないことから、個人と同様の範囲で自社利用や第三者提供を行う場合には問題ないのではないか、と思われます。
M&AやIPOアドバイス、有価証券の引受、その他特殊な契約で、金融機関が特別の秘密保持義務を負う契約を締結している場合、このような契約には、例えば、①IPOの目的以外には使用しない、②IPOに関連しない第三者には開示しない、等の条項が多く含まれています。そのような秘密保持契約がある場合、今後のIPO案件での資料作成をジェネレーティブAIで簡易化する等の目的でAIにデータを食わせたり、第三者のベンダーにデータを提供することは難しいのではないか、と思われます。
この点、例えば、リーガルテックに関して、「リスク分析のために契約書ファイルをリーガルテックサービスにアップロードするのは契約書の第三者に対する開示に当たり、その契約書に秘密保持義務が規定されていた場合、契約違反にならないのか」との議論があります。これには、実質的に契約相手方の黙示の同意があると考えられないか、実際の損害がないのでビジネスジャッジの問題になるのではないか、等という議論もあるものの6、本項で議論する状況はリーガルテックの場合に比べても、実際の案件との関係が遠く、黙示の同意についてはより慎重に考慮する必要があります。また実際の損害がないとの議論については、金融機関の場合、一般の事業会社に比してもコンプライアンスリスクに慎重にならざるを得ないことから、より慎重に判断する必要があると思われます。
現時点では、秘密保持契約がある相手方の書類を大量にAIに食わせたい、というニーズはあまり存在しないかもしれませんが、今後、このようなニーズが発生することを考えると、自社で用意する秘密保持契約のテンプレートの内容も考慮をする必要があるかもしれません。
法令上、投資助言・代理業を行うためには金融商品取引業者としての登録が必要です(金商法28条3項、29条)
金商法2条8項11号により、金融商品に関する投資助言とは、①金融商品の価値等の分析に基づく投資判断(投資の対象となる有価証券の種類、銘柄、数及び価格並びに売買の別、方法及び時期についての判断又は行うべきデリバティブ取引の内容及び時期についての判断をいう。)に関し、②口頭、文書(一定の物を除く)その他の方法により助言をすることを約し、③相手方が報酬を支払うことを約束する、という要件になります。
仮に、ジェネレーティブAIに、金融商品のこれまでの値動き、リターン、投資データ等を食わせて、その結果、投資銘柄等を推奨する文章を作成した場合、当該文章作成サービスは、投資助言業に該当する可能性があります。
投資助言に特化したAIで、かつ有償で提供されているAIサービスの場合、投資助言業の取得が必要である場合が多いのではと思われます。現在でも「投資分析サービス等のコンピュータソフトウェアの販売」については、販売店による店頭販売や、ネットワークを経由したダウンロード販売等により、追加サポートなく誰でも使用できるようなツールは投資助言業に該当しないと解されています。他方、ツールの使用に、販売業者等から継続的に投資情報等のデータの提供、その他のサポートを受ける必要がある場合、登録が必要になる場合がある、とされています(下記「金融商品取引業者等向けの総合的な監督指針」参照)。投資助言に特化した有償AIは、多くの場合、AI提供会社が継続的にデータを食わせる、チューニングをする、等をすることにより、価値を担保していると思われ、そのような場合、投資助言業になるのでは、と思われます。
他方、金融機関が一般的な情報提供の趣旨で、無償で投資情報を提供する場合には、「相手方が報酬を支払う」という要件に該当しないことから、投資助言業は必要ありません
問題は、現在はそこまで進化したAIはないと思われますが、例えば汎用的なジェネレーティブAIで、しかしながら当該AIが金融商品の情報も多数収集しており、その結果、投資助言的なことも行うことができる、通常は無償であるが、有償会員になるとより素早いレスポンスを得ること等ができる、等の場合、投資助言業に該当するかです。
筆者らとしては、このようなAIの有償会員になったとしても、あくまでこれは投資助言のための報酬ではなく、AI全般のスピードアップ等のメリットを得るためのものであり、投資助言業に該当しないと考えますが、今後、AIがますます進化していった場合、このように解して良いか、更に検討が必要となると思われます。
金融商品取引業者等向けの総合的な監督指針VII-3-1(2)②c ②投資助言・代理業に該当しない行為 イ. 不特定多数の者を対象として、不特定多数の者が随時に購入可能な方法により、有価証券の価値等又は金融商品の価値等の分析に基づく投資判断(以下「投資情報等」という。)を提供する行為 例えば、以下aからcまでに掲げる方法により、投資情報等の提供を行う者については、投資助言・代理業の登録を要しない。 ただし、例えば、不特定多数の者を対象にする場合でも、インターネット等の情報通信技術を利用することにより個別・相対性の高い投資情報等を提供する場合や、会員登録等を行わないと投資情報等を購入・利用できない(単発での購入・利用を受け付けない)ような場合には登録が必要となることに十分に留意するものとする。 a. 新聞、雑誌、書籍等の販売 (注)一般の書店、売店等の店頭に陳列され、誰でも、いつでも自由に内容をみて判断して購入できる状態にある場合。一方で、直接業者等に申し込まないと購入できないレポート等の販売等に当たっては、登録が必要となる場合があることに留意するものとする。 b. 投資分析ツール等のコンピュータソフトウェアの販売 (注)販売店による店頭販売や、ネットワークを経由したダウンロード販売等により、誰でも、いつでも自由にコンピュータソフトウェアの投資分析アルゴリズム・その他機能等から判断して、当該ソフトウェアを購入できる状態にある場合。一方で、当該ソフトウェアの利用に当たり、販売業者等から継続的に投資情報等に係るデータ・その他サポート等の提供を受ける必要がある場合には、登録が必要となる場合があることに留意するものとする。 (https://www.fsa.go.jp/common/law/guide/kinyushohin/07.html#07-03) |
留保事項
・本書の内容は関係当局の確認を経たものではなく、法令上、合理的に考えられる議論を記載したものにすぎません。また、当職らの現状の考えに過ぎず、当職らの考えにも変更がありえます。
・本書はBlog用に纏めたものに過ぎません。具体的案件の法律アドバイスが必要な場合には各人の弁護士にご相談下さい。
「英金融行為監督機構(FCA)は不正な決済を検知するAIの開発に向け、ジェネレーティブAIを活用している。実際の決済データ500万件を教師データとして学習させ、サンプルの決済データを大量に生成している。」と報道されています。https://active.nikkeibp.co.jp/atcl/act/19/00146/072500086/
なお、ジェネレーティブAIではない、従来型のAIは金融機関における不正検知に既に一般的に多数、使用されていますが、従来型AIとジェネレーティブAIを組み合わせることにより、更に不正検知の精度を高めることができる可能性があります。