（作成 2023/02/12、更新 ----/--/--）

昨年12月から今年1月にかけての、EU当局によるMetaのターゲティング広告に対する規制について、自身の中での整理も兼ねて状況をまとめておこうと思います。

認識違いや、おかしな記述などありましたら、コメント欄でお知らせいただけると幸いです。

• 何が起きたのか
• 何が問題となったのか
• Metaの反応は
• 今後どうなるのか
• 引用記事

何が起きたのか

• 2023年1月4日、アイルランドのデータ保護委員会（DPC）は、GDPRに違反したとして、Metaに3億9,000万ユーロ（約550億円）の制裁金を科すと発表（参考1, 参考4）
  • MetaのEU本部は、アイルランドのダブリン（参考4, 参考6）
  • 対象は、FacebookとInstagram（参考5）
  • 制裁金の内訳は、Facebookが2億1,000万ユーロ、Instagramが1億8,000万ユーロ（参考7）
• DPCはMetaに対し、3ヶ月以内に是正策を講じるよう求めた（参考1）

何が問題となったのか

• 2022年12月5日、欧州データ保護委員会（EDPB）は、FacebookとInstagramが、これらのアプリ内での操作に基づくターゲティング広告に同意することを、同アプリを利用する際の条件にしてはならないとする裁定を下した（参考3）
• EDPBはDPCに対し、公式の命令を出し、制裁金を科すよう求めている（参考3）
• これはGDPRが施行された2018年5月25日の2件の申し立てに関する最終決定になる（参考6）
  • 弁護士でありプライバシー活動家でもあるMax Schrems氏が2018年にDPCに苦情を申し立てたことに端を発している（参考9） 
  • FacebookとInstagramの利用規約が、GDPRに違反してターゲティング広告の表示に同意することをユーザーに強制しているという申し立て（参考6）
  • Metaは、2018年のGDPR施行に伴い、FacebookとInstagramの利用規約を変更。従来は、ターゲティング広告に個人情報を利用する際ユーザーの同意を得ていたが、変更後の規約をユーザーが受け入れた時点で個人情報を合法的に広告に利用できると見なすようになった（参考1）
  • 問題となっているのは、MetaがFacebookとInstagramの個人データを利用する上での正当性（参考8）
    • GDPRにおいては、企業がユーザーの個人データの利用を正当化するための6つの条件が定められ、そこにはユーザーの同意を得ることが含まれている（参考8）
    • Metaは、ユーザーがボタンを押すことで広告の表示に同意していると主張（参考8）
  • DPCは当初、Metaの主張が合理的だと解釈したが、DPCと他の欧州の規制当局との間で意見が対立した結果、この問題はEDPBに付託されていた（参考8）
• Metaは長年、外部のウェブサイトやアプリのデータに基づくターゲティング広告についてはユーザーが拒否できるようにしてきたが、自社のプラットフォームについてはそうした選択肢を提供していない（参考5）
  • 同社のアプリ内でどの動画を見たか、どのアイテムをタップしたかといった行動に基づく広告については、その選択肢を用意していない（参考3）

Metaの反応は

• Metaは異議を申し立てる意向とし、今回の決定によって自社プラットフォーム上に個人情報に基づく広告が出せなくなるわけではないと説明（参考1）
  
  • 「ユーザーと企業に対しては、EU全域でメタのプラットフォームにおけるパーソナライズド広告の恩恵を受け続けられることを保証します」と、同社はコメントしている（参考4）
• GDPRは、データの利用について同意を得ることを義務付けていないとし、自社のアプローチは法に準拠していると確信していると強調（参考1）
  • 事業の運営方法を変更する必要はないとした上で、人々のデータの処理において法的に正当化できる新しい方法を見つける必要があるだけだと主張（参考4）
  • Metaは公式ブログで、この決定に異議を申し立てるつもりだと語った。「われわれのアプローチはGDPRを尊重していると確信しており、今回の決定に失望している」（参考6）
• 「FacebookとInstagramは本質的にパーソナライズされており、各ユーザーに独自の体験を提供することが、彼らが見る広告を含め、そのサービスに必要かつ不可欠な部分であると信じている」とMetaは声明で述べた（参考8）
• Metaは、ユーザーが広告やプライバシーを設定するためのツールの開発に継続的に投資していると説明（参考2）
  • この取り組みには、利用規約やプライバシーポリシーの明確化、プライバシーに関する新しいショートカットメニューの追加、自分のデータを管理したり一括削除したりするツールの提供、表示される広告に関する説明などが含まれる（参考2）

今後どうなるのか

• Metaは、自社プラットフォーム上でのオプトアウトを提供するよう求められる可能性がある（参考3）
• 法廷闘争が長引く可能性があるものの、最終的に今回の決定が確定すれば、メタはネット上の行動履歴に基づく広告表示に同意しない選択肢をユーザーに提供することが義務付けられ、主力事業への打撃となる（参考5）
• 判決の一部として、EDPBはアイルランドのDPCに対し、FacebookとInstagramのすべての個人データの処理プロセスを網羅する、新たな調査を実施するよう命じた（参考8）
  • DPCは、これをEDPB側の「行き過ぎた行為」と呼び、欧州司法裁判所に無効化を求める予定（参考8）
• 「これはデータが無料で使われる時代の終わりの始まりです」と、プライバシー活動家でICCL（Irish Council for Civil Liberties）のシニアフェローのジョニー・ライアンは語る（参考4）

引用記事

参考1：ＥＵ、米メタに制裁金4.1億ドル ターゲティング広告巡る違反で | ロイター

参考2：アイルランド当局による550億円の支払い命令、Metaは「強く反対」の方針 - ケータイ Watch

参考3：Metaのターゲティング広告モデル、EU規制当局の新たな決定に直面か - CNET Japan

参考4：メタのパーソナライズド広告を規制するEU判決は、“監視資本主義”の終わりの始まりとなる | WIRED.jp

参考5：EU、米メタに制裁金550億円 追跡型広告巡り - WSJ

参考6：アイルランド、Metaにまた罰金 GDPR違反で約547億円 - ITmedia NEWS

参考7：米メタに制裁金５５０億円＝ＥＵデータ保護規則違反―アイルランド当局 - 海外経済ニュース - 時事エクイティ

参考8：EUの制裁金550億円で終わらないメタの「追跡型広告」の問題 | Forbes JAPAN 公式サイト（フォーブス ジャパン）

参考9：Metaに550億円の制裁金--アイルランド当局がGDPR違反と判断 - CNET Japan

その他：

「FacebookとInstagramでユーザー追跡広告を強制表示していた」としてMetaが約547億円の罰金を科される - GIGAZINE

ターゲット広告の終わりの始まり。EUが｢SNSにおける個人情報の半強制的な収集｣を禁止へ | ギズモード・ジャパン

メタに制裁金550億円、広告への個人情報取得めぐり アイルランド：朝日新聞デジタル

（作成 2022/09/10、更新 2022/09/10）

www.amazon.co.jp

「AI倫理（AI Ethics）」や「責任あるAI（Responsible AI）」について、原則を定める企業が、海外だけでなく国内でも増えてきました。

分野として興味は持っていたものの、なかなか体系的に理解を深められるコンテンツに出会えなかったのですが、本書は「教科書」という名前の通り、具体例が豊富で、概観を掴むのにぴったりの一冊だと思います。

とても良い本でしたので、参考になった点を書評としてまとめました。

おかしな記述などありましたら、コメント欄でお知らせいただけると幸いです。

• 本書の内容
  • 第1章　倫理の判断枠組み
  • 第2章　各国のAI倫理原則
  • 第3章　AI・データ倫理が問題となった事例
  • 第4章　AI倫理に対する企業の取組み
• 個人的な感想
• 補足
  • 「AI倫理」と「責任あるAI」の関係性
  • 実践的な取り組み

本書の内容

第1章　倫理の判断枠組み

• Ⅰ　はじめに
• Ⅱ　倫理とは何か
• Ⅲ　倫理についての判断枠組み

最初に「倫理とは」という用語の定義があり、著者の福岡氏は以下のような整理をしています。

・「倫理」は社会規範、「道徳」は内心の規範

・同じ社会規範である「法律」との違いは、違反した時の国家による制裁の有無

・「倫理」に反する行為は、国家による刑罰や損害賠償請求はないものの、社会的な批判を受ける場合がある

そして次に、倫理の判断枠組みとして、倫理学の流派といいますか、系統を紹介しながら、「功利主義」「義務論」「徳倫理学」という主要な3つの考え方について解説しています。

どの考え方が最上ということではなく、ケースや文脈によって使い分けたり、組み合わせながら、倫理的な判断をしていく必要があるのだと理解しました。

第2章　各国のAI倫理原則

• Ⅰ　はじめに
• Ⅱ　AI倫理原則の世界的動向
• Ⅲ　AI倫理原則に見られる共通点

国内でいえば、

・人工知能学会倫理指針

・国際的な議論のためのAI開発ガイドライン案

・人間中心のAI社会原則

・AI利活用ガイドライン

海外では、

・OECD Principles on Artificial Intelligence

・信頼できるAIの責任あるスチュワードシップのための原則

など、政府や民間団体によるAI倫理原則が、多数公表されています。

この第2章では、国内・海外における主要なAI倫理原則を紹介し、最終的に9つのテーマに集約しています。

1. 人間の尊重
2. 多様性・包摂性の確保
3. サスティナビリティ
4. 人間の判断の関与・制御可能性
5. 安全性・セキュリティ
6. プライバシーの尊重
7. 公平性
8. アカウンタビリティ
9. 透明性

多くのAI倫理原則から共通項が抜き出されているので、視点のフレームワークとして参考になりますし、自社の取り組みを点検する際のチェックリストとしても活用できると思います。

第3章　AI・データ倫理が問題となった事例

• Ⅰ　はじめに
• Ⅱ　人間の尊重
• Ⅲ　公平性
• Ⅳ　プライバシーの尊重
• Ⅴ　アカウンタビリティ
• Ⅵ　透明性
• Ⅶ　人間の判断の関与
• Ⅷ　安全性・セキュリティ
• Ⅸ　多様性・包摂性の確保
• Ⅹ　サスティナビリティ（持続可能性）
• ⅩⅠ　まとめ

本書で、一番多くページが割かれているのが、この第3章です。

先の第2章で集約した9つのテーマごとに、社会問題となった事例を紹介し、何が論点だったのか、どうすれば防げたのかを考察しています。

個人的には、「Ⅲ　公平性」のパートが興味深く、AIが人間の持つバイアスを取り込んだり、社会の差別を再現してしまう可能性はニュースで指摘されることも多く、参考になりました。

事例としては、Amazonの人事採用AI、アップルカード事件、再犯リスクを評価するCOMPAS、滞納予測AIなどが紹介されています。

「何をもって公平か」の判断は悩ましく、（AIではありませんが）たとえば女性の管理職比率を例にとっても、

・50：50にする

・日本の人口性比に合わせる

・その企業内の性比に合わせる

など、様々な基準が考えられます。

一律の正解があるわけではありませんので、もし自社で基準を定めるとしたら、どのような背景で、何を考えてその基準を選択したかを対外的に説明できるよう、それこそ多様なメンバーで、外部の方々とも議論を重ねなくてはと思いました。

第4章　AI倫理に対する企業の取組み

• Ⅰ　AI倫理に関するソニーの取組み
  • （ソニーグループ株式会社　法務部 法務グループ　有坂陽子）
• Ⅱ　マイクロソフトの責任あるAIの取組み
  • （日本マイクロソフト株式会社　業務執行役員 政策渉外・法務本部 副本部長　弁護士　舟山聡）
• Ⅲ　メルカリの取組み
  • （株式会社メルカリ　会長室 政策企画　松橋智美）
• Ⅳ　富士通におけるAIガバナンス
  • （富士通株式会社　AI倫理ガバナンス室長　荒堀淳一）

インタビュー形式で各社の取り組みを紹介しています。

この4社の中ですと、実践という観点で、Microsoftが一段進んでいる印象を持ちました。

同社は6年前の2016年に、CEOのサティア・ナデラ氏が責任あるAIのコンセプトを発表し、取り組みを開始しています。

本書でも、ガバナンス体制のハブ＆スポーク、開発現場で運用しているガイドラインやチェックシートなどを紹介していて、実務者としては非常に参考になりました。

また補足にも書きましたが、MicrosoftはGoogleと並んで、サイトコンテンツが充実していますので、本書を読んだ上で同社のサイトを眺めていただくと、より一層理解が深まるものと思います。

個人的な感想

最後に、本書の良い点を改めて整理したいと思います。

• 倫理学の枠組みがあり、倫理的かを判断する視点を得られる
• 国内外のAI倫理原則から共通点を抜き出し、9つのテーマに整理した上で、事例とセットで解説しているのでわかりやすい
• 国内企業の具体的な取り組みを紹介していて、実務の参考になる

「AI倫理」や「責任あるAI」の概観を掴めたことで、目にするニュースや各社の取り組みを一段深く見れるようになりましたので、関心のある方にはおすすめの一冊です。

www.amazon.co.jp

補足

「AI倫理」と「責任あるAI」の関係性

『責任あるAI -「AI倫理」戦略ハンドブック』によれば、「責任あるAI」実現のために守るべき規範が「AI倫理」とのこと。 

www.amazon.co.jp

実践的な取り組み

本書をきっかけに他社事例を調べていたのですが、MicrosoftとGoogleは実践的な取り組みを公開していて、特に進んでいる印象を持ちました。

機会があれば、両社の取り組みもブログにまとめたいと思います。

www.microsoft.com

ai.google

（作成 2022/08/09、更新 2022/08/15）

プライバシー保護を実現するには、体制やプロセスを社内に構築し、仕組みとして機能させることが重要になります。

この記事では、経産省と総務省が公開している「DX時代における企業のプライバシーガバナンスガイドブックver1.2」*1を参考に、自社のプライバシーガバナンスを考えるとしたら何を考慮する必要があるのかを、整理したいと思います。

・考慮の抜け漏れやおかしな点

・他社の取り組みに関する情報提供

などありましたら、コメント欄でお知らせいただけると幸いです。

• 考える要素の全体像
• ポリシー（方針）
  • ＜指針・憲章＞
    • 外部向け
    • 内部向け
  • ＜ガイドライン/ブック＞
    • 外部向け
    • 内部向け
• プラクティス（実践）
  • ＜ガバナンス＞
    • 体制
    • レビュープロセス
    • 外部監査
  • ＜周知・浸透＞
    • 教育
    • ツール

考える要素の全体像

大きく「ポリシー（方針）」と「プラクティス（実践）」の2つに分けて整理しています。

• ポリシー（方針）
  • 指針・憲章
  • ガイドライン/ブック
• プラクティス（実践）
  • ガバナンス
    • 体制
    • レビュープロセス
    • 外部監査
  • 周知・浸透
    •  教育
    • ツール

ポリシー（方針）

＜指針・憲章＞

組織として大事にすること、ユーザーとの約束ごとなど、どういう状態（ゴール）を目指すのかを宣言した文書です。

外部向け

多くの企業では、個人情報について、プライバシーポリシーや個人情報保護方針を定めていると思います。

より広い「パーソナルデータ」について、パーソナルデータ憲章/指針を定める会社も増えてきています。

内部向け

個人情報やパーソナルデータの取り扱いに関する、社内規程などが該当します。

＜ガイドライン/ブック＞

上記の指針・憲章を具体的に記した文書です。

外部向け

文字ベースで抽象的な指針・憲章を、イラストや図解、具体例を交えて解説したもので、代表例がプライバシーセンターになります。

privacyops.hatenablog.com

内部向け

社内規程を実務に落としたルールブックなどが該当します。

プラクティス（実践）

＜ガバナンス＞

体制

プライバシーガバナンスを機能させるための体制を作る。

• 責任者
  • CPOやDPOなど、社内におけるプライバシー保護の責任者を定めます。
• プライバシー保護組織
  • プライバシー専任の組織を作ることもあれば、法務やセキュリティが兼任するする場合もあります。
• 内部連携
  • 事業部門やプロダクト部門とどのように連携するか。
• 外部連携
  • 研究機関や業界団体、弁護士といった社外の有識者とどのように連携するか。

レビュープロセス

リスクチェックやPIA（プライバシー影響評価）を実施する。

• どの工程で（Where, When）
  • ex. 企画、開発、テストなど
• どの組織が（Who）
  • ex. 法務、セキュリティ、社外の有識者
• 何を（What）
  • ex. パーソナルデータの
    • インプット（入力）
    • スループット（処理）
    • アウトプット（出力）
• どのような基準で（How） 
  
  • ex. 個人情報保護法、Pマーク、GDPR、OECDプライバシー8原則
• どのような頻度で（How often）
  • ex. 発生ベース、Qごと、1年に1度

外部監査

社外の第三者から客観的な評価を得る。

• 有識者会議
• 諮問委員会
• ユーザーへの意識調査

＜周知・浸透＞

定めたルールやプロセスが遵守されるには、各従業員への意識づけや、現場に定着させるための取り組みが必要です。

教育

• 基礎
  • eラーニングやテストで、プライバシー保護に関する前提知識を揃えます。
• 応用
  • それぞれの事業部門やプロダクト部門に特化した内容で、発展的な内容の研修や勉強会を開催します。

ツール

• ドキュメント
  • 普段の業務で使用する資料やマニュアルに盛り込み、従業員が日常的にプライバシー保護を意識する機会を作ります。
•  チェックシート
  • レビュープロセスとは別に、現場の従業員がプライバシーリスクを点検できるチェックリストを用意します。
• 開発キット
  • 社内向けのAPIやSDKを提供し、開発現場が自然とプライバシー保護を実現できる状態を作ります。