生成AI利用時の法的留意点と対応策

Transcript

1. 生成AI利用時の法的留意点と対応策 2025年11月19日 関原法律事務所 弁護士 関原秀行（Sekihara Hideyuki）

2. 弁護士紹介 関原 秀行（せきはら ひでゆき） 総務省で個人情報保護法・電気通信事業法（通信の秘 密）といったデータプライバシーに関する法制度の解 釈・執行などを担当した後、大手IT企業でインハウス ローヤーとして様々なサービス・機能・システムのレ ビューやインシデント対応、プライバシーガバナンス の構築に関与し、情報通信分野の法制度や企業の運用

   実務、テクノロジーに関する豊富な経験と知識を持つ 弁護士です。

3. Agenda 本日は以下の５つをお話しします。 1. 生成AIサービス利用のイメージ 2. 生成AI利用時の論点 3. データ取得と蓄積・保存の場面 4. インプットの場面

   5. アウトプットの場面

4. 生成AIサービス利用のイメージ

5. 生成AIサービス利用のイメージ ユーザー、従業者、公開情報 データ取得 生成AIを利用する企業 生成AIを提供する企業 インプット アウトプット 蓄積・保存 追加学習

6. 生成AIサービス利用のイメージ ユーザー、従業者、公開情報 データ取得 生成AIを利用する企業 生成AIを提供する企業 インプット アウトプット 蓄積・保存 追加学習

7. 生成AI利用時の論点

8. 生成AI利用時の主な論点 論点はいろいろあるけれど 著作権侵害 アウトプット 個人情報保護法違反 機密情報

9. データ取得と蓄積・保存の場面

10. 生成AIサービス利用のイメージ ユーザー、従業者、公開情報 データ取得 生成AIを利用する企業 生成AIを提供する企業 インプット アウトプット 蓄積・保存 追加学習

11. 取得と蓄積・保存の場面における主な論点 （著作権法） ⚫ 取得、蓄積・保存の過程で著作権を侵害しないか？ （個人情報保護法） ⚫ 取得時に利用目的をどこまで具体化すべきか？ ⚫ 要配慮個人情報が含まれる可能性がある場合にどのように対応すべきか？

12. 取得と蓄積・保存の場面における主な論点：著作権法 取得、蓄積・保存の過程で著作権を侵害しないか？ （著作権の侵害） ⚫ 著作物性 ⚫ 著作権侵害行為（複製権、翻案権侵害など） ⚫ 権利制限規定 ⚫

    許諾

13. 取得と蓄積・保存の場面における主な論点：著作権法 取得、蓄積・保存の過程で著作権を侵害しないか？ ⚫ 対象が「著作物」でなければ問題なし ⚫ 「著作物」の場合、取得や蓄積・保存の過程におけるコピー・加工などが著 作権の支分権（著作権を構成する個々の権利）である複製権や翻案権などを侵 害しないかが問題となる。 ⚫ ただし、著作権侵害行為に形式的に該当する場合であっても、権利制限規定

    の要件を満たすときは侵害行為が適法化される。

14. 取得と蓄積・保存の場面における主な論点：著作権法 利用可能性がある主な権利制限規定 ⚫ 非享受利用（著作30条の４第２号） － 情報解析 ⚫ 軽微利用（著作47条の５第２項） － Webクローリング

15. 取得と蓄積・保存の場面における主な論点：著作権法 非享受利用・情報解析（著作30条の４第２号） 著作権法 第30条の４ 著作物は、次に掲げる場合その他の当該著作物に表現された思想又は感情を自ら享 受し又は他人に享受させることを目的としない場合には、その必要と認められる限 度において、いずれの方法によるかを問わず、利用することができる。ただし、当 該著作物の種類及び用途並びに当該利用の態様に照らし著作権者の利益を不当に害 することとなる場合は、この限りでない。 一

    … 二 情報解析（多数の著作物その他の大量の情報から、当該情報を構成する言語、 音、影像その他の要素に係る情報を抽出し、比較、分類その他の解析を行うことを いう。第四十七条の五第一項第二号において同じ。）の用に供する場合 三 …

16. 取得と蓄積・保存の場面における主な論点：著作権法 非享受利用・情報解析（著作30条の４第２号） ⚫ 非享受目的の収集・蓄積行為にも著作30条の４は適用 ⚫ ポイントは対象著作物の享受目的があるかどうか ⚫ 非享受目的と享受目的が併存する場合には著作30条の４は、適用されないと されている（＊） ＊

    文化審議会著作権分科会法制度小委員会「AI と著作権に関する考え方について」（令和６年３月15日） https://www.bunka.go.jp/seisaku/bunkashingikai/chosakuken/pdf/94037901_01.pdf

17. 取得と蓄積・保存の場面における主な論点：著作権法 許諾（著作63条１項、２項） ⚫ 著作権の使用許諾（ライセンス）を得た上、取得や蓄積・保存を行うことは 可能

18. 取得と蓄積・保存の場面における主な論点：個人情報保護法 取得時に利用目的をどこまで具体化すべきか？ ⚫ 利用目的の特定 ⇒個人情報を取り扱うに当たっては、できる限り利用目的を特定しなければなら ない（個17条1項） ⚫ 利用目的の通知・公表 ⇒個人情報を取得した場合は、速やかに、その利用目的を本人に通知・公表しな ければならない（個21条1項）

    ⚫ 利用目的の制限 ⇒本人の同意を得ないで、利用目的の達成に必要は範囲を超えて、個人情報を取 り扱ってはならない（個18条1項）

19. 生成AIサービス利用のイメージ ユーザー、従業者、公開情報 データ取得 生成AIを利用する企業 生成AIを提供する企業 インプット アウトプット 蓄積・保存 追加学習 取得データが個人情報の場合

    ・利用目的の特定 ・利用目的の通知・公表

20. 取得と蓄積・保存の場面における主な論点：個人情報保護法 取得時に利用目的をどこまで具体化すべきか？ ⚫ 「生成AIを利用した分析・学習に用いること」といった具体化まで求められ るのか？ ⚫ 仮に特定する必要がある場合、利用目的の変更規定（個17条2項）で対応可 能か？ ⚫ 本人から得た情報から、本人に関する行動・関心等の情報を分析する場合

    （行動ターゲティング広告、信用スコアリング）、本人が予測・想定できる程 度に利用目的を特定することが求められている（＊） ＊ 個人情報保護委員会「個人情報の保護に関する法律についてのガイドライン（通則編）」（平成28年11月、令和７年 ６月一部改正） https://www.ppc.go.jp/files/pdf/250601_guidelines01.pdf

21. 取得と蓄積・保存の場面における主な論点：個人情報保護法 要配慮個人情報が含まれる可能性がある場合にどのように対応すべきか？ ⚫ 要配慮個人情報の取得は、原則本人同意が必要（個20条２項） ⚫ Webクローリングをした場合などに要配慮個人情報が含まれる可能性あり ⚫ 例外：本人が公開した場合には同意不要（個20条２項７号） ⚫ 個人情報保護委員会「Open

    AIに対する注意喚起の概要」 ⚫ 直近のいわゆる「３年ごと見直し」

22. 取得と蓄積・保存の場面における主な論点：個人情報保護法 要配慮個人情報が含まれる可能性がある場合にどのように対応すべきか？ ⚫ 個人情報保護委員会「Open AIに対する注意喚起の概要」 － 収集されない取組み － 収集後の減少措置 －

    発覚した場合の削除・非識別化措置 など ⚫ 今後の展開：いわゆる３年ごと見直し － 一定の要件を満たす場合、統計作成等の目的のために本人同意なく公開さ れている要配慮個人情報が取得可能となる可能性

23. リスク低減策：取得と蓄積・保存の場面 ⚫ 著作物を取得・蓄積しない ⚫ 複製等防止措置がとられているものは取得しない ⚫ 許諾（ライセンス）を得る ⚫ 非享受目的として取得・蓄積する ⚫

    取得時に個人情報の利用目的（生成AI利用）を特定する ⚫ 要配慮個人情報への対応

24. インプットの場面

25. 生成AIサービス利用のイメージ ユーザー、従業者、公開情報 データ取得 生成AIを利用する企業 生成AIを提供する企業 インプット アウトプット 蓄積・保存 追加学習

26. インプットの場面における主な論点 （著作権法） ⚫ インプットに伴う複製等が著作権を侵害しないか？ （個人情報保護法） ⚫ 特定、通知・公表した利用目的の範囲内での利用か？ ⚫ 第三者提供規制に反しないか？ ⚫

    外国にある第三者提供規制に反しないか？ ⚫ 安全管理措置、保有個人データの法定周知事項には対応できているか？ （その他） ⚫ AIサービス規約、機密情報、営業秘密、NDA

27. インプットの場面における主な論点：著作権法 インプットに伴う複製等が著作権を侵害しないか？ ⚫ 基本的には、取得や蓄積・保存の場面と同様、対象が著作物かどうか、権利 制限規定（著作30条の４、47条の５など）が適用されるかを検討する。 ⚫ AIの学習目的として学習用データをインプットする場合には、著作30条の４ が適用される可能性 ⚫ 許諾（ライセンス）の範囲内であれば利用可能

28. インプットの場面における主な論点：個人情報保護法 特定、通知・公表した利用目的の範囲内での利用か？ ⚫ 取得時に特定した上、通知・公表した利用目的の範囲内かを確認する。 ⚫ 特定した利用目的の範囲を超える場合、利用目的の変更規定（個17条２項） により対応できないかを検討する。

29. 生成AIサービス利用のイメージ ユーザー、従業者、公開情報 データ取得 生成AIを利用する企業 生成AIを提供する企業 インプット アウトプット 蓄積・保存 追加学習 インプットが個人情報の場合

    「利用目的の範囲内」で取り扱う

30. インプットの場面における主な論点：個人情報保護法 第三者提供規制に反しないか？ ⚫ 個人データ（データベースを構成する個人情報）を第三者に提供するために は、原則として本人の同意が必要（個27条1項） ⚫ ただし、委託に伴って個人データを提供する場合には、本人同意なく提供が 可能（個27条5項1号） ⚫ また、提供先の事業者（クラウドサービス提供事業者など）が個人データを

    取り扱わないこととなっている場合（例：取り扱わない旨の契約条項＋適切な アクセス制御）には、提供に該当せず、本人同意は不要（いわゆるクラウド例 外）

31. 生成AIサービス利用のイメージ ユーザー、従業者、公開情報 データ取得 生成AIを利用する企業 生成AIを提供する企業 インプット アウトプット 蓄積・保存 追加学習 インプットが個人データの場合

    以下のような整理が必要 ・通常の第三者提供（同意） ・委託 ・クラウド例外

32. インプットの場面における主な論点：個人情報保護法 外国にある第三者提供規制に反しないか？ ⚫ 個人データの提供先が外国にある第三者（外国法人など）である場合、原則 として本人の同意が必要（個28条1項、2項） ⚫ 基準適合体制を整備した上、必要な措置を講じている場合、本人同意なく提 供することが可能（個28条1項、3項）

33. 生成AIサービス利用のイメージ ユーザー、従業者、公開情報 データ取得 生成AIを利用する企業 生成AIを提供する企業 インプット アウトプット 蓄積・保存 追加学習 インプットが個人データであり

    提供先が外国にある第三者である場合 以下のような整理が必要 ・本人からの同意取得 ・基準適合体制＋必要な措置

34. インプットの場面における主な論点：個人情報保護法 個27条、28条について実務上とり得る整理 ⚫ 同意スキーム －個27条、28条：同意を取得 ⚫ 委託＋基準適合体制（＋必要な措置） －個27条：「委託」と整理する －個28条：基準適合体制＋必要な措置 ⚫

    クラウド例外 －27条、28条：クラウド例外

35. インプットの場面における主な論点：個人情報保護法 安全管理措置義務への対応 ⚫ 取り扱う個人データの漏えい、滅失、毀損の防止その他の安全管理措置を講 じなければならない（個23条） ⚫ 個人データの取り扱いを委託する場合には、委託先を監督しなければならな い（個25条）

36. 生成AIサービス利用のイメージ ユーザー、従業者、公開情報 データ取得 生成AIを利用する企業 生成AIを提供する企業 インプット アウトプット 蓄積・保存 追加学習 クラウド例外の場合

    →安全管理措置義務に対応

37. 生成AIサービス利用のイメージ ユーザー、従業者、公開情報 データ取得 生成AIを利用する企業 生成AIを提供する企業 インプット アウトプット 蓄積・保存 追加学習 インプット

    個人データの取り扱いを委託 →委託先の監督義務に対応 個人データの取り扱いを委託

38. インプットの場面における主な論点：個人情報保護法 委託先の監督義務への対応 ① 適切な委託先の選定 ② 委託契約の締結 ③ 委託先における個人データ取扱状況の把握 ＊参考：個人情報保護委員会「クラウドサービス提供事業者が個人情報保護法上 の個人情報取扱事業者に該当する場合の留意点について（注意喚起）」（令和6

    年3月25日） https://www.ppc.go.jp/files/pdf/240325_alert_cloud_service_provider.pdf

39. インプットの場面における主な論点：個人情報保護法 保有個人データの法定周知事項への対応 ⚫ 保有個人データに関し、講じている安全管理措置を本人の知り得る状態に置 く必要（個32条１項・政令10条１号） ⚫ 周知事項である安全管理措置には、外的環境の把握も含まれる（保有個人 データを取り扱う外国の名称を明らかにする必要） ⚫ 例えば、以下のようなケースは、外国で取り扱っているものと解される。

    －海外法人への委託・再委託 －クラウド例外（海外法人、海外保管など）

40. インプットの場面における主な論点：その他 AIサービス規約 ⚫ AI基盤モデルのサービスは、利用規約などを用意しているのが通常 ⚫ それらのサービスと連携したシステム・サービスの場合、当該システム・ サービスの利用規約等に、利用しているAI基盤モデルや当該モデルサービスの 規約・遵守事項が記載される等している ⚫ 利用規約や遵守事項は一読した上、必要に応じて社内ルール等に盛り込む。

41. インプットの場面における主な論点：その他 機密情報、営業秘密、NDA ⚫ 社外秘・機密情報や自社の「営業秘密」をインプットして問題ないのか？ ⚫ NDAを締結して他社から受領した「秘密情報」をインプットして問題ないの か？

42. インプットの場面における主な論点：その他 営業秘密について ⚫ 営業秘密（不競法２条６項）（秘密管理性、有用性、非公知性） ⚫ 「秘密管理性」が欠けないかが論点 ⚫ 経済産業省「営業秘密管理指針」（平成15年１月30日、最終改訂：令和７年 ３月31日） https://www.meti.go.jp/policy/economy/chizai/chiteki/guideline/r7ts.pdf

43. リスク低減策：インプットの場面 ⚫ 著作物をインプットしない ⚫ 許諾（ライセンス）の範囲内で利用する ⚫ プロンプトを工夫（非享受目的、生成物の著作物性） ⚫ クリアランス済のAI、機能（学習の有無を含む）を利用 ⚫

    インプット可能なデータ、ケースをルール化 ⚫ AIサービスの規約・遵守事項の確認・ルール化

44. アウトプットの場面

45. 生成AIサービス利用のイメージ ユーザー、従業者、公開情報 データ取得 生成AIを利用する企業 生成AIを提供する企業 インプット アウトプット 蓄積・保存 追加学習

46. アウトプットの場面における主な論点 （著作権法） ⚫ アウトプット時の生成やその後の利用が著作権を侵害しないか？ （個人情報保護法） ⚫ プライバシー観点でセンシティブな情報（要配慮個人情報相当の推知情報を 含む）がアウトプットに含まれないか？ （その他） ⚫

    機密情報や個人情報が社外に流出しないか？ ⚫ ハルシネーションへの対応は問題ないか？

47. アウトプットの場面における主な論点：著作権法 アウトプット時の生成やその後の利用が著作権を侵害しないか？ ⚫ 生成が著作物の複製、翻案等に該当し、著作権侵害に当たらないか？ － 類似性：創作的表現が共通 － 依拠性：既存の著作物をもとに創作 ⚫ 著作30条の４第２号は、情報解析における権利制限規定であるため、解析結

    果としての生成と生成物の利用には適用されない。 ⚫ 検討過程における利用（著作30条の３）、軽微利用（著作47条の５）は要件 を満たせば利用できる可能性 ⚫ 許諾（ライセンス）

48. アウトプットの場面における主な論点：個人情報保護法 プライバシー観点でセンシティブな情報（要配慮個人情報相当の推知情報を含む） がアウトプットに含まれないか？ ⚫ 「要配慮個人情報」の取得として本人同意が必要となるか？ ⚫ 推知情報の生成は、「要配慮個人情報」の取得には当たらないと解されてい る。 ⚫ ただし、プライバシーの観点で配慮が必要（例：従業者に関する推知情報が

    アウトプットとして出力されて他の従業者も閲覧可能となる等）

49. アウトプットの場面における主な論点：その他 ハルシネーション：生成AIが事実と異なることをもっともらしく回答すること ⚫ ハルシネーションが生じうることを認識した上、社内ルールを策定する。 ⚫ to C向けに生成AIを利用する場合、ハルシネーションについて利用規約等で 説明する。 ⚫ RAGの活用

    ⚫ 用途を限定し、アウトプットを社外に展開する場合、人間もチェック

50. リスク低減策：アウトプットの場面 ⚫ センシティブな情報が生成された場合のルール策定・連携フローの構築 ⚫ ハルシネーションに対応するための技術・運用上の対応

51. ご清聴ありがとうございました 関原秀行（せきはらひでゆき） X（旧Twitter） Mail ：@Hide_Sekihara ：[email protected]

52. 本資料はリーガルアドバイスを目的とするものではなく、個別の案件については当 該案件の個別の事情に応じ、弁護士の適切なアドバイスを求めていただく必要があ ります。 また、本資料に記載の見解にわたる部分は、当職の個人的見解であり、当職が所属 し、または過去に所属した組織の見解ではありません。