【イタリア】データ保護当局、ChatGPTに一時停止命令。GDPR違反の疑い。EU全域に飛び火か

　イタリアのデータ保護当局は3月31日、ChatGPTに一時停止命令を発動。運営するOpenAIに対し、EU一般データ保護規則（GDPR）違反の疑いで事実調査も開始した。

　OpenAI Inc.は、2015年に米サンフランシスコでNPOとして創業。創業メンバーは、イーロン・マスク氏、ピーター・ティール氏、サム・アルトマン氏、グレッグ・ブロックマン氏、リード・ホフマン氏、ジェシカ・リビングストン氏、Amazon Web Services（AWS）、インフォシス、YC Research。イーロン・マスク氏は、2018年に同NPOの経営から去っている。

　OpenAI Inc.は2018年、事業子会社として「利益上限付き」営利企業としてOpenAI LPを設立。外部資金の調達を開始した。その後すぐに、マイクロソフトが10億米ドルを出資。2021年にも20億米ドル、2023年にも100億米ドルを出資している。マイクロソフトの出資契約はユニークで、100億米ドルの投資を回収するまでは持分の75%を取得。回収した後は持分が49%に下がり、ベンチャーキャピタル等の他の投資家が49%を保有し、残りがOpenAI Inc.の持分となる。但し、議決権ではOpenAI Inc.が支配的地位にあるとみられている。

　今回イタリア当局の判断の発端は、3月20日に発生した情報漏洩問題。同社の発表によると、バグが同日10時間起こり、購読確認メールの一部で誤送信が発生。クレジットカードの下4桁の情報が流出した。ユーザーの管理画面上でも自分のものとは異なるユーザーに姓名、メールアドレス、住所、クレジットカードの下4桁が誤って表示されていた可能性があるという。漏洩は1.2％の加入者に及ぶという。OpenAIは同日、ChatGPTの障害を伝えるとともに、3月24日には謝罪と対策を発表している。

　イタリア当局は今回、情報漏洩だけでなく、ChatGPTのアルゴリズム訓練のために、ユーザー等の個人情報を大量に収集・処理している可能性があることも問題視した。さらに、OpenAIの利用規約では13歳以上のユーザーを対象としているにもかかわらず、年齢確認の仕組みがないため、子供たちが年齢や意識に全くそぐわない回答を受ける可能性があることも調査対象とした。

　これを受け、OpenAIは、20日以内にイタリア当局に報告する義務が発生。違反した場合には、2,000万ユーロまたは全世界の年間総売上高の4%を上限とする罰金が課される可能性があるとした。GDPRでは、通常の違反は、罰金の上限は1,000万ユーロまたは全世界の年間総売上高の2%だが、重大な違反の場合には２倍の2,000万ユーロまたは全世界の年間総売上高の4%が上限。

　GDPRでの各国の当局の処分では、事前にEU/EEAの関係監督当局（CSA）で審議されることになっており、今回の事案は欧州全体での問題となる可能性が高い。

【参照ページ】Intelligenza artificiale: il Garante blocca ChatGPT. Raccolta illecita di dati personali. Assenza di sistemi per la verifica dell’età dei minori
【参照ページ】March 20 ChatGPT outage: Here’s what happened

株式会社ニューラル サステナビリティ研究所