1.はじめに
前回は、対内的AIポリシー、すなわちAI社内規程について、これが単なる禁止のためのルールではなく、企業がAIを安全かつ適正に利用するための仕組みであることを確認しました。もっとも、AI社内規程の必要性は、抽象的に説明するだけでは十分ではありません。実際には、どのような場面で問題が生じるのかを具体的に想定しながら、利用ルールを整備していく必要があります。
そこで今回からは、生成AIの利用場面ごとに、企業実務で生じ得るリスクと、AI社内規程整備のポイントを見ていくことにします。まず取り上げるのは、開発情報や営業秘密情報、さらに第三者から提供を受けた秘密情報を生成AIに入力する場面です。
2.想定される事例
例えば、製造業の企業において、開発部門の担当者が、他社と共同開発中の新製品に関する設計図や仕様メモを生成AIに入力し、「改善案を出してほしい」「想定される課題を整理してほしい」と依頼する場面が考えられます。あるいは、研究開発部門が試作品に関する検討メモを貼り付けて要約させたり、新規事業の担当者が公表前の企画資料や価格案を入力して整理させたりすることもあり得ます。
現場の感覚としては、あくまで業務を効率化するための利用であり、外部に情報を公表したつもりはない、という認識であることが多いと思われます。特に、生成AIが日常的な業務ツールとして浸透してくると、「文章を整える」「論点を整理する」といった軽い使い方の延長で、重要な情報まで入力してしまいがちです。
しかし、そこで入力される情報が、未公開の発明や研究データであったり、営業秘密として管理されるべきものであったり、あるいは共同研究先や取引先から秘密保持義務の下で受領した情報であった場合、その入力は単なる業務補助にとどまらず、企業にとって重大な問題につながり得ます。
3.どのようなリスクがあるのか
この場面でまず問題となるのは、情報漏えいのリスクです。生成AIサービスの中には、入力情報が外部サーバー上で処理され、一定期間保存されるものがあります。また、サービスの仕様や設定によっては、入力内容が当該生成AIサービスの学習や品質改善に利用される可能性もあります。そのため、従業員としては「社内の業務のために使っただけ」という認識であっても、企業から見れば、重要情報が統制の及ばない外部環境に置かれることになります。
また、未公開の開発情報との関係では、将来の権利化にも影響が及ぶおそれがあります。企業としては、今後特許出願や意匠登録を予定している情報を扱っていることがありますが、その前段階で管理が不十分であれば、権利化との関係で問題が生じかねません。開発段階の情報は、単に社内資料というだけでなく、将来の事業上の価値そのものにつながっていることが少なくありません。
さらに、営業秘密との関係でも注意が必要です。営業秘密として保護を受けるためには、秘密として適切に管理されていることが前提となります。にもかかわらず、従業員が外部の生成AIサービスへ自由に入力できる状態にあると、秘密管理の実態そのものが問われることになります。重要なのは、実際に情報が流出したかどうかだけではなく、企業としてどのように管理していたのかという点です。
加えて、共同開発先や取引先から受領した情報については、契約上の問題もあります。秘密保持契約や共同研究開発契約の対象となる情報を生成AIに入力した場合、相手方との関係で秘密保持義務違反と評価される可能性があります。共同開発や取引の場面では、自社の情報だけでなく、他社の秘密情報も混在しやすいため、現場任せの判断では対応しきれません。
このように、この類型では、情報漏えいだけでなく、知的財産、営業秘密、契約上の義務が重なり合う点に特徴があります。生成AIの利用が便利であるからこそ、入力する情報の内容によっては、企業の中核的な利益に直接関わる問題が生じることになります。
4.社内規程整備のポイント
このようなリスクに対応するためには、まず、利用するAIサービスを限定することが重要です。従業員が各自の判断で自由に外部サービスを利用する状態では、企業として情報管理を行うことができません。そのため、AI社内規程においては、会社が承認したサービスのみ利用可能とし、学習利用の有無やデータ保存の条件を確認したうえで、利用環境を統制する必要があります。閉域環境や学習に利用されない設定が確保されたサービスであることが、選択の基準となります。
次に、入力してはならない情報の範囲を明確にすることが必要です。単に「機密情報を入力してはならない」と定めるだけでは、現場では、当該情報を入力しても良いのか、判断がつきません。未公開の発明、研究開発中の設計情報、他社から受領した秘密情報、公表前の事業計画や価格情報など、実際の業務に即して具体例を示すことが重要です。AI社内規程は、抽象的な禁止文言を置くだけでなく、現場で迷わないようにするための文書でなければなりません。
さらに、一定の情報については事前承認制を設けることも有効です。たとえば、開発部門、経営企画部門、事業開発部門など、重要情報を扱いやすい部署については、生成AI利用の前に所属長や管理部門の確認を経る運用とすることで、無自覚な入力を防ぎやすくなります。加えて、入力の可否に迷いやすい事例を蓄積し、社内で共有していくことも実務上有益です。
また、教育も欠かせません。問題が生じる場面の多くは、悪意によるものではなく、「この程度なら大丈夫だろう」という曖昧な判断によって生じます。そのため、AIの利用ルールを定めるだけでなく、どのような情報が危険なのか、なぜ入力してはいけないのかを理解してもらう必要があります。社内研修や事例共有を通じて、判断の基準を共通化していくことが求められます。
加えて、既存の秘密情報管理規程や営業秘密管理ルールとの整合も重要です。AI利用に関する規程だけが独立して存在していても、他の情報管理ルールとつながっていなければ、実際の運用は不十分になりがちです。生成AIへの入力も、企業全体の情報管理の一場面として位置付ける必要があります。
最後に、アクセス管理やログ記録の仕組みを整えることも重要です。誰が、いつ、どのサービスを利用し、どのような情報を扱ったのかを一定程度追跡できる状態にしておくことで、問題の早期発見や再発防止につながります。生成AIの利用は、従業員の注意力だけに依存して管理するのではなく、管理できる仕組みの中で運用することが必要です。
5.おわりに
開発情報や営業秘密情報、第三者提供情報を生成AIに入力する行為は、現場では便利な業務支援の一環として行われがちです。しかし、その背後には、情報漏えい、権利化への支障、営業秘密管理上の問題、契約違反といった複数のリスクがあります。だからこそ、企業としては、利用するAIサービスの制限、入力禁止情報の具体化、事前承認、教育、ログ管理といった形で、社内規程を整備しておく必要があります。
生成AIの利便性を活かすためには、「何でも入力してよい」状態を放置するのではなく、「どの情報は入力してはならないか」を全社で共有することが出発点となります。社内規程は、AI利用を止めるためのものではなく、安全に使うための前提を整えるための仕組みであるといえるでしょう。
加藤&パートナーズ法律事務所(大阪市北区西天満)では、関西を中心に企業法務、企業の内部統制構築(AIガバナンス)、AIポリシー・AIガイドライン等のAIツール導入・利用に関する社内規程整備のご相談・ご依頼をお受けしております。