ヒーロー画像

【第2回】生成AIの利用と法的問題①

February 15th, 2024

今回の目的

生成AIをはじめとするAIは、高い利便性を誇る一方、一定のリスクを伴うものです。AIを利用する際は、どういった点に気を付けるべきでしょうか。 生成AIを利用する場面で考慮したいリスクについて、2回に分けて、解説する予定です。今回は、生成AIを利用する場面で考慮したいプロンプトに関するリスクについて見ていきましょう。

検討の切り口

開発・運用の両方を自社内に限定しているAIであれば、プロンプトに入力した情報へのアクセスは自社内にとどまるため、問題が生じることはあまり多くないかもしれません。これに対し、Chat GPTのように外部の生成AIサービスを利用する場合、自社の保有する秘密情報・ノウハウの流出や、個人情報保護法違反等に繋がるリスクも考えなければなりません。
検討すべきポイントは多岐にわたりますが、主として次の3点に気を付ける必要があるでしょう。

1
プロンプトの入力内容は再学習に利用されないか。サービス提供事業者がプロンプトの内容について秘密保持義務を負っているか
サービスによっては、当該AIの性能向上のため、利用者の入力したプロンプトが再学習に利用されているケースがあります。AIは、本質的に、大量のデータを学習することによって正確性を向上させる面がありますので、プロンプトを利用して再学習を行うことは、機能面において重要であることは否定できません。しかし、再学習に利用されることにより、プロンプトの情報が、別のユーザーに対し出力される生成物の中に出現してしまうリスクが想定されます。したがって、利用規約等において、再学習に利用されないことが保証されていない限り、機密情報をプロンプトに入力することは避けるべきです。 また、再学習に利用されるかは別としても、サービス提供事業者はプロンプトの内容にアクセスできることが通常と思われますので、サービス提供事業者が秘密保持義務を負っているかも重要となります。 一般論として、無料サービスの利用規約等では、プロンプトの入力内容を再学習に利用することが禁止されておらず、また秘密保持義務が定められていないことが多いため、そのようなサービスを利用する場合は、プロンプトに入力する内容は慎重になるべきですし、少なくとも機密情報をプロンプトに入力することは避けなければなりません。 また、再学習に利用される、あるいは秘密保持義務のないサービスにおいて、自社や第三者の営業秘密を含むプロンプトを入力してしまった場合、不正競争防止法上、営業秘密として保護されるための要件の一つである秘密管理性が失われたと評価される可能性が高い点にも留意が必要です。
2
第三者に対して負っている秘密保持義務に違反しないか
第三者に対して秘密保持義務を負っている情報をプロンプトに入力することは、秘密情報の開示者との関係で秘密保持義務違反ないし目的外使用とならないでしょうか。 違反となるか否かの結論は個別の契約内容によって異なります。しかし、トラブル防止のためには、利用するAIがどういうものか、どういったリスクが考えられるかについて、開示者に説明したうえで、同意を得ておくことが適切と思われます。
3
プロンプトに個人情報を入力することが個人情報保護法に違反しないか
個人情報をプロンプトに入力する場合も、上記①②の問題がそのままあてはまりますが、さらに個人情報保護法の観点からも留意が必要です。 まず、個人情報取扱事業者は、あらかじめ特定された利用目的以外で個人情報を利用することはできません(個人情報保護法18条1項)。そのため、AIのプロンプトに個人情報を入力するという利用行為が、プライバシーポリシー等で公表している利用目的の範囲に含まれているか否かを確認する必要があります。 また、当該個人情報が個人データに当たる場合、プロンプトに入力することは、AIサービス提供事業者に当該個人データを「提供」していると評価される可能性が高いため、適法な提供とするための法的根拠を確認しておく必要があります。例えば、プロンプトに入力した情報が再学習に使用されず、当該プロンプトに対する応答結果の出力のみに使用されるなど、委託された業務にのみ使用されていると評価できる場合には、「委託」による提供(個人情報保護法27条5項1号)と整理し得ると考えられますが、AIサービス提供事業者を委託先として監督する必要が生じます(個人情報保護法25条)。そうでない場合、すなわち再学習が行われる等、AIサービス提供事業者や第三者の固有の目的のために利用される側面もある場合は、いわゆる「第三者提供」に該当し、あらかじめ個人情報の主体から同意を得ておく必要があるでしょう(個人情報保護法27条1項)。 さらに、AIサービス提供事業者が外国にある第三者である場合には、個人情報保護法第28条に基づく措置をあわせて講じる必要があり、検討すべき事項はさらに複雑になります。

まとめ

このように、プロンプトの入力に関しては、気を付けるべき点が多々あり、誤った使用により、顧客や取引先に損害を与える可能性があります。個別の事情に応じて検討すべきポイントも変わってきますので、ご不安な場合は弁護士に相談することをお勧めいたします。

本記事の内容は、公開日現在のものです。最新の内容とは異なる場合がありますので、ご了承ください。

著者

関連記事

【第1回】今さら聞けない…AIって何?