この記事の執筆にあたって
生成AIの進化が加速し、今年から来年にかけて「生成AI元年」と言われるほどの勢いで普及が進んでいます。技術面ではRAGやエージェントなどの新しい仕組みが次々と登場し、多くの企業がその可能性に注目しています。
一方で、こうした技術を実際に使う企業側の体制や利用環境、法的な整備については、十分な議論がなされていないのが現状です。
現場では「生成AIを使ってみたい」という声が先行し、利用規約を確認せずに導入したり、データ保護や契約上の責任を曖昧にしたまま運用しているケースも少なくありません。
本記事は、そうした“技術の波”に流されがちな企業に向けて、生成AIを組織として安全かつ説明可能に活用するための最低限の環境整備を考えるきっかけとして執筆しました。
DPA締結の前提:企業で使用しているChatGPTは個人向けか企業向けか?
企業で生成AI、とりわけChatGPTやGPT(API)を使用したいと考えた場合に最も重要なことが、どのプランで生成AIを使用しているのかという点です。ChatGPTをはじめとする主要な生成AIサービスは、個人向けと企業向けの法的な構造を根本的に区別しており、「法人向けのプランを使用していない場合≒事業で扱うには十分な説明責任を果たせない環境で生成AIを使用している」ことになってしまいます。
特に、関連する項目は企業秘密情報や守秘義務を負っている情報、個人情報(データ)の管理、運用となります。
*近時学習データとして扱われないことをもって情報の機密性等が保たれているという認識を見聞きしますが、これは大きな誤解で、学習データの提供と情報の機密性は別次元の話ですのでご注意ください。
個人向けのプランとは?
OpenAIのプラン一覧はこちらから確認することができます。区分としては、無料プラン、Plusプラン、そして最上級のProプランの3つが用意されています。注意点は、高度な機能を使えるProプランであってもカテゴリは個人向けプランであり、後述するような情報の機密性や個人情報保護(DPA)などといった項目への対応が不十分となる点です。
法人プランとは?
法人プランとしては、Businessプラン(旧teamsプラン)とEnterpriseプランが用意されています。個人向けと異なり、2名以上の利用が前提として設計されています。個人プランとの最大の違いは、OpenAI Services Agreementの適用を受けるという点です。
https://openai.com/policies/services-agreement/
DPA(Data Processing Addendum:データ処理補足)とはどんな内容か
DPAは、主にEUにおけるGDPR、日本でいう個人情報保護法に対応するために位置付けられる契約書であり、ビジネスプランを利用しているアカウントユーザーが締結することができるとされています。
DPAの主な役割は、OpenAIがアカウントユーザーの指示に従って(つまりプロンプト等の情報を受け取って)データを処理し、出力をアカウントユーザーに返すデータ処理者としての役割や責任を定め、一方でアカウントユーザーはデータの管理者としての役割や責任を定めることによって、各種個人情報などのデータ処理規制に対応しようとするものです。
特に日本の個人情報保護法の観点からすれば、ChatGPTに入力する情報はカリフォルニアのOpenAI側のサーバーに通信され、そこで計算結果が出力として返ってくる通信経路が発生しています。ここでデータ処理者は外国にある第三者であり、かつ米国法人であるため、日本の個人情報保護法令に沿った処理として、DPAの活用が必須となってくるわけです。
DPAの内容には次のようなものが含まれています。金融、医療、法律など高度に専門的な情報処理が関連しないような分野においては主要項目は概ね網羅されていると思われます。
- 処理の目的と遵守
- OpenAIは、サービス提供や安全性監視などの目的に限り、顧客の書面指示に基づいて顧客データを処理する。
- データ保護法の求めるプライバシー基準を下回らない方法でのみ処理を行う。 - 通知義務
- DPAに違反するおそれがある場合や法的に準拠できない場合、OpenAIは顧客に速やかに通知する。
- 顧客の指示が法令違反の可能性がある場合も同様に通知。 - 販売・共有の禁止
- 顧客データを「販売」または「共有」しない。
- 顧客がOpenAIにデータを“販売した”ことにはならない(CCPAに準拠)。 - 秘密保持と従業員管理
- OpenAI従業員や関連業務に従事する者には守秘義務を課す。
- DPAのデータ保護義務を遵守させる責任を負う。 - 副処理者(sub-processor)の利用
- 公開リストに記載された副処理者へデータ処理を委託できる。
- 顧客は通知(15日前)を受け、異議申し立ての権利を有する。
- OpenAIは副処理者に同等の保護義務を課し、その行為について自らと同程度の責任を負う。 - 監査・情報提供義務
- 年1回まで、顧客はOpenAIのプライバシー・セキュリティ方針等を確認できる。
- 必要に応じ、監査や第三者レポートの提供で遵守状況を証明する。 - 匿名化・非識別化処理
- 顧客の指示に基づく場合、OpenAIはデータを匿名・非識別化して処理できる。
- その際、再識別化を行わず、第三者にも同等の義務を課す。 - CCPA(カリフォルニア州消費者プライバシー法)対応
- OpenAIはCCPA上の「ビジネス目的」以外では顧客データを保持・利用・開示しない。
- 他の第三者データと不当に組み合わせない。 - 顧客の監査・是正権限
- 法律が求める場合、顧客はOpenAIの処理が法令準拠であるか確認・修正を要求できる。
- 必要に応じてデータ削除の確認書を求める権利を持つ。
データレジデンシーについての代替的方法
この問題は、端的に言ってしまえば、ChatGPTなどの生成AIを使う際に「情報(プロンプト)を外国に送信して計算してもらう」という点から生じる法的な問題となります。最近では、外国への送信をしなくても済むような方法や動きも出現しています。
どうやって外国への送信を回避しているのかというと、大きく2つの方法があります。まず1つ目は、送信先のサーバー(データセンター)を日本国内に設置してしまうという方法です。近年、日本でもデジタル庁をはじめとする各種行政が主導となって生成AIに取り組み、その成果を報告している例が増加しています。この過程で、行政のデータ処理において海外のサーバー(計算機)に情報を送るわけにはいきませんから、国内にデータ処理施設をという話になってくるわけです。
主要な国内データレジデンシーとしてAzure OpenAIなどの活用も選択肢としてはあるところですが、中小企業の場合だとクォーター申請(割り当て申請)がなかなか通りづらいという現状があります。
参考リンク:
もう1つの動きが、中小規模の生成AIの利活用の場面において、通信を行わず手元のパソコン内で計算をしてしまおうという、ローカルAIと呼ばれるモデルの活用方法です。最新の生成AIのようなスペックを必要としない文書の要約や簡単な作業だけれども、個人情報や機密情報が絡むという場面で最適で、ローカルという全体を把握しやすい環境での生成AI活用を行うことができます。ただし、ローカル(オンプレミス)環境であるがゆえに、本来OpenAIなどに委ねていたセキュリティをはじめとする各種法的・技術的な対応も自社で行う必要があるという点に注意が必要です。
参考リンク:
DPAの締結方法
DPAの締結は非常に簡単かつ迅速に行うことができます。
OpenAIのDPAのページから「データ処理契約を締結」へと進みます。
このDPAは、ChatGPT Enterprise/ChatGPT Team/OpenAI APIなどの法人向けサービスでのみ利用可能であり、個人向けプラン(ChatGPT Free/Plus/Pro)は対象外です。また、OpenAIはユーザーごとにカスタマイズされたDPAや、ユーザー側が提示する契約書のレビューには対応していません。そのため、あくまでOpenAIが提示する定型のDPAに同意する形で締結を進めることになります。
フォーム入力に必要な項目
フォームでは、以下の情報をユーザー側で準備・入力する必要があります。
- 会社の正式名称(Full legal name)
登記上の正式名称を英語で記載します。例:tAiL. Legal Office - Organization ID
OpenAIの管理画面(Organization Settings)に記載されている組織IDを入力します。
これは組織ごとに固有で、DPAの識別にも利用されます。 - EEA/スイス所在の有無(Is Customer based in the EEA or Switzerland?)
欧州経済領域またはスイスに拠点があるかどうかを「Yes/No」で選択します。
所在地によってOpenAI側の契約法人(米国/アイルランド)が変わるため、正確に回答する必要があります。 - 契約先のOpenAI法人(OpenAI Entity)
通常は「OpenAI, L.L.C.(米国)」、EEA所在の場合は「OpenAI Ireland Ltd.」が選択されます。 - 署名者の情報(Signer Information)
- 署名者の氏名(Who will be signing this agreement?)
- 署名者のメールアドレス(What is the signer’s email address?)
- 署名者の肩書き(What is the signer’s title?)
※入力したメール宛に確認・署名リンクが届きます。 - 契約日(Agreement Date)
自動で当日の日付が入力されています。必要に応じて修正可能です。
DPAの締結自体は数分で終わりますが、その有無によって企業としての法的説明責任に大きな差が生じます。生成AIを安心して業務利用するためには使用しているモデルやその利用規約の把握は極めて重要です。
まとめ:ビジネスで生成AIを使う場合のプラン/利用規約/DPA(レジデンシー)は基本的な環境整備
企業として生成AIを業務に取り入れる際にまず求められるのは、技術そのものよりも「どの契約構造の上で利用しているか」という確認です。
特にChatGPTのような外部生成AIサービスは、個人向けプランと法人向けプランで適用される契約体系(Terms / Services Agreement)が根本的に異なるため、ここを曖昧にしたまま導入を進めると、情報管理や顧客説明の段階で大きなリスクを抱えることになります。
法人プランでは、OpenAI Services Agreement および DPA(データ処理補足契約) によって、データの処理方法・責任分担・外国転送に関するルールが明確に定義されています。これは単なる法的整備にとどまらず、企業が生成AIを「安全に・説明可能に」運用していくための最低限のインフラ整備にあたります。
一方、個人プラン(Free/Plus/Pro)ではこれらの法的基盤が整っていないため、社内業務や顧客データを伴う利用には適していません。もし既にChatGPTを業務で使っている場合は、まず「利用しているプランがどのカテゴリに属しているか」を確認し、必要に応じてビジネスプランへの移行とDPAの締結を早期に進めるべきです。
また、DPAを締結したとしても、データの処理先(国外サーバー)や社内での取り扱い方針を整備しなければ、コンプライアンスの観点からは十分とは言えません。データレジデンシー(データの所在)や社内利用ルールの整備も含めて「生成AI利用の基礎設計」と捉えることが重要です。
生成AIの導入は、テクノロジーの進化に合わせて新しい法的・倫理的課題を伴います。
まずは プランの確認 → DPAの締結 → データレジデンシーの把握 という3ステップを整え、安心して業務活用できる体制を構築することが、企業にとっての第一歩となるでしょう。
