投稿者 global-ai-media 
Googleの生成AI「Gemini」が、アップロードされた顔画像の処理を巡り、米国イリノイ州の生体情報プライバシー法(BIPA)に違反しているとして集団訴訟を受けました。本記事ではこの事例を端緒に、日本企業がマルチモーダルAIを業務利用やプロダクト展開する際のプライバシーリスクと、ガバナンスのあり方を解説します。
生成AIによる画像処理と厳格化するプライバシー規制
米国において、Googleの生成AI「Gemini」が、ユーザーによってアップロードされた写真の編集・操作機能に関連し、イリノイ州の生体情報プライバシー法(BIPA)に違反しているとして集団訴訟(クラスアクション)の対象となりました。BIPAは全米でも特に厳格な生体情報保護の法律として知られ、事前の明示的な同意なしに顔写真等から生体情報を収集・保存することを固く禁じています。
テキストだけでなく画像や音声も処理できる「マルチモーダルAI」の進化により、ユーザーが手軽に写真をアップロードして編集や加工を行えるようになりました。しかし、この利便性の裏で、AIシステムが画像内の顔をどのように認識・スキャンし、データを処理しているかが、法的リスクとして浮上しています。今回の訴訟は、生成AIの機能そのものよりも、システム側でのデータの扱い方とユーザーの同意取得プロセスが問われている事例と言えます。
日本における生体情報の扱いと法的解釈
この事案は、決して対岸の火事ではありません。日本の個人情報保護法においても、顔の骨格や特徴を抽出して特定の個人を識別できるようにしたデータは「個人識別符号」として扱われ、厳格な管理が求められます。単なる顔写真を生成AIに読み込ませただけで直ちに個人識別符号の取得にあたるわけではありませんが、AIプラットフォーム側が背後でどのようなデータ処理やモデル学習を行っているかについては、慎重に見極める必要があります。
特に日本企業の場合、「社内業務でのAI活用」と「自社プロダクトへのAI組み込み」の双方で注意が必要です。例えば、社内研修の動画や社員証の画像、顧客の顔が映り込んだ現場写真などをマルチモーダルAIに入力して業務効率化を図る場合、意図せず個人情報や生体情報を社外のサーバーに送信し、プラットフォームの学習データとして利用されてしまうリスクがあります。社内ガイドラインにおいて「個人を特定できる画像データの入力制限」を設けるなど、実務に即したルール作りが不可欠です。
AIプロダクト開発・導入におけるガバナンスの要所
また、自社のサービスやアプリに生成AIを活用した画像処理機能を組み込む場合、コンプライアンスの要求はさらに高まります。アバター生成や写真の自動補正など、顔画像を扱う新規事業を展開する際、ユーザーに対して「どのような目的でデータを取得し、AIがどう処理するか」を分かりやすく説明し、同意を取得する(オプトイン)プロセスの設計が重要になります。
グローバルにサービスを展開する企業であれば、イリノイ州のBIPAや欧州のGDPR(一般データ保護規則)など、各地域で異なる規制のグラデーションに対応しなければなりません。技術的な利便性を追求する一方で、規約の透明性確保や、ユーザーが自身のデータの削除を容易に要求できる仕組みの構築といったリスク対応のバランスを取ることが、プロダクトマネージャーやエンジニアの重要な責務となっています。
日本企業のAI活用への示唆
今回のGoogle Geminiを巡る動向を踏まえ、日本企業がAIの実務活用やプロダクト開発を進める上で留意すべき要点と示唆は以下の通りです。
1. マルチモーダルAI利用ガイドラインの整備:テキストだけでなく、画像・音声・動画など多様なデータを扱うAIの利用が増加しています。社員が業務で顔写真や顧客データをAIに入力しないよう、データの種類に応じた具体的なガイドラインと研修を徹底することが求められます。
2. プロダクトにおける透明性と同意取得の設計:自社サービスに画像生成AIや顔認識技術を組み込む際は、法務部門と開発部門が連携し、利用規約の整備と明確な同意取得プロセスをUI/UXに組み込むことが必須です。特にグローバル展開を見据える場合、各地域のプライバシー規制を初期段階から設計に反映させる必要があります。
3. 利用するAIモデルのデータ処理仕様の確認:社内外で利用するAIサービス(基盤モデルやAPI)を選定する際は、アップロードした画像データがモデルの再学習に利用されないか、生体情報としてどのように処理・破棄されるのかをベンダーの規約等で十分に確認することが重要です。エンタープライズ向けのオプトアウト設定や、閉域環境での利用を検討することも一つの有効なリスク対策となります。