生成AI利用人口の将来
総務省「令和7年版 情報通信白書」において、「企業における業務での生成AI利用率(国別)」では日本が約55%とされており、他国の90%に対して低い割合と評価されています。
https://www.soumu.go.jp/johotsusintokei/whitepaper/ja/r07/pdf/index.html
しかし、世界的に生成AIの企業活用が常識化している中で、日本企業においても活用率が90%付近の水準まで進むことは時間の問題と思われます。
どの企業でも生成AIを活用しなければならず、数多くの生成AIサービスが群雄割拠のごとく乱立する中、どのような視座を持つべきか解説します。
利用規約の検討における視点
従来のウェブサービスと異なる生成AI特有の注意事項にはどんなものがあるでしょうか。
生成AIと他のアプリとの最大の違いは、「確率的・創発的な振る舞いにより、個別の入力に対する具体的な出力を事前に決定論的に予測することが困難」といえます。
しかし、その特徴がゆえに、従来にない会話の要約や自動返信、データの整理からコンテンツの生成まで様々な領域を可能としているのです。
そのため、生成AIサービスの利用規約やサービス利用契約においては以下のような点に注意すべきです。
■知的財産(IP)の帰属
OpenAIの利用規約によれば、ユーザの入力情報から生成したアウトプットは、ユーザーが利用規約を遵守している限りユーザーに帰属すると定められています。
多くの生成AIサービス事業者が同様の取扱いの下生成AIサービスを展開していますが、ユーザーの入力により提供された情報の一部について、サービス提供者や他のサービスで使用することができるようにするライセンスが設定されている例も見受けられます。これは入力情報を学習データとして用いることとは別の問題である点に留意が必要です。
類似する論点として、生成物についてAIサービス提供者が著作権をはじめとする各種知的財産権を取得せず、主張しないからと言って、ユーザーがそれら権利を取得するとは限りません。
これは、純粋なAI生成物については著作権等の権利が発生しないという解釈が行われているからであり、そもそも主張する権利が存在しているのかという問題も関連します。
また、アウトプット(生成物)の使用に対する条件設定も特に注意すべきでしょう。
生成AIサービス提供者側からすると、確実な制御ができない生成AIの出力に対しては、その利用方法に特に注意を払っているからであり、またそうすべきだからです。
「生成AIの出力は正確とは限りません。出力内容を必ず確認してください。」といった注意書きについてはよく目にするようになりました。
これと同様に、他の使用目的制限や条件が利用規約や契約で定められていないか注意して確認することが推奨されます。
OpenAIの利用規約においては、この点例えば次のように表現されています。
信用、教育、雇用、住宅、保険、法律、医療、その他の重要な決定など、個人に法的又は重大な影響を与える可能性のある目的において、その個人に関連するアウトプットを使用してはなりません。
■知的財産権の侵害
生成AIの活用が著しい米国では、生成AIモデルが学習データとして用いる情報やfunction callingなどで呼び出す情報に著作物の付着するデータが含まれており、著作権を侵害する形で出力を行ったことを理由などとして、生成AI開発者や利用者の法的責任が問われるケースが出てきています。
企業においては、このような生成AI特有のリスクについて、生成AIサービス提供者が補償条項(indemnity)を置いているのか確認することが推奨されます。
この条項は、仮に生成AIモデルが第三者の権利を侵害する出力を行った結果、利用者に損害が生じた場合にその損害を補償する内容となっています。
OpenAIでは、APIサービスなどについて以下のような条項を設定していますが、その利用には諸条件があり、生成AIサービスがGPT API経由で提供されている場合には、その条件を満たしていることを確認するか、当該サービス利用規約内に保証条件が設定されているかなどを検証するとよいかと思います。
本契約に基づくAPIサービスのご利用者に対するOpenAIの補償義務には、お客様がアウトプット(出力した結果)を使用又は配布したことにより、第三者の知的財産権を侵害したという第三者からの請求を含みます。
■個人情報
企業の生成AI活用において、個人情報(データ)の利用が想定される場合は、生成AIサービス提供者のデータレジデンシーの確認が重要です。
データのレジデンシーは、入力した情報がどのような通信経路や処理を経て出力として利用者に返されるのか、その記録の保管場所などデータの通信や保管場所に関する項目として整理できます。
データが日本国内で処理される場合は、サービス提供者の情報管理体制の監督が個人情報保護法上求められます(25条)。
個別の項目について、これらの要素を企業が検証し、管理監督するのはコストが高くなるため、個人情報の利用の場面においては、サービス提供者がどのような第三者認定を受けているのかという点も重要となり、プライバシーマーク取得事業者かどうかなどが一つの指標となります。
留意点として生成AIサービス提供者がサプライチェーンを形成している場合もあります。これは、直接の取引先である事業者(サービス提供者)は日本国内であるものの、使用している技術やデータの通信経路、保管場所などを詳細にみると海外事業者や認定を取得していない事業者などが含まれている状況を指します。このような場合、サプライチェーン全体を検討する必要があるのかどうかや、間接的に関与する事業者の情報管理体制も検討対象となるかなど検討箇所が増加します。
もし生成AIサービスが海外事業者から行われている場合は、個人情報の域外移転も検討しなければならなくなり、EUや英国以外の事業者であれば、さらに慎重な判断が必要となります。
OpenAIなどにおいては、企業用プランにおいて、DPAと呼ばれる個別契約を提示しており、これらの活用が必須となってくるでしょう。
■機密情報
機密情報は企業が持つ固有の機密情報(不正競争防止法上の営業秘密)と第三者から提供された情報で守秘義務を負っている機密情報に区分されます。
前者は経営判断により、信頼できる生成AIサービスやオンプレ環境において使用することが考えられますが、後者においては提供することは原則として情報提供者である第三者への義務違反を招来します。
機密情報の取扱いにおいては、OpenAIやMicrosoftのような大手サービス事業者ですら情報流出事例があるわけですから、社内の機密情報管理規程や使用するモデルの利用規約、さらには技術的理解という提供者側と利用者側の相互の協力によって成り立つ使用ということができます。
■事業継続性
生成AIサービスが日々増加していく現在の環境では、各IT企業などがその製品の開発や展開に躍起になっており、いかにして市場シェアを獲得するかという激しい競争を繰り広げています。
この環境において、サービス利用者はサービス提供事業者が、継続的にサービスを提供する体力や組織力を有しているか、万一訴訟や権利侵害が発生した際に賠償する保険や支払能力を有しているかといった観点での検証も必要となってきます。
特に、生成AIモデルが次々に更新される環境においては、新しい技術をいち早くサービス化につなげる動きも見られます。企業において生成AI活用の成功の秘訣は、枝葉の活用ではなく抜本的な業務改革を伴うような利用方法と言われる中、真に中長期的にともに成長できるサービス提供者を選定することが重要となってきます。
