(写真:PIXTA)

ChatGPTなどの生成AIの普及が急速に進んでいますが、会社の従業員が営業秘密を生成AIに入力してしまう事例や、生成AIから出力されたコンテンツから収益をあげるビジネスが炎上してしまう事例が発生しています。

生成AIの利用ではさまざまな法的論点がありますが、その問題点が整理、検討しきれないままに現場で利用が進んでしまっていたり、逆に法的リスクを過度に懸念して利用を躊躇してしまっている例があります。本稿では『ChatGPTの法律』の共著者の1人である田中浩之弁護士が、生成AIの利用にあたり問題となる法的論点について解説します。

データ入力段階での論点は?


生成AIの利用にあたっては、まず、プロンプト(生成AIへの指示/命令)にデータを入力することやファインチューニング(自社独自のデータを使い生成AIを特定のタスクに適合するように調整すること)のためにデータを入力することについての論点があります。

・個人情報・機密情報等に関する論点
まず、個人情報保護法との関係が問題になります。生成AIに個人情報を入力することについて、自社が公表などしている個人情報の利用目的と適合しているのかや、個人データを第三者に提供するにあたっての個人情報保護法上の規制に適合しているのかなどが論点になります。

データの入力を前提とした大量の情報のインターネットからの収集段階において犯罪歴や病歴などの要配慮個人情報が含まれてしまうという問題への対応も留意すべき点となります。

また、自己の営業秘密(機密情報)や、第三者と秘密とすることを約束して管理している営業秘密(機密情報)等を生成AIに入力することにより、自己の営業秘密としての保護が失われてしまったり、第三者との機密保持義務違反の責任を問われないようにするための法的対応が必要になります。

・著作権その他の知的財産権に関する論点
他人が著作権を持つ著作物を生成AIに入力することについての著作権法との関係が論点になります。また、プロンプト自体を著作権その他の知的財産権で保護することができるのかも論点になります。

生成物出力段階の論点は?

次に生成AIの利用の結果として生成物が出力されることについての法的論点があります。

・個人情報・機密情報等に関する論点
生成AIが生成する個人情報については、生成AIの利用者と生成AIの提供者はそれぞれどのような責任を負うべきかが論点となり、個人情報保護法だけではなく、プライバシー権も問題となり、画像生成AIの場合には、生成される肖像について、肖像権との関係等も問題になります。ある人に対する虚偽の前科が回答されてしまうような不正確な個人情報が生成されるという問題への実務上の対応等も検討が必要です。

営業秘密(機密情報)の管理との関係では、プロンプトに入力した営業秘密(機密情報)が他人の質問に対する回答として出力されてしまうことへの懸念への実務上の対応が問題となります。

・著作権その他の知的財産法に関する論点
著作権法との関係では、生成AIにより生成されたコンテンツが他人の著作権侵害になるかどうかの判断基準や、生成AIにより生成されたコンテンツに、著作権がそもそも発生するのか、発生するとして誰に発生するのかが論点になります。

また、生成AIにより芸能人等の有名人の肖像等が生成された場合に知的財産権の1つであるパブリシティ権の侵害になるかが論点になります。さらに、生成AIを使い行った発明について特許権を取得することができるのかなども問題になります。

・その他の論点
企業は、生成AIサービスを自社内部で利用するほか、たとえば、API(アプリケーション・ソフトウェア・ウェブサービス同士をつなぐインターフェイス)を使うことにより、生成AIを利用した自社独自のサービスを提供することもできます。

これらの利用にあたり、生成AIから生成された発言に、誤った発言・名誉毀損等になるような発言・不適切な差別発言等が含まれていた場合に問題が生じます。自社内部利用の場合には、このような生成AIの生成結果を役職員が業務や経営判断に活用した場合に、外部向けサービスの場合には、このような生成結果が出力されること自体について、企業としては、法的・倫理的責任等を問われ得ることになります。

この点については、内部向けには、生成AIが生成したものを鵜呑みにしてはいけないということを教育することが重要です。他方、外部向けサービスの場合には、債務不履行や不法行為等の法的責任の軽減のための対応としては、サービスの説明や利用規約においてサービスの性質上の限界や保証の範囲・責任の範囲を明確にしておくといった対応も重要です。

もっとも、技術的な対応も重要になります。たとえば、プロンプトを制御して、問題発言が引き出されるような質問自体をそもそも制御する仕組みを導入したり、あるいは、強化学習により、出力段階でこうした内容が出力されないようにコントロールすることが考えられますが、特に後者は、一般的な利用企業レベルでは限界が多いかと思います。

前者・後者のいずれの方法も、結局のところ、プロンプトの工夫によりかいくぐられてしまう可能性があり、いたちごっこが続く面はあるとは言えるかもしれませんが、企業には、信頼されるサービスの提供のための努力が求められます。

生成AIの利用規約をよく理解する

・業法などや利用規約の関係など
免許・資格などが必要な特定の業種の業務を自動化するような生成AIを提供した場合(とりわけ有償で提供した場合)には、業法との抵触なども問題となります。また、免許・資格などを保有している事業者がサービスを提供する場合にも、業法で禁止されるような行為を行わないようにする必要があります。

たとえば、金融商品取引法では、顧客に対し、不確実な事項について確実であると誤解させるおそれのあることを告げて金融商品取引契約の締結の勧誘をする行為が禁止されており、生成AIがこのような発言をしないように設計しておく必要もあります。

また、生成AIの利用にあたっては、生成AIの利用規約を遵守する必要があり、そこで禁止されている行為に抵触しないことやそこで要求されている行為を遵守することが必要になります。

たとえば、ChatGPTの場合、一般的なルールとして、Terms of Use が存在しているほか、Usage policies で用途の制限が定められています。Sharing & publication policy では利用時における表示の規制(AI生成物であることを示すことや人間とAIの合作である場合に、100%AIや100%人間が作ったものと誤解を与えるような表示をせず、その役割を説明すること)等が要求されています。

さらに、Brand guidelines も定められているため、これらに違反が生じないように留意が必要です。その他、一般には、生成物の商用利用が禁止されているケースや、生成物について他人への権利行使が制限されているケースも多いため注意が必要です。特に、APIやプラグインなどのサービスで多数のサービス提供事業者が登場する場合、それぞれにおけるルールを確認しておく必要があります。

企業はどう対応すべきか

今後、国内外でAIに対する法律や政府のガイドラインなどによる規制が進む可能性があり、これらの動向を踏まえて対応していく必要があります。特にEUでは、2023年6月に欧州議会で修正案が採択されたAI規則案(本記事執筆時点で未成立)では、リスクに応じた包括的なAI規制を導入し、生成AIモデル事業者にも重い責任を課しており、注目されます。


企業としては、生成AIを役職員に利用させるにあたっては社内ルール(ガイドライン)を定めることが有益です。たとえば、日本ディープラーニング協会が、生成AIの利用ガイドラインのひな形を無料で、インターネットで公開しており、参考になります。

社内ルールについては、完璧を求めるあまりになかなか確定できないという問題が生じることがありますが、社内ルールは、自社として利用する生成AIサービスの態様や規約の変化、実務の進展等を踏まえて適宜改訂すればいいため、まずは、最低限のものを早期に導入することが大切です。

社内ルールの策定にあたっては、禁止と許可の2区分に固執する必要はなく、個別承認事項を設けることも考えられますし、法的な論点を含む複雑なルールを全て現場の一従業員が社内ルールを見て完全に判断するのは難しいため、不明点がある場合には、気軽に相談できるような窓口を案内しておくことも有益です。また、問題事例を今後ルールに反映させるために、違反(のおそれ)がある場合に通報・相談できる窓口を設けることも有益です。

全社で1つの統一的なルールを作らなければいけないということはありませんので、たとえば、研究開発部門用の特別ルールを設けるなど、部署ごとに異なるルール・特則を設けることも選択肢です。

ルールを作るのみならず、自社用の活用が適切な事例と不適切な事例等のケーススタディを含めて、生成AIの利用を促進しつつ、社内ルールを周知するための研修を行うことも重要になります。

(田中 浩之 : 弁護士・ニューヨーク州弁護士(森・濱田松本法律事務所))