生成AIに個人情報/秘密情報を入力する際の法的論点20240318

Transcript

1. 生成AIに個人情報や秘密情報を入力する際の 法的論点 2024.3.18 STORIA法律事務所 弁護士 杉浦健二

2. © STORIA 弁護士杉浦 健二｜[email protected] ▼略歴 企業勤務を経て2007年より弁護士登録 2015年STORIA法律事務所共同設立（神戸事務所・東京事務所） 経済産業省設置デジタルプラットフォーム取引相談窓口（アプリス トア利用事業者向け）法律顧問（2021-） ▼本セミナーに関連する著作等

   『AIプロファイリングの法律問題─AI時代の個人情報・プライバ シー』（共編著、商事法務、2023年11月） 『新アプリ法務ハンドブック』(共編著、日本加除出版、2022年) 『ChatGPTビジネス活用大全』（監修、技術評論社、2023年8月） 「フェーズで理解するアプリサービスの関連法」（ビジネス法務 2023年9月号）ほか ▼生成AIに関する取材・コメント 「チャットＧＰＴ機能、入力情報の行方は 広がる外部サービス、 取り扱い規約ない例も」（朝日新聞・2023年7月9日1面） 「悩み相談・会議録…ChatGPT使う外部サービス、入力情報どこ へ」（朝日新聞デジタル・2023年6月18日） 「『日本は個人情報集めやすい』ChatGPT使うサービスの注意点」 （朝日新聞デジタル・2023年6月18日） 「ChatGPT完全攻略 最新決定版」（週刊ダイヤモンド・2023年6月 10・17日号） 「ChatGPTのオープンAIに注意喚起の行政指導 個人情報保護委」 （朝日新聞デジタル・2023年6月2日） ほか ▼主な取扱分野 個人情報保護法制を踏まえた個人データの利活用、アプリやウェブ サービスを中心としたオンラインビジネスをめぐる法的問題、AI・ データに関する法的問題を主に取り扱う。近年は生成AIビジネスの スキーム構築（ビジネスモデル審査、個人情報、著作権処理など） や社内利用ガイドラインの作成に携わる機会が増えている。 弁護士法人STORIA https://storialaw.jp STORIA法律事務所 パートナー 2

3. © STORIA 本セミナーのテーマ 本日は25分間で、 個人情報（顧客データや従業員データ）や 秘密情報（営業秘密やNDAに基づいて受領した秘密情報）を 生成AIに入力する際の法的留意点について説明します 3

4. 社内情報（個人情報や秘密情報）の入力により 生じる法的リスク 4

5. © STORIA 生成AIへの入力が問題となる主な社内情報（個人情報・秘密情報） 5 社内情報の種類 説明 主な法令 個人情報 （顧客情報、従業員情報など） 生存する個人に関する情報であって、

   ①その情報に含まれる記述等によって特定の個人を識 別できる情報（個情法2条1項1号） ②他の情報と容易に照合できることによって特定の個 人を識別できる情報（同1号） ③個人識別符号を含む情報（同2号） 個人情報保護法 自社の機密情報 （営業情報、技術情報など） 不正競争防止法上の営業秘密に該当すれば、 一定の場合に差止めや損害賠償請求等が認めら れる 不正競争防止法 取引先から契約に基づき 受領した秘密情報 秘密保持契約（NDA）に基づき受領した、 自社（受領者）が秘密保持義務を負う情報 取引先（開示者）にとっては営業秘密に該当す る場合もある 民法（契約法）

6. © STORIA 生成AIへの社内情報入力により生じ得る法的リスク 6 社内情報の種類 生じ得る法的リスク 主な法令 個人情報 （顧客情報、従業員情報など） ・利用目的の範囲内での利用（法18条）

   ・第三者提供規制（法27条、法28条） ・安全管理措置を講じる義務（法23条） 等に違反するリスク 個人情報保護法 自社の機密情報 （営業情報、技術情報など） ・営業秘密の３要件（①秘密管理性②有用性③ 非公知性）のうち①や③が失われるリスク ・公然知られた（公知）発明（法29条1項1 号）となり特許査定が得られなくなるリスク ・機密情報が漏えいするリスク 不正競争防止法 取引先から契約に基づき 受領した秘密情報 秘密保持契約（NDA）で禁止された①秘密情報 の第三者開示や②目的外利用にあたるとして、 差止めや損害賠償請求を受けるリスク 民法（契約法）

7. © STORIA 生成AIを社内導入する際の主なチェックポイント 7 社内規程・ルール （社内生成AI利用ガイドライン、各種規程） 従業員教育 + 自社への導入方法 ・外部サービスとして利用するか／自社システムに組み込むか

   ・外部サービスは単独か／複数か。複数の場合はすべてのサービ スの規約を要チェック 生成AIサービス利用規約 の主なチェックポイント （プライバシーポリシーその他の リーガルドキュメントを含む） （個人情報・秘密情報の観点から） ・入力／出力データの取扱い （学習に利用されるか、不正検知目的での取扱いの利用の有無等。 提供該当性、委託該当性、秘密管理性等に影響） ・守秘義務条項の有無（秘密管理性に影響） ・DPA締結の有無（委託該当性、基準適合体制等に影響） ・運営企業の所在国（個情法28条に影響） ・コンテンツフィルタリングの有無 ・セキュリティ （知的財産権の観点から） ・入力／出力データの知的財産権の帰属と利用条件 （その他） ・生成AIを利用したコンテンツであることの表示義務 ・商用利用の可否、禁止事項 ・一般条項（免責条項、補償、準拠法・裁判管轄等）

8. 生成AIへ個人情報を入力する際の法的留意点 8

9. © STORIA 生成AIへのプロンプト入力時における個人情報保護法上の論点 9 ①入力する プロンプトは 個人情報か 原則として個情法の 問題にはならない NO

   YES ③入力する プロンプトは 個人データか 法27条（個人データ 第三者提供） の問題にはならない ④「提供」 にあたるか NO YES 法27条（個人データ 第三者提供） の問題にはならない 本人から同意取得を 要する（法27条） NO YES NO YES ・個人情報の定義 ・個人データの定義 ・提供元基準 ・クラウド例外 ・PPC「注意喚起」 ・「提供」にあたら なくても安全管理 措置は別途必要 ・QA7-53 ・DPA締結の有無 ②利用目的の 範囲内か 法18条（利用目的に よる制限）違反 NO ・利用目的特定の 程度 ・プロファイリング における利用目的 ・仮名加工情報 YES YES ⑥「外国」に ある者への提 供か 法28条（外国にある 第三者への提供）の 問題にはならない NO YES ⑤「委託」 にあたるか ただし以下に留意： ・安全管理措置（外的環境の把握）を講じる義務 ・保有個人データの安全管理措置について本人の 知り得る状態に置く義務 ・委託にあたる場合、委託先の監督義務 ・不適正利用にあたらないことの確認 ・プライバシーの問題は別途生じ得る ・秘密情報、業法上の守秘義務 ※個人情報取扱事業者が生成AIサービスを 利用する場合を想定 ※主要な論点のみを掲載 ⑦提供先は基 準適合体制を 整備している か 本人から同意取得を 要する（法28条） NO YES 個情法に抵触せずに 利用できる可能性が ある ・個人データの定義 ・プライバシーの 問題は生じ得る ・DPA締結の有無 詳しくはブログご参照⇒https://storialaw.jp/blog/10005

10. 個人情報を生成AIに入力することを、 利用目的で特定する必要はあるか？ 10

11. © STORIA 利用目的の特定（17条） 個人情報取扱事業者が個人情報を取り扱うにあたっては、 利用目的をできる限り特定しなければならない（法17条） ここにいう特定とは、個々の取扱いプロセスごとの特定ではなく、 最終的に達成しようとする目的の特定を指す趣旨（園部=藤原147頁） →「生成AIに入力すること」はプロセスにすぎないので、プライバ シーポリシー等の利用目的で特定する必要はないと考えられる。 ただし本人から得た情報から、本人に関する行動・関心等の情報を分析する場合（いわゆるプ

    ロファイリングを行う場合）は、いかなる情報を分析し、分析結果をいかなる目的で利用する のかの特定までを要する（ガイドライン通則編3-1-1） 例1）「取得した閲覧履歴や購買履歴等の情報を分析して、趣味・嗜好に応じた新商品・サー ビスに関する広告のために利用いたします。」 11

12. 生成AIへの個人データ入力は 個情法における「提供」にあたるか 12

13. © STORIA 個人データの「提供」にあたる場合に負う主な法的義務 13 第三者提供時の 原則同意取得義務 （法27条） 外国第三者提供時の 原則同意取得義務 （法28条）

    委託先の監督義務 （法25条） 安全管理措置を 講じる義務 （法23条） 個人データの 「提供」に あたる場合 負う 負う 負う 負う 個人データの 「提供」に あたらない場合 負わない 負わない 負わない 負う 「提供」にあたるかどうかで、事業者が負う義務は大きく異なる

14. © STORIA 生成AIについて個情委が公表した「注意喚起」 「提供」とは、個人データ等を自己以外の者が利用可能な状態に置くこと（ガイドライン通 則編2-17） →昨年6月に個人情報保護委員会が公表した「注意喚起」からすれば、 生成AIに個人データをプロンプトとして入力する場合でも、 当該プロンプトに対する応答結果の出力目的のみで取り扱われる場合、たとえば生成AIサー ビス事業者の機械学習に利用しない場合などは「提供」にあたらないと整理できる可能性が ある

    →まずは「生成AIサービス側の機械学習に用いられないサービスを利用すること」が、 個人情報保護法上の適法性を保つためには最も重要である 個人情報保護委員会・令和5年6月2日付注意喚起 別添１（１） ② 個人情報取扱事業者が、あらかじめ本人の同意を得ることなく生成AIサービスに個人データを含むプ ロンプトを入力し、当該個人データが当該プロンプトに対する応答結果の出力以外の目的で取り扱われ る場合、当該個人情報取扱事業者は個人情報保護法の規定に違反することとなる可能性がある。 そのため、このようなプロンプトの入力を行う場合には、当該生成AIサービスを提供する事業者が、当 該個人データを機械学習に利用しないこと等を十分に確認すること。 14

15. 生成AIに秘密情報を入力する際の法的留意点 15

16. © STORIA 生成AIと秘密情報 個人情報（個人データ）は ❶不正競争防止法上の営業秘密や ❷取引先との秘密保持契約（NDA）によって 秘密保持義務が課された情報である場合も多い →個人情報（個人データ）だからといって、個人情報保護法のみを 意識していると、片手落ちになる場合も →個情法＋不競法（営業秘密）＋NDAにおける秘密情報を多面的に

    意識しておく必要がある 16

17. © STORIA 生成AIと秘密情報 ❶不競法上の営業秘密 秘密管理性・有用性・非公知性の３要件を満たす情報については 「営業秘密」として不競法上特別な保護がされている（2条6項） ①秘密として管理されている［秘密管理性］ ②生産方法、販売方法その他の事業活動に有用な技術上又は営業上 の情報［有用性］であって、 ③公然と知られていないもの［非公知性］

    →実務上は①秘密管理性の有無が問題になる場合が多い 17

18. © STORIA 生成AIと秘密情報 ❶不競法上の営業秘密 秘密管理性の趣旨: 秘密として管理しようとする情報の範囲が、従業員や取引相手先に 明確化されることによって、従業員等の予見可能性を確保すること →特定の情報を秘密として管理しようとする意思（秘密管理意思） が明確に示され、従業員等の認識可能性が確保される必要がある。 （以上、経産省営業秘密管理指針P5以下）

    →「プロンプトを秘密情報として保持することを利用規約等で定め ていない生成AIサービス」への入力が社内で自由に許されている場 合、入力情報について秘密管理性の要件を欠くものとして、営業秘 密として保護されないリスクが生じる 18

19. © STORIA 生成AIと秘密情報 ❶不競法上の営業秘密 ChatGPTの場合、API版やChatGPTエンタープライズ等に適用され る ”Business terms” では、入力情報と出力情報について、OpenAI 社の守秘義務条項が追記された

    →これらのビジネスサービスに限定して利用を許可することで、 秘密管理性要件を満たせる可能性が高まるといえる 4. Confidentiality 4.1 Use and Nondisclosure. “Confidential Information” means any business, technical or financial information, materials, or other subject matter disclosed by one party (“Discloser”) to the other party (“Recipient”) that is identified as confidential at the time of disclosure or should be reasonably understood by Recipient to be confidential under the circumstances. For the avoidance of doubt, Confidential Information includes Customer Content. Recipient agrees it will: (a) only use Discloser's Confidential Information to exercise its rights and fulfill its obligations under this Agreement, (b) take reasonable measures to protect the Confidential Information, and (c) not disclose the Confidential Information to any third party except as expressly permitted in this Agreement. Business terms Updated Nov 14, 2023 19

20. © STORIA 生成AIと秘密情報 ❷NDAに基づき開示を受けた他社の秘密情報 NDAでは、おおむね ①秘密情報の第三者への開示禁止と ②秘密情報の目的外利用の禁止が定められている 20

21. © STORIA 生成AIと秘密情報 ❷NDAに基づき開示を受けた他社の秘密情報 ①秘密情報の第三者への開示禁止 自社と同等の秘密保持義務を負わせることを条件として、 「委託先」への開示が認められているNDAもある →生成AIへの入力が「委託先」への開示にあたるといえるか？ →サービス規約上、守秘義務を定める生成AIサービスもあるが、 そもそも「委託先」への開示といえるかは不透明

    →生成AIへの秘密情報入力が想定される取引の場合は、 NDAに「生成AIへの入力」を例外事項として定めておくべき 21

22. © STORIA 生成AIと秘密情報 ❷NDAに基づき開示を受けた他社の秘密情報 （生成AIを用いる業務の業務委託契約書における秘密保持条項の例） 前項の定めにかかわらず、受託者は、委託者の秘密情報のうち、当事 者間で合意した情報について、別紙で定める生成AIサービスへ入力する ことができる。 受託者は、当該入力により生成AIサービスから出力された一切の情報に ついて、本契約に定める秘密情報として取り扱う義務を負う。

    22

23. © STORIA 生成AIと秘密情報 ❷NDAに基づき開示を受けた他社の秘密情報 ②秘密情報の目的外利用の禁止 当該NDAに定められた利用目的（例：取引開始の検討等）内での利 用であれば、抵触可能性は低いと整理できる。 ただし、生成AIサービスの学習に利用される場合は目的外利用に該 当すると考えられる。 23

24. © STORIA 生成AIと秘密情報 （まとめ） ❶自社の営業秘密 →守秘義務条項を具備する等、秘密管理性を満たすと考えられる一 定のサービスに限定すれば、入力を許可する方針もあり得る。 →もっとも、そもそも生成AIに営業秘密を入力する必要性が真にあ るのかは慎重に検討するべき。 →機密レベルが高度でない情報に限って入力を認める社内方針はあ

    りうる（極秘→× 部外秘→△ 社外秘→〇） ❷NDAに基づき開示を受けた他社の秘密情報 →NDA上で個別に例外条項で定めない限りは「第三者への開示」に 該当する可能性が否定できないため、できるだけ避けるべき ※なお、生成AIだけに限った話ではない・・ 24

25. まとめ 25

26. © STORIA 生成AIへの入力が問題となる主な社内情報（個人情報・秘密情報） 26 社内情報の種類 説明 主な法令 個人情報 （顧客情報、従業員情報など） 生存する個人に関する情報であって、

    ①その情報に含まれる記述等によって特定の個人を識 別できる情報（個情法2条1項1号） ②他の情報と容易に照合できることによって特定の個 人を識別できる情報（同1号） ③個人識別符号を含む情報（同2号） 個人情報保護法 自社の機密情報 （営業情報、技術情報など） 不正競争防止法上の営業秘密に該当すれば、 一定の場合に差止めや損害賠償請求等が認めら れる 不正競争防止法 取引先から契約に基づき 受領した秘密情報 秘密保持契約（NDA）に基づき受領した、 自社（受領者）が秘密保持義務を負う情報 取引先（開示者）にとっては営業秘密に該当す る場合もある 民法（契約法） 再掲

27. © STORIA 生成AIへの社内情報入力により生じ得る法的リスク 27 社内情報の種類 生じ得る法的リスク 主な法令 個人情報 （顧客情報、従業員情報など） ・利用目的の範囲内での利用（法18条）

    ・第三者提供規制（法27条、法28条） ・安全管理措置を講じる義務（法23条） 等に違反するリスク 個人情報保護法 自社の機密情報 （営業情報、技術情報など） ・営業秘密の３要件（①秘密管理性②有用性③ 非公知性）のうち①や③が失われるリスク ・公然知られた（公知）発明（法29条1項1 号）となり特許査定が得られなくなるリスク ・機密情報が漏えいするリスク 不正競争防止法 取引先から契約に基づき 受領した秘密情報 秘密保持契約（NDA）で禁止された①秘密情報 の第三者開示や②目的外利用にあたるとして、 差止めや損害賠償請求を受けるリスク 民法（契約法） 再掲

28. © STORIA 生成AIを社内導入する際の主なチェックポイント 28 社内規程・ルール （社内生成AI利用ガイドライン、各種規程） 従業員教育 + 自社への導入方法 ・外部サービスとして利用するか／自社システムに組み込むか

    ・外部サービスは単独か／複数か。複数の場合はすべてのサービ スの規約を要チェック 生成AIサービス利用規約 の主なチェックポイント （プライバシーポリシーその他の リーガルドキュメントを含む） （個人情報・秘密情報の観点から） ・入力／出力データの取扱い （学習に利用されるか、不正検知目的での取扱いの利用の有無等。 提供該当性、委託該当性、秘密管理性等に影響） ・守秘義務条項の有無（秘密管理性に影響） ・DPA締結の有無（委託該当性、基準適合体制等に影響） ・運営企業の所在国（個情法28条に影響） ・コンテンツフィルタリングの有無 ・セキュリティ （知的財産権の観点から） ・入力／出力データの知的財産権の帰属と利用条件 （その他） ・生成AIを利用したコンテンツであることの表示義務 ・商用利用の可否、禁止事項 ・一般条項（免責条項、補償、準拠法・裁判管轄等） 再掲

29. © STORIA 機密レベルに応じた社内情報取扱いの例（リスクベース・アプローチ） 29 機密レベル 極秘 （財務経理情報・ 研究情報等） 部外秘 （重要契約書・

    人事情報等） 社外秘 （顧客リスト・ 見積書等） 導入する 生成AIサービス － 学習されない、不正監視されない、 守秘義務条項あり、短期にデータ消 去or保存されない、DPA締結、一定 のセキュリティ認証(ISMS(ISO/IEC 27001)/SOC2レポート等） 左記が望ましいが、 個別の状況により適 宜緩和もありうる （ただし学習されな い仕様は確保） 個人情報 （個人データ） 入力しない 仮名化処理（安全管理措置としての 仮名化又は仮名加工情報への加工） したうえで入力する ※仮名化しても個人情報であること に変わりはない点に注意 左記が望ましいが、 個別の検討により仮 名化なしでの入力を 許す方式もありうる （ホワイトリスト／ ブラックリスト） 自社の機密情報 入力しない 営業秘密に該当する情報を個別に削 除して入力する 左記が望ましいが、 個別の検討によりそ のまま入力もありう る 取引先から契約に 基づき開示を受けた 秘密情報 入力しない 個々のNDAに基づき秘密保持義務の 例外と定めた秘密情報に限り、利用 目的の範囲内で入力する 左記が望ましい

30. ご質問・お問い合わせ 弁護士 杉浦 健二 TEL 03-6711-5160 Mail [email protected] Web storialaw.jp

    X kenjisugiura01 STORIA法律事務所 東京オフィス TEL： 03-6711-5160 〒100-0004 東京都千代田区大手町1-6-1大手町ビル6階 神戸オフィス TEL： 078-391-0232 〒650-0031 神戸市中央区東町123-1貿易ビル3階