生成AIの業務活用が急速に拡大する中、多くの中小企業が生成AIやそれを含むシステムの導入を検討しています。 しかし、利用規約や契約内容を十分確認せずに使い始めると、情報漏洩のリスクを抱えることになりかねません。
また、昨今話題の『シャドーAI(=従業員が個人で生成AIツールを業務に使う行為や状態)』も気になるところです。
今回は、生成AIが学習を行うか否かを契約、規約から見分けるポイントを解説します。
生成AIの学習とは
生成AIは、ごく単純に言うと様々な情報を学習し、それを基に文章などを生成します。学習の方法も様々でありますが、私たちが生成AIに入力して情報やデータも学習に使われることがあります。
これがどのようなことを意味するのかと言いますと、私たちが生成AIを利用する際に機密情報を入力するとそれも学習に使われることになってしまい、最悪の場合、その情報を利用した文章を第三者に提供してしまう可能性もあるということです。
学習しない場合もある
ただし、それでは利用ができない人向けに「学習をしない」旨を明示しているAIシステムも存在しています。
これにも、「学習」を「する」~「しない」までの濃淡があります。なお、最もリスクの高いのは1で低いのは3です。
入力データが他のユーザー向けサービス改善に使われ、情報漏洩リスクが最も高い。機密情報・個人情報は絶対に入力しない
自社での開発、カスタマイズサービスなどで、リスクは限定的だが完全ではない
最も安全だが、確実にするのならば、契約条件とベンダの実際の運用を確認する必要がある
AI学習への利用可否を判断するための契約書・利用規約の読み方
AI学習に利用されるかどうかの判断は、「誰のため」「どの範囲で」入力データが使われるかを契約条文から読み取ることがポイントです。それぞれのパターンで、よく見られる記載をまとめてみました。
1 汎用的AI学習に利用される場合
「当社は、ユーザーが本サービスに提供したデータを、本サービスその他当社が提供するサービスの改善・新機能の開発・機械学習等の目的で利用できるものとします。」
「ユーザーは、入力したデータについて、当社に対し、非独占的・無償の利用権を付与するものとし、当社はこれをサービスの改良、アルゴリズムの高度化等に利用できるものとします。」
2 自社向けサービス提供のみに利用される場合
「当社は、本サービスをユーザー向けに提供・運用するために必要な範囲に限り、入力データを機械学習等に利用できるものとします。」
「当社は、ユーザーの入力データを、本サービスのユーザーアカウント内での機能向上のためにのみ利用し、他のユーザー向けサービスの改善には使用しません。」
3 AI学習に利用されない場合
「当社は、ユーザーが入力したデータを、本サービスの提供のためにのみ利用し、AIモデルの学習やその他の目的には利用しません。」
契約書・利用規約の落とし穴
これらの文言の他にも次のような趣旨の文言が含まれていないかも確認が必要です。
①フィードバック・評価データの取扱い
AIの回答に対する「👍👎」ボタンや評価コメントが別途学習に利用される場合があります。
②匿名化・集約データの利用
個人特定できない形に加工した上で学習に使う旨の規定。機密性の高いビジネス情報は匿名化しても内容自体が漏洩するリスクがあります。
③サブプロセッサー・第三者委託条項
ベンダが第三者のAI基盤(OpenAI、Google等)を使っている場合、その第三者の利用規約も適用されます。
まとめ
「学習しない」とされているAIシステムであっても、有料⇔無料、個人向け⇔法人向けにより、学習の範囲が異なっている場合もあります。情報漏洩をならないために、シャドーAIではなく、所属する組織の用意したAIをルールに従って利用しましょう。(組織の用意しているAIは使いにくい、最新のモデルではないなど不満はあるでしょうが)
また、企業の管理側は、経済産業省が2025年2月に公表した「AIの利用・開発に関する契約チェックリスト」などの信頼できる情報を活用し、AI利用環境を整えていくことが肝要です。しかし、情報システム部門が無かったり、あったとしても多忙を極めているのが実態ではないでしょうか。推進体制の整備、外部の力を借りることも必要です。
生成AIを含む情報システムの導入のご相談は
↓
みよし市で行政書士開業準備中-ITセカンドオピニオン
