生成AI導入時の社内ガイドラインの作り方を徹底解説。利用規約の押さえてほしい5つのチェックポイントとは

これまでの記事で解説してきたように、生成AIはさまざまな業務への利活用が可能であり、業務の効率化やコストの削減が期待される一方で、著作権を中心とした知的財産権の侵害や個人情報や機密情報の漏洩、またAI倫理といったリスクを抱えています。

実際、韓国のサムスン電子では、社内のエンジニアが機密情報であるソースコードをChatGPTにアップロードし、誤って流出させたことを受け、社内におけるAIチャットボットの使用を禁止したという事例もあります。他方で、日本の大企業の中には、資料作成や情報収集等の日常業務に生成AIを試験的に導入した結果、大幅な業務の効率化とコストの削減を実現した旨を発表している企業も存在します。

改めて、生成AIを正しく利用するためには上記のようなリスクを理解した上で、リスクを顕在化させないための体制整備が必要不可欠だといえます。そこで本記事では、AIを利用したい企業が社内で整備しておくべきガバナンス体制について解説します。

• keyboard_arrow_down 慎重に検討したい。社内ガイドラインの作り方
• keyboard_arrow_down 押さえるべき5つのチェックポイント。生成AIの利用規約の読み方

企業が生成AIを利用する場合、まずは従業員等に向けた社内ガイドラインを策定することが重要です。ただし、他社が公開しているガイドラインを適当に流用しただけでは、ガバナンス機能としては不十分です。ガイドラインを作成するにあたっては、生成AIを導入しようとしている業務の内容や目的、そこで取り扱うことが想定される情報の内容や性質等に応じて、必要な項目を慎重に検討する必要があります。したがって、社内であっても、部署によってリスクの内容や程度は異なるため、場合によっては部署ごとにガイドラインの内容を変更することが必要な場合も考えられます。

また、ガイドラインを作成する前提として、社内でどのような業務に生成AIを導入する予定なのか、そもそもその業務に生成AIを導入する必要があるのかという点も含め慎重に検討することが重要でしょう。

参考1：日本ディープラーニング協会（以下「JDLA」）の雛形

社内ガイドラインを作成するにあたり、まず参考になるのが、JDLAが公開している「生成AIの利用ガイドライン」という雛形です。雛形の詳細な内容については本記事では省力しますが、JDLAのガイドラインに規定されている項目は次のとおりです。

参考2：東京都デジタルサービス局の雛形

また、参考例として東京都デジタルサービス局が作成した「文章生成AI利活用ガイドライン」もあります。東京都の職員に向けたものですが、生成AIの特徴や利用環境、利用上のルール等についてわかりやすく説明されています。例えば、「職員が守るべきルール」には、以下のような記載があります。

そして、特に上記のルール1「機密性の高い情報」としては、以下が挙げられています。

これらは「東京都の職員向け」という性質ではありますが、その考え方は一般企業等でも参考にすべきものだと言えるでしょう。

この2つの雛形から、ガイドライン作成時に重要なこととして、特に次の点を明確にすることであると考えられます。

この4点が明確でないと、従業員が生成AIを利用してよいか分からず、また中途半端に利用してしまうことで、結果的に業務効率が悪化したり、法的リスクが高まったりしてしまうおそれがあります。

ただ、繰り返しになりますが、これらはあくまで雛形であり、生成AIを導入しようとしている業務の内容や目的、そこで取り扱うことが想定される情報の内容や性質等に応じて、慎重かつ柔軟にガイドラインを作成することが重要です。

研修等による従業員への社内ガイドラインの周知

さらに、社内ガイドラインを策定したら、従業員に周知することも忘れてはなりません。生成AIは日々状況が変化しています。定期的に研修や説明会を実施するなどして、生成AIの利用に関する共通認識を社内で形成しておくことは、リスクの低下にもつながるでしょう。

次に、他社が提供する生成AIを利用する場合には、当然ですが当該生成AIの利用規約を遵守する必要があります。

生成AIの利用規約には、商用利用の可否をはじめ、入力データの機械学習への利用の有無や、生成物に関する知知的財産権の帰属等、社内で導入するにあたりとても重要な項目が多く定められています。仮に、導入の目的に反する、または合致しない生成AIを導入してしまった場合、業務の効率化はおろか、法的リスクを上昇させてしまうおそれがあります。したがって、導入しようとしている生成AIの利用規約を事前によく確認することは、生成AIを導入しようとしている企業のガバナンスとして必要不可欠なプロセスです。

そこで、以下では導入しようとしている生成AIの利用規約を確認する際の、主なチェックポイントについて解説します。

なお、ChatGPTの利用規約に関するチェックポイントについては、過去記事「ChatGPT商用利用時、規約上の注意点3つ｜元ITエンジニアの弁護士が徹底解説」でも詳しく解説していますので、合わせてご覧ください。

チェックポイント①：禁止事項

生成AIの利用規約には、違法行為だけでなく、特定の分野における利用を禁止事項に掲げているものもあります。例えば、ChatGPTでは、法律・金融に関する業務において、有資格者による情報の確認なくアドバイスを提供することが禁止されています。また、特に医療に関する分野においては、診療や治療に利用すること自体が禁止されているため注意が必要です。

チェックポイント②：商用利用の可否

AI生成物を商用利用できるか否かは、生成AIを導入しようとしている企業にとっては重要です。例えば、ChatGPTでは商用利用は禁止されていませんが、Midjourneyでは無料会員の商用利用が禁止されています（有料会員は商用利用が可能です）。このように、登録するプランによって商用利用の可否が変わる場合もあるため注意しましょう。

チェックポイント③：知的財産権の帰属と利用条件

生成AIに入力したデータやAI生成物に関する知的財産権が、生成AIの提供者に帰属するのか、または利用者に帰属するのかは、コンテンツの利用の可否や範囲に関わるとても重要な問題です。生成AIの提供者に知的財産権が帰属させた上で、利用者にライセンスを付与する場合や、その逆に利用者に知的財産権を帰属させた上で、提供者にライセンスを付与する場合もあります。

例えば、ChatGPTでは入力したデータやAI生成物に関する知的財産権は、すべて利用者に帰属するとされています。他方で、サービスの提供・維持等の一定の場合には提供者が利用できる場合があると定められています。また、Midjourneyでは、有料会員の場合は利用者に知的財産権が帰属するものの、提供者に無償かつ無期限のライセンスを付与するものとされています。無料会員の場合には提供者に知的財産権が帰属し、利用者にライセンスが付与されるものとされています。

チェックポイント④：入力データの機械学習への利用の有無

生成AIのプロンプト等に入力したデータが機械学習に利用される場合、他の利用者の出力画面に当該入力データと同一、または類似したデータが生成されてしまうおそれがあるということです。そのため、個人情報や機密情報等を取り扱う企業にとしては、入力データが機械学習に利用されるか否かは確認しておく必要があります。

ChatGPTの場合、サービスの開発・向上のために入力データを利用する場合があるものとされていますが、設定の変更やオプトアウト申請により、利用されないようにすることが可能です（なお、APIを利用したコンテンツについては、そもそも利用しないものとされています）。Midjourneyについては、上記3のとおり、（知的財産権の帰属先の違いはありますが）有料会員であるか無料会員であるかにかかわらず提供者が利用可能とされているので注意が必要です。

チェックポイント⑤：その他、一般条項

その他にも、生成AIの利用規約に特有ではないものの、一般的に利用規約において注意が必要なものとしては、損害賠償条項や補償条項などの一般条項があります。ChatGPTやMidjourneyでは、利用についていかなる保証もしないものとされていますが、GitHub Copilotでは、一定の条件下で補償する旨が発表されています（GitHub Copilotについては、過去記事「OSS開発利用時は要注意。GitHub Copilot使用の2つの法律リスクを弁護士が解説」も合わせてご覧ください）。また、特に生成AIの場合には、提供者が外国法人であることも多いため、準拠法や紛争解決手段にも要注意です。