ChatGPTの危険性とは?情報漏洩を防ぐ企業の対策と利用規約を弁護士が解説
多くの企業で「ChatGPT」の利用が検討されています。
- 「ChatGPTは便利だが、入力した会社の機密情報がAIの学習に使われていないか、情報漏洩のリスクが不安」
- 「無料版と、法人向けのTeam/Enterpriseプラン、API経由での利用では、セキュリティにどのような違いがあるのか知りたい」
- 「顧客の個人情報を取り扱う上で、どのような点に注意すれば情報漏洩の危険性を軽減できるのか知りたい」
このようなお悩みや疑問はございませんか?
ChatGPTは業務生産性を飛躍的に向上させる可能性を秘めています。しかし、その裏に潜む危険性、特に個人情報や機密情報の漏洩リスクを正確に理解し、対策を講じなければ、企業に深刻なダメージをもたらす可能性があります。
この記事では、生成AIの法的問題を得意とする弁護士が、ChatGPTを企業で安全に活用するために重要な情報を利用規約等から丁寧に説明していきます。具体的には、以下の点を中心に解説します。
- 個人向けプラン、ビジネスプラン、API利用の根本的な違い
- 利用規約から読み解く個人情報・情報漏洩の危険性
- 利用規約で定められた禁止事項と法的リスク
- 企業が準備すべき具体的な情報漏洩対策と社内ガイドラインの作り方
目次
1. 【結論】ChatGPTのリスク管理は「プラン選択」と「ガイドライン整備」が重要
結論からいうと、ChatGPTのリスク管理は、プラン選択と社内ガイドラインの整備が重要です。
ChatGPTには個人向けとビジネス向けのプランがあります。ビジネス利用する場合は、ビジネス向けのプランである、TeamプランもしくはEnterpriseプランを選択しましょう。
従業員各自が生成AIを自由に使うと情報漏洩のリスクも発生します。そこで、社内ガイドラインの整備を行うことで情報漏洩のリスクを軽減することが重要です。
無料版ChatGPTに潜む情報漏洩の危険性
多くの人が手軽に利用できる無料版のChatGPTは、ビジネスで利用するにはリスクがあります。
最大の理由は、入力した情報が、設定を変更しない限りデフォルトでOpenAIのAIモデルの学習データとして利用される点にあります。
利用規約には次のとおりの記載があります。
本コンテンツの使用 当社は、本サービスの提供、維持、開発、改善、適用法の遵守、当社の規約及びポリシー等の履行請求、及び本サービスの安全性の維持のために、本コンテンツを使用する場合があります。
使用停止(オプトアウト) 当社モデルの学習にお客様の本コンテンツを使用することを望まない場合、このヘルプセンターの記事の手順に従って使用停止を要求できます。当社の本サービスはお客様の特定の目的にそって処理されるものですが、場合によっては、そのよりよく処理する能力が制限されうることにご留意ください。
もし従業員が無料版のChatGPTに顧客の個人情報や会社の機密情報を入力してしまえば、情報漏洩のリスクがあるということです。
ビジネス利用のおすすめは「ChatGPT Team/Enterprise」
企業が情報漏洩のリスクを低減して安全にChatGPTを利用するためには、入力データがAIの学習に利用されないと契約上保証されているプランを選択することが重要です。
この条件を満たすのは、ビジネス向けのプランである「ChatGPT Team」「ChatGPT Enterprise」、そしてシステム開発に用いる「API」経由での利用です。
なぜ「社内ガイドライン」が重要なのか
安全なプランを選択するだけでは対策は十分ではありません。従業員一人ひとりが正しい知識を持って利用しなければ、リスクは残ります。
そこで重要になるのが、企業の状況に合わせてカスタマイズされた「社内利用規程(社内ガイドライン)」です。
- どのような情報の入力を許可し、何を禁止するのか?
- 生成された文章や画像をどのように扱うべきか(著作権等の確認)?
- 万が一、問題が発生した場合の報告ルートはどうするか?
これらのルールを明確に定めることで、従業員は安心して業務に活用でき、企業としても情報漏洩リスクを軽減できます。
2. 【理由】ChatGPTの利用規約から読み解く法的リスクと情報漏洩の危険性
ここからはChatGPTの利用規約やプライバシーポリシーをもとに、想定される法的リスクと情報漏洩の危険性を解説します。
利用規約の確認ポイント
ChatGPTの利用規約は英語で表記されていたり、専門用語が多いなど、複雑で分かりにくいです。そのため、ポイントを絞って確認することが重要です。
企業としてChatGPTを利用するにあたり重要なチェックポイントは以下の5つです。
① 利用プランを確認のうえで、対象規約を正しく理解する
ChatGPTには、無料版、Plus、Pro、Team、Enterprise、APIなど様々なプランがあります。
自社が利用しているプランの確認及び対象となる規約を正しく理解することがスタートラインです。
② 入力データの取り扱い(AIの学習に利用されるか)
入力したテキストやファイルが、AIモデルの性能向上のために学習利用される可能性があるかを利用規約や関連ポリシーに沿って確認することが重要です。
個人向けのChatGPTの場合は、利用規約に学習利用についての記載があります。その旨は、プライバシーポリシーにも次のとおり記載されています。
当社は、ChatGPTを支えるモデルの学習のためなど、本サービスの向上のため、お客様が提供するコンテンツ情報を使用する場合があります。当社モデルを学習させるためにお客様のコンテンツ情報を利用することを停止させる(オプトアウト)方法については、 こちらの手順(新しいウィンドウで開く) をお読みください。
これに対して、ChatGPT Team/Enterprise版の利用規約では次のとおり記載されており、明示的な同意がない限りはコンテンツが学習利用されないことを明示しています。
4.2. OpenAIの義務。OpenAIは、お客様にサービスを提供するため、適用法を遵守するため、OpenAIポリシーを施行するため、および不正使用を防止するために必要な範囲でのみ、お客様コンテンツを使用します。OpenAIは、お客様が明示的に同意しない限り、お客様コンテンツをサービスの開発または改善のために使用しません。
③ 生成されたコンテンツの取り扱い
生成した文章や画像などの権利が誰に帰属するのか、商用利用が禁止されていないか等を確認する必要があります。
OpenAIの利用規約では、以下のとおり、インプット・アウトプット共に権利は利用者に帰属するとされています。
本コンテンツの所有権限 お客様とOpenAIの間において、適用法令で認められる範囲で、お客様は、(a)インプットの所有権限は保持し、(b)アウトプットについての権利を有するものとします。当社はアウトプットに関する権利、権原、及び利益がある場合、これらすべての権限をお客様に譲渡します。
しかし、生成されたコンテンツが第三者の著作権を侵害している可能性は否定できません。そのため、生成物の利用は慎重に行う必要があります。
④ 利用規約に定められた「禁止事項」
他者の権利を侵害、悪用する方法で本サービスを使用することなどが禁止事項として定められています。禁止事項に違反した場合、アカウント停止等のリスクがあります。
⑤ 情報の保管・管理状況とセキュリティ対策
入力した情報が運営会社にどのように保管・管理されているのか、どのようなセキュリティ対策が講じられているのかを確認しましょう。
ChatGPT Team/Enterprise版の利用規約には次のとおり記載されており、セキュリティ対策やプライバシーの保護を重視していることが分かります。
5.1.セキュリティ対策。OpenAIはセキュリティ対策を遵守します。OpenAIは定期的にセキュリティ対策を更新する場合があります。OpenAIがセキュリティ対策を更新することにより、サービス全体の管理上、技術上、または物理的なセキュリティ機能が著しく低下する場合、お客様は更新後5営業日以内にOpenAIに書面で通知することにより、本契約および関連する注文書を解除することができます。
5.2.監査報告書。OpenAIは、独立監査人による監査を完了しており、本サービスにおけるOpenAIのセキュリティポリシー、手順、および管理策の設計と有効性を評価しました。・・・
5.3.プライバシー。お客様が本サービスを利用して個人データを処理する場合、OpenAIとお客様は、本参照により本契約に組み込まれるDPAを遵守するものとします。
ChatGPTで個人データを処理する場合は、OpenAI との間で別途データ処理に関する補足事項(「DPA」)の契約をすることも可能です。
ChatGPT Team/Enterprise版では、SSO(シングルサインオン)による認証にも対応しているので外部からの不正なログイン対策も可能です。
結論:企業の利用はChatGPT Team/Enterprise版がおすすめ
利用規約などに基づき説明してきたとおり、個人向けのChatGPTでは、学習利用やセキュリティの面で不安が残ります。
そこで、企業がChatGPTを利用する場合は、ChatGPT Team/Enterprise版がおすすめです。ChatGPT Teamは中小企業を対象としており、Enterpriseはより大きな企業を対象としたプランになっているので自社の状況に応じたプラン選択が必要となります。
3. 【具体例】ChatGPT利用で想定される企業の法的リスク
実際に企業で起こりうる具体的なトラブルの事例を3つ説明します。これらの事例はいずれも法的なリスクを伴っていますが、適切な社内ガイドラインを整備することでこのようなリスクを軽減することができます。
事例1:個人アカウント利用による機密情報の漏洩
M&Aに関する情報について、企業の担当者が個人のChatGPTアカウントを使い情報入力を行いリスクの分析を行った。この情報がAIの学習に利用され、企業としての情報漏洩リスクを発生させてしまった。
事例2:生成コンテンツの安易な利用による著作権侵害
イベントの企画担当者が、ChatGPTに依頼して作成したキャッチコピーを、確認せずにそのまま広告に使用した。しかし、その表現が他社の登録商標と類似しており、商標権侵害として警告を受けた。
事例3:社内ルールの不徹底による個人情報の流出
ある企業が、法人プランを契約しつつも、「入力してはいけない情報」に関する具体的なガイドラインを策定・周知していなかった。そのため、ある従業員が良かれと思い、顧客の個人情報を含むアンケート結果の分析をChatGPTに依頼してしまった。
4. 【対策】ChatGPTの危険性を回避する企業の対応策|社内ガイドラインの作り方
ChatGPTの利用に伴う危険性を軽減し、安全に活用するためには社内ガイドラインの作成が重要です。含めるべき項目を説明します。
① 目的・基本方針の明確化
なぜこの規程を定めるのか(例:情報資産の保護と生産性向上の両立)という目的と基本方針を明記します。
② 利用を許可するサービスの明確化
業務利用を許可するサービスを「ChatGPT Team」「ChatGPT Enterprise」などに限定して、従業員の個人アカウントでの業務利用を禁止します。
③ 入力禁止情報の記載
ChatGPTに入力してはいけない情報を具体的に列挙します。たとえば、会社の機密情報(顧客リスト、技術情報、財務情報等)を定義し、これらの入力を禁止します。
④ 禁止事項の明示
OpenAIの利用規約にある禁止事項に加え、会社の業務に関連する具体的な禁止行為などを記載します。
⑤ 生成コンテンツの取り扱いルールの記載
生成された情報は不正確な場合や、第三者の権利を侵害するリスクがあることを注意喚起し、必ず人間が内容の確認を行う必要があることを義務付けます。
⑥ 相談窓口の設置
利用方法に迷った場合や問題を発見した場合の報告・相談窓口を明記します。
⑦ 社内研修や社員教育の実施
社内ガイドラインを策定しても、従業員に浸透しなければ意味がありません。定期的な社内研修や教育の機会を設けることが重要です。
⑧ ガイドラインの見直し
AI技術や関連法規は定期的に改定が行われます。そのため、ガイドラインの見直しも定期的に行う必要があります。
5. まとめ:ChatGPTの導入に関するご質問は弁護士までご相談ください
本記事では、ChatGPTの法的リスクについて、利用規約等に基づき詳しく解説しました。ポイントは次の3つです。
- 無料版を含む個人向けのChatGPTは入力情報がAIの学習に利用される危険性があり、ビジネス利用には向いていない。
- 企業でChatGPTを利用するなら、入力データが学習に利用されない「ChatGPT Team/Enterprise」を推奨。
- 従業員と会社を守るため、「社内利用規程(社内ガイドライン)」の策定と社内研修が重要。
生成AIの利用規約は複雑で、法的な解釈を要する部分も少なくありません。また、どのような内容を規程に盛り込むべきかは、企業の状況によって異なります。
- 「自社に合ったガイドラインの作り方がわからない」
- 「利用規約を読んでも、法的なリスクを正確に判断できない」
- 「従業員への研修をどのように実施すればよいか悩んでいる」
このようなお悩みをお持ちの企業担当者様は、ぜひ一度、弁護士にご相談ください。
無料相談実施中
- 監修者
- よつば総合法律事務所
辻 悠祐
