業務委託先(制作会社・コンサル等)が、当社が渡した資料を無断で生成AIに入力していました。契約違反や情報漏洩を問えますか?
端的に言えば、契約違反や情報管理上の責任を問える可能性は十分にあります。生成AIが急速に普及する一方で、その利用まで踏まえたコンプライアンス体制を整えている会社はまだ多くありません。委託先が御社の資料を無断でAIに入力していたのなら、責任を問える場面は少なくないというのが実務での実感です。
ただし、何をどこまで問えるかは、御社が渡した資料に「どんな法的権利・義務が付着しているか」で変わってきます。付着する論点は、大きく営業秘密・個人情報・著作権の3つに分かれます。多くの企業の委託契約ひな形は生成AIの利用を想定して作られていないため、AIへの入力がこの3つのいずれかに抵触する可能性は想像以上に大きいのです。以下、軸ごとに要点を整理します。
① 営業秘密・秘密保持
3つのなかで最も違反を問いやすいのがここです。秘密保持義務の判断で押さえたいのは、「委託先とAI事業者の間に秘密保持契約があるか」は本質ではない、という点です。秘密保持契約の目的は、委託先が預かった情報をそもそも第三者に開示・提供しないこと自体にあります。ですから、その先の相手と別途NDAがあるかどうかにかかわらず、無断で外部AIに入れた時点で違反になりやすい、というのが基本的な考え方です。委託先が預かったデータを外部AIに入力する行為は、御社に無断の「再委託(第三者への提供)」にあたりうると構成することも十分に可能です。もっとも、契約に「一定の条件では第三者に開示できる」という例外があることもあり、その例外に生成AIの利用を読み込めるかどうかが実務上の関心どころになります。
② 個人情報
渡した資料に個人データが含まれていた場合、委託先のAI利用環境によっては委託先自身が個人情報保護法に違反しうるほか、御社の側も委託先に対する監督義務(法25条)を果たしていないとして責任を問われうる、という「預けた側にも火の粉が飛ぶ」構造になっています。
③ 著作権
資料を生成AIにアップロードする行為そのものが問題になり得ます。サービスによっては、利用規約上、入力・生成したコンテンツについて提供者側にサービス改善などの目的で広くライセンスを与える建て付けになっていることがあります(動画生成AIの個人向けプランなどで見られます)。結果として、御社の著作物が事実上「広く使える状態」で外部に渡ってしまう、という抵触が起こり得ます。
発覚したときにまずやること
いきなり責任追及に進むのではなく、まず事実確認から入ることをおすすめします。
- 委託先に問い合わせる:監督義務の一環として、あるいは報告を求める形で、「生成AIを利用しているか」をまず確認します。
- 利用環境を確認する:使っている場合は、どのサービス・どのプランか、どんな用途で、御社のどの情報を読み込ませる場面で使っているのかを軽く把握します。
- 事実に応じて対応を決める:理解できる使い方であれば、契約書の一部修正や現状に即したルールの再設定を行います。看過できない使い方であれば改善を依頼し、最悪の場合は法的責任について協議する、という順序です。
いずれにしても、契約書を「AIを想定した内容」に整えておくことが、こうしたトラブルを未然に防ぐ最短ルートになります。
生成AIと個人情報保護法の「クラウド例外」の考え方はこちらのQ&Aで、DPAとNDAの違いはこちらのQ&Aで解説しています。委託契約やNDAを生成AI時代に合わせて見直したい場合は、tAiL.法律事務所(サービス一覧)までご相談ください。
※本記事は一般的な情報提供であり、個別の法的助言ではありません。/出典:個人情報の保護に関する法律(e-Gov法令検索)/執筆:弁護士 原智輝(福岡県弁護士会)/tAiL.法律事務所代表