カナダの連邦プライバシーコミッショナーPhilippe Dufresne氏と、アルバータ・ケベック・ブリティッシュコロンビア各州の規制当局は、OpenAIによるAIモデルの学習データ収集がカナダ連邦の個人情報保護・電子文書法(PIPEDA)および各州法に「準拠していなかった」と認定した。米テクノロジーメディア「Engadget」が2026年5月6日に報じた。
なぜこの認定が注目されるのか
この調査は2023年に開始されたものだが、2026年2月にブリティッシュコロンビア州タンブルリッジで発生した銃撃事件との関連でも改めて注目を集めている。OpenAIは2025年に容疑者のアカウントに現実の暴力を示唆する内容が含まれていると検知していたにもかかわらず、カナダ当局への通報を行っていなかったとされており、規制当局はその後、同社に対して安全管理アプローチの見直しを要求した。
AIモデルの学習データをめぐる規制当局の本格的な法的認定という点でも先例的な意味を持つ。EUのAI Actと並び、AI企業のデータ収集慣行に対するグローバルな規制の流れを示す事例として広く引用されることになるだろう。
Engadgetが伝える調査の主な指摘事項
Engadgetの報道によれば、規制当局が今回の調査で特定した問題点は以下のとおり。
- 大量の個人情報収集と不十分な保護措置: 適切なセーフガードなしに個人情報を大量に収集し、それが学習に使われることを防ぐ仕組みが欠如していた
- 同意の不在: 第三者から購入・スクレイピングしたデータに含まれる個人情報について、本人の同意なく収集・利用していた。ChatGPTの警告表示はあるものの、第三者データの扱いはユーザーが認識できる状況にない
- アクセス・修正・削除手段の欠如: ChatGPTユーザーは自身に関するデータへのアクセス、修正、削除を行う手段を持っていなかった
- 不正確な回答への対応不足: ChatGPTが誤った情報を生成した場合における、その不正確性を認める取り組みが不十分だった
OpenAIの対応と今後の改善コミット
Engadgetの報道では、カナダ当局はOpenAIが調査に対して「オープンかつ協力的」だったと評価している。同社はすでに以下の対応を実施済みとされる。
- カナダの規制に違反した旧モデルの廃止
- 公開インターネットデータおよびライセンスデータセットから氏名・電話番号等の個人情報を検知・マスクするフィルタリングツールの導入
さらに今後の改善として、3ヶ月以内にサインアウト状態のChatGPTへ学習利用に関する注意書きを追加、6ヶ月以内にデータエクスポートツールの改善・廃止データセットの保護確認・公人の未成年近親者への保護措置テストを行うことをコミットしたとEngadgetは伝えている。
日本市場での注目点
日本においても、改正個人情報保護法(APPI)のもとでAIによるデータ活用への注目が高まっている。今回の認定は、AIサービスのデータ収集慣行に対する規制当局の審査基準を具体的に示す事例として参考になる。
ChatGPT APIを業務活用している日本企業にとっては、入力データの扱い・社員・顧客の個人情報管理・プライバシーポリシーの整合性確認といった観点で、改めて社内ガバナンスを見直す契機になるだろう。また、「同意」「アクセス・削除権」「不正確情報への対応」という今回の三本柱は、日本のAIガバナンスガイドラインとも重なる論点だ。
筆者の見解
OpenAIがカナダ当局の調査に協力的な姿勢を示し、具体的な改善コミットを示した点は評価できる。しかし、これらの問題は「指摘されたから直した」という話であって、本来はサービス設計の段階で組み込まれているべきものだった。
AI業界全体として、この認定から学ぶべき教訓は明確だ——「将来的に改善する」ではなく「最初から設計に組み込む」がプライバシーバイデザインの本質である。規模が大きくなってからデータガバナンスを後付けするコストは、最初から正しく設計するコストよりはるかに高くつく。
日本でAIを実業務に展開しようとしている組織にとっては、今回の件はいわゆる「他山の石」だ。カナダの規制が要求した「同意・アクセス権・不正確情報への透明性」は、いずれ日本の監督当局も同様の視点で見てくるはずで、早めに自社のAI利用慣行を棚卸ししておく価値は十分にある。
出典: この記事は Canadian officials claim OpenAI violated federal and provincial privacy laws の内容をもとに、筆者の見解を加えて独自に執筆したものです。