生成AI導入時の社内ガイドラインの作り方を徹底解説。利用規約の押さえてほしい5つのチェックポイントとは

2024年1月18日

モノリス法律事務所 代表弁護士

河瀬 季

元ITエンジニア。IT企業経営の経験を経て、東証プライム上場企業からシードステージのベンチャーまで、100社以上の顧問弁護士、監査役等を務め、IT・ベンチャー・インターネット・YouTube法務などを中心に手がける。主な著書に「ChatGPTの法律」(共著 中央経済社)・「ITエンジニアのやさしい法律Q&A」(技術評論社)・「IT弁護士さん、YouTubeの法律と規約について教えてください」(祥伝社)などがある。まんがタイムきららフォワード(芳文社)にて原作を手がける「仮想世界のテミス」連載中。
X(@tokikawase

これまでの記事で解説してきたように、生成AIはさまざまな業務への利活用が可能であり、業務の効率化やコストの削減が期待される一方で、著作権を中心とした知的財産権の侵害や個人情報や機密情報の漏洩、またAI倫理といったリスクを抱えています。

実際、韓国のサムスン電子では、社内のエンジニアが機密情報であるソースコードをChatGPTにアップロードし、誤って流出させたことを受け、社内におけるAIチャットボットの使用を禁止したという事例もあります。他方で、日本の大企業の中には、資料作成や情報収集等の日常業務に生成AIを試験的に導入した結果、大幅な業務の効率化とコストの削減を実現した旨を発表している企業も存在します。

改めて、生成AIを正しく利用するためには上記のようなリスクを理解した上で、リスクを顕在化させないための体制整備が必要不可欠だといえます。そこで本記事では、AIを利用したい企業が社内で整備しておくべきガバナンス体制について解説します。

慎重に検討したい。社内ガイドラインの作り方

企業が生成AIを利用する場合、まずは従業員等に向けた社内ガイドラインを策定することが重要です。ただし、他社が公開しているガイドラインを適当に流用しただけでは、ガバナンス機能としては不十分です。ガイドラインを作成するにあたっては、生成AIを導入しようとしている業務の内容や目的、そこで取り扱うことが想定される情報の内容や性質等に応じて、必要な項目を慎重に検討する必要があります。したがって、社内であっても、部署によってリスクの内容や程度は異なるため、場合によっては部署ごとにガイドラインの内容を変更することが必要な場合も考えられます。

また、ガイドラインを作成する前提として、社内でどのような業務に生成AIを導入する予定なのか、そもそもその業務に生成AIを導入する必要があるのかという点も含め慎重に検討することが重要でしょう。

参考1:日本ディープラーニング協会(以下「JDLA」)の雛形

社内ガイドラインを作成するにあたり、まず参考になるのが、JDLAが公開している「生成AIの利用ガイドライン」という雛形です。雛形の詳細な内容については本記事では省力しますが、JDLAのガイドラインに規定されている項目は次のとおりです。

1 本ガイドラインの目的
2 本ガイドラインが対象とする生成AI
3 生成AIの利用が禁止される用途
4 本ガイドラインの構成
5 データ入力に際して注意すべき事項
⑴ 第三者が著作権を有しているデータ(他人が作成した文章等)
⑵ 登録商標・意匠(ロゴやデザイン)
⑶ 著名人の顔や氏名
⑷ 個人情報
⑸ 他社から秘密保持義務を課されて開示された秘密情報
⑹ 自組織の機密情報
6 生成物を利用するに際して注意すべき事項
⑴ 生成物の内容に虚偽が含まれている可能性がある
⑵ 生成物を利用する行為が誰かの既存の権利を侵害する可能性がある
⑶ 生成物について著作権が発生しない可能性がある
⑷ 生成物を商用利用できない可能性がある
⑸ 生成AIのポリシー上の制限に注意する

参考2:東京都デジタルサービス局の雛形

また、参考例として東京都デジタルサービス局が作成した「文章生成AI利活用ガイドライン」もあります。東京都の職員に向けたものですが、生成AIの特徴や利用環境、利用上のルール等についてわかりやすく説明されています。例えば、「職員が守るべきルール」には、以下のような記載があります。

  • ルール1 個人情報等、機密性の高い情報は入力しないこと
    ルール2 著作権保護の観点から、以下の点を十分注意し、確認
    ・既存の著作物に類似する文章の生成につながるようなプロンプトを入力しないこと
    ・回答を配信・公開等する場合、既存の著作物等に類似しないか入念に確認
    ルール3 文章生成AIが生成した回答の根拠や裏付けを必ず自ら確認
    ルール4 文章生成AIの回答を対外的にそのまま使用する場合は、その旨明記

そして、特に上記のルール1「機密性の高い情報」としては、以下が挙げられています。

  • 機密性A 秘密文書に相当する、高い機密性を有する情報資産
    情報資産の例:個人情報、契約関係情報、訴訟・審査請求等に関する情報等
    機密性B 秘密文書に相当しないが、直ちに一般に公表することを前提としていない情報資産
    情報資産の例:内部通知、事案決定手続きを経ていない企画資料、経常業務の事務手順や実績等
    機密性C 機密性A又は機密性B以外の情報資産
    情報資産の例:東京都のホームページ等で公開済みの行政情報等

これらは「東京都の職員向け」という性質ではありますが、その考え方は一般企業等でも参考にすべきものだと言えるでしょう。

この2つの雛形から、ガイドライン作成時に重要なこととして、特に次の点を明確にすることであると考えられます。

  • ・利用できる生成AIの具体的な名称
    ・プロンプトに入力可能/不可能な情報の種類
    ・生成AIを利用する際の手続
    ・AI生成物を利用する際のルール

この4点が明確でないと、従業員が生成AIを利用してよいか分からず、また中途半端に利用してしまうことで、結果的に業務効率が悪化したり、法的リスクが高まったりしてしまうおそれがあります。

ただ、繰り返しになりますが、これらはあくまで雛形であり、生成AIを導入しようとしている業務の内容や目的、そこで取り扱うことが想定される情報の内容や性質等に応じて、慎重かつ柔軟にガイドラインを作成することが重要です。

研修等による従業員への社内ガイドラインの周知

さらに、社内ガイドラインを策定したら、従業員に周知することも忘れてはなりません。生成AIは日々状況が変化しています。定期的に研修や説明会を実施するなどして、生成AIの利用に関する共通認識を社内で形成しておくことは、リスクの低下にもつながるでしょう。

押さえるべき5つのチェックポイント。生成AIの利用規約の読み方

次に、他社が提供する生成AIを利用する場合には、当然ですが当該生成AIの利用規約を遵守する必要があります。

生成AIの利用規約には、商用利用の可否をはじめ、入力データの機械学習への利用の有無や、生成物に関する知知的財産権の帰属等、社内で導入するにあたりとても重要な項目が多く定められています。仮に、導入の目的に反する、または合致しない生成AIを導入してしまった場合、業務の効率化はおろか、法的リスクを上昇させてしまうおそれがあります。したがって、導入しようとしている生成AIの利用規約を事前によく確認することは、生成AIを導入しようとしている企業のガバナンスとして必要不可欠なプロセスです。

そこで、以下では導入しようとしている生成AIの利用規約を確認する際の、主なチェックポイントについて解説します。

なお、ChatGPTの利用規約に関するチェックポイントについては、過去記事「ChatGPT商用利用時、規約上の注意点3つ|元ITエンジニアの弁護士が徹底解説」でも詳しく解説していますので、合わせてご覧ください。

チェックポイント①:禁止事項

生成AIの利用規約には、違法行為だけでなく、特定の分野における利用を禁止事項に掲げているものもあります。例えば、ChatGPTでは、法律・金融に関する業務において、有資格者による情報の確認なくアドバイスを提供することが禁止されています。また、特に医療に関する分野においては、診療や治療に利用すること自体が禁止されているため注意が必要です。

チェックポイント②:商用利用の可否

AI生成物を商用利用できるか否かは、生成AIを導入しようとしている企業にとっては重要です。例えば、ChatGPTでは商用利用は禁止されていませんが、Midjourneyでは無料会員の商用利用が禁止されています(有料会員は商用利用が可能です)。このように、登録するプランによって商用利用の可否が変わる場合もあるため注意しましょう。

チェックポイント③:知的財産権の帰属と利用条件

生成AIに入力したデータやAI生成物に関する知的財産権が、生成AIの提供者に帰属するのか、または利用者に帰属するのかは、コンテンツの利用の可否や範囲に関わるとても重要な問題です。生成AIの提供者に知的財産権が帰属させた上で、利用者にライセンスを付与する場合や、その逆に利用者に知的財産権を帰属させた上で、提供者にライセンスを付与する場合もあります。

例えば、ChatGPTでは入力したデータやAI生成物に関する知的財産権は、すべて利用者に帰属するとされています他方で、サービスの提供・維持等の一定の場合には提供者が利用できる場合があると定められています。また、Midjourneyでは、有料会員の場合は利用者に知的財産権が帰属するものの、提供者に無償かつ無期限のライセンスを付与するものとされています。無料会員の場合には提供者に知的財産権が帰属し、利用者にライセンスが付与されるものとされています。

チェックポイント④:入力データの機械学習への利用の有無

生成AIのプロンプト等に入力したデータが機械学習に利用される場合、他の利用者の出力画面に当該入力データと同一、または類似したデータが生成されてしまうおそれがあるということです。そのため、個人情報や機密情報等を取り扱う企業にとしては、入力データが機械学習に利用されるか否かは確認しておく必要があります。

ChatGPTの場合、サービスの開発・向上のために入力データを利用する場合があるものとされていますが、設定の変更やオプトアウト申請により、利用されないようにすることが可能です(なお、APIを利用したコンテンツについては、そもそも利用しないものとされています)。Midjourneyについては、上記3のとおり、(知的財産権の帰属先の違いはありますが)有料会員であるか無料会員であるかにかかわらず提供者が利用可能とされているので注意が必要です。

チェックポイント⑤:その他、一般条項

その他にも、生成AIの利用規約に特有ではないものの、一般的に利用規約において注意が必要なものとしては、損害賠償条項や補償条項などの一般条項があります。ChatGPTやMidjourneyでは、利用についていかなる保証もしないものとされていますが、GitHub Copilotでは、一定の条件下で補償するが発表されています(GitHub Copilotについては、過去記事「OSS開発利用時は要注意。GitHub Copilot使用の2つの法律リスクを弁護士が解説」も合わせてご覧ください)。また、特に生成AIの場合には、提供者が外国法人であることも多いため、準拠法や紛争解決手段にも要注意です。

関連記事

人気記事

公式SNSで
最新おすすめ記事を配信中!

キャリアと技術の可能性が見つかるメディア レバテックメディアLAB

  • コピーしました

RSS
RSS