データ保護法の遵守
EU、英国、ブラジル、一部の米国の州を含む国や地域には、個人に関する情報を保護し、「個人データ」または「個人情報」を収集・利用する人や組織に義務を課す法律があります。たとえば、EU と英国には一般データ保護規則(GDPR)があり、これらの地域に居住する人々の「個人データ」を保護しています。
当社のサービスを使用してウェブサイトまたはアプリ(「Site」)を構築する場合、GDPR およびその他の類似するデータ保護法規制を遵守する必要がある場合があります。たとえば、次の場合は GDPR を遵守する必要がある可能性があります。
お客様が英国または EU に所在している
お客様の Site に英国または EU のユーザーがいる
この記事は、データ保護法に基づく義務の遵守に役立てていただくことを目的としています。ただし、これは法的助言ではなく、情報提供のみを目的としている点にご注意ください。お客様自身および Sites の訪問者の所在地によって適用される可能性のある法令上の義務を理解するため、ご自身で法的助言を受けることをおすすめします。
データ保護法に基づくお客様の役割
お客様の Site が訪問者の個人データを収集する、またはその他の方法で処理する場合、その情報を使用する目的と方法を決定し、適用されるプライバシー法およびデータ保護法を遵守する責任はお客様にあります。ChatGPT Sites 規約に基づき、お客様は Site を通じて収集されるエンドユーザーデータのデータ管理者です。個人データには、氏名、メールアドレス、プロフィール情報、投稿またはコメント、写真、オンライン識別子またはデバイス識別子が含まれる場合があります。ChatGPT Sites では、保護対象保健情報またはペイメントカードデータを処理してはなりません。
データ保護法は、データ管理者にさまざまな義務を課しています。以下に、これらの義務の概要を示します。
データ保護法に基づく当社の役割
ユーザーとして OpenAI のサービスを利用する場合、ほとんどの場合 OpenAI がデータ管理者であり、当社の プライバシーポリシーに従って、お客様の個人データに関するデータ保護法の遵守について責任を負います。
Sites を使用することにより、お客様は、ご自身の Site を提供・運用するために必要な範囲でエンドユーザーデータを処理するよう OpenAI に指示することになります。該当する場合、OpenAI は、OpenAI データ処理補遺、またはお客様の組織と OpenAI が署名したデータ処理補遺に基づいて、そのデータを処理します。お客様のアカウントに適用される契約および DPA を確認してください。
義務の概要
GDPR などのデータ保護法は、個人データを処理する当事者(データ管理者および処理者)に義務を課すとともに、自身の個人データが処理されている個人に権利を付与しています。遵守に役立つよう、Site を運用する際に検討すべき主な事項の概要を以下に示します。ただし、これは GDPR またはその他の関連するデータ保護法に関する包括的なガイドではありません。
通知の提供:Site には、収集するデータ、その使用方法、および利用者がそれを管理する方法を説明する、見つけやすいプライバシーポリシーを掲載する必要があります。詳しいガイダンスについては、プライバシーポリシーの作成方法をご覧ください。また、個人データは、本人が想定する範囲内の方法でのみ使用するようにしてください。特定の方法で個人データが使用されることを本人が想定していない可能性がある場合は、Site 上の見つけやすい場所に追加の通知を掲載することを検討してください。
選択肢の提供:Site で収集される個人データとその使用方法について、利用者にできる限り多くの選択肢を提供する必要があります。場合によっては、本人にチェックボックスをオンにしてもらう、またはトグルを切り替えてもらうなど、オプトインの同意を求める必要があります。このリストは網羅的なものではなく、同意を求めるべきその他の状況もあります。お客様の Site でユーザーが情報を公開投稿できる場合、投稿時にそのことがユーザーに非常に明確に伝わるようにしてください。たとえば、次のことを行いたい場合は、明示的にオプトインを求めることをおすすめします。
メールマーケティングを送信する
ChatGPT Sites では、保護対象保健情報またはペイメントカードデータを処理してはなりません。お客様の Site がその他の機微な個人データを処理する場合は、その処理が訪問者の合理的な期待の範囲内であることを確認し、適用法で求められる場合は明示的なオプトイン同意を取得してください。
Site が機能するために厳密に必要な Cookie でない限り、Site に Cookie を設定する(下記参照)
データ最小化:Site の運用に必要な個人データのみを収集してください。住所、性別、生年月日が不要な場合は、それらを求めるべきではありません。また、個人データを必要な期間を超えて保持しないでください。Site を運用するためにデータをどのくらいの期間保持する必要があるかを検討し、その期間が過ぎたら削除してください。
データセキュリティおよび個人データ侵害:Site と、Site を通じて収集した情報を保存するその他のシステムには、適切なセキュリティ対策を講じてください。OpenAI の侵害通知義務は、お客様のアカウントに適用される契約およびデータ処理補遺によって規定されます。影響を受ける個人、規制当局、またはその他の当局に通知する必要があるかどうかを判断する責任はお客様にあります。
データ主体の権利:プライバシー法により、個人には自身の個人データへのアクセス、訂正、削除、制限、異議申し立て、またはコピーの受領を行う権利が認められる場合があります。Site の訪問者がリクエストを送信できる明確な方法を用意し、お客様に適用される法律で求められる期限内に対応してください。
データ移転:プライバシー法により、国や地域をまたぐ個人データの移転が制限される場合があります。Sites のホスティングおよびレジデンシーに関する情報と、お客様のアカウントに適用される契約およびデータ処理補遺を確認してください。ChatGPT Sites は、ローンチ時点ではデータレジデンシーまたは推論レジデンシーに対応していません。お客様に適用される条件を確認せずに、特定のホスティング国や移転メカニズムを前提にしないでください。
Cookie および類似のトラッキング技術:Site が必須ではない Cookie または類似のトラッキング技術を使用する場合、それらを配置または読み取る前に同意を取得する必要がある場合があります。要件は所在地によって異なるため、お客様と訪問者に適用されるルールを確認してください。
子どものデータ:お客様の Site が 18 歳未満の子どもを対象としている場合、子どもは法律上特別な保護を受けるため、データ保護またはプライバシー上のリスクに特に注意する必要があります。複数のデータ保護当局やその他の規制当局が、子どもを対象とするオンラインサービス向けに追加のガイダンスを公開していますので、確認することをおすすめします。ChatGPT Sites 規約に基づき、13 歳未満の子ども、または適用されるデジタル同意年齢に満たない子どもを対象とする、またはそのような子ども向けに設計された Site を作成することはできません。
