AI および PII データのプライバシー コンプライアンスに関する新しい ICO ガイドライン

AI データを合法的に収集する方法

ICO のガイダンスは、AI の利用には否定できない利点がある一方で、データ保護が真剣に受け止められない場合、人々の自由と権利を危険にさらす可能性があることを認めています。 この目的のために、彼らのガイダンスは、企業がこれらのリスクを評価および軽減する方法について有用なフレームワークを提供します。

このガイドでは、企業が AI と個人データの処理方法を改善するために採用できる 8 つの戦略的要素について説明しています。

1. AI の作成および実装時にリスクベースの手順を使用する

AI を使用する場合は、状況に応じて必要かどうかを判断する必要があります。 AI は通常、個人情報とやり取りする場合、リスクの高いテクノロジと見なされます。 企業は、システムが適切に機能するように改善するために大量のデータを必要とし、データが転売される可能性があり、誰がデータを受け取っているか、またはデータがどのように使用されているかを認識できません。

したがって、より効率的でプライバシーを保護する代替手段が存在する可能性があります。

ICO が述べているように、リスクを評価し、リスクを軽減するために必要な組織的および技術的な保護手段を講じる必要があります。 現実的には、すべてのリスクを完全に排除することは不可能であり、データ保護法はそうするように義務付けているわけではありませんが、次のことを確認してください。

• データ保護影響評価 (DPIA) を採用して、AI の使用がもたらすデータ保護法を順守しないリスクを特定して軽減し、個人への危害を防止します。
• 危険性をよりよく理解するために、AI の使用が潜在的に影響を与える多くのグループから意見を求める

法的に DPIA が必要な場合は、AI システムを展開する前に DPIA を実施し、見つかったリスクを軽減または管理するのに役立つ適切な組織的および技術的な保護手段を導入する必要があります。 処理が行われる前に、十分に軽減できないリスクを特定した場合は、法的に ICO と話す必要があります。

2.影響を受ける人々にAIシステムの決定をどのように説明するかを検討してください

ICO によると、特に機械学習や複雑なアルゴリズムに関しては、AI が特定の決定や結果をどのように生成するかを説明するのは難しい場合がありますが、それは人々に説明をするべきではないという意味ではありません。

ICOが推奨するものは次のとおりです。

• 人々の個人データを収集および使用する方法と理由について、人々に対して明確、オープン、透明性を保つ
• AI システムが使用される環境で、どのような正当化が必要かを考えてください
• 人々があなたの説明をどのように理解する可能性があるかを検討してください
• AI システムの選択がもたらす可能性のある影響を分析して、正当化をどの程度徹底する必要があるかを判断します。
• 個々の権​​利要求がどのように管理されるかを検討する

3. AI システムの作成に必要な情報のみを収集する

ICO は、可能な限りデータ収集を制限することを推奨しています。 これは、データを収集できないと言っているのではなく、GDPR 基準を満たす方法でデータを管理することを意味するだけです。

あなたがすべき：

• 使用する個人情報が正確、適切、関連性があり、限定的であることを確認してください。これは、AI を使用する状況によって異なります。
• AIを使用して個人データを処理する状況に適したプライバシー保護方法を検討してください

データ保護の精度原則では、AI システムが 100% 正確である必要はありません。 代わりに、組織は結果の公平性と全体的な正確性を保証するための手順が整っていることを確認する必要があります。

4. 偏見と差別のリスクを早い段階でラベル付けする

AI システムにバイアスがかかったり、差別につながったりする可能性があります。 これにより、不正確で不均衡なデータセットが作成される可能性があり、この問題に早期に対処することは、データ プライバシー コンプライアンスの重要な側面です。

ICO は、次のことを推奨しています。

• 収集しているデータが正確で、代表的で、信頼性が高く、関連性があり、AI システムの影響を受けるコミュニティまたはさまざまな人々のグループにとって最新であるかどうかを判断します
• さまざまなグループの潜在的な影響と結果をマッピングすることにより、AI システムによって下された判断が受け入れられるかどうかを判断します

5. データを適切に準備するために時間とリソースを投資する

すでに述べたように、AI の信頼性は収集するデータの信頼性にかかっています。 したがって、組織は必要なデータを収集するために十分なリソースと時間を確保する必要があります。

ICO は次のことを推奨しています。

• 保護された特性または特別なカテゴリのデータを含むデータのラベル付けに関しては、定義された基準と責任の範囲が必要です。
• 一貫性を維持し、異常な状況に対処するには、複数のラベル付け担当者を関与させる必要があります

6. AI システムが安全であることを確認する

AI システムは、リスクを増大させたり、新しいセキュリティの脆弱性を導入したりする可能性があります。

セキュリティ対策に関しては、万能のアプローチはありません。 ただし、法律を遵守し、特定されたリスクに比例したレベルのセキュリティを提供するために、適切な組織的および技術的保護手段を導入する必要があります。

ICO は企業に次のことを推奨しています。

• 潜在的なインシデントが発生する可能性がある場所の一般的な概念を把握できるように、すべての AI システムの現在のインベントリを含むセキュリティ リスク評価を実行します。
• モデルのデバッグを実行します。これは、内部のセキュリティ監査人または外部のセキュリティ監査人によって、モデルの欠陥を特定して対処するプロセスです。
• プロアクティブな監視システムを実装し、異常を調査します

7. AI の決定に対する人間によるレビューは意味のあるものであるべき

AI の目標に応じて、アウトプットが人間の意思決定者を支援するために利用されているのか、それとも意思決定が完全に自律的であるかを早い段階で判断する必要があります。

ICO は、データ主体が自分のデータに関する選択が完全に自分自身で行われたのか、それとも AI の助けを借りてなされたのかを知る権利があることを強調しています。 ガイドラインはまた、それらが人を支援するために使用されている場合、有意義に評価されるべきであることを示唆しています.

これらのレビューが意味のあるものであることを確認するには、レビュー担当者は次のことを行う必要があります。

• AIシステムの結果を評価し、質問するのに十分なスキル
• 自動判断をくつがえす
• 入力データに反映されていない追加要因を認識する

決定が法的またはその他の実質的な影響を与える場合、データ主体は GDPR の下でその対象にならない権利を有します。 また、決定の背後にある理由について意味のある情報を期待する権利もあります。

そのため、推奨とは言っても、AIが重要な意思決定を行う際には人によるレビューが必要です。

8. 外部のサプライヤーに相談して、AI の使用が適切であることを確認する

サードパーティから AI システムを購入しても、データ保護法を遵守する責任が免除されるわけではありません。 ほとんどの場合、AI システムの展開方法を決定するデータ管理者になります。