カテゴリから探す
  1. ホーム
  2. プラットフォーム関連

2022/12/22 (木)

AIスコアリング導入における注意点【信用スコアリングとは?】

Q 
当社では、AIによる信用スコアリング(利用者に関するデータを収集・分析して信用スコアを算定すること。AIにより算定する場合AIスコアリングともいう)を行い、情報を提携する企業に提供する信用スコアリングサービスを検討しています。
このようなサービスを提供する上で、プライバシー・個人情報保護の観点からどのような注意が必要でしょうか。

A 
信用スコアリングをすること、信用スコアリングを利用する目的、信用スコアや元データを誰に提供するのかについてもわかりやすく特定し、本人の同意を得るようにする必要があります。そして、本人同意がない限り、信用スコアの第三者提供をしない仕組みを構築するよう留意すべきです。
利用目的の特定をどの程度すればよいかについて、明確な基準はありませんが、分析処理を行うこと、その分析結果の利用方法についても、本人にわかりやすいよう利用目的を特定する必要があります。

また、信用スコアの算定過程でプロファイリングを行うことを意識し、個人情報保護法やプライバシーの観点から、本人が、自身の情報をどのように、誰が利用するのか、明確に認識できるようにすることが大切です。また、第三者から情報を取得する際や、情報を提供する際に、本人の同意がどこまで得られているのか、しっかりと把握し、同意のある範囲内で取得・提供・利用するよう注意しましょう。さらに、プライバシー侵害の程度を弱める観点から、プライバシー侵害の程度の低い情報や方法が検討できないか、工夫するようにしましょう。

違法とならないギリギリであればよいという考え方をする事業者もいますが、適法であっても、明確な説明が欠けていたために、SNSなどで批判が殺到してしまうこともあります。そのため、適法であればよいという意識ではなく、消費者・利用者目線で利用者本人がしっかりと理解できるような内容とすることが大切です。

澤田直彦

監修弁護士:澤田直彦
弁護士法人 直法律事務所 
代表弁護士

IPO弁護士として、ベンチャースタートアップ企業のIPO実績や社外役員経験等をもとに、永田町にて弁護士法人を設立・運営しています。

本記事では、
「AIスコアリング導入における注意点【信用スコアリングとは?】」
について、詳しく解説します。

弁護士のプロフィール紹介はこちら直法律事務所の概要はこちらお問い合わせはこちら

当事務所では、LINEでのお問い合わせも受け付けております。お気軽にご相談ください。
登録はこちらから

友だち追加

AIスコアの概要

信用スコアとは

信用スコアとは、プロファイリングの一種で、金銭の支払い能力のみならず、年齢や学歴などの個人属性とサービスの利用情報などの消費傾向を照らし合わせ、個々の信用力を数値化(スコア化)するサービスです。

その中でも、AIを利用して信用スコアを作成するサービスをAIスコアといいます。
中国の芝麻信用などが有名です。

信用スコアリング事業として想定されるビジネスモデル

では、信用スコアリング事業は、どのようなビジネスモデルが想定されているのでしょうか。
以下のようなビジネスモデルが典型的です。

情報収集

まず、信用スコアの算出をするために必要な、元となる情報を収集します。

グループ会社がオンライン決済サービスやSNSサービスを提供している場合、個人の決済に関する情報や趣味嗜好・交友関係などの情報を、グループ会社を通じて入手します。
他方、グループ会社では把握できない情報(例えば、学歴や保有資産の情報など)は利用者自身から提供を受けることが想定されます。

信用スコアの算出

情報収集ができたら、それらの情報に基づいて信用スコアを算出します。

信用スコアを提携する企業へ提供

算出した信用スコアを提携先企業などに提供します。

提携する企業による信用スコアを利用したサービスの提供

提供を受けた提携先企業が信用スコアのランクに応じた特典やサービスを提供します。

このような信用スコアリング事業により、利用者は、信用スコアの数値に応じ、提携先企業から有利な条件での借り入れが可能になったり、サービス利用時のデポジットが免除されるなど各種特典を受けることができたりと、メリットがあります。

信用スコアリング事業の広がり

信用スコアリングは、中国のアリババグループのアント・フィナンシャルサービス傘下の独立した信用サービス機構である芝麻信用などが有名ですが、アメリカや中国を中心に広がっているサービスです。
日本でも、みずほ銀行とソフトバンクが共同出資して設立したJ.Scoreなど徐々に広がりをみせています。(22年12月、各事業は段階的にサービスを終了し、「LINE Credit」が引き継ぐことが公表されました)

芝麻信用の概要
芝麻信用は、アリババグループのアント・フィナンシャルサービス傘下の独立した信用サービス機構であり、2015年1月に中国人民銀行が個人信用スコアサービスの開業準備を認めた8社のうちの1社である。

芝麻信用はクラウドコンピューティングと機械学習、AIなどの先端技術によって個人や企業の信用状況に対して評価を行っており、クレジットカード、消費者金融、融資・リース、担保ローン、ホテル、不動産、レンタカー、旅行、結婚恋愛、学生サービス、公共事業などに信用調査サービスを提供している。

(総務省 「平成30年版情報通信白書」より)


信用スコアリング事業の危険性と課題

危険性

個人の社会的な評価に関する信用スコアは、就職や結婚の際に利用された場合には差別や選別につながる危険があります。

また、信用スコアが普及すればするほど、信用スコアで高いスコアが取得できるような行動を選択する者が増え、これにより社会の多様性が失われる危険があります。

信用スコアリング事業の課題

信用スコアリング事業を行うためには、ECサイトでの購買履歴や決済情報利用者の交友関係学歴保有資産などの利用者に関するさまざまな情報を収集し、信用スコアを算出します。

その情報収集及び利用に際しては、当然、個人情報保護法やプライバシー侵害とならないよう配慮が必要となります。

さらに、収集した情報から信用スコアを算出する際には、収集した情報を分析し、AIなどを用いていわゆる「プロファイリング」(個人に関する情報とアルゴリズムを用いて、特定個人の趣味嗜好、能力、信用力、知性、振舞いなどを分析又は予測すること)が行われます。
「プロファイリング」により新たなビジネスモデルが生まれるなどの利点がありますが、単に情報を収集する場合と比してプライバシー侵害の危険が高まります。

日本においては、プロファイリングそのものを規制する法令はありませんが、個人情報保護法の一般規定やプライバシー保護に留意する必要があります。
そのため、信用スコアリング事業においては、個人情報保護法やプライバシーの観点からの検討が欠かせません。

【プロファイリングについて】

プロファイリングについてのGDPRの指針
前述のとおり日本には正面からプロファイリングを規制する法令はありません。
しかし、EUをはじめとする諸外国では、プロファイリングの法的課題が議論されており、EU域内の個人データ保護を規定する法として2018年5月25日に施行されたGDPRには、プロファイリングに関する明確な指針があります。

GDPR第4条4号では「『プロファイリング』とは、自然人と関連する一定の個人的側面を評価するための、特に、当該自然人の業務遂行能力、経済状態、健康、個人的嗜好、興味関心、信頼性、行動、位置及び移動に関する側面を分析又は予測するための、個人データの利用によって構成される、あらゆる形式の、個人データの自動的な取扱いを意味する。」(個人情報保護委員会作成の仮日本語訳より引用。以下GDPR条文引用部分は同じ。)と定義しています。

そして、個人は、データ管理者との契約締結やその履行に必要な場合または個人の明確な同意等がない限り、プロファイリングに基づく決定の対象とされない権利があり(GDPR22条1項)、データ管理者は個人が見解を表明したり、決定を争うことができるよう適切な措置を施さなければならない(GDPR第21条3項)とされます。
また、データ主体は、プロファイリングに対していつでも異議を述べることができ、データ管理者は、原則として当該個人データの取扱いを停止しなければならない(GDPR第21条1項)とされています。


プロファイリングについての日本における議論
近年、日本においても、総務省及び経済産業省による「情報信託機能の認定スキームの在り方に関する検討会」が、「情報信託機能の認定に係る指針 令和4年6月改定(Ver.2.2)」や令和4年6月30日「情報銀行におけるプロファイリングの取扱いに関する議論の整理」の中で、プロファイリングに関する情報銀行の対応をまとめるなど、プロファイリングを含む個人情報の取り扱いの法的課題についての議論がされています。

情報銀行は、自らプロファイリングをする場合だけではなく、プロファイリング結果を受け取る場合や、プロファイリングをしようとしている第三者へデータを提供する等の場合も、それぞれプロファイリングに関与する者が利用目的の特定、透明性、データの最小化等の点で必要な配慮をするように対応すべきであるとされています。

また、要配慮個人情報等を推知することにより利用者個人に重大な不利益を与える可能性のあるプロファイリングについては、「要配慮プロファイリング」として取り扱い、プロファイリングを実施する場合には分析・予測に含まれるロジックや、利用者個人への影響・リスクに関する有意な情報について明示し、本人同意を得ることが望ましいとされています。

個人情報保護法の観点からの検討

利用目的の特定

個人情報保護法では、個人情報取扱事業者は、個人情報の利用目的を「通知又は公表しなければならない」(個人情報保護法21条1項)とされ、プライバシーポリシーなどによる利用目的の公表が求められます。

また、利用目的は「できる限り特定しなければならない」とされています(個人情報保護法第17条)。
では、利用目的を、どの程度まで特定すればよいのでしょうか。

個人情報保護委員会が公表している「『個人情報の保護に関する法律についてのガイドライン』に関するQ&A」によれば、利用目的を「できる限り」特定するとは、個人情報取扱事業者において、個人情報をどのような目的で利用するかについて明確な認識を持つことができ、また、本人において、自らの個人情報がどのような事業の用に供され、どのような目的で利用されるのかについて一般的かつ合理的に予測・想定できる程度に、利用目的を特定することをいい、特定される利用目的は、具体的で本人にとって分かりやすいものであることが望ましいとされています。
では、具体的に信用スコアの算出やその過程で行うプロファイリング、また信用スコアの提供に際し、どのように利用目的を特定すればよいのでしょうか。

前出の「『個人情報の保護に関する法律についてのガイドライン』に関するQ&A」によれば、本人が合理的に予測・想定できないような個人情報の取扱いを行う場合には、かかる取扱いを行うことを含めて、利用目的を特定する必要があります。
そして、「プロファイリング」といった、本人に関する行動・関心等の情報を分析する処理を行う場合や、行動履歴等の情報を分析して信用スコアを算出し当該スコアを第三者へ提供する場合、分析結果をどのような目的で利用するかのみならず、前提として、かかる分析処理を行うことを含めて、利用目的を特定する必要があります。

このように、信用スコアリング事業を行う際には、分析処理を行うこと、その分析結果の利用方法についても含めて本人にわかりやすいよう利用目的を特定するようにする必要があります\。

この点、利用目的の特定をどの程度すればよいかについて、明確な基準はないため、違法とならないギリギリであればよいという考え方をする事業者もいます。

しかし、適法であっても、明確な説明が欠けていたために、SNSなどで批判が殺到してしまうこともあります。
そのため、適法であればよいという意識ではなく、消費者・利用者目線で利用者本人がしっかりと理解できるような内容とすることが大切です。

本人の同意取得

個人情報保護法では、個人情報取扱事業者は、本人の同意を得た利用目的の達成に必要な範囲内でしか個人情報を取り扱うことはできません(個人情報保護法16条1項)。
また、個人データ(個人情報取扱事業者が管理する「個人情報データベース等」を構成する個人情報)を第三者提供する場合、原則として本人同意が必要です(個人情報保護法第27条1項)。

信用スコアリング事業は、個人の信用スコアを算出するという性質上、特定の個人であることを識別して個人データを取り扱うのが一般的です。
そのため、前述のとおり個人情報の利用目的を、信用スコアリングをすること、信用スコアリングを利用する目的、信用スコアや元データを誰に提供するのかについてもわかりやすく特定して本人の同意を得るようにする必要があります。
そして、本人同意がない限り、信用スコアの第三者提供をしない仕組みを構築するよう留意すべきです。

なお、信用スコアリング事業者は、提供先企業が信用スコアを既存の情報と紐づけて利用することが想定される場合、仮に自らが特定の個人を識別しない形で信用スコアを作成していたとしても、個人情報保護法上の保護対象となる場合があり、提供先企業側が適切な利用目的を示して本人同意を取得しているかを確認する必要があると考えられます。

信用スコアを取り扱う場合のその他留意点

プライバシーへの配慮

信用スコアをとり取り扱う上で、利用目的の特定や本人の同意取得以外にも、プライバシー保護に留意する必要があります。(別記事:「プライバシーと個人情報保護法【損害賠償の事例も紹介】」もご参照ください)

プロファイリングによる要配慮個人情報の推測

信用スコアを算出する前提として行うプロファイリングにより、要配慮個人情報などを推測する際には、個人情報の不正取得となり得るので注意が必要です(個人情報保護法第20条1項)。

差別

性別や人種によって信用スコアに不合理な相違が生じるなどといったことのないよう、留意する必要があります。

情報銀行における信用スコアの取扱う場合の留意点から

令和元年10月8日発表した「情報信託機能の認定スキームの在り方に関する検討会とりまとめ」では、「情報銀行において『信用スコア』を取り扱う場合の留意点」を記載しています。

これらは情報銀行ではなくても、信用スコアリング事業を行う上で参考にすべき内容と考えられますので、以下で簡単に解説します。

同意取得

事業者は、個人に対し、取得又は第三者提供される個人情報が信用スコアの算定に利用されること、信用スコアが提供先において利用される方法及びそれらによるリスクについて明示的に説明するようにします。

信用スコアの利活用

事業者は、「個人のためにデータを活用する」ことを原則とするようにし、提供することによって、個人にとって不利益となる恐れがある場合は提供しない、または個人に対しリスクを示すなど、個人の利益を踏まえた利活用を行うようにします。

非提携企業による信用スコアの二次利用

事業者は、他者が作成したスコアを作成者又はスコアの対象となる個人から取得し、他の第三者に提供する場合で、作成者が二次利用に対し制限を設けている場合には、制限に反しない範囲で提供を行うようにします。

信用スコアの基礎データ

事業者は、「個人のためにデータを活用する」ことを原則とするようにし、遺伝情報や、差別に繋がる過去の情報を基礎データとして用いないようにします。
また、同様の情報を、信用スコアを算定する者に提供しないようにします。

説明責任・透明性

事業者は、スコアに用いたデータ及びスコアの算出方法について、アカウンタビリティを持つようにします。

人間の関与

信用スコアを機械化された処理により数値化する場合、本人が求めれば、信用スコアの数値化に際して人間が関与するという対応をとることも検討するようにします。

まとめ

このとおり、信用スコアリング事業を行うに際しては、信用スコアの算定過程でプロファイリングが行われることを意識し、個人情報保護法やプライバシーの観点から、本人が、自身の情報をどのように、誰が利用するのか、明確に認識できるようにすることが大切です。

また、第三者から情報を取得する際や、情報を提供する際に、本人の同意がどこまで得られているのか、しっかりと把握し、同意のある範囲内で取得・提供・利用するよう注意しましょう。さらに、プライバシー侵害の程度を弱める観点から、プライバシー侵害の程度の低い情報や方法が検討できないか、工夫するようにしましょう。

なお、信用スコア提供事業者はプラットフォーム事業者であることが多く、独占禁止法不正競争防止法が問題となることも多く、検討しておくことが必要です。

(令和元年12月17日)「デジタル・プラットフォーム事業者と個人情報等を提供する消費者との取引における優越的地位の濫用に関する独占禁止法上の考え方」の公表について(公正取引委員会)

特定デジタルプラットフォームの透明性及び公正性の向上に関する法律のポイント(2020年5月27日成立、2020年6月3日公布)(経済産業省)

【関連記事】
人事にAIを利用するには?個人情報・プライバシー保護の注意点を解説!

直法律事務所では、IPO(上場準備)、上場後のサポートを行っております。
その他、プラットフォーム、クラウド、SaaSビジネスについて、ビジネスモデルが適法なのか(法規制に抵触しないか)迅速に審査の上、アドバイスいたします。お気軽にご相談ください。
ご面談でのアドバイスは当事務所のクライアントからのご紹介の場合には無料となっておりますが、別途レポート(有料)をご希望の場合は面談時にお見積り致します。

アカウントをお持ちの方は、当事務所のFacebookページもぜひご覧ください。記事掲載等のお知らせをアップしております。

企業法務はお任せ下さい

上場企業からスタートアップ企業までの
企業・IT・不動産法務をはじめ法律問題に対応しています。
お気軽に直法律事務所へご相談ください。

上場企業からスタートアップ企業までの企業・IT・不動産法務をはじめ法律問題に対応しています。

お問い合わせはこちら

関連する記事RELATED

企業法務はお任せください!
お問い合わせはこちら
SaaS企業のお悩みは、
SaaS弁護士に相談して解決

プラットフォーム・クラウド・SaaSビジネスにおける法務のお悩みは、SaaSに強い弁護士に相談されると適切かつ迅速な解決が可能となります。大きなトラブルになる前に、少しでも気になる事は、お早めにSaaS弁護士にご相談ください。

サービス詳細はこちら
クライアント企業一例