弁護士が指南、法的リスクを低減させる生成AI運用のポイント　“価値ある”ルール整備と運用のカギとは

営業秘密を生成AIに読み込ませることの法的リスクと対処法

　講演の終盤では、「生成AIでの営業秘密や機密情報の取り扱い」について実務的な観点から詳細に解説された。

　企業における生成AI利用時の主なリスクについて、田中氏は入力時と出力時に分けて体系的に整理した。情報を入力する際のリスクには、個人情報・プライバシーに関する問題、機密情報・秘密情報を入力することの適切性、AIのバイアスによる公平性の問題、知的財産権の侵害リスクなどがあるという。

　出力に関するリスクとしては、ハルシネーションによる誤った情報の生成、学習時期が古い情報の出力、自動化バイアスによる人間の意思決定への悪影響などがあげられた。

　「自動化バイアスとは、AIが出力した情報があたかもすべて正しいかのように思えてしまい、人間の意思決定と感情が操作されてしまうことを指します。それによって、過度にAIの情報を信用して経営判断をしてしまったり、AIが出力した情報だと気づかないまま信用できない情報をもとに企業の重要な決定を行ってしまったりといったリスクが起こり得ます」（田中氏）

　続けて、同氏は営業秘密における生成AI活用時の注意点について紹介。そもそも営業秘密は、以下3つの要件によって定義されている。

• 秘密管理性：秘密のものとして管理されていること
• 有用性：事業活動に有用な、技術上または営業上の情報であること
• 非公知性：公然と知られていない情報であること

　秘密管理性が守られるためには、該当する情報が従業員などから秘密だとわかるように管理する必要がある。「ポイントは、従業員などの認識可能性だ」と田中氏。典型的な例としては、機密性の高い資料に“マル秘”と記載することなどがあげられる。しかし、マル秘と記載していても実際にはそれが形骸化しており、もはや従業員も営業秘密だと認識しなくなっているといったケースもあり、それでは秘密管理性が認められない。

　生成AIに営業秘密を入力することのリスクとしては、従来のSaaSサービスや委託先への情報提供と同様、情報が営業秘密としての要件を満たさなくなってしまう可能性が考えられる。たとえば、機械学習によって情報が外部に流出してしまえば、非公知性が失われるため問題となる。

　また、田中氏は秘密管理に及ぼす影響にも言及。生成AIサービス提供者との規約などで機密保持に関する定めがないような場合や、実態として明らかにセキュリティ措置に問題があるような場合には、対生成AIサービス提供者との関係で秘密管理性が失われているリスクがある。

　上記のような場合、従業員は「こんなに管理がいい加減な生成AIに情報を入れることを許容しているのだから、この情報は営業秘密ではない」などと認識してしまい、秘密管理性が失われてしまう可能性がある。その結果、会社の営業秘密としての保護を主張できなくなるリスクがあるとのことだ。

　このようなリスクを回避する策として、「適切な守秘義務が契約上設定されているプラン（多くの場合API）を利用することがあげられる」と田中氏。一般向けのサービスではそうした配慮がされていないことが多いため、企業が利用するサービスを選択する際には十分な検討が必要だ。

　なお、第三者から開示を受けている営業秘密・機密情報の取り扱いについては、より複雑な問題があるという。同氏は「第三者とNDA（秘密保持契約）を結んでいるような機密情報を生成AIに入力したいというニーズはあるが、それを実行した場合、秘密保持義務違反になってしまう可能性がある」と指摘した。

　「今後は、NDAにおいて生成AIへの情報入力が可能な条件を明確に定める必要があるでしょう。包括的に生成AIへの入力を許容する定めをNDAに置くことは難しくとも、許可されたものだけを登録したホワイトリストで一定の条件を認めることはできると思います。

　しかし、この方法は柔軟性に欠けるほか、新しい生成AIが登場するたびにNDAを修正する手間がかかります。そのため、ある程度条件を定めたうえで相手方に異議権を与え、一定の期間内に異議がなければ入力できるといった形にすることも一案として考えられます。いずれにせよ、現時点では確立した方法がないため、今後の検討が進むことが期待されます」（田中氏）