【第7回】 生成AIの社内利用に関するルール作りのポイント
February 15th, 2025
今回の目的
現在、多くの企業において、生成AIを社内で利用し、業務効率の向上に役立てようとされています。 生成AIは正しく利用することで様々な価値を発揮するポテンシャルがある一方、本連載で紹介してきたリスクもあり、リスクを適切にマネジメントし、AIのメリットを最大限享受するための適切な社内ルール作りが求められます(AIガバナンス)。
一般に、リスクの大きさは「危害の重大さ×発生確率」と捉えられますが、生成AIの用途は極めて広範であり、具体的な危害の内容や発生確率を事前に想定することは難しく、導入に慎重になりがちです。他方、社内ルールの整備等によって、このようなリスクをある程度コントロールしていくことが可能ですので、本コラムでは、このような社内ルール作りにおける基本的な考え方をお示ししたいと思います。なお、本コラムでは、一般に提供されている生成AIサービスを使用するケースを想定しており、自社の業務に特化した生成AIを開発して利用する場合や、生成AIを含むサービスを顧客に提供する場合を想定したものではありません。
利用規約の確認
社内ルールの検討の前に、対象となる生成AIサービスの利用規約を把握・検討し、その利用条件を確認しておく必要があります。
利用規約を検討するにあたっては、
- 利用範囲が制限されていないか(例:商用利用禁止)
- プロンプトとして入力するデータの取り扱い(例:再学習に利用されるか(オプトアウトが可能か)、秘密保持義務及び目的外使用の禁止義務を負ってもらえているか)
- 生成物に関する権利帰属はどちらか、生成物が第三者の権利を侵害していた場合にサービスベンダーによる補償を得られるか
といった点に特に注目し、そもそも当該サービスを利用することが自社の目的に沿うものかを含め検討し、採否を判断する必要があるでしょう。なお、複数のサービスベンダーが関係するサービスを利用する場合、確認すべき利用規約が複数にわたることがありますので、注意が必要です。
ガイドラインの策定
その上で、会社のリスクヘッジの観点及び効果的な利用方法とリスクについての啓発・教育という観点から、ガイドライン等の形で定めた社内ルールを示すことが望ましいと考えられます。 以下、ガイドライン策定にあたっての基本的な視座について解説します。
どのサービスの利用を許容するか
従業員に生成AIサービスの利用を認める場合、まずは、利用を許容するサービスと、禁止するサービスについて、考える必要があります。禁止するサービスのみ特定するというアプローチ(ブラックリスト方式)も考えられますが、その場合、会社として利用規約等を検討していない(すなわちリスクを分析していない)サービスの利用を許容することになり、問題があります。よって、会社としてリスクを分析し、利用してよいと判断した特定のサービスの利用のみを認め、その他のサービスの利用を一律禁止する方式(ホワイトリスト方式)を推奨いたします。特に、自社の目的との関係で、個人情報や、自社や他社の営業秘密のプロンプトへの入力が必要な場合には、個人情報の取扱いが適法となり、また営業秘密の秘密管理性が失われない適切な利用条件を備えたサービスに限定することが考えられます。
令和7年2月3日、個人情報保護委員会が、中国発の生成AI「DeepSeek」に関する情報提供を行いました(https://www.ppc.go.jp/news/careful_information/250203_alert_deepseek/)。このサービスに限らず、海外のサービスを利用する場合、当該国のデータローカライゼーション規制の適用の有無や、個人情報の越境移転規制等についても考慮する必要があり、より慎重な検討が求められます。
具体的な利用の範囲
従業員に生成AIサービスの利用を認める場合、まずは、利用を許容するサービスと、禁止するサービスについて、考える必要があります。禁止するサービスのみ特定するというアプローチ(ブラックリスト方式)も考えられますが、その場合、会社として利用規約等を検討していない(すなわちリスクを分析していない)サービスの利用を許容することになり、問題があります。よって、会社としてリスクを分析し、利用してよいと判断した特定のサービスの利用のみを認め、その他のサービスの利用を一律禁止する方式(ホワイトリスト方式)を推奨いたします。特に、自社の目的との関係で、個人情報や、自社や他社の営業秘密のプロンプトへの入力が必要な場合には、個人情報の取扱いが適法となり、また営業秘密の秘密管理性が失われない適切な利用条件を備えたサービスに限定することが考えられます。
生成AIと個人情報・営業秘密を巡る論点については、
以前の記事(第2回 生成AIの利用と法的問題①)もご参照ください。
生成AIと著作権を巡る論点については、
以前の記事(第3回 生成AIの利用と法的問題②)もご参照ください。
具体例
例えば、社内議事録の作成や、社内資料の要約の目的で生成AIを利用する場合、自社の営業秘密情報や、顧客・従業員の個人情報が入力される可能性があります。そこで、目的の会議や資料の秘密性の程度に応じ、①禁止する、②一定の条件で認める(個人情報や、特に秘密性の高い情報について事前の墨消しを必要とする等)、③(利用規約で保護されていること等を前提に)全面的に認めるといった対応を検討する必要があります。また、リサーチの目的で社外の文書等(報道記事、SNSの投稿、ブログなど)を生成AIに収集させる場合は、当該文書等の著作権の侵害に注意が必要です。特に、当該文書等の要約を出力させる場合、元の文書等の「表現上の本質的な特徴」を感じ取れるようなものになっていると著作権(複製権または翻案権)の侵害に該当するおそれがありますが、現在の生成AIのレベルでは、著作権侵害にならないことを技術的に担保することは困難ではないかと思います。そこで、①禁止する、②一定の範囲で認める(出力結果に対する人間による加工・調整を利用条件とする等)といった対応を検討する必要があります。
生成AIのリスクの周知
また、こちらもこれまでの連載でご説明してきたところですが、生成AIの出力結果には、他社の権利侵害となる結果が含まれるリスクや、虚偽の情報が含まれる(ハルシネーション)リスクがあります。また、生成AIの出力結果は、(少なくともそのままでは)知的財産権で保護されない可能性があります。そういった前提をまずは従業員に理解させること、その上でどのような取扱いを行えば、会社としてのリスクを低減できるのかを検討し、社内ルールへの落とし込み方を考える必要があります。
雛形の活用
例えば、一般社団法人日本ディープラーニング協会が生成AIの利用ガイドラインのテンプレートを公開しています。もちろん個社の事情に応じたカスタマイズは必要ですが、こういった公開の書式を参考にすることも有用と思われます。
一般社団法人日本ディープラーニング協会 生成AIの利用ガイドライン
ガイドラインの管理
多くの規程類について言えることではありますが、このガイドラインは、一度作って終わりではなく、生成AIサービスの実際の利用状況、ガイドラインの運用、生成AIサービスの発展や規制の動向等も踏まえて、リスクの分析・評価(冒頭にあるとおり、「危害の重大さ×発生確率」によって評価します)を継続的に実施し、適切な内容となっているかを見直し、更新していく必要があります。
最後に
本連載は、今回で終了となります。 生成AIは現在爆発的に利用が広がっており、それに応じた法規制の導入も日進月歩で進みつつあります。より競争力を高めるべく、生成AIを自社の業務に取り込むことは非常に有用である一方で、リスクへの対策が疎かであると、思わぬトラブルを生じさせかねません。適切なリスクマネジメントを遂行するためには、技術面と法律面、いずれについても正確な理解が求められます。 実際にご検討される中でご不明な点等が生じましたら、北浜法律事務所ITプラクティスグループに是非ご相談ください。
本記事の内容は、2025年2月8日現在のものです。最新の内容とは異なる場合がありますので、ご了承ください。
