社員が会社に無断でChatGPTを使ってトラブル。会社の責任になる?
結論:放置は危険。責任は基本的に「会社」が負う可能性が高いです
会社が正式に導入しないまま、社員が個人アカウントで生成AIを業務に使う「シャドーAI」の放置は、非常に危険です。情報が漏れた場合、民法の使用者責任などにより、責任は基本的に会社が負う可能性が高いといえます。「禁止」と書くだけでは足りず、適切に活用しながら統制する方向で整えることが大切です。
① 放置は「重要情報を従業員の手元に預けている」のと同じ
自社や取引先のデジタル資産を、会社の管理外にある個人アカウントで読み込ませ、処理している状態です。重要な情報、とりわけ顧客の重要情報を従業員個人の携帯や自宅に預けるような信頼は、本来置けないはずです。放置すれば情報管理が杜撰になり、退職時や本人経由での漏洩・共有も容易に起こり得ます。
② 責任は基本的に「会社」が負う
一次的には入力した従業員の責任だとしても、民法の使用者責任により、会社が責任を負う可能性が高くなります。「社員が勝手にやった」で済む話ではありません。
③ 「AI禁止」と書くだけでは免責されない
ルールが無いのは論外ですが、作れば足りるわけでもなく、実際に運用できているかが問われます。そもそもAIを使わない選択は事業の競争力や伸びしろを大きく削ぐため、禁止ではなく「適切に使う」方向で考えるべきです。
④ 取引先の情報なら、契約違反・損害賠償のリスク
NDA(秘密保持契約)を結んでいる取引先の情報を入力すれば、契約違反に該当し、損害賠償・取引の解消・説明責任を求められる可能性が十分あります。自社情報の放置は自社責任で済んでも、取引先の情報を杜撰に扱っていたとなれば、取引先から情報管理の責任を問われ、情報の性質次第では損害賠償として算定されることもあり得ます。
⑤ 漏れた(かもしれない)ときの初動と、これからの備え
まず専門家を入れて現状把握を行います。ログの解析など、どの情報にどのような形で生成AIがアクセスしたのか、事実関係を特定することが第一です。次に、その事実をもとにどの契約・法令・信頼関係に抵触しているのかを法的に分析し、その結果として個人情報保護委員会への報告や取引先への事情説明へと進みます。ここは専門家を入れるべき場面です。そして全面禁止ではなく、生成AIの社内規程を整備し、従業員のリテラシーを高めることで、うまく活用しながらコントロールしていくことをおすすめします。