AI利用規約の作り方｜生成AI活用における著作権・個人情報の注意点

生成AIを社内で活用したいが、「情報漏洩が心配」「著作権の問題はないのか」といった不安から導入に踏み切れない企業は少なくありません。本記事では、社内で生成AIを安全に活用するための利用規約（ガイドライン）の作り方を解説します。著作権や個人情報保護法の観点から押さえるべきポイント、規約に盛り込むべき具体的な項目、そして策定後の運用まで、実務で使える内容をお伝えします。

なぜ今、社内AI利用規約が必要なのか

生成AIの業務活用が急速に広がる中、明確なルールなく運用を始めてしまうと、深刻なトラブルに発展するリスクがあります。総務省と経済産業省が共同で策定した「AI事業者ガイドライン」では、AIの開発・提供・利用に関わるすべての主体が遵守すべき基本的な行動指針が示されています。このガイドラインでは「人間中心」「透明性」「アカウンタビリティ」といった共通の指針が掲げられており、企業がAIを活用する際の羅針盤となっています。

実際に、2023年には大手電子メーカーの従業員がソフトウェアのバグ修正を目的として、社内機密のソースコードをChatGPTに入力し、情報が流出する事件が発生しました。このような事例は、社内ルールが整備されていないことで起こり得る典型的なリスクです。入力されたデータはAIサービス提供者のサーバーに一時的に保存される可能性があり、完全な削除を図ることは難しいとされています。

また、2024年には海上保安庁が公開したパンフレットに使用されたAI生成イラストが、特定のイラストレーターの画風に酷似しているとしてSNS上で大きな批判を浴び、公開中止に追い込まれる事態も発生しています。法的に著作権侵害と認定されたわけではありませんが、企業の評判を大きく損なうリスクがあることを示す事例といえるでしょう。

こうした背景から、生成AIを業務に導入する前に、社内での利用ルールを明文化し、全社員に周知することが不可欠となっています。

社内AI利用規約に盛り込むべき6つの項目

生成AIの社内利用規約を策定する際には、リスク管理と利活用促進のバランスを取ることが重要です。禁止事項を厳しく設定しすぎると、かえって無断利用を招く原因となりかねません。以下の6項目を基本構成として、自社の実情に合わせた内容を検討してください。

まず「利用目的と範囲の明確化」として、生成AIをどのような業務に、どの程度活用するのかを具体的に定めます。文書作成の補助、アイデア出し、翻訳支援など、推奨される用途を明示することで、従業員が迷うことなく活用できる環境を整えられます。

次に「利用可能なAIサービスの指定」です。企業向けの有料プランでは、入力データを学習に使用しない設定が可能なサービスもあります。セキュリティ対策が施された企業向けサービスや、社内に構築したクローズドな環境での利用を推奨し、無料の一般向けサービスの業務利用を制限することが有効です。

「入力禁止情報の明確化」も必須項目です。個人情報、機密情報、取引先から受領した秘密保持契約（NDA）対象の情報などは、原則として入力を禁止する旨を明記します。判断に迷う場合の問い合わせ先も併せて記載しておくとよいでしょう。

「出力結果の取り扱いルール」では、生成された内容をそのまま使用せず、必ず人間によるチェックを経ることを義務付けます。事実確認、著作権侵害の有無、不適切な表現がないかなど、確認すべきポイントを具体的に示します。

「インシデント発生時の対応手順」として、万が一トラブルが発生した場合の報告先、初動対応、関係部門との連携方法を定めておきます。迅速な対応が被害の拡大を防ぐ鍵となります。

最後に「違反時の措置」を明記します。規約違反があった場合の対応について、就業規則との整合性を取りながら規定することで、ルールの実効性を高められます。

著作権侵害を防ぐための具体的対策

生成AIの著作権問題は、「AIの学習データとしての著作物利用」「AIが生成したコンテンツの著作権」「AIによる既存著作物の侵害リスク」という3つの側面から議論されています。企業が生成AIを利用する立場では、特に3つ目の侵害リスクへの対策が重要となります。

文化庁が公表した「AIと著作権に関する考え方について」では、AI生成物が既存の著作物に「類似」しており、かつ既存著作物に「依拠」していると認められる場合に著作権侵害が成立する可能性があるとされています。ここでいう「依拠」とは、既存の著作物を参考にして創作したことを意味します。AIが学習データに含まれる特定の著作物を基に類似した出力を生成した場合、その出力を利用した企業や担当者自身が責任を負う可能性があるのです。

具体的な対策として、まずプロンプト（指示文）の設計に注意を払います。有名アーティストの名前、映画・小説のタイトル、キャラクター名などの固有名詞を使用することは避け、「温かみのある」「シンプルな」といった抽象的な表現でスタイルを指定するようにします。単一の作品を模倣するのではなく、複数のコンセプトを組み合わせることも有効です。

次に、商用利用可能なデータセットのみで学習されたAIツールを選択することでリスクを軽減できます。Adobe FireflyやCanvaなど、商用利用ライセンスされたデータのみで学習していることを明示しているツールを活用することが推奨されます。

さらに、生成したコンテンツを外部に公開する前には、類似性チェックツールでの検証や法務部門の承認を得るプロセスを確立しておくことが重要です。まずは社内利用に限定してAIを活用し、十分な経験を積んでから段階的に外部向けコンテンツに展開するアプローチも効果的です。

個人情報保護法に準拠した運用ルールの作り方

個人情報保護委員会は2023年6月に「生成AIサービスの利用に関する注意喚起」を公表し、生成AIに個人データを含むプロンプトを入力する際の法的リスクについて警告しています。この注意喚起では、個人情報取扱事業者があらかじめ本人の同意を得ることなく個人データを入力し、そのデータが機械学習などに利用される場合、個人情報保護法に違反する可能性があるとされています。

個人情報保護法では、個人情報の利用は取得時に特定した利用目的の達成に必要な範囲内に限定されます。多くの企業では、プライバシーポリシーにおいて生成AIへの入力を利用目的として明示していないため、顧客や従業員の個人データをそのまま入力することは目的外利用に該当する可能性があります。

また、生成AIサービスへの個人データ入力は、サービス提供者への「第三者提供」とみなされる場合があります。特にChatGPTのような海外事業者が提供するサービスでは、外国にある第三者への個人データ提供に関する規制も適用される可能性があり、より慎重な対応が求められます。

実務上の対策としては、まず入力データから個人情報を徹底的に排除する運用を基本とします。氏名、メールアドレス、電話番号、住所など個人を特定できる情報は、必ず匿名化または削除してから入力するルールを徹底します。顧客情報をAIで分析したい場合は、「A社」「顧客X」のように記号化するか、統計的な集計データのみを使用するようにします。

また、利用するAIサービスが入力データを機械学習に利用しない設定（オプトアウト）が可能かどうかを必ず確認します。API利用やビジネス向けプランでは、入力データが学習に使用されない仕様になっていることが多いため、これらの活用を検討することが望ましいでしょう。

規約策定から運用までの5つのステップ

効果的な社内AI利用規約を策定し、実際に機能させるためには、体系的なアプローチが必要です。

第一に、現状把握と目的の明確化を行います。社内でどのような業務にAIを導入する予定なのか、そもそもその業務にAIを導入する必要があるのかという点も含めて検討します。部署ごとにリスクの内容や程度は異なるため、場合によっては部門別にガイドラインの内容を変更することも検討が必要です。

第二に、リスク分析を実施します。生成AIを利用する用途や範囲それぞれについて、情報漏洩、著作権侵害、誤情報の拡散など、どのようなリスクがあるのかを洗い出します。業種によって注意すべきリスクは異なり、製造業では技術情報の流出、金融業では顧客の資産情報や信用情報の保護が特に重要となります。

第三に、規約の草案作成に着手します。日本ディープラーニング協会（JDLA）が公開している「生成AIの利用ガイドライン」のひな形や、各自治体・企業が策定したガイドラインを参考にしながら、自社の実情に合わせた内容にカスタマイズします。法務部門や情報システム部門、そして現場の意見を取り入れながら作成することで、実効性の高い規約が完成します。

第四に、全社への周知と教育を徹底します。規約を作成しただけでは不十分であり、定期的な研修や説明会を実施して、生成AIの利用に関する共通認識を形成することがリスク低減につながります。特に、著作権侵害のリスクや個人情報保護法の規定については、具体的な事例を交えながら説明することで理解が深まります。

第五に、継続的な見直しと更新を行います。生成AIの技術は日々進化しており、法規制やガイドラインも更新されていきます。半年から1年ごとに規約の内容を見直し、最新の状況に即した指針を維持することが重要です。従業員のAI利用状況に応じて改定を重ねることで、実情に沿った規約を作り上げることができます。

御社で今すぐ取り組むべきアクション

生成AIの導入を検討している企業、あるいはすでに利用を開始している企業が、明日から実践できる具体的なアクションを5つ提示します。

1つ目は、現在社内でどのような生成AIサービスがどの程度使われているかの実態調査です。従業員へのアンケートや、情報システム部門でのアクセスログ確認などを通じて、現状を正確に把握することが第一歩となります。

2つ目は、利用中または導入検討中のAIサービスの利用規約とプライバシーポリシーの精査です。入力データが学習に使用されるか、データの保存期間はどうなっているか、オプトアウトの設定は可能かなどを確認し、リスクを評価します。

3つ目は、暫定的な禁止事項リストの作成と周知です。詳細な規約策定には時間がかかるため、まずは「個人情報の入力禁止」「機密情報の入力禁止」「生成結果の外部公開前の上長確認」といった最低限のルールを定め、全社に通達します。

4つ目は、インシデント発生時の報告ルートの確立です。万が一、AIに機密情報を入力してしまった場合や、AI生成物に関するクレームを受けた場合の連絡先と初動対応を決めておきます。

5つ目は、専門家への相談です。著作権や個人情報保護法に関する法的リスクの評価、規約策定のサポート、従業員研修の実施など、外部の専門家の知見を活用することで、より確実な体制構築が可能になります。

まとめ

生成AIの社内活用において、利用規約の策定は単なるリスク回避策ではなく、AIの恩恵を最大限に引き出すための基盤づくりです。著作権侵害や個人情報漏洩のリスクを正しく理解し、適切なルールを整備することで、従業員が安心してAIを活用できる環境が生まれます。本記事で紹介した6つの規約項目と5つの策定ステップを参考に、御社の状況に合わせたガイドラインを作成してください。

生成AIの技術や法規制は急速に変化しています。規約は一度作って終わりではなく、継続的な更新が必要です。AIガバナンスの構築について専門家の支援を受けながら進めることで、より確実で効果的な体制を整えることができるでしょう。

GXOは、AI・自動化支援からDX推進、セキュリティ対策まで、180社以上の企業を支援してきた実績があります。生成AIの社内導入に関するガイドライン策定支援や、AIガバナンス体制の構築についてもご相談を承っております。御社のAI活用を安全かつ効果的に進めるためのパートナーとして、ぜひGXOにご相談ください。

お問い合わせはこちら：https://gxo.co.jp/contact-form