Column

はじめに――「気づいたら社員がChatGPTを使っていた」は珍しくない

「うちの社員がいつの間にかChatGPTで議事録を作っていた」「顧客の情報を入力して提案書を作っていた」――そんな声が、中小企業の経営者・管理職の方から増えています。

AIツールは確かに便利です。業務効率は格段に上がりますし、コスト削減にもつながります。しかし、使い方を誤ると、機密情報や個人情報の漏洩、著作権侵害、契約上の義務違反など、重大な法的リスクを会社が負うことになります。

本記事では、企業法務の観点から、AIツールの業務利用に伴う法的リスクと、中小企業が今すぐ取り組むべき社内ルール整備のポイントを解説します。

第1章　なぜAIツール利用が問題になるのか

AIツールへの入力情報はどこへ行くのか

ChatGPTをはじめとする多くの生成AIサービスは、ユーザーが入力した情報をサービス提供会社のサーバーへ送信します。無料プランや初期設定のままでは、入力されたデータがAIの学習に使われる可能性があります。

これは、会社の機密情報（新製品情報、未公開の財務データ、取引先との交渉内容など）や顧客・従業員の個人情報がサービス提供会社に渡り、さらには不特定多数の利用者に間接的に漏洩するリスクを意味します。

実際に起きた海外の事例

2023年、韓国の大手半導体メーカーで、従業員がChatGPTに機密コードや会議内容を入力し、機密情報が漏洩したとされる事例が報じられました。これを受け、同社はChatGPTの社内利用を禁止しました。日本でも政府機関や大手企業が相次いで利用制限のガイドラインを策定しています。

中小企業だからといって無関係ではありません。むしろ、情報管理体制が脆弱な中小企業ほど、法律の知識がないまま利用が広がりやすい環境にあります。

第2章　情報漏洩が生じた場合の法的責任

個人情報保護法上の責任

顧客や従業員の個人情報をAIツールに入力して漏洩した場合、個人情報保護法上の安全管理措置義務（20条）違反に問われる可能性があります。個人情報取扱事業者（ほぼすべての企業が該当）は、個人データの漏洩・滅失・毀損の防止のために必要かつ適切な措置を講じなければなりません。

違反した場合、個人情報保護委員会からの是正命令・勧告、さらには罰則（1億円以下の罰金）が科される可能性があります。また、被害を受けた顧客等から損害賠償請求を受けるリスクもあります。

秘密保持義務違反・契約違反

取引先との契約書に秘密保持条項（NDA）がある場合、その取引先の情報をAIツールに入力することは、秘密保持義務違反となる可能性があります。損害賠償請求や契約解除のリスクが生じるだけでなく、取引関係の破綻につながることもあります。

また、AIサービス自体の利用規約にも注意が必要です。利用規約で「入力データを機械学習に使用する」と規定されているサービスに機密情報を入力することは、取引先との守秘義務に違反するおそれがあります。

不正競争防止法上の営業秘密漏洩

会社が管理している営業秘密（顧客リスト、製品の製造方法、価格戦略など）がAIツール経由で外部に流出した場合、不正競争防止法上の営業秘密侵害に関する問題が生じることもあります。民事上の損害賠償請求はもちろん、悪質な場合には刑事罰の対象にもなります。

第3章　著作権・知的財産権のリスク

AIが生成したコンテンツの著作権問題

AIツールが生成した文章・画像・コードなどを業務に使用する際には、著作権上のリスクも考慮する必要があります。現状、日本の著作権法ではAIが生成したコンテンツには著作権は発生しないとされていますが（人間の創作的関与が認められる場合は別）、AIの学習データに著作権で保護されたコンテンツが含まれている場合、生成物が既存の著作物に類似している可能性があります。

特に、イラスト・デザイン・プログラムコードなどをAIで生成して商用利用する際には注意が必要です。生成物が第三者の著作権を侵害していた場合、会社は損害賠償責任を負う可能性があります。

AIへの入力コンテンツの著作権

逆に、社内の既存コンテンツ（マニュアル、提案書、設計書など）をAIツールに入力する行為が、コンテンツの著作権者の権利を侵害しないかという点も確認が必要です。外部のライターや設計会社が作成したコンテンツには、著作権が残っている場合があります。

第4章　今すぐ整備すべき社内ルールのポイント

（1）AIツール利用ポリシーの策定

まず、「AIツール利用に関する社内ポリシー」を文書化することが最優先です。ポリシーには以下の項目を盛り込むことをお勧めします。

• 利用可能なAIツールの指定：会社として承認したツールのみを業務に使用できる旨を明記する
• 入力禁止情報の明示：個人情報、機密情報、取引先の秘密情報、未公開の財務情報などをAIに入力することを禁止する
• アウトプットの取り扱い：AIが生成したコンテンツをそのまま使用せず、必ず人間が確認・修正することを義務付ける
• 報告義務：AIツールの利用状況を上長に報告する仕組みを設ける

（2）承認済みツールの選定と設定

業務で利用するAIツールは、企業向けプランを選択することが重要です。例えば、OpenAIの「ChatGPT Enterprise」やMicrosoftの「Copilot for Microsoft 365」は、入力データをAIの学習に使用しない設定が可能です。

個人向けの無料プランと企業向けプランでは、データの取り扱いが大きく異なります。コストをかけてでも企業向けプランを採用するか、社内に自前のAI環境を構築することを検討してください。

（3）就業規則・秘密保持誓約書の整備

AIツールの利用ルールを就業規則に明記し、従業員が業務でAIツールを使用する際の義務と禁止事項を法的拘束力のある形で規定することが必要です。また、入社時・定期的に秘密保持誓約書を締結し、AIツールへの機密情報入力が義務違反となることを従業員に周知させることも重要です。

（4）従業員教育の実施

ルールを整備しても、従業員が内容を理解していなければ意味がありません。定期的な研修を実施し、以下の内容を周知徹底してください。

• AIツールのリスクについての基礎知識
• 入力してはいけない情報の具体例（顧客の氏名・連絡先・取引先の情報・社内の未公表データ等）
• 万が一誤って機密情報を入力してしまった場合の報告フロー
• 違反した場合の懲戒処分の可能性

（5）インシデント対応手順の整備

万が一、従業員がAIツールに個人情報や機密情報を入力してしまった場合の対応手順も事前に整備しておく必要があります。個人情報保護法では、個人データの漏洩等が生じた場合、個人情報保護委員会への報告と本人への通知が義務付けられています（法26条）。迅速に対応できるよう、担当部署・連絡体制・対応フローを文書化しておきましょう。

第5章　取引先との関係で押さえるべきポイント

NDA・秘密保持契約の見直し

既存の取引先との秘密保持契約書に、AIツールの利用に関する規定がない場合は、契約書の見直しを検討してください。特に、「秘密情報の管理方法」や「第三者への開示禁止」の条項がAIサービスへの入力を想定しているかを確認することが重要です。

新規の取引先と契約を締結する際には、AIツールの利用についての取り扱いを明示した条項を盛り込むことをお勧めします。例えば、「受託者はAIツールを利用して業務を行う場合があるが、委託者の機密情報をAIサービスに入力する際には事前に書面による承諾を得るものとする」といった条項が考えられます。

委託先・業務委託先のAI利用管理

自社だけでなく、業務委託先・外注先がAIツールを利用することで、自社の情報が漏洩するリスクもあります。委託契約書にAIツール利用に関する条項を追加し、委託先においても適切な情報管理を求めることが必要です。

おわりに――後手に回らないための先手の対策を

AIツールの進化は目覚ましく、利便性は日々向上しています。しかし、その利便性の裏には、適切な管理体制なしには見過ごせない法的リスクが潜んでいます。

特に中小企業では、「うちには関係ない」「大手企業の話だ」と思いがちですが、情報漏洩事故は企業規模を問わず発生します。むしろ、法務・情報管理の専門人材が少ない中小企業ほど、一度の事故で信用を大きく損なうリスクがあります。

まずは現状把握から始めてください。社内でどのようなAIツールがどのように使われているか、実態を調査することが第一歩です。その上で、今回ご紹介したポイントを参考に、社内ルールの整備を進めていただければと思います。

AIツール利用ポリシーの策定や就業規則の見直し、取引先との契約書の整備など、具体的なご相談はお気軽に当事務所にお声がけください。御社の状況に合った実務的なアドバイスをご提供します。