一般的なWebサービスの利用規約と、生成AIサービスの利用規約は何が違うのか。最大の特徴は、ユーザーが入力した情報をLLMが演算処理し、その計算結果を返すというサービス構造にあります。この「入力→演算→出力」の3つのフェーズそれぞれに、生成AI特有の法的論点が存在します。本記事では、利用規約を設計するうえで押さえるべきポイントを、この3フェーズに沿って解説します。
生成AIサービス利用規約の全体像
まず前提として、生成AIサービスの利用規約であっても、一般的なWebサービスの利用規約と共通する骨格部分は必要です。構成については本記事の参考例をご参照ください。
このうち、生成AI特有の論点が集中するのは、Ⅲ(サービス内容と利用条件)、Ⅴ(データの取扱い)、Ⅵ(知的財産権)、Ⅶ(責任・免責) の領域です。以下、「入力→演算→出力」の3フェーズに沿って、これらの特有論点を見ていきます。
入力フェーズ:演算に回る情報の条件設計
生成AIサービスでは、ユーザーが入力したプロンプトがそのままLLMの演算対象になります。一般的なSaaSではユーザーのデータを「保管・表示」するにとどまることが多いですが、生成AIでは入力情報を素材として新たなコンテンツを生成するため、入力段階で固有のリスクが生じます。
このフェーズで利用規約に盛り込むべき主な検討項目は、次のとおりです。
- 入力データに対するユーザーの権利等の表明保証 — 入力データの権利を適法に保有していること、第三者の権利を侵害しないことの保証をユーザーに求めます
- 権利侵害リスクの高い情報の入力禁止 — 他者の著作物、個人情報、営業秘密など、類型的にリスクの高い情報の入力を禁止事項として定めます
- 入力データの演算処理に関するサービサーへのライセンス — LLMによる演算処理に必要な範囲で、入力データの利用をサービサーに許諾する旨の規定を設けます
- 入力データの権利帰属 — 入力データの所有権・著作権がユーザーに留保されることを明確にします
ポイントは、入力データの責任はユーザーに帰属させつつ、サービサーとしては演算に必要な範囲のライセンスを確保するという、両者のバランスの設計です。
演算フェーズ:LLMの処理プロセスに関する開示と合意
入力データがLLMで処理される「演算」のプロセスには、生成AIならではの合意事項が複数あります。この部分は見落とされがちですが、利用者にとって重大な関心事であり、利用規約上の開示・合意が特に重要です。
- データレジデンシー 入力データがどの国・地域のサーバで処理されるかは、特に個人情報や機密情報を扱う場合に重要な論点です。海外のLLM APIを利用するサービスでは、個人情報保護法上の「外国にある第三者への提供」該当性が問題となりえます。利用規約上、データの処理場所を開示し、必要に応じて利用者の同意を取得する設計が求められます。
- 類似アウトプットの可能性 LLMは確率的な生成モデルであるため、異なるユーザーに対して類似または同一の出力が生じうるという構造的特性があります。出力の独占性・新規性は保証できない旨を、利用者に理解・同意してもらう必要があります。
- 正確性の不保証(ハルシネーション) LLMの出力は予測演算に基づくものであり、事実と異なる内容が含まれる可能性があります。また、学習データの偏りにより出力が低品質になる場合もあります。法律・医療・財務等の専門的助言を代替するものではないことを明示し、非保証(AS-IS提供)の条項と組み合わせて免責の設計を行います。
- 外部ツール連携時の利用条件の変化 APIやMCPサーバ等のサードパーティーサービスを経由する場合、データの処理主体や流れが変わります。これに伴い、第三者の利用規約が追加的に適用される場合があることの開示、および第三者サービスに起因する損害についての免責を規定します。また、入力データの学習利用の可否(オプトアウト手続等)についても、このフェーズで合意を取得しておくことが重要です。
出力フェーズ:演算結果の利用制限
演算結果であるアウトプットの取扱いについても、生成AI固有の条項設計が必要です。
- 生成AI出力である旨の表示 出力が生成AIによるものであることを利用者に表示させるかどうかは、今後のAI規制動向とも密接に関わる論点です。EU AI規制法では一定の場合にAI生成物の表示義務が課されており(AI Act 50条)、国内でも議論が進んでいます。利用規約上、生成AI出力を人間の創作物と表示することの禁止を定めるケースが増えています。
また、OpenAI利用規約などでも同様に、次のような定めが置かれています。【OpenAI】利用規約
禁止事項
お客様は、違法行為、有害行為、又は悪用する行為のために当社の本サービスを利用することはできまません。例えば、以下の事項は禁止されます。
(略)
- 人が作り出したものではない場合に、アウトプットを人が作り出したものと表示すること。
- 出力データの権利帰属 生成AIの出力に著作権が発生するか(AI生成物の著作物性)はなお議論の途上にありますが、利用規約上は権利帰属のルールを明確に定めておく必要があります。出力の権利をユーザーに帰属させる設計、サービサーに留保する設計、それぞれの実務的な意味を踏まえて条項を設計します。
企業利用を想定した場合の条項
ユーザーが企業(法人)である場合には、ビジネスの場面で特に関心の高い条項についても利用規約に盛り込んでおく必要があります。特に、秘密保持とセキュリティに関する規定は、企業が生成AIサービスの導入を検討する際の重要な判断材料となります。
- 秘密保持義務の有無 業務上の機密情報をプロンプトとして入力するケースを想定し、入出力データに関する秘密保持義務の有無を明確にしておく必要があります。サービサー側が秘密保持義務を負うのか、負う場合にその範囲はどこまでか(入力データのみか、出力データも含むか)、また例外事由(法令に基づく開示等)をどう設定するかが検討項目となります。企業ユーザーにとっては、自社の営業秘密や顧客情報を入力した場合にそれがどのように保護されるかが、サービス採用の可否を左右する重大な関心事です。
- セキュリティ基準 企業利用においては、サービサーが講じる情報セキュリティ対策の水準も重要な検討項目です。具体的には、データの暗号化、アクセス制御、ログ管理、インシデント発生時の通知体制などについて、利用規約上またはセキュリティポリシー等の関連文書において基準を明示することが求められます。ISO 27001やSOC 2といった第三者認証の取得状況を開示することも、企業ユーザーの信頼獲得に有効です。
まとめ
一般的なサービス利用規約の骨格(Ⅰ〜Ⅺ)はベースとして当然必要ですが、生成AIサービスでは「入力→演算→出力」のパイプラインに固有の論点が上乗せされます。自社サービスの技術構成(利用するLLM、APIの構成、データの処理場所等)に応じて、各フェーズで何を利用者に開示し、何に同意を求めるかを設計することが重要です。
参考例
Ⅰ. 適用範囲
- 主体
- 対象サービス
- 同意の時期
- 適用例外/優先関係
Ⅱ. 利用規約同意
- 利用資格
- アカウント登録
- 個人アカウントの管理
- 法人アカウントの管理
- 表明保証(同意権限)
- 個人情報の取扱い
Ⅲ. サービス内容と利用条件
- 生成AIを用いたサービスの明示
- 利用条件への同意
- 利用可能範囲
- 利用態様の具体(入力→出力を得る流れ)
- ベータサービスの取扱い
(禁止事項)
- 利用禁止行為
(サードパーティーサービス)
- サードパーティーサービスの概要
- サードパーティーサービスの利用条件の適用
- サードパーティーサービスに関する免責
Ⅳ. 料金・支払
- 支払条件
- 未払時の対応
Ⅴ. データの取扱い
(総則)
- 入出力データの責任
- 生成AIコンテンツ同意
(入力データ)
- 入力データに対するユーザーの権利等の表明保証
- 入力データの演算処理に関するサービサーへのライセンス等
- 入力データの権利帰属
(モデル)
- 入力データの学習への利用可否
- データレジデンシー
- サービスのAPI利用
(出力)
- サービス種類による主要リスク
- 出力データの権利帰属
- 生成AI出力の表示
(利用状況データ)
- 利用目的
- 対象範囲
Ⅵ. 知的財産権
- サービスの知的財産権等
Ⅵ-2. 秘密保持
- 秘密保持義務の有無
Ⅶ. 責任・免責
- 免責条項
- 非保証
- 責任範囲の制限
- 賠償額の制限
Ⅷ. プライバシー
- プライバシー
Ⅸ. 契約の管理
- 通知方法
- 規約変更
- サービス変更
- 利用停止
- 契約終了条件
Ⅹ. 一般条項
- 地位/権利譲渡の禁止
- 完全合意の有無
- 分離可能性
- サービス関連サポート提供義務
- 準拠法
Ⅺ. 紛争解決
- 紛争解決
