見出し画像

【AI】生成AIにおける秘密情報の取り扱いの注意点

福岡真之介

1 はじめに

 2週間ほど前に生成 AIの著作権について書いたところ多くの人に読んでいただき、生成AIへの関心が高いと実感したので、生成AIと法律の第2弾をお送りします。前回、生成AIのリスクとして、①著作権侵害、②誤情報の利用、③秘密情報の漏えい、④個人情報の不適切な利用、⑤悪用などがあると書きましたが、今回はその一つ③秘密情報の漏えいについて取り上げます。
 ChatGPTなどの生成AIに自社の秘密情報を入力してしまう従業員などは、いてもおかしくありません。実際にも、サムソンの従業員がソースコードや議事録作成のために会議の音声をChatGPTに入力してしまったという事案が発生しています。

 このNoteでは、従業員がChatGPTのような生成AIのプロンプトに秘密情報を入力してしまう場合、すなわちプロンプト段階での秘密情報漏えいの法律問題について取り上げます。
 秘密情報には、大きく分けて2つあります。一つは自社の秘密情報です。二つ目は、他人から預かった秘密情報です。両者には、共通する点もあるのですが、異なる点もあります。

2 自社の秘密情報

(1) AI学習のためのプロンプトの利用

 自社の秘密情報を他社に漏えいしたくないというのは企業であれば当然です。
 プロンプトとして入力されたデータについて、生成AIを提供する企業(生成AI提供企業)の取り扱いのパターンとしては、①生成AI提供企業のAI開発に利用できる、②生成AI提供企業AI開発に利用しない、という2つがあります。プロンプトとして入力した自社の秘密情報がAIに学習されてしまうと、他人が入力したプロンプトに対するアウトプットが、その秘密情報に基づいて生成される可能性があります(もっともその因果関係を外部からは知り得ることは事実上不可能なので理論的な可能性ですが)。
   実際の例として、OpenAIの利用規約をみると、通常のChatGPTは、原則として①OpenAIのAI開発に利用できるとなっています。もっとも、自分の入力したプロンプトを学習させないようにオプトアウトすることや、訓練データとして使われないように設定できるようになっています。他方、ChatGPTのAPIは原則として②OpenAIのAI開発に利用しないとなっています。 
  このように生成AIにおいても、自社の秘密情報を訓練データとして使われないものはあります。
 なお、生成AI提供企業としては、OpenAI、Google、MetaといったLLM提供企業だけではなく、アプリケーションを提供している企業も含まれ得ます。

(2) 秘密保持義務

 しかし、そうだからといって、秘密情報の管理上問題がないというわけではありません。これらの生成AI提供企業の利用規約には秘密保持条項がないことがあるからです。OpenAIの規約でも、通常版もAPI版もOpenAIが秘密保持義務を負う条項はありません。一般論として、一般向けであったり安価なサービスに対して企業が重い秘密保持義務を負うことはありません(なお、このことは企業が秘密を漏らすことを意味しているわけではありません。秘密保持義務という法的義務を負うことは企業としてはリスクであり、必要性がなければ義務を負わないのは合理的な選択です)。このように利用規約に秘密保持条項がない場合には、生成AI提供企業は秘密保持義務を負っておらず、プロンプトに入力されたデータを開示してもユーザは文句を言えないことになります。
 したがって、入力したプロンプトが生成AIの学習に利用されるか否かに加えて、秘密保持義務を負っているか否かについても留意する必要があります。
 また、生成AI提供企業がこれらを約束していたとしても、約束が守られるか、高いセキュリティ対策が施されているかは別問題であり、それらの観点からの検討も必要と言えるでしょう。

(3) 不正競争防止法

 最近、かっぱ寿司の元社長が逮捕されたことが話題になりましたが、不正競争防止法の「営業秘密」は企業にとってかなり使える法律です。従業員が生成AIに秘密情報を入力することを許してしまうと、秘密情報が、不正競争防止法の「営業秘密」や「限定提供データ」として保護を受けることができなくなるというデメリットも生じます。なぜなら、営業秘密として不正競争防止法によって保護されるためには、情報が秘密として管理されていること(限定提供データの場合には電磁的方法により管理されていること)が必要であり、従業員が何のルールもなくプロンプトに入力できるとなると、秘密として管理されているとは言えなくなるからです。企業としては、その有力なカードを失ってしまうことも痛手といえます。

3 他社の秘密情報

 他社から入手した秘密情報(以下「他社秘密情報」といいます。)についても、基本的には自社の秘密情報と同じですが、他社秘密情報については、他社との間で秘密保持契約/条項が結ばれていることがあります。その場合、他社秘密情報を生成AIに入力すると、生成AI提供会社という「第三者」に秘密情報を開示することとなり、自社が秘密保持義務に違反してしまう可能性があります(なお、他社の同意をもらえば、秘密保持義務違反にはなりません)。
 もっとも、契約に「再委託先」に自社と同様の秘密保持義務を課すことで、再委託先に秘密情報を開示できるという規定がある場合があります。しかし、生成AI提供会社が秘密保持義務を負っていなければ、この再委託の規定を使うことはできません。
 また、秘密保持契約には、通常、目的外の利用を禁止する条項も設けられているため、他社秘密情報を生成AIへ入力することが目的外利用とならないかについても注意が必要です。

4 最後に

 以上の通り、秘密情報を生成AIのプロンプトに入れることは法的な問題が生じます。そのため、従業員に、どのような場合に秘密情報を入れれば問題になるのかについてのリテラシーを高めたり、利用規則を作ることが重要です。秘密情報が入力されないようにフィルターを提供する会社も出てきています。
 もっとも、プロンプトに秘密情報を入れないと仕事にならないこともあります。生成AIを活用するには、秘密情報か否か関わらずガンガン利用できる方が便利です。そのようなニーズに応じて、AI学習に利用せず、かつ秘密保持が図られるサービスも提供されていますし、今後も増えていくと予想されるので、これらのサービスを利用することも選択肢として考えられます(その場合であっても他社秘密情報の場合には目的外利用とならないように気をつける必要があります。念のため)。
 業務として生成AIを高度に利用するとなると、どうしても秘密情報を入力する必要が出てくるので、このボトルネックがうまく解消されることを願っています。

以 上

なお、下記のAI関連の拙著もご覧になっていただけると嬉しいです!

この記事が気に入ったらサポートをしてみませんか?