「生成AI業務利用規程」策定のポイントと注意点

生成AI業務利用規程とは？

「生成AI業務利用規程」とは、会社が業務を遂行する際の「生成AI利用ルール」を整備し、規程書面として明示したものです。
誤った使い方をして業務上のトラブルが発生すれば、会社に大きな損失を与えてしまうことにもなりかねません。
生成AIを業務利用するにあたっては、はじめに規程をしっかりと整備し、社内における運用ルールを定め、従業員に周知徹底していくことが極めて大事なポイントとなります。

規程で定めておくべき内容

「目的」について

冒頭の重要な項目になります。
規程を定める目的を明確にすることにより、以下の各条項にて定めるべき事項も明確になります。
「生成AI業務利用規程」を定める最大の目的は、「業務上取り扱うすべての情報資産の安全性の確保」や「生成AIの不確実性や他者の権利侵害、不正確な回答の生成といった危険性からの回避」にあると言えるでしょう。

このようなリスクに注意しながらも、生成AIのメリットを最大限に生かして業務を円滑に推進することが「生成AI業務利用規程」を策定する「目的」です。

「定義」について

規程を作成するうえでは、規程内の用語に関する「定義」を定めておくことが重要です。
各用語の定義を明確にしておかなければ、定めたルールがあやふやな形で運用されてしまうことになりかねません。

本規程においては、

• 「情報資産」が会社の保有する何を指すのか
• 「従業員」はどの範囲までを対象としているのか
• 「秘密情報」とは、本規程においてはどの範囲までの情報が対象になるのか

「適用範囲」について

本規程が適用される範囲を明確にしておくための条項になります。

たとえば、適用対象となる「情報資産」や「従業員」の範囲を明確にしておかなければ正しい運用ができないことになってしまいます。

「対象とする生成AIの範囲」について

ひとくちに生成AIといっても、その種類は多岐にわたります。よく名前を耳にする「ChatGPT」をはじめ、様々な生成AIが開発されています。

本規程にて対象とする生成AIは、何を生成するためのものを想定するのか？
対象とする生成AIを明確にしておかなければ、適切な規程の策定・運用はできません。
本規程の適用対象となる「生成AIの範囲」を明確に定めておきましょう。

「遵守事項」について

規程を作成するうえで、最も重要な条項は「遵守事項」です。

これまで説明した条項は、「規程の目的」や「用語の定義」、「規程の対象範囲」などの基本的な前提条件を明確にするものでした。

ここからが本規程の詳細な内容・ルールを定めた条項になります。
そのうえで、「遵守事項」は規程の最も重要な根幹となるルールを定めた条項だといえるでしょう。

まずは、対象となる従業員が遵守すべきこととして

• 生成物の業務目的以外での使用の禁止
• 会社の許可なく第三者へ開示することの禁止
• 利用する生成AIの使用許諾範囲内での利用
• 出力された生成物をそのまま用いることの禁止

「教育研修」について

規程を定めても、対象となる従業員が規程の趣旨や内容を理解したうえで運用しなければ、結果的に業務効率の悪化を招いたり、法的リスクが高まってしまうことにもなりかねません。

本条項では、「生成AI業利用規程」にて定めた内容・ルールを、しっかりと機能した形で運用させるため、説明会の開催や教育に関して具体的な内容を定めます。
説明会のスケジュールや開催の時期等まで定める方法もありますが、規程内では責任をもつ担当部署を明確にしておくに留め、詳細は担当部が定めるといった内容にすることも考えられます。

「外部委託」について

外部へ業務委託する場合について、委託先が生成AI利用に関する「情報漏洩等のリスク回避」や「情報セキュリティ対策」を実施していないと、委託した側の会社が損害を被るリスクがあります。

そこで、業務を委託する場合の委託先の選定条件として、「生成AIに関する取り扱い」がどのようになっているのか確認することを定めておきます。また、「業務委託契約書」においても「生成AIの取り扱いに関する事項」の明記を定めておくことが重要です。

「禁止事項」について

「遵守事項」の条項とは別に、生成AI利用時に「個人情報」「秘密情報」「機密情報」の入力を禁止すること等を明確にしておくことは重要です。

これらの重要な情報が万が一にも外部に漏れてしまうリスクを絶対的に回避するためにも、従業員が絶対にやってはならない「禁止事項」を定める必要があります。これは、生成AIの業務利用から生じ得るリスクの回避策として有効です。

「注意事項」について

「遵守事項」「禁止事項」よりは弱めの条項にはなりますが、生成AIを利用する従業員に気をつけてもらいたい内容を「注意事項」として盛り込んでおいた方がよいでしょう。

内容としては、

• 生成物に対しては、その内容を盲信せずに、その内容の根拠や裏付けを自ら確認すること
• 生成物に対しては、その内容が差別や偏見を含むような偏ったバイアスが含まれている可能性を考慮し、その生成された回答に基づいた判断をすることによるリスクがあることを認識して利用すること
• 生成AIはあくまで業務遂行における補助的なツールに過ぎないことを認識し、業務における判断の責任は各従業員にあることを理解して業務にあたること

「生成AIのポリシー上の制限」について

利用する生成AIによって、サービスのポリシー上、「禁止事項」や「商用利用の可否」、「生成物の知的財産権の帰属先」等、独自の制限を設けていることがあります。

よって、ポリシーをしっかり確認したうえで利用しないと、法的リスクを冒してしまう可能性があります。

「生成AIのポリシー上の制限」の条項を設け、生成AIを利用する際は、必ず利用する生成AIのサービスポリシーをしっかりと確認すること、その上で業務利用することを定めておく必要があります。

「権利の侵害等」について

生成物の使用にあたっては、当該生成物が「著作権侵害」や「登録商標権・登録意匠権侵害」に該当するリスクがあるほか、「パブリシティー権侵害」や「個人情報保護法違反」に該当するリスクもあります。

生成AIによる成果物を利用するにあたっては、このような「権利の侵害等」の可能性があることを認識したうえで必ず事前に調査や検討、事実確認を行うようにすることを定めておきましょう。

テンプレートの活用方法と更新の必要性

テンプレートの活用について

テンプレート（ひな形）を活用してご自身で「生成AI利用業務規程」を作成する際には、現場の意見を聴取しつつ、「自社の業務特有の事情に合った規程内容となっているか」、「本来定めておくべき内容を見落としていないか」など、本当にこの内容でよいのかを慎重に確認し注意して作成する必要があります。

なぜなら、テンプレートはあくまで一般的に盛り込まれることが想定される内容として条項のバリエーションや中身が作成されていますので、各々の業務の内容や目的には合致しない内容となっている可能性が十分にあり得ます。

また、テンプレートを修正しながら作成しているうちに、全体としての整合性が崩れてしまっていることも考えられますので、その点も繰り返し見直しながら注意して作成してください。

作って終わりではない－定期的な見直しを

「生成AI業務利用規程」を作成する時期については、当然運用開始前ですが、生成AIの進化やバージョンアップ、また、社会における取り扱いの状況は日々変化することが想定されます。
従って、一定の時期に見直し・修正をするほか、新たな生成AIを導入する際など、規程を修正するタイミングは頻繁に発生することでしょう。
しっかりと規程を管理できるように、法務部など担当部署を設けて規程管理をおこなうことをおすすめします。

まとめ

現代においてパソコンを業務利用しない人が皆無に等しい時代になったように、これからの時代は生成AIを道具として業務利用しない人が皆無になるであろうことは、おそらく皆感じていることではないでしょうか。
日々進化する生成AIの成長スピードは、パソコンやインターネットが広まったときの比ではないかもしれません。

インターネットを利用する際にウイルス感染などのリスク対策が必須であるのと同じように、生成AIの業務利用におけるリスク回避対策として、しっかりとした「生成AIの業務利用規程」を整備しておくことは必須といえます。
また、単に規程を整備するに留まらず、その内容の周知徹底や規程に沿った運用がされるようにするための措置が重要であることは言うまでもありません。

本コラムが生成AIを業務利用する企業にとって、安全な運用への足掛かりになってくれることを期待しております。

執筆者情報