イタリア データ保護庁 ラジオ、テレビ、新聞、インターネット上で6か月間の組織的な広報キャンペーンと15百万ユーロ(23億円強)の罰金を命じる
こんにちは、丸山満彦です。
まだまだ2024年の宿題があります...
イタリアのプライバシーコミッショナーが2023年3月から行なっていたChatGPTに関する調査が終了し、
15百万ユーロ(24億強)の罰金を払えと命令したようですね...
- 2023年3月に発生したデータ侵害について当局に通知しておらず、
- 適切な法的根拠を特定せずにユーザーの個人情報を処理してChatGPTの訓練を行っていたため、
透明性の原則およびユーザーに対する関連情報義務に違反している。
さらに、
- OpenAIは年齢確認の仕組みを設けておらず、
- 13歳未満の子供たちが、その発達度や自己認識の度合いを考慮すると、不適切な回答にさらされるリスクにつながる可能性がある
ので、
個人データの処理における効果的な透明性を確保することを目的として、OpenAIに対して、
- ラジオ、テレビ、新聞、インターネット上で6か月にわたる組織的な広報キャンペーンを実施する
よう命じた。
また、
- 1500万ユーロ(約23億円強)の罰金を科した
(でも、「調査に協力してくれたから、まけといたよ!」...ということのようです...)
● Garante Per La Protezione Dei Dati Personali
| COMUNICATO STAMPA - ChatGPT, il Garante privacy chiude l’istruttoria. OpenAI dovrà realizzare una campagna informativa di sei mesi e pagare una sanzione di 15 milioni di euro. | プレスリリース - プライバシー保護者であるChatGPTが調査を終了。OpenAIは6か月の情報キャンペーンを実施し、1500万ユーロの罰金を支払う必要がある。 |
| Chatgpt, the italian data protection authority closes the preliminary investigation | イタリアのデータ保護当局、Chatgpt、初期調査を終了 |
| OpenAI will have to carry out a six-month information campaign and pay a fine of EUR 15 million | OpenAIは6か月間の情報キャンペーンを実施し、1500万ユーロの罰金を支払わなければならない |
| The Italian Data Protection Authority has recently taken corrective and sanctioning measures against OpenAI in relation to the management of the ChatGPT service. | イタリアのデータ保護当局は最近、ChatGPTサービスの管理に関連して、OpenAIに対して是正措置および制裁措置を講じた。 |
| The measure, which ascertains the breaches that were contested with the Californian company at the time, reaches the result of an investigation initiated in March 2023 and after the EDPB (European Data Protection Board) published its opinion identifying a common approach to some of the most important issues related to the processing of personal data in the context of the design, development and deployment of AI-based services. | この措置は、当時カリフォルニア州の企業と争われていた違反行為を確認するもので、2023年3月に開始された調査の結果であり、EDPB(欧州データ保護委員会)がAIベースのサービスの設計、開発、展開における個人データの処理に関連する最も重要な問題のいくつかに対する共通のアプローチを特定する意見を公表した後に行われた。 |
| According to the Italian Data Protection Authority, the US company, which created and manages the generative artificial intelligence chatbot, did not notify the Authority of the data breach it underwent in March 2023, it has processed users’ personal data to train ChatGPT without first identifying an appropriate legal basis and has violated the principle of transparency and the related information obligations toward users. Furthermore, OpenAI has not provided for mechanisms for age verification, which could lead to the risk of exposing children under 13 to inappropriate responses with respect to their degree of development and self-awareness. | イタリアのデータ保護当局によると、生成的人工知能チャットボットを開発・管理する米国企業は、2023年3月に発生したデータ侵害について当局に通知しておらず、適切な法的根拠を特定せずにユーザーの個人情報を処理してChatGPTの訓練を行っていたため、透明性の原則およびユーザーに対する関連情報義務に違反している。さらに、OpenAIは年齢確認の仕組みを設けておらず、13歳未満の子供たちが、その発達度や自己認識の度合いを考慮すると、不適切な回答にさらされるリスクにつながる可能性がある。 |
| The Authority, with the aim of ensuring, first and foremost, effective transparency in the processing of personal data, ordered OpenAI - using for the first time the new powers provided for in article 166 paragraph 7 of the Privacy Code - to carry out a 6-month institutional communication campaign on radio, television, newspapers and the Internet. | 当局は、何よりもまず個人データの処理における効果的な透明性を確保することを目的として、プライバシー保護法第166条第7項に規定された新たな権限を初めて行使し、OpenAIに対して、ラジオ、テレビ、新聞、インターネット上で6か月にわたる組織的な広報キャンペーンを実施するよう命じた。 |
| The content, to be agreed with the Authority, should promote public understanding and awareness of the functioning of ChatGPT, in particular on the collection of user and non-user data for the training of generative artificial intelligence and the rights exercised by data subjects, including the rights to object, rectify and delete their data. | 当局と合意した内容については、特に生成型人工知能の訓練のためのユーザーおよび非ユーザーデータの収集と、異議申し立て、修正、削除の権利を含むデータ主体が行使する権利について、ChatGPTの機能に対する一般の人々の理解と認識を促進するものでなければならない。 |
| Through this communication campaign, users and non-users of ChatGPT will have to be made aware of how to oppose generative artificial intelligence being trained with their personal data and thus be effectively enabled to exercise their rights under the GDPR. | このコミュニケーションキャンペーンを通じて、ChatGPTのユーザーおよび非ユーザーは、自身の個人データを使用して訓練される生成的人工知能に反対する方法を認識し、GDPRに基づく権利を効果的に行使できるようになる。 |
| The Data Protection Authority imposed a fine of EUR 15 million on OpenAI, which was also calculated taking into account the company’s cooperative attitude. | データ保護当局は、OpenAIに1500万ユーロの罰金を科したが、この金額も同社の協力的な姿勢を考慮して算出された。 |
| Finally, in view of the fact that the company established its European headquarters in Ireland in the course of the preliminary investigation, the Data Protection Authority, in compliance with the so-called one stop shop mechanism, forwarded the procedural documents to the Irish Data Protection Authority (DPC), which became lead supervisory authority under the GDPR so as to continue investigating any ongoing infringements that have not been exhausted before the opening of the European headquarters. | 最後に、予備調査の過程で同社が欧州本社をアイルランドに設立したという事実を踏まえ、データ保護当局は、いわゆるワンストップショップの仕組みに従って、手続き書類をアイルランドデータ保護当局(DPC)に送付した。DPCは、GDPRの下で主導監督当局となり、欧州本社開設前に解決しきれなかった進行中の違反行為の調査を継続することとなった。 |
| Rome, 20 December 2024 | 2024年12月20日、ローマ |
● まるちゃんの情報セキュリティ気まぐれ日記
・2024.10.12 イタリア GPDP G7プライバシー保護機関の会合(2024.10.09-11)
・2024.10.11 G7 2024@イタリア 企業、特に零細・中小企業におけるAI導入・開発の推進要因と課題に関するG7報告書 (2024.10.10)
・2024.05.29 欧州 EDPB ChatGPTタスクフォースによる作業報告書 (2024.05.24)
・2023.05.04 イタリア データ保護庁 ChatGPTが復活... (2023.04.28)
・2023.04.14 EDPB Metaによる米国への個人データ転送に関する紛争解決、Chat GPTに関するタスクフォースを設置
・2023.04.14 スペイン ChatGPTを運営するOpenAI社に対して職権で調査手続きを開始
・2023.04.14 イタリア データ保護庁 ChatGPT復活へ... 4月30日までに改善できれば...
・2023.04.10 イタリア データ保護庁委員とOpenAI社CEOが会談
・2023.04.06 OpenAI ブログ AIの安全への取り組み
・2023.04.02 イタリア データ保護庁がOpenAI社にプライバシー規制を遵守するまでChatGPTがイタリア人ユーザのデータ処理の制限を直ちに命じた...
« 米国 NSA、CISA、FBI他 イスラム革命防衛隊(IRGC)関連のサイバー犯罪者が、米国の上下水道システム施設を含む複数のセクターのPLCを悪用 (2024.12.18) | Main | OECD 経済見通し 2024, 2025, 2026の見通し (2024.12.04) »
Comments