見出し画像
Photo by peishum

ChatGPTの業務利用が秘密の漏洩に当たる場面はあるか

Tech Law LAB|弁護士

世間はChatGPTの話題一色です。最近、日経で以下の記事が上がっていたのを受けてこのnoteを書いています。

問題は、従業員がChatGPTに機密情報を入力してしまった場合、それが法的問題になるかどうかです。
一般に、情報漏洩した場合に法的問題となりうる典型場面というのは、

  1. 個人情報(個人データ)の漏洩

  2. 取引先とのNDAで秘密情報と定義された情報の漏洩

  3. 不正競争防止法上の「営業秘密」の漏洩

といったところでしょう。
(もちろん、重複して当てはまる情報もあります)

個人情報の漏洩に当たるか

まず、1については、ChatGPTのサーバが国外にあり、ユーザーが入力した個人データがそこに蓄積される場合には、外国にある第三者への提供として、本人同意が必要となると考えられます(個人情報保護法28条)。
この点に関し、個人情報保護委員会のQ&Aでは、

個人情報取扱事業者が、外国にある事業者が外国に設置し、管理・運営するサー バに個人データを保存する場合であっても、当該サーバを運営する当該外国にある事業 者が、当該サーバに保存された個人データを取り扱わないこととなっている場合には、外 国にある第三者への提供(法第 28 条第1項)に該当しません。ここでいう「当該サーバ に保存された個人データを取り扱わないこととなっている場合」とは、契約条項によって 当該事業者がサーバに保存された個人データを取り扱わない旨が定められており、適切 にアクセス制御を行っている場合等が考えられます(Q7-53 参照)。

個人情報保護委員会Q&A12−3

とされていますが、ChatGPTの利用規約を見る限り、OpenAI社が個人データを取り扱わないこととなっているようには見えませんので、そうすると外国第三者提供に当たるということになりそうです。
(個人を識別できる情報を入力しての利用は禁止するとは書かれていますが、いざ入力された場合に、その情報にタッチしないとは書かれていません)

なお、前記日経の記事によれば、有料版APIの場合は、入力された情報をモデル改善には使わない、ということになっているようですが、日経記事内では、それが明確な契約に基づくものではないことが問題視されています。仮に、明確な契約においてこの点が定められた場合には、少なくとも有料版APIを使う場合には、外国第三者提供には当たらないという整理も可能になってくるように思います(その場合でも外的環境の把握義務は生じうることに注意)。

秘密情報の漏洩に当たるか

次に2について。
一般的に、NDAでは、①情報の開示・漏洩等の禁止、②目的外利用の禁止が定められます。

もし、業務遂行目的でChatGPTに秘密情報を入力したなら、②の観点では問題がないと言いうると考えられます。
他方、①については、NDA上、何が「開示」「漏洩」に当たるかまでは定義されていないことが多いため、解釈に委ねられます。

もっとも、上記の個人情報保護法の解釈は参考になる可能性があります。仮に、「契約条項によって 当該事業者がサーバに保存された個人データを取り扱わない旨が定められており、適切にアクセス制御を行っている場合等」といえる場合には、そもそも、OpenAI社に開示や漏洩をしたとは言えないという解釈も成り立ちうるからです。
しかしながら、ChatGPTの利用規約には、データを取り扱わない旨は明記されていないことは上記のとおりであり、やはり、開示や漏洩に当たると考えるのが自然でしょう。

なお、この論点の関係で、「ChatGPTを介して、他のChatGPTユーザーに入力された情報が表示されるおそれがある点で、機密情報の漏洩となる可能性がある」という見解をどこかで見ましたが、これにはちょっと疑問を持っています。
仮にChatGPTに入力した情報が、AIの追加学習に利用されたとしても、ChatGPTに反映されるのはあくまでパラメータであって情報そのものではないのでは、というのが理由です(ただし、裏側の仕組みをよく理解してるわけではないので、理解が誤っている可能性はあります。悪しからず。)。

営業秘密の漏洩に当たるか

最後に、3について。

不正競争防止法上、不正の利益を得る目的での営業秘密の使用や開示が禁止されているわけですが、「使用」や「開示」は、以下のように定義されています。

営業秘密の「使用」とは、営業秘密の本来の使用目的に沿って行われ、当該営業秘密に基づいて行われる行為として具体的に特定できる行為を意味する。
(中略)
営業秘密の「開示」とは、営業秘密を第三者が知ることができる状態に置くことをいい、営業秘密を非公知性を失わないまま特定の者に知られる状態に置くことも含む。

経済産業省「逐条解説 不正競争防止法」89-90p

この定義によれば、例えば、自社製品の製造や研究開発等の実施のために、他社製品の製造方法に関する技術情報をChatGPTに入力して改良案を求める等の行為は、「使用」に該当するものと考えられます。
他方、「開示」については、個人情報の議論とパラレルに考えれば、現状のChatGPTの利用規約では、「開示」に該当する可能性があると思われます。

ChatGPTの業務利用は慎重に

以上見てきたとおり、現状では、ChatGPTの業務利用は慎重に行う必要がありそうです。
もっとも、これは使ってはいけないということではなく、要は、入力していい情報とダメな情報の線引き等について社内でルール化して従業員等に周知するなどして、適切に利用しましょう、ということです。
ChatGPTの利用によって効率化できる業務は多々あると思いますので、従業員等が萎縮せず、問題のない範囲で使える状態が、好ましいと思うのです。



この記事が気に入ったらサポートをしてみませんか?