ChatGPTのようないわゆる生成AIを利用する場合、センシティブな情報の入力との関係ではどのような問題があり得るでしょうか。
第三者が提供する生成AIサービスに個人情報、営業秘密や契約上の秘密情報等の利用者が保有するセンシティブ情報を入力する場合、個人情報保護法違反や、営業秘密、秘密情報の流出という点が問題となります。
1 個人情報の入力
個人情報(個人データ)を生成AIに入力しようとする場合、以下のような点が懸念されます。
(1)当該入力が、プライバシーポリシー等で通知又は公表している個人情報の利用目的の範囲内か
個人情報は、特定の利用目的の達成に必要な範囲を超えて取り扱ってはならないとされています(個人情報保護法18条1項)。
したがって、個人情報を生成AIに入力しようとする場合には、まず通知又は公表している個人情報の利用目的に基づく入力なのか否かを検討する必要があります。
(2)第三者たる生成AIサービス提供者に個人情報を提供することにならないか、また、当該提供者が外国法人等ではないか
個人データの第三者提供に該当する場合は原則として本人の同意を要するとされています(同法27条1項)。また、「外国にある第三者」への個人データの提供に該当する場合も、原則として本人の同意を要するとされています(同法28条1項)。
この点、生成AIサービス提供者が当該個人データを取り扱わないこととなっている場合(契約条項によって当該提供者がサーバに保存された個人データを取り扱わない旨が定められており、適切にアクセス制御を行っている場合等。[1])には、当該第三者に個人データを提供したことにはならないため、「本人の同意」を得る必要はありません。
したがって、生成AIサービスに個人情報を入力する場合には、当該サービスの利用規約や契約内容を確認し、サービス提供者が入力された情報をどのように取り扱うことになっているかを検討する必要があります。
2 営業秘密の入力
営業秘密を生成AIに入力しようとする場合(そもそも入力情報が営業秘密か否かという点も難しい判断となりますが)、入力された情報が生成AI提供者においてどのように取り扱われるのかを検討する必要があります。
例えば、ChatGPTを提供するOpenAIの規約類を確認すると、ユーザーがChatGPTを介して入力した情報、受領した出力結果は、原則としてOpenAIにより使用することができると規定されています。
※Terms of use:Content, Our Use of Content(2023年11月14日更新版)
https://openai.com/policies/terms-of-use
| Our Use of Content. We may use Content to provide, maintain, develop, and improve our Services, comply with applicable law, enforce our terms and policies, and keep our Services safe. |
他方、OpenAIのデータ保持、利用はオプトアウトできるとされていたり、事業者向けサービス(API版、エンタープライズ版)を利用する場合にはOpenAIにより使用されることがない、また、機密情報として取り扱われ得るといった例外があります。
※前記Terms of use :Content, Opt Out
| Opt Out. If you do not want us to use your Content to train our models, you can opt out by following the instructions in this Help Center article. Please note that in some cases this may limit the ability of our Services to better address your specific use case. |
※Business Terms:3.2、4.1(2023年11月14日更新版)
https://openai.com/policies/business-terms
| 3.2 Our Obligations for Customer Content. We will process and store Customer Content in accordance with our Enterprise privacy commitments. We will only use Customer Content as necessary to provide you with the Services, comply with applicable law, and enforce OpenAI Policies. We will not use Customer Content to develop or improve the Services. 4.1 Use and Nondisclosure. “Confidential Information” means any business, technical or financial information, materials, or other subject matter disclosed by one party (“Discloser”) to the other party (“Recipient”) that is identified as confidential at the time of disclosure or should be reasonably understood by Recipient to be confidential under the circumstances. For the avoidance of doubt, Confidential Information includes Customer Content. Recipient agrees it will: (a) only use Discloser’s Confidential Information to exercise its rights and fulfill its obligations under this Agreement, (b) take reasonable measures to protect the Confidential Information, and (c) not disclose the Confidential Information to any third party except as expressly permitted in this Agreement. |
※Enterprise privacy at OpenAI(2024年1月10日閲覧)
https://openai.com/enterprise-privacy
| Does OpenAI train its models on my business data? No. We do not use your ChatGPT Team, ChatGPT Enterprise, or API data, inputs, and outputs for training our models. |
このように、生成AIサービス提供者が、ユーザーから入力された情報を秘密として保持し、再学習等を目的とした利用も行わないという状況であれば、営業秘密として保護されるために求められる秘密管理性、非公知性(不正競争防止法2条6項)が保たれる可能性があります。
3 秘密情報の入力
営業秘密と類似する情報として、取引先から提供された秘密情報を入力してよいかという問題もあります。
秘密情報は、営業秘密と異なり、その第三者への開示及び目的外の利用が直ちに契約違反となる可能性が高いため、生成AI提供者の取扱い如何に関わらず、情報開示者の明確な同意がない限り、生成AIへの入力は避けるべきと考えられます。
4 おわりに
以上のとおり、生成AIの利用に際して、センシティブな情報については、特別な注意が必要です。
また、上記のような法的な問題をクリアしたとしても、生成AIサービス提供者による漏えい等の事故のリスクもありますので、契約内容やセキュリティ水準の開示文書を慎重に検討したうえで、上記(2)記載のように利用規約に基づいて情報が保護される場合や、自社のネットワーク内で完結する生成AIを利用する場合でない限りは、上記センシティブな情報を入力しないのが安全といえます。
2024年2月19日
[1] 個人情報保護委員会FAQ
https://www.ppc.go.jp/all_faq_index/faq1-q7-53/ 参照。
