自社でChatGPTを活用していてもDPAを知らない企業が多い
生成AIが十分に浸透してくる中で、OpenAIの利用規約を利用開始前に熟読する企業は少ないように思います。原因としては、そもそも利用規約を把握してからのSaaS利用開始の習慣がないこと、利用規約の一部が英語のみで提供されているため社内で把握するのに時間がかかること、法的な文書であり権利義務関係を処理できないことなど、様々な理由が考えられます。
しかし、ChatGPTの企業活動においてDPA(Data processing addendum:データ処理規約)の活用はほぼ必須級の知識であり、これを知らないまま事業にChatGPTやGPT APIを用いて後で大きな後悔や対応に迫られることは避けなければなりません。
そこで本記事では、まずこのDPAの概要についてOpenAI社の利用規約を引用しながら解説したいと思います。
ChatGPTの利用プランは大きく3つに分類される
そもそも、ChatGPTの利用のためにアカウント作成し、サブスクリプションサービスの利用開始を行う際にプラン選択が可能ですが、個人プランと法人プランでは適用される利用規約が大きく異なります。
無料版、Plusプラン、Proプランというのは個人向けサービスであり、Businessプラン(旧Teamプラン)やEnterpriseプランは法人向けプランとなっています。ChatGPTというのは、GPTと呼ばれる基盤モデルをChat形式アプリケーションとして構築したSaaSであり、いわばGPTがエンジン、ChatGPTはGPTというエンジンを搭載した車のような関係にあります。IT企業やエンジニアの多くはこのエンジン部分であるGPTを使用することが多く、この場合、APIと呼ばれる方法で利用するため、その利用規約が適用されます。
ここでは、ざっくりと、OpenAI社が提供するサービスには、
- 個人向けプラン
- 法人向けプラン
- 開発者向けプラン
の3種類があると把握しておけば大丈夫です。注意点は、個人プランにProプランが含まれており、1アカウントに対する料金としては最大金額に見えるため最も優れているプランに見えますが、あくまで個人プランの枠内という点に最大の注意が必要です。
法人プランや開発者プランでなければ情報の機密性やプライバシーは担保されない
中小企業の経営者の方の中には、個人で使うものだからとこの個人プランのPlusやProを利用している方がいらっしゃいます。特にProプランは発表直後のDeep Researchや動画生成Soraがいち早く使えたなど、特典が多く魅力の多いプランでもあります。
しかし、OpenAI社のOpenAI Services Agreement(OpenAIサービス契約)は個人プランと法人/開発者プランを明確に切り分け、後者のみに適用される条件として構成されています。
This OpenAI Services Agreement only applies to use of OpenAI's APIs, ChatGPT Enterprise, ChatGPT Business, and other services for businesses and developers, and does not apply to OpenAI services used by consumers or individuals.
【翻訳】本OpenAIサービス契約は、OpenAIのAPI、ChatGPT Enterprise、ChatGPT Business、その他の企業・開発者向けサービスの利用にのみ適用され、消費者または個人によるOpenAIサービスの利用には適用されません。
そして、企業において特に重要となる情報の機密性や個人情報保護といった条項は、このOpenAI Services Agreement(OpenAIサービス契約)において規定されています。例えば、第5条においてセキュリティ及びプライバシー、第7条において機密情報という項目が設けられています。
これらの項目は、全てのプランにおいて適用されるTerms of Use(利用規約)には規定されておらず、この法人等向けの契約の中で取り扱われているのです。
したがって、生成AIをこれから使い始めるという方においては、いわゆるプロンプト(入力情報)の学習にのみ関心が向きがちですが、情報の機密性やプライバシーといった法的な問題に対応しているのがOpenAI Services Agreement(OpenAIサービス契約)であり、それが法人等プランということになります。
プライバシー/個人情報保護の文脈でDPAは必要となる
この記事の本題であるDPAとは何かという点ですが、これについては個人情報保護法の理解が必要となります。端的に言うと、ChatGPTを提供しているOpenAI社はユーザーからのプロンプト情報をインターネット経由で海外にて受け取り、サーバーで計算処理を行い、計算結果をユーザーに送信しています。この過程で個人に関する情報がプロンプトに含まれる場合、個人情報の国外移転(海外への提供)が生じます。
この状態に対応するための契約がDPAとなり、まったく何も個人情報保護法対応せずにChatGPT等を利用するとすれば、同法に違反している可能性が飛躍的に高まります。
ChatGPTの利用方法によってはDPAの締結のみで足りるわけではありませんが、少なくともDPAを認識しないまま個人情報を取り扱うことは情報管理としては推奨されません。
まとめ
DPAの内容や個人情報保護法との関係は次回の記事で取り扱うとして、この記事では、ChatGPTに関するプランと利用規約の関係、法人等プランでは機密情報とプライバシー(個人情報)の取り決めがされている点、プライバシーに関してDPAが用意されており、事業でのChatGPT活用ではその利用を検討すべきである点を解説しました。
もしDPAを知らなかったという場合や、ChatGPTに限らず、自社の生成AIの利用方法が本当に適切なのか確認したい場合は、ぜひお気軽にご相談ください。