Alerts 法務担当者がおさえておくべき生成AI(Generative AI)の基礎 – Basics for Corporate Counsel to Consider About Generative AI

2023年08月24日

Written by Meghan K. FarmerJon NeiditzJohn M. Brigagliano and Alexander J. Borovsky  (和訳:穐場 仁)

生成系人工知能(「生成AI」)とChatGPTのような生成AIツールは、多くの組織のビジネス方法に革命をおこす大きなチャンスをもっている。生成AIツールを使用すると、アイデアをブレインストーミングし、コンテンツをすばやく生成し、貴重な時間を節約できる。これにより、これらのツールを活用する組織は、活用しない組織と比べて大きな商業的利点を得られる。これらの理由やその他の理由から、多くの組織が生成AIツールを社内のビジネス目的に活用(または活用の準備)をしたり、生成AI製品を開発したり、既存の製品に生成AIを組み込んだりしている。個別の活用事例に関係なく、生成AIには様々な法的リスクが存在する。しかし、情報に精通した弁護士・法務担当者は、これらの法規制上のリスクを軽減させ、組織の生成AI採用を促進し、組織が生成AIから多大な利益を得るのを引き出すことができる。

生成AIに関する主要な法的留意点

生成AIを使用する際の法的問題は個別の事例によって異なり得るが、以下が考慮すべき重要な法的問題である。

  • 生成AIは不正確なコンテンツを生み出す:
    大規模言語モデルは、それ自体として、データベースや他の信頼できるソースからの正確な情報ではなく、有用にもっともらしい一連の単語を生成する。質問者の言葉のニュアンスを敏感に察知するという生成AIの特質は、質問者が聞きたいことを答え、全く不正確な結果を生み出すことが非常に多い。弁護士ならだれでも恐ろしく感じるような実例として、6月、ChatGPTが生成した架空の判例を引用した準備書面を裁判所に提出した2名のニューヨーク州弁護士に制裁が課せられた。生成AI ツールは不正確なコンテンツを生成する可能性があるため、そのようなコンテンツに依存して重要なビジネス上の意思決定を行うことは否定的な結果を招く可能性がある。したがって、生成AI ツールを社内で使用する組織は、社内AIガバナンスを構築し、AIを取り巻くポリシーと手順を策定することをお勧めする。生成AIポリシーは、組織の生成AIの使用に応じて異なるが、例えば以下のようなものがある: (a) 事前に承認されたタスクや基本的な時間短縮タスク以外で生成AIを使用する場合は、事前に承認を得ることを従業員に義務付ける、 (b) 専有情報や機密データを生成AIツールに入力することを禁止する、 (c) 生成AIで作成された文章はすべてドラフトであり、慎重にレビューしなければならないというルールを含める、 (d) 生成AIに関する懸念や苦情がどのように対処されるかのプロセスを決定する、 (e) 生成AIを監督する責任を負う組織の個人(法務、マーケティング、製品、雇用を含む複数の部門の利害関係者で構成される可能性が高い)を選定する、 (f) AIに関する法的状況の進展を考慮したポリシーをどのように改訂するかを検討する。組織が自社の顧客に生成AI製品を提供する場合、組織はこのリスクを軽減するために、生成AIを通じて作成されたコンテンツの正確性と信頼性を否認し、生成AIコンテンツを慎重にレビューし編集するよう顧客に奨励すべきである。顧客に生成AIツールを提供する企業が、不正確、有害、または違法なアウトプットに関するリスクを軽減できる他の方法として、以下が含まれる: (a) リスクの高い業界での顧客による使用を禁止する、 (b) コンテンツ・モデレーション・プロセス(コンテンツの監視プロセス)を実施する、 (c) アウトプットの責任を顧客に移行し、顧客が生成AIツールを使用して違法、有害、中傷的、または侵害的なアウトプットを作成することを禁止する利用規約を作成する。
  • 生成AIが企業秘密や機密情報を公開してしまう場合がある:
    生成AIを商業目的で使用する場合、組織はユーザーがどのような情報を製品に入力し、どのようなガイドラインを導入する必要があるかを考慮しなければならない。生成AIツールに機密情報を入力すると、そのようなデータを生成AIプロバイダーを含む第三者と不注意に共有する可能性があり、企業秘密の保護の喪失、プライバシー制限の違反、特許性のある資料を危険にさらすリスクがある。2023年5月、Samsungは、従業員が生成GPTや類似の生成AI製品の使用することを通じて企業秘密を公開した可能性があるとしてその使用を禁止した。このような状況を避けるために、組織は次のことを検討すべきである。 (a) prompts(質問文)やcompletions(回答)をトレーニング・データと共有しないエンタープライズ・プラットフォームの活用や、サードパーティ・モニタリングからのオプトアウト(学習データからの除外)など、生成AIツールを慎重に選択する、 (b) 生成AIツールを提供できる従業員と出来ない従業員に関する内部ガバナンス、 (c) 生成AIツールを利用する前に、入力情報の所有権に関する生成AIツールの利用規約を確認すること、及び (d) 実行可能な範囲で、組織の機密データを保護するために生成AIツールの設定を調整することである。一方、生成AI製品を顧客に提供する組織は、顧客との利用規約に生成AI製品のインプット、アウトプットの所有権と権利がどのように反映されているかを慎重に検討する必要がある。
  • 生成AI はバイアスを持つ可能性がある:
    生成AI を活用するもう一つのリスクは、生成AI がバイアスや差別を永続させる可能性があることである。データセットの監査により、生成AIのトレーニング・データセットが社会的ステレオタイプ、抑圧的な視点、および社会から疎外されたアイデンティティグループに対する軽蔑的、あるいは有害な関連性を反映していることが明らかになった例もある。2023年4月、米連邦取引委員会(「FTC」)委員長と3つの連邦政府機関の職員は、「自動化システムにおける差別と偏見への取り組みに関する共同声明 (Joint Statement on Enforcement Efforts Against Discrimination and Bias in Automated Systems)」を発表し、生成AIに関連して使用される自動化システムは、パターンを見つけ、相関関係を作成するために膨大な量のデータに依存しているが、そうすることで違法な差別を生じさせる可能性があることを強調した。さらに、偏った商品は、「不公正又は欺瞞的」な商行為を構成する可能性があり、したがって組織はFTCの監視の対象となりえる。生成AI製品を開発または使用する場合、あるいは生成AI製品を提供する場合は、組織は好ましくない偏見がないか定期的にテストする必要がある。
  • 生成AI は、知的財産権侵害のリスクを生み出し、知的財産保護を弱体化させる:
    生成AIは、さまざまな知的財産リスクも提示する。生成AIは、著作権、商標、または特許保護の対象となる情報や資料に依拠する場合がある。実際、生成AIのトレーニングに著作権で保護されたコンテンツを使用することが著作権侵害にあたるかどうかに関して、米国で複数の訴訟が提起されている。1 したがって、生成AI製品が侵害する素材に依拠する可能性があるため、生成AIのアウトプットが知的財産権侵害につながるリスクが生じるかもしれない。組織が生成AI製品を顧客に提供する場合、利用規則において知的財産に関する保証を広範に否認することを検討すべきで、特に現行の米国法では生成AIの完成品に著作権も特許も利用できないということを考慮するべきである(企業秘密は適切な保護の枠組みと管理下にあるが)。
  • 生成AIはデータに関する考慮を必要とする:
    前述のように、生成AIはウェブサイト上で公開されている情報を含む様々なデータ・ソースから情報を取得する場合がある。データ収集は特定の管轄区域では違法となる可能性があるが、データ収集が違法でない場合でも、ウェブサイトの利用規約に違反する可能性がある。生成AIツールのユーザーは、そのようなツールが違法にデータを収集している可能性があることを認識し、生成AIツールを選択する際に注意すべきである。生成AI 製品を開発している組織は、その生成AI 製品がどのようなデータセットでトレーニングされ、どのようなデータセットからデータを取得されているかを理解したいと思うだろう。最後に、生成AI製品を提供する組織は、データ・プライバシー法に基づく要件に合致する可能性があるが、ほとんどの包括的なデータ・プライバシー法は必ずしも生成AIを念頭に書かれたものではない。生成AIの使用において個人データが関係する範囲において、データ・プライバシー法に基づく主要な要件が引き起こされる可能性がある。例えば、 (a) 適切な通知の提供、 (b) データ対象者の権利要求の尊重、 (c) データ保護の影響評価の潜在的実施、 (d) トレーニング・データの使用に関する法的基盤の確立、および (e) データ最小化の概念の遵守である。

AI 規制と施行の概要

現在のところ、多くの国で包括的なAI規制がないため、動向を注意深く見守る必要があることに留意しなければならない。2 米国でも、AIを規制する包括的な法律は存在しない。今のところ、行政機関がAIへの対応を主導して、次のようなことを行っている: (a) 責任あるAIイノベーションを促進するための新たなアクションを発表するホワイトハウスfact sheetの公開、 (b) National Institute of Standards and Technology AI Risk Management Frameworkの作成、 (c) AI権利章典のBlueprint (Blueprint for an AI Bill of Rights)の作成。国際的にも、包括的なAI規制に関して大きな進展が見られている。2023年8月15日、中国の「生成的人工知能サービス管理暫定対策(Interim Measures for the Management of Generative Artificial Intelligence Services)」が発効した。2023年6月14日、欧州議会は、欧州連合のAI法に関する妥協案を正式に採択し、交渉が進められている。人工知能・データ法(Artificial Intelligence and Data Act)を制定しているカナダなど他の国も、最終的には包括的なAI規制を主導する可能性がある。

生成AIを利用または活用する企業にとっては、AIの施行を監視することも重要である。イタリアのデータ保護当局は一時的にChatGPTを禁止したが、OpenAIがChatGPTをめぐる問題に対処、または明確にした後に禁止を解除した。AIがどのように施行されるかについては未知数だが、組織はデータ・サイエンスへの取り組みや自動化された意思決定に関して適用される他の施行から学ぶことができる。特に、2023年5月、FTCはビデオ・ドアベル・カメラプロバイダーに対し、消費者へ580万ドルの返金とデータ、モデル、アルゴリズムの削除を求める命令案(proposed order)を出した。FTCは、従業員や請負業者に消費者のプライベート・ビデオへのアクセスを許可し、同意なしにアルゴリズムを訓練するために顧客のビデオを使用したり、基本的なプライバシーとセキュリティ保護を実施しなかったことで、同社顧客を欺いていたと述べた。この対応は、適切な内部ガバナンスとポリシーおよび手続きの必要性、そしてデータ利用をめぐる消費者への適切な透明性の提供が重要であることを示しており、これは生成AIに関しても適用される概念でもある。

AI に関する規制の枠組みや施行が進化するにつれて、生成AIに関する組織へのアドバイスを任務とする弁護士・法務担当者は、生成AIを取り巻く法的考慮を認識しておくことが重要である。効果的に実施されれば、弁護士・法務担当者は適切なリスク軽減策を効果的に実施し、企業が生成AIツールの使用や提供から利益を得られるようにすることができる。生成AIに関する厳密な法的問題と、最善のリスク軽減方法は、個別の事例によって異なる。本記事に関する質問や個別の事例に関するアドバイスについては、当事務所までお問い合わせください。

Click here for the Original English version.

Footnotes

1 E.g., Silverman, et al. v. OpenAI, Inc., 3:23-cv-03416 (N.D. Cal. July 7, 2023) and Tremblay v. OpenAI, Inc., 3:23-cv-03223 (N.D. Cal. June 28, 2023).
2 AIを特定した法律がないからといって、AIの使用が法的考察の対象にならないわけではないことは言うまでもない。米国にはないが、E.U.には長い間cookieの使用を対象とした法律があった。とはいえ、米国の法律は企業がどのようにcookieを使用すべきかを示している。