Column
コラム
2026/03/23
AI・IT法務
ChatGPTをはじめとする生成AIサービスの普及は、企業の日常業務を大きく塗り替えつつあります。文書作成、契約書レビュー、議事録の要約、コード生成、顧客対応のドラフト作成——かつては専門職が時間をかけて行っていた業務が、数秒でアウトプットされる時代が到来しました。
しかし利便性の裏側には、看過できない法的リスクが潜んでいます。従業員が何気なくプロンプトに入力した一文が、顧客の個人情報を含んでいたとすれば何が起きるでしょうか。未公開の新製品仕様や進行中のM&A情報をAIに処理させた場合、その情報はどこへ行くのでしょうか。契約上の秘密保持義務は履行されていると言えるのでしょうか。
本稿では、企業法務専門弁護士の立場から、生成AIの社内活用に伴う情報漏洩リスクの構造を整理し、企業が問われる法的責任の範囲、そして実務上採るべき対策を体系的に論じます。
生成AIサービスの大多数は、クラウド上のサーバーでモデルを動作させています。ユーザーがプロンプトに入力した情報は、インターネットを経由してサービス提供事業者のサーバーへ送信されます。この時点で、情報は物理的に企業の管理外に出ることになります。
多くの企業は「データは暗号化されて送信される」という説明に安堵しがちですが、法的観点からは送信・保存行為そのものが問題となり得ます。暗号化は通信経路上の盗聴対策であって、サービス事業者がデータを受領した後の取り扱いを保証するものではありません。
生成AIサービスの利用規約を精読すると、入力データをモデルの改善・再学習に利用することを認めている条項が含まれている場合があります。OpenAIのAPIをデフォルト設定で利用した場合、原則として入力データが学習に使用されないとされていますが、コンシューマー向けの無料プランでは取り扱いが異なることがあります。また、サービスごとに規約は異なり、かつ頻繁に改定されます。
仮に企業の機密情報がモデルの学習データに組み込まれれば、理論上は他のユーザーへの応答に影響を与える可能性があります。これは「情報の拡散」ともいうべき事態であり、一度発生すれば回収は事実上不可能です。
サービス事業者は、品質管理・不正利用検知・法令対応等の目的から、入力・出力のログを一定期間保存することが多くあります。このログは、事業者側のセキュリティインシデントが発生した場合に漏洩するリスクがあります。また、米国企業が提供するサービスでは、CLOUD Act(クラウド法)に基づき、米国政府機関がデータへのアクセスを事業者に求める可能性もゼロではありません。
個人情報保護法(以下「個情法」)は、個人情報取扱事業者に対し、利用目的の特定・通知、第三者提供の制限、安全管理措置の実施等を義務付けています。生成AIサービスの利用が法的問題をはらむのは、主に以下の場面です。
2022年の個情法改正により、漏洩等が生じた際の報告・通知義務が強化されています。AI利用に起因する漏洩が発覚した場合、個人情報保護委員会への報告と本人への通知が義務付けられるケースが多く、企業のレピュテーションへの打撃は計り知れません。
取引先や顧客との契約に秘密保持条項(NDA)が含まれている場合、その情報を生成AIサービスに入力する行為は契約違反となり得ます。特に問題となるのは、従業員が「便利だから」という理由だけでAIを使い、情報の性質や契約上の制約を確認せずに入力してしまうケースです。
企業が独自に保有する技術情報・顧客リスト・営業戦略等は、不正競争防止法上の「営業秘密」として保護される場合があります(同法第2条第6項)。営業秘密として保護されるためには、①秘密管理性、②有用性、③非公知性の三要件を満たす必要があります。生成AIへの無制限な入力は、秘密管理性の要件を損ない、営業秘密としての保護が失われるリスクをはらんでいます。
上場企業にとって、AI利用は内部統制システムの観点からも無視できません。会社法上、取締役は内部統制システムの整備義務を負います(会社法第362条第4項第6号)。情報管理に関する合理的なルールを設けずにAI利用を放置し、機密漏洩が生じた場合、取締役の善管注意義務違反が問われる可能性があります。
また、未公開の重要事実(決算情報、M&A計画等)を生成AIに入力した場合、金融商品取引法上のインサイダー取引規制や情報管理規制との関係も検討が必要です。情報が外部に流出し、それが相場操縦等に悪用された場合には、企業の管理責任が厳しく問われます。
最初に着手すべきは、生成AIの利用に関する社内ポリシーの策定です。「とりあえず禁止」は現実的ではなく、業務効率化の恩恵を捨てることにもなります。重要なのは、利用を許容する範囲と禁止する範囲を明確に区分することです。
実務的には以下の点を規定することが望ましいといえます。
導入するAIサービスの利用規約・プライバシーポリシーを法務部門が精査することは必須です。確認すべき主要ポイントとして、入力データの学習利用の有無、データの保存場所と期間、セキュリティ認証(ISO 27001、SOC2等)の取得状況、データ処理に関する契約(DPA:Data Processing Agreement)の締結可否、準拠法と裁判管轄などが挙げられます。
エンタープライズ向けプランでは、入力データを学習に使用しない旨の保証、データの国内保存、DPAの締結等に対応しているサービスも増えています。追加コストが発生しても、法的リスクの観点からエンタープライズプランの利用を検討すべきケースは多いといえます。
また、オンプレミスでモデルを動作させるローカルLLMの導入も、機密性の高い業務では有力な選択肢となります。データが社外に出ないため、前述のリスクの大部分を回避できます。
技術的・規約的な対策を整えても、実際に情報を入力するのは人間です。従業員が法的リスクを正しく理解していなければ、ポリシーは形骸化します。定期的なトレーニングと、違反した場合の懲戒規定の整備が不可欠です。
就業規則・情報セキュリティポリシーへのAI利用規定の組み込み、入社時・異動時のeラーニング実施、具体的な違反事例を用いたケーススタディ研修などが効果的です。また、「やってしまった場合の報告ルート」を明確にし、早期発見・対処が可能な体制を作ることも重要です。インシデントを隠蔽するより、速やかに報告した方が損害を最小化できるというメッセージを組織内に浸透させる必要があります。
万一、AI利用に起因する情報漏洩インシデントが発生した場合、初動対応の適否が法的責任の大きさを左右します。具体的には、事実関係の迅速な調査と証拠保全、個人データが関係する場合の個人情報保護委員会への報告(原則として72時間以内が目安)、影響を受けた本人への通知、取引先・顧客への適時の連絡とクレーム対応の準備、社内責任の特定と再発防止策の策定が求められます。
対応を誤ると、民事上の損害賠償責任だけでなく、行政処分、さらには刑事責任(不正競争防止法違反等)に発展するリスクもあります。法務部門と外部弁護士が連携し、法的防御ラインを確保しながら対応する体制を平時から構築しておくことが肝要です。
情報漏洩が生じた場合、企業が負い得る損害賠償責任は多岐にわたります。顧客・取引先に対しては、信用毀損・取引上の損失に対する民事賠償が生じ得ます。従業員がNDA違反を犯した場合、会社が使用者責任(民法第715条)を問われる可能性もあります。また、競合他社への情報流出が不正競争防止法違反に問われれば、差止請求・損害賠償請求の対象となります。
判例の蓄積は現時点では限られていますが、AI利用に起因する損害賠償訴訟は今後増加することが予想されます。その際、企業がどれほど適切なガバナンス体制を整備していたかが、過失の有無や賠償額の算定において重要な考慮要素となるでしょう。
生成AIは、企業に競争優位をもたらす強力なツールである一方、適切なガバナンスなしに使えば、法的責任という形で企業の屋台骨を揺るがしかねません。重要なのは、AIを使わないことによる競争劣位のリスクと、無秩序に使うことによる法的リスクを天秤にかけ、合理的なルールのもとで活用を進めることです。
法律・規制の整備は生成AI技術の進化に追いついていないのが現状ですが、それは「グレーゾーンだから何をしてもよい」を意味しません。既存の個情法、不正競争防止法、会社法等の枠組みは、AIが登場する前から情報の適切な管理を企業に求めてきました。その原則は、ツールが変わっても変わりません。
企業法務の役割は、リスクをゼロにすることではなく、リスクを正確に評価し、許容可能な水準に管理しながらビジネスを前進させることです。生成AIの活用においても、この基本姿勢を堅持することが、企業と顧客の双方を守る最善の道です。