Geminiの危険性とは？個人情報・機密情報漏洩リスクと企業が講じるべき法的対策を弁護士が解説

企業の担当者の皆様、業務効率化のためにGoogleの生成AI「Gemini（ジェミニ）」の利用を検討、あるいは既に利用されていませんか？

このようなお悩みや疑問を抱えていらっしゃるのではないでしょうか。

Geminiは非常に便利なツールですが、その裏に潜む危険性、特に個人情報や機密情報の漏洩リスクを正確に理解し、対策を講じなければ、企業に深刻な損害をもたらす可能性があります。特に、安易に無料版を利用してしまうと、入力した情報が意図せずAIの学習データとして利用される危険性があり、注意が必要です。

この記事では、生成AIの法的問題を得意とする弁護士がGoogle Geminiを安全に利用する方法について利用規約などから丁寧に説明していきます。

具体的には、以下の点を中心に解説します。

1. 【結論】Geminiの危険性は「使い方」で決まる｜企業はWorkspace版の利用と社内ガイドラインの整備が重要

結論から申し上げます。Google Geminiの危険性は、どのサービスを選択し、どのようなルールで運用するかによって大きく変わります。

企業が情報漏洩のリスクを低減して安全にGeminiを利用するためには、「Gemini for Google Workspace」を選択し、社内ガイドラインを整備することが重要です。

無料版Geminiに潜む情報漏洩の危険性

無料版のGemini（Geminiアプリ）は、ビジネスで利用するにはリスクがあります。

具体的には、入力した情報がGoogleのAIモデルの学習データとして利用される可能性があるためです。

もし従業員が顧客の個人情報や会社の機密情報を入力してしまえば、それがどのように扱われるか追跡することは困難となり、重大な情報漏洩事故につながりかねません。

ビジネス利用のおすすめは「Gemini for Google Workspace」

ビジネス向けのプランである「Gemini for Google Workspace」は、セキュリティとプライバシーが強固に保護されています。

Googleは、Workspace版の利用者が入力したデータをAIの学習には利用しないことを明確に約束しています。 さらに、組織のデータが許可なく外部に共有されることもありません。セキュリティ面で無料版のGeminiよりも安心です。

なぜ「社内ガイドライン」が重要なのか

Gemini for Google Workspaceを選択するだけでは対策は十分ではありません。従業員が正しい知識を持って利用しなければ、リスクは残ります。

そこで重要になるのが、企業の状況に合わせてカスタマイズされた「社内利用規程（ガイドライン）」です。

これらのルールを明確に定めることで、従業員は安心して業務に活用できます。企業としても、従業員の各判断による情報漏洩リスクを防止できます。

2. 【理由】Geminiの利用規約から読み解く法的リスクと情報漏洩の危険性

ここからはGeminiの利用規約やプライバシーポリシーをもとに想定される法的リスクと情報漏洩の危険性を解説します。

利用規約を確認する際のチェックポイント

生成AIの利用規約は専門用語が多く複雑です。英語で記載されていることもあります。そのため、ポイントを絞って利用規約等を確認することが重要です。

企業として生成AIを利用する上で重要なチェックポイントは以下の5つです。

① 加入サービスを確認のうえで、対象規約を正しく理解する

自社の加入サービスが無料版（Geminiアプリ）なのか、有料版（Gemini for Google Workspace）なのかを明確にし、それぞれに対応する規約やプライバシーハブを確認する必要があります。

両者はデータの取り扱いが異なるため、利用規約を確認するうえではこの区別が最も重要です。

② 入力データの取り扱い（AIの学習に利用されるか）

入力データの取り扱いがAIの学習に利用されるかが情報漏洩リスクの核心部分です。入力したテキストやアップロードしたファイルが、AIモデルの性能向上のために学習利用される可能性があれば企業として情報漏洩のリスクを否定することはできません。

利用規約やプライバシーポリシー等を確認のうえで学習利用される旨の記載がないか、また学習利用を停止する方法がないかの確認を行いましょう。

③ 生成されたコンテンツの取り扱い

生成した文章、画像などの権利が誰に帰属するのか、商用利用が禁止されていないか等を確認する必要があります。規約上、利用者に権利が帰属するとされていても、生成されたコンテンツが第三者の著作権を侵害している可能性は否定できません。

そのため、生成されたコンテンツの利用は慎重に行う必要があります。

④ 利用規約に定められた「禁止事項」

多くのAIサービスでは、違法行為の助長、ヘイトスピーチ、他者の権利侵害などが禁止事項として定められています。禁止事項に違反した場合、アカウントの停止や法的措置のリスクがあります。

生成AIサービスによっては個人情報の入力が禁止されているケースもあります。そのため、事前にどのような行為が禁止事項となっているのかを確認しましょう。

⑤ 情報の保管・管理状況の確認

生成AIサービスに入力した情報が、運営会社にどのように保管・管理されているのか確認しましょう。入力した情報が運営会社に長期に保存される場合は、それだけ情報漏洩のリスクは高くなります。

保存期間等の変更が可能かを含めて規約を確認することが重要です。

「Geminiアプリ（無料版）」の利用規約と個人情報漏洩リスク

以上のチェックポイントを踏まえ、無料版のGemini（Geminiアプリ）の情報漏洩リスクを検討します。

デフォルトで入力データはAIの学習に利用される

Geminiアプリのプライバシーハブには、収集データを「Google のプロダクトやサービスおよび機械学習技術（Google Cloud など、Google の企業向けプロダクトも含む）の提供、改良、開発、パーソナライゼーションに使用します。」と明記されています。 

これは、入力した個人情報や機密情報が、自社の管理の及ばないところでAIの学習に利用される危険性があることを意味します。

学習をオフにする（オプトアウト）設定も可能です。しかし、従業員全員がその設定を徹底することができるかという意味では不安が残ります。

Googleからの警告

Googleもこのリスクを踏まえて、プライバシーハブでユーザーに対して明確な警告を出しています。

具体的には、Geminiアプリのプライバシーハブで次のとおり記載されています。

このような警告が行われている以上は、ビジネスシーンでGeminiに機密情報や個人情報を入力する可能性がある企業は無料版の利用は控えるべきといえます。

また、従業員各自が個人利用のGeminiに機密情報や個人情報を入力することも禁止するべきです。

「Gemini for Google Workspace」の利用規約とセキュリティ

Workspace版のプライバシーハブでは次のとおり記載されており、ユーザーのプライバシーが最優先されています。

つまり、入力データは許可なくAIの学習に利用されないということです。

また、セキュリティ面でもGoogle Workspace サービスと同じエンタープライズグレードのセキュリティを提供する旨の記載があるため、個人のアプリ版よりも強化されていることが分かります。これが無料版との最大の違いであり、企業としては安心して利用ができます。

3. 【具体例】Gemini利用で想定される企業の法的リスク

実際に企業で起こりうる具体的なトラブルの事例を3つ説明します。

事例1：従業員の私的利用による個人情報漏洩

このケースでは、Geminiアプリに入力した顧客情報がGoogleのAI学習データとして利用される可能性があります。企業としては情報漏洩のリスクが発生しているといえます。

企業としては、従業員の個人アカウントのGeminiでは業務利用を禁止するなどの措置をとっておけばこのようなリスクは回避できます。

事例2：生成コンテンツの安易な商用利用による著作権侵害

このケースでは、著作権を保有する他社から、著作権侵害を理由に差し止めや損害賠償請求を受けるリスクがあります。

生成AIの出力したデータが他者の権利を侵害していないかは慎重に判断する必要があります。

事例3：社内規程の不備による機密情報の流出

企業の機密情報については、Geminiアプリに入力すべきではありません。従業員としては業務効率化を図るために良かれと思った行為が企業の重大な損失につながる可能性も否定はできません。

企業としては社内ガイドラインで禁止事項を明確に定めておけばこのような事態は回避できます。

4. 【対策】Geminiの危険性を回避する企業の対応策｜社内規程（社内ガイドライン）の作り方

Geminiの利用に伴う危険性を回避し、「攻めのツール」として活用するためには社内規程（社内ガイドライン）の作成が重要です。社内ガイドラインに含めたほうがよい項目を説明します。

① 目的・基本方針の明確化

なぜこの規程を定めるのかという目的と基本方針を明記します。

たとえば、生成AIは業務効率化のために有用である一方、利用方法によっては情報漏洩や法令違反リスク等があるため、会社の業務利用における生成AIの活用についてルールを定めることで安全に生成AIを活用することを目的とする旨の記載が考えられます。

② 利用を許可するサービスの明確化

生成AIの利用を会社が許可したサービスに限定する場合は、その旨を記載する必要があります。たとえば、次のような記載が考えられます。

会社の管理下にある「Gemini for Google Workspace」の利用を許可する場合はその旨を明記することで従業員が安心して利用することができます。

③ 入力禁止情報の記載

Geminiに入力してはいけない情報について列挙します。

たとえば、個人情報や会社の機密情報（顧客リスト、技術情報、財務情報、人事情報等）等の入力を禁止する場合は、個人情報や機密情報の内容を具体的に記載したうえで、禁止する方針について明記します。

④ 禁止事項の明示

Googleの利用規約にある禁止事項に加え、会社の業務に関連する具体的な禁止行為を記載します。

⑤ 生成コンテンツの取り扱いルールの記載

生成された情報は不正確な場合や著作権侵害のリスクがあることを注意喚起し、必ず人間が内容のチェックや加筆・修正を行うことを義務付けます。

⑥ 相談窓口の設置

利用方法に迷った場合や問題を発見した場合の報告や相談窓口を明記します。

⑦ 社内研修や社員教育の実施

社内ガイドラインを策定しても従業員に伝わらないと意味がありません。そこで、社内ガイドラインを前提に社内研修や社員教育の時間を確保することも重要です。

⑧ ガイドラインの見直し

AI技術や関連法規は急速に変化しており、生成AIサービスの利用規約変更・修正も頻繁に行われています。そのため、定期的なガイドラインの修正は必要です。

5. まとめ：Geminiの導入に関するご質問は弁護士までご相談ください。

本記事では、Google Geminiに潜む危険性、特に個人情報や機密情報の漏洩リスクについて、利用規約等に基づき詳しく解説しました。ポイントは次の3つです。

生成AIの利用規約は複雑で、法的な解釈を要する部分も少なくありません。また、どのような内容を規程に盛り込むべきかは、企業の状況によって異なります。

このようなお悩みをお持ちの企業担当者様は、ぜひ一度、弁護士にご相談ください。

貴社の状況を丁寧にヒアリングし、Geminiをはじめとする生成AIの安全な利活用体制の構築を、法的側面から強力にバックアップいたします。顧問契約に関するご相談も承っておりますので、お気軽にお問い合わせください。