生成AI(ChatGPT、Perplexity、Gemini)の法的リスクと対応策について弁護士が解説
- ChatGPT(OpenAI)(チャットジーピーティー)
- Google Gemini(ジェミニ)
- Perplexity AI(パープレキシティ・エーアイ)
- Microsoft Copilot(マイクロソフト コパイロット)
- Claude(クロード)
生成AIサービスの発展はここ数年で著しいです。今後もより便利なものに発展していくことが想像できます。
生成AIは利便性の点に目が行きがちですが、個人情報が自動学習に利用されるリスクや利用規約で予期せぬ情報の利用方法が記載されているケースもあります。
そのため、企業で生成AIを利用する場合は事前のルール作りが必須といえます。
生成AIの利用規約は複雑です。個人情報保護法との関係も専門家でないと理解が難しいです。
この記事では、弁護士が生成AI(ChatGPT、Perplexity、Gemini)の法的リスクと対応策について解説します。
目次
1. 対話型生成AIの特徴
ChatGPT(OpenAI)
ChatGPTはOpenAIが提供する対話型の生成AIサービスです。生成AIの中でも最も高い知名度があります。
人工知能モデルについても日々進化しており、GPT-1(2018年)から始まり、2025年4月時点で、GPT-4.5まで登場しています。
年に何度も新しいモデルを発表することも珍しくなく、2025年だけで既にGPT-4.5、GPT-4.1などのモデルを発表しています。
Google Gemini
GeminiはGoogleが提供する対話型の生成AIサービスです。
2023年12月にGemini 1.0が発表されて以降、Gemini 1.5(2024年2月発表)、Gemini 2.0(2024年12月発表)、Gemini 2.5(2025年3月発表)と進化を続けています。
Google製品に統合されており、セキュリティが重視されている点に特徴があります。
一言でGeminiといっても、アプリ版(無料)、Workspace版、クラウド版など様々な種類があります。
ビジネス利用を前提とする場合は、Google Workspace に統合されたGemini for Workspaceの利用がおすすめです。
Perplexity
Perplexityは、質問に対してAIが複数の情報源を読み取り、要点をわかりやすくまとめて回答してくれるサービスです。Perplexity AIが提供しているサービスです。
インターネット上の情報源についても引用されるため、出典の確認が容易です。
生成AIサービスをAPI利用しており、運営会社の垣根を越えて検索で使用したいAIモデル(Claude、GPT、Gemini)を選択することができます。
APIとは、Perplexity AIが、生成AIのサービス運営会社(OpenAIなど)に対して料金を支払いシステム利用しているイメージです。そのため、Perplexity AIは独自のAIモデルを開発はしていません。
用途に応じて「どのAIが一番答えが良いか」を試せる点が、他のチャット型AIとの大きな違いです。 
2. 生成AIの利用規約と法的リスク
利用規約を確認する際のポイント
生成AIの利用規約は複雑です。
利用規約、プライバシーポリシー、サービス規約、追加規約など様々な形で規定されているため、分量が多くすべてを確認するのは骨が折れる作業です。
米国サービスが多いので、英語で規定されているものは翻訳機能を使って閲覧します。
チェックする際のポイントは5つです。
① 無料版・有料版など適切な利用規約の確認
無料版と有料版で内容が異なることも珍しくありません。そのため、利用しているサービス内容にあった利用規約を確認するようにしましょう。
② 入力データの取り扱い(学習利用の有無)
生成AIサービスに入力したデータが、AIの学習や他のユーザーのために利用される可能性がないか確認しましょう。
特に、個人情報や機密情報を入力する可能性がある場合は、事前確認必須といえます。
③出力データの取り扱い
生成AIが出力したコンテンツ(画像、文章)について、利用範囲や著作権・知的財産権の帰属がどうなっているのか確認しましょう。
サービスによってはコンテンツの権利帰属が運営会社側に帰属しているケースもあります。
④ 禁止事項の確認
禁止事項の確認を行い、利用方法が違反していないか事前に確認を行いましょう。
サービスによっては個人情報の入力などを禁止しているケースもあります。
⑤情報の利用・管理状況の確認
生成AIサービスに入力した情報がどのように利用・管理されているのか確認をしましょう。 プライバシーポリシーなどに、個人の取得、利用目的、第三者提供の範囲、データの保存期間などが明記されていることが多いです。生成AIサービスに入力した情報の保存期間は各社によっても異なります。
ChatGPTの利用規約
ChatGPTの利用規約等は以下のとおりです。
以上の利用規約等の中から、特に重要な項目について説明します。
① 無料版・有料版など適切な利用規約の確認
ChatGPTでは、無料版と有料版で基本的な利用規約に違いはありません。
ChatGPT Enterprise や ChatGPT Team など、法人・ビジネス向けの有料契約プランを利用している場合は、OpenAI Business利用規約が適用されます。
② 入力データの取り扱い(学習利用の有無)
利用規約には次のとおり記載があります。つまり、ChatGPTに入力したデータや情報が学習利用される可能性があるということです。
本コンテンツの使用
当社は、本サービスの提供、維持、開発、改善、適用法の遵守、当社の規約及びポリシー等の履行請求、及び本サービスの安全性の維持のために、本コンテンツを使用する場合があります。 しかし、次のとおり、学習利用は停止することが可能です。
使用停止(オプトアウト)
当社モデルの学習にお客様の本コンテンツを使用することを望まない場合、このヘルプセンターの記事(新しいウィンドウで開く)の手順に従って使用停止を要求できます。当社の本サービスはお客様の特定の目的にそって処理されるものですが、場合によっては、そのよりよく処理する能力が制限されうることにご留意ください。
ChatGPT Team、ChatGPT Enterprise、APIを含む企業向けサービスでは、デフォルトで入力や出力は学習対象となりません。 OpenAI Business利用規約の該当部分を抜粋します。
3.2顧客コンテンツに関する当社の義務。
当社は、エンタープライズプライバシーコミットメントに従って顧客コンテンツを処理および保管します。当社は、お客様にサービスを提供するため、適用法を遵守するため、およびOpenAIポリシーを施行するために必要な場合にのみ、顧客コンテンツを使用します。当社は、顧客コンテンツをサービスの開発または改善のために使用しません。
組織として統一的にサービスを利用される場合は、無料版と比べると、ChatGPT Team、ChatGPT Enterpriseなど企業向けサービスの方が安心といえます。
③ 出力データの取り扱い
ChatGPTでは、利用者に入出力情報のいずれの権利も帰属するとされています。
本コンテンツの所有権限
お客様とOpenAIの間において、適用法令で認められる範囲で、お客様は、(a)インプットの所有権限は保持し、(b)アウトプットについての権利を有するものとします。当社はアウトプットに関する権利、権原、及び利益がある場合、これらすべての権限をお客様に譲渡します。
ただし、出力データが必ずしも著作権等の権利保護の対象となるとは限らないので注意が必要です。たとえば、出力データが他の著作者の著作権を侵害している可能性もあります。
また、類似コンテンツが複数存在する可能性もあるため、出力データをそのまま商用利用することはおすすめできません。
④ 禁止事項の確認
利用規約で「他者の権利を侵害、悪用、又は侵害する方法で本サービスを使用すること。」などは禁止されています。
使用に関するポリシーでは、適用法令の遵守について次のとおり規定されています。
6.1個人データ。
お客様が本サービスを利用して個人データを処理する場合、(a)法的に適切なプライバシー通知を提供し、本サービスによる個人データの処理に必要な同意を得ること、(b)適用法に従って個人データを処理すること、(c)適用されるデータ保護法で定義されている「個人データ」または「個人情報」を処理する場合は、このフォームに記入して当社のデータ処理補足契約書に署名することが必要です。
⑤ 情報の利用・管理状況の確認
プライバシーポリシーに詳細が規定されています。
OpenAIが取得する個人情報、利用目的、個人情報を第三者提供するケース、情報の保有期間などが規定されています。
たとえば、ChatGPTの一時的なチャットは、安全上の理由から、履歴に表示されず、最大30日間保有されることが記載されています。
Google Geminiの利用規約
Geminiに関連する利用規約等はこちらです。構成としては、Google利用規約や生成AIの利用に関するポリシーはGoogleサービス全般に関わる内容で、アプリ版やWorkspaceは個別でプライバシーハブが作成されています。
① 無料版・有料版など適切な利用規約の確認
Geminiには、アプリ版(無料)、Workspace版など様々な形態があります。
自社で利用しているGeminiがどれに該当するのかを確認のうえで適切なポリシーを確認しましょう。
② 入力データの取り扱い(学習利用の有無)
Gemini for Google Workspaceでは、入力されたデータは機械学習に利用されません。具体的には次のとおり規定されています。
- Gemini とのやり取りが組織外に開示されることはありません。Gemini は、お客様の許可なくコンテンツを組織外に共有することはありません。
- お客様のコンテンツが他のお客様のために使用されることはありません。お客様のコンテンツは、人間によってレビューされることも、許可なくお客様のドメイン外で生成 AI モデルのトレーニングに使用されることもありません。
参考:Google Workspaceの生成AIに関するプライバシーハブ
対して、Geminiのアプリ版(無料)では原則として入力データが機械学習に利用されます。ポリシーの記載は次のとおりです。
Google ではこのデータをプライバシー ポリシーに従って、Google のプロダクト、サービス、機械学習技術(Google Cloud など、Google の企業向けプロダクトも含む)の提供、改良、開発に使用します。
③ 出力データの取り扱い
出力したデータの権利帰属について明確な記載は確認できませんでした。
しかし、出力された回答は、類似のものが多数存在する可能性があり、著作権の帰属も明確でない以上はGeminiが生成したコンテンツをコピー&ペーストで利用するのは控えたほうがよいです。
④ 禁止事項の確認
プライバシーに関する権利や知的財産権など、他者の権利を侵害している、違法行為や法令違反を助長するような使用は禁止されています(生成AIの使用禁止に関するポリシー)。
⑤ 情報の利用・管理状況の確認
Geminiのアプリ版(無料)では、データが機械学習に利用されることに加えて、以下のとおりデータの保存期間も長期に渡ります。
人間(第三者を含む)がレビュアーとなることもあり、その場合は最長3年間保存されます。
人間のレビュアーが確認した、または注釈を付けた会話(および言語、デバイスの種類、位置情報、フィードバックなどの関連データ)は、Google アカウントと切り離して別途保存されるので、Gemini アプリ アクティビティを削除しても消えることはありません。こうした会話は、最長で3年間保存されます。
対して、Gemini for Workspace では、プロンプトや回答は保存されません。人間のレビュアーによって確認されることもありません。具体的には、次のとおりです。
プロンプトはどのくらいの期間保存されますか?
Gemini for Workspace では、プロンプトや回答は保存されません。ユーザーが Gemini for Workspace の操作時に入力したプロンプトは、そのユーザー セッションのコンテキスト以外では使用されません。The life of a prompt: Demystifying Gemini(プロンプトのライフ: Gemini を解き明かす)で説明されているように、Gemini セッションが終了するとデータは消去されます。
Gemini アプリでは、Gemini アプリ アクティビティ(プロンプトや回答など)が Gemini アプリ アクティビティに最大 18 か月間保存されます。チャットとアップロードされたファイルが人間のレビュアーによって確認されることはなく、生成 AI モデルのトレーニングにも使用されません。管理者は、組織の Gemini アプリへのアクセスをオンまたはオフに切り替えることができます。
参考:Google Workspaceの生成AIに関するプライバシーハブ
⑥ 小括:おすすめはGemini for Workspace
ビジネスで利用するシーンとしては、Gemini for Workspaceがセキュリティ面で安心です。
無料版では入力データを学習利用に使用される可能性があり、その他のセキュリティもWorkspace版より劣るためです。
Perplexity AIの利用規約
Perplexity AIに関連する利用規約等はこちらです。
① 無料版・有料版など適切な利用規約の確認
Perplexity AIは、無料版、有料版ともに基本的な利用規約は共通しています。
エンタープライズ向けサービスを利用している場合は独自の規約があるのでそちらを確認する必要があります。
② 入力データの取り扱い(学習利用の有無)
利用規約に以下のとおり規定されています。コンテンツのアクセス・使用・複製などが規定されており、学習利用される可能性があります。
6.4 あなたのコンテンツ。
b サービスを運営するために、当社はあなたのコンテンツに対するライセンス権を取得する必要があります。これにより、サービスを運営するための行動を法的に違反することなく、あなたのコンテンツを利用できるようになります。適用される法律で最大限許可される範囲で、サービスを運営し、改善し、促進し、サービスを提供する目的で、あなたのコンテンツをアクセス、使用、ホスティング、キャッシング、保存、複製、送信、表示、公開、配信、変更するライセンスを私たちに付与します。あなたはこれらの権利およびライセンスがロイヤルティなしで、譲渡可能、再ライセンス可能、全世界で適用可能かつ取り消し不可能なものであり(あなたのコンテンツが当社に保存されている限り)、当社があなたのコンテンツを利用できるようにし、契約上の関連者にそれらの権利を付与する権利があることに合意します。サービスを提供する目的に限定されます。また、当社は法的義務を果たすためにあなたのコンテンツにアクセスしたり、公開したりする権利を有します。
1.2 顧客コンテンツ。
1.2.2 本顧客はPerplexityに対し、本サービスを含むPerplexityの製品及びサービスを提供、維持、改善するために必要な場合は、全ての本顧客コンテンツにアクセスし、使用し、ホストし、キャッシュし、保存し、複製し、送信し、表示し、公開し、配布し、変更するための非独占的、ロイヤルティ無料、譲渡可能、サブライセンス可能、世界的な永久かつ取消不能のライセンスを付与する。また、上記を達成するために必要な場合、又はPerplexityが法的義務を遵守するために必要な場合は、本顧客コンテンツへのアクセス又は第三者への本顧客コンテンツの開示を許可する。上記にかかわらず、Perplexityは、本件出力を生成するPerplexityの基盤モデルのトレーニング、再トレーニング、又は改善に本顧客コンテンツを使用しない。
参考:エンタープライズ向けパープレキシティプロサービス利用規約
③ 出力データの取り扱い
出力データの権利が誰にあるのかについて利用規約上は明らかではありませんでした。
しかし、エンタープライズ版の利用規約では、次のとおりの規定がありました。少なくとも回答内容をそのままコピー&ペーストで利用するのは控えたほうがよいです。
1.2 顧客コンテンツ。
本サービスにより、本顧客及びその認可ユーザーは、本サービスに情報その他の資料を入力、アップロード、及び送信することができ(以下「本件入力」という。)、本サービスはそのような本件入力に基づいて回答を生成する(以下「本件出力」という。)。本顧客又はその認可ユーザーが本サービスを通じて送信する本件入力及び本件出力、並びにその他のコード、ビデオ、画像、情報、データ、テキスト、ソフトウェア、メッセージその他の資料を総称して「本顧客コンテンツ」という。本顧客による本サービスの利用(本件出力を含む。)は、第三者のLLMライセンスに定められたライセンス及び利用制限(該当する場合)の対象となる場合がある。人工知能生成ツールの性質上、本顧客の本件出力は一意ではない可能性があること、及び本サービスの他のユーザーが、同じ又は類似の本件入力が提供されたため、本顧客の本件出力と同じ又は類似の本件出力を作成する可能性があることを本顧客は認識する。本顧客は、これにより、他のユーザーの本件出力が本顧客の本件入力と同じである、又は複製されているという主張について、Perplexityとそのユーザーを放棄し、免責するものとする。
④ 禁止事項の確認
次のとおり、サービスの使用に関して権利侵害やプライバシー侵害の恐れがある入力は禁止されています。
5.2 サービス使用に関する制限。
あなたは、適用される法律や規制がこれらの制限を禁止しているか、または私たちの書面による許可を得ている場合を除いて、サービスの使用に関連して次の行為のいずれかを行ってはなりません。
K.違法、名誉毀損、中傷、過度に暴力的、ポルノ的、プライバシーまたは宣伝の権利を侵害する、嫌がらせをする、虐待する、憎悪する、残酷なコンテンツを提出、送信、表示、実行または保存すること、またはそれ以外の方法でサービスを不適切、過度に暴力的、嫌がらせ、憎悪、残酷、虐待、ポルノ的、暴力または犯罪行為を助長、組織、促進または容易に使用すること。
⑤ 情報の利用・管理状況の確認
プライバシーポリシーやエンタープライズ向けサービス利用規約に詳細が規定されています。
Perplexityの場合は、自社の人工知能モデルがあるわけではないので、利用する委託業者(ChatGPTなど)のセキュリティについても別途考慮する必要があります。 
3. 個人情報保護法との関係での注意点
個人情報保護法の規制
氏名・住所・電話番号など個人を識別できる情報は個人情報として個人情報保護法の適用があります。
個人情報と一口に言っても、個人情報保護法上は「個人情報」、「個人データ」、「保有個人データ」と複数の概念に分けられてそれぞれ規制が異なります。
この記事では、わかりやすさの観点から、まとめて「個人情報」として記載します。
個人情報保護法の概略はこちらの政府広報オンラインをご参照ください。
参考:「個人情報保護法」を分かりやすく解説。個人情報の取扱いルールとは?
個人情報保護法では、個人情報を取得・利用・提供するケースなどで規制を設けています。
対話型生成AIで個人情報を入力する場合は、個人情報保護法との関係で違法とならないかを十分に検討する必要があります。
利用目的の範囲内での利用といえるか
個人情報保護法では、次のとおり、個人情報の取り扱いの際には利用目的の特定を行い、目的達成に必要な範囲で情報を取り扱わないといけないルールです。
(利用目的の特定)
第17条 個人情報取扱事業者は、個人情報を取り扱うに当たっては、その利用の目的(以下「利用目的」という。)をできる限り特定しなければならない。
(利用目的による制限)
第18条 個人情報取扱事業者は、あらかじめ本人の同意を得ないで、前条の規定により特定された利用目的の達成に必要な範囲を超えて、個人情報を取り扱ってはならない。
- 自社商品の改善のため、消費者アンケートで氏名・住所・年齢などの個人情報を取得
- アンケートにはマーケティング・広告で利用される旨の記載がなかった
- アンケートの情報をマーケティングで利用するために個人情報をChatGPTに入力
このケースでは、利用目的として想定できるのは「自社商品の改善のため」という点であり、マーケティングで利用される目的でChatGPTに個人情報の入力をされるのは目的達成のために必要な範囲を超えているため、問題があります。
個人データの第三者提供に該当しないか(生成AIの自動学習に利用されるか)
規制の概要
生成AIに個人情報を入力する場合は、個人データの第三者提供の制限に違反しないかが問題となります。
第三者提供の制限とは、個人データを第三者に提供する場合は、あらかじめ本人の同意を得ないといけない規制です(個人情報保護法27条1項)。
ただし、この制限にもいくつか例外があります。
対話型生成AIの場合は、個人データの委託として本人からの同意の取得が不要となる可能性があります(個人情報保護法27条5項1号)。
また、クラウドサービス提供事業者が、個人データを取り扱わない場合には、個人データを提供したことにはならないため、「本人の同意」を得る必要はありません。
(第三者提供の制限)
第27条
1 個人情報取扱事業者は、次に掲げる場合を除くほか、あらかじめ本人の同意を得ないで、個人データを第三者に提供してはならない。
5 次に掲げる場合において、当該個人データの提供を受ける者は、前各項の規定の適用については、第三者に該当しないものとする。
一 個人情報取扱事業者が利用目的の達成に必要な範囲内において個人データの取扱いの全部又は一部を委託することに伴って当該個人データが提供される場合
機械学習・トレーニング目的で利用される場合
個人情報が、生成AIの機械学習・トレーニング目的で利用される場合は、委託の範囲内と考えるのは困難です。
サービス運営会社が個人データを取り扱っているといえるため、個人情報の入力は原則どおり本人の同意が必要になると思われます。
機械学習・トレーニング目的で利用されない場合
この場合はクラウドサービスが、個人データを取り扱っているのか、また委託の範囲を超えているのかが問題となります。
クラウドサービスが、個人データを取り扱っていない、もしくは委託の範囲での利用の場合は個人情報の入力について本人の同意は不要と解釈することもできます。
他方で、機械学習の目的以外であっても、ポリシーに違反していなか等で個人データを取り扱う可能性がある場合は、第三者提供に該当する可能性及び委託の範囲を超えている可能性があります。
そのため、機械学習・トレーニング目的で利用されない設定をしていても、個人情報の入力は本人への同意が必要となる可能性があります。
外国への第三者提供に該当しないか(越境移転規制)
規制内容(個人情報保護法28条、個人情報保護法施行規則16条)と同意不要なケース
個人情報の入力が、仮に委託型で本人の同意が不要なケースであっても、外国に個人情報が移転するケースでは別の規制があります。
具体的には、外国にある第三者に個人データを提供する場合は原則として本人の同意が必要となります。
しかし、以下のいずれかのケースでは、本規制の対象外となるため、本人の同意は不要となります。
- 「外国」でないこと
- 「第三者」に該当しないこと
- 「個人データを提供する場合」に該当しないこと
ChatGPT、Perplexity、Geminiへの入力は「外国」への提供に該当しないか
以下のケースでは、国外に拠点があったとしても「外国」でないと認定してよいです。
- 国内にサーバがあり、実質的に個人情報が外国に移転していない場合(サーバを運営する外国にある事業者が、当該サーバに保存された個人データを取り扱わないこととなっている場合)
- 外国であっても、十分性認定を受けた国に移転する場合(法28条1項、施行規則15条1項)。個人の権利利益を保護する上で我が国と同等の水準にあると認められる個人情報の保護に関する制度を有している外国は、EU及び英国が該当します(個人情報の保護に関する法律についてのガイドライン)。
参考:個人情報の保護に関する法律についてのガイドライン(外国にある第三者への提供編)
ChatGPT、Perplexity、Geminiの運営会社はいずれも米国企業です。
そのため、十分性認定を受けた国ではないため、「外国」にあたります。
サーバの所在地については、複数箇所あるのが通常です。そのため、国内で処理されているのか、それとも海外のサーバで処理されているのか正確な点は不明です。
以上より、ChatGPT、Perplexity、Geminiを利用する際は「外国」への個人情報の移転だと考えて行動したほうがよいと考えます。
(外国にある第三者への提供の制限)
第28条
1 個人情報取扱事業者は、外国(本邦の域外にある国又は地域をいう。以下この条及び第三十一条第一項第二号において同じ。)(個人の権利利益を保護する上で我が国と同等の水準にあると認められる個人情報の保護に関する制度を有している外国として個人情報保護委員会規則で定めるものを除く。以下この条及び同号において同じ。)にある第三者(個人データの取扱いについてこの節の規定により個人情報取扱事業者が講ずべきこととされている措置に相当する措置(第三項において「相当措置」という。)を継続的に講ずるために必要なものとして個人情報保護委員会規則で定める基準に適合する体制を整備している者を除く。以下この項及び次項並びに同号において同じ。)に個人データを提供する場合には、前条第一項各号に掲げる場合を除くほか、あらかじめ外国にある第三者への提供を認める旨の本人の同意を得なければならない。この場合においては、同条の規定は、適用しない。
※「個人の権利利益を保護する上で我が国と同等の水準にあると認められる個人情報の保護に関する制度を有している外国として個人情報保護委員会規則で定めるもの」について
ChatGPT、Perplexity、Geminiの運営会社は「第三者」にあたるか
個人情報保護委員会規則で定める基準に適合する体制を整備している者(以下「基準適合体制」といいます。)は、「第三者」の対象から外れます。
そのため、ChatGPT、Perplexity、Geminiの運営会社が基準適合体制を整えていると判断できる場合は、個人情報の入力があっても本人の同意は不要となります。
基準適合体制を整えているかどうかの基準は、個人情報の保護に関する法律施行規則16条に規定があります。
(個人情報取扱事業者が講ずべきこととされている措置に相当する措置を継続的に講ずるために必要な体制の基準)
第16条 法第28条第1項の個人情報保護委員会規則で定める基準は、次の各号のいずれかに該当することとする。
一 個人情報取扱事業者と個人データの提供を受ける者との間で、当該提供を受ける者における当該個人データの取扱いについて、適切かつ合理的な方法により、法第4章第2節の規定の趣旨に沿った措置の実施が確保されていること。 二 個人データの提供を受ける者が、個人情報の取扱いに係る国際的な枠組みに基づく認定を受けていること。
現時点で、ChatGPT (運営会社:OpenAI)、Perplexity(運営会社:Perplexity AI)、Gemini(運営会社:Google)が国際的な枠組みに基づく認定(APEC CBPR認定)を受けている情報はないため、16条2号には該当しないものと思われます。
しかし、各社企業向けサービスについてはデータの取り扱いやセキュリティについて厳格な運用を行っているため、1号の要件に該当して「第三者」の対象から外れると解釈する余地があるかもしれません。
「個人データを提供する場合」に該当するのか
機械学習の設定がオフになっており、かつ運営会社が入力された個人情報を取り扱わない運用となっている場合は、そもそも個人データの提供を行っていないと解釈することも可能です。
これは生成AIサービスの運営会社の利用規約やプライバシーポリシーを確認のうえで個別に判断するほかないです。
小括:個人情報保護法の関係で問題がないかの判断は難しい
対話型生成AIが個人情報保護法との関係で問題ないかの判断は非常に難しいです。
最終的には、個別に運営会社の利用規約やプライバシーポリシーなどを調査・分析しつつ判断するしかないです。
4. 企業の法的リスクと対応策
企業の法的リスク
企業の機密情報や個人情報の漏洩は大きな問題に発展する可能性があります。 社員が個々人の判断で生成AIを業務利用している状況は、個人情報保護法違反や情報漏洩リスクがあります。
社員が個々人の判断で生成AIを利用している場合は、無料版であることが多いです。無料版の生成AIは原則として入力情報が自動学習に利用される設定となっています。これは企業にとって非常に大きなリスクといえます。
対応策(生成AIの利用に関する社内規程の作成)
以上のような企業の法的リスクを考えると、できる対策は大きく分けて2つです。
- 生成AIサービスのうち企業型のサービスに加入
- 生成AIの運用体制の構築(社内規程の整備)
②について詳しく説明します。
企業リスクを考えると、生成AIの利用にもルールが必要です。生成AIを業務利用する場合は、必ず社内で生成AIの利用に関する社内規程(ガイドライン)を作成しましょう。
個人情報の入力が適法かの判断は極めて難しいです。
社内で統一的に運用する必要があることを考えると、ルールはシンプルな方がよいです。
そこで、社内で統一的なルールを作成するとすれば、以下の方向性がおすすめです。
- 個人情報の入力は原則として控える。
- プライバシー侵害や著作権侵害のおそれのある情報は入力しない
- 会社の機密情報は入力しない
- 生成AIの回答をそのまま利用しない(類似コンテンツや著作権侵害のおそれ)。
- 社内で利用規約やプライバシーポリシーを精査する体制を整える
5. まとめ:生成AIの利用規約の確認や社内規程の作成は弁護士にご相談ください。
- ChatGPT、Geminiなどの生成AIサービスの利用規約等は複雑で理解が難しいです。
- 個人情報保護法との関係での理解も難しいです。
- 無料版は、原則として入力した情報が学習に使われます。
- 業務利用する場合は、企業版の生成AIサービスを利用するべきです。
- 企業の適正な生成AIサービスの活用のためには、生成AIサービスのガイドライン(社内規程)が必要です。
生成AIサービスの活用で悩んでいる企業様は、生成AIサービスに詳しい弁護士にご相談ください。
※利用規約やプライバシーポリシーについては、原文が英語で記載されているものを翻訳しているところがあります。日本語訳の正確性について保証するものではありません。正確な原文を確認されたい方は、英語版の利用規約をご確認ください。
無料相談実施中
- 監修者
- よつば総合法律事務所
辻 悠祐
