AIガバナンスは、社内利用ルールだけでは足りない
こんにちは!Legal Agent 代表弁護士の朝戸です。
生成AIを社内で使い始める企業が増える中で、「AI利用規程を作りたい」「ChatGPTの利用ルールを作りたい」という相談が増えています。もちろん、社内ルールを作ることは重要です。ただ、実務の感覚としては、AIガバナンスを社内利用ルールだけで完結させるのは少し危ういと感じています
生成AIの利用は、情報管理、個人情報保護、著作権、営業秘密、契約上の秘密保持義務、労務管理、取締役会でのリスク管理など、複数の領域にまたがります。そのため、AIガバナンスは「AIを使ってよいかどうか」を決めるだけではなく、会社としてどの情報を、どの業務で、どの責任者のもとで使うのかを決める作業だと考えています
AI利用規程だけでは足りない理由
社内規程を作るときにありがちなのは、「機密情報を入力してはいけない」「個人情報を入力してはいけない」「出力結果を鵜呑みにしてはいけない」という禁止事項を並べる形です。これは出発点としては分かりやすいです。しかし、現場ではそれだけでは判断できない場面が多くあります
たとえば、顧客との契約書をAIに要約させたい場合、契約書の内容は秘密情報にあたる可能性があります。ただ、会社として契約しているエンタープライズ版のAIサービスで、学習利用がオフになっており、アクセス権限も管理されている場合と、個人アカウントで無料サービスに入力する場合とでは、リスクの見方が変わります
また、営業部門が提案資料のたたき台を作る場合、法務部門が契約条項の修正案を作る場合、エンジニアがコードレビューに使う場合でも、確認すべき点は異なります。利用場面ごとにリスクが違うため、社内利用ルールは業務フローとセットで考える必要があります
入力情報、出力結果、責任者を分けて考える
AIガバナンスでまず見るべきなのは、入力情報です。個人情報、営業秘密、未公表の決算情報、M&Aや資金調達に関する情報、顧客の契約書、ソースコードなどは、それぞれリスクの性質が異なります。単に「機密情報」とひとまとめにするのではなく、会社にとって外部流出時の影響がどの程度かを踏まえて分類する必要があります
次に、出力結果の扱いです。AIが作成した文章、契約書の修正案、法務コメント、コード、画像、要約を、そのまま外部に出してよいのか。誰が確認するのか。誤りがあった場合に、どの部署が責任を持つのか。ここを曖昧にしたまま使い始めると、便利さが先行し、後から問題が見つかる可能性があります
さらに、責任者の設計も重要です。情報システム部門だけで管理するのか、法務部門が関与するのか、事業部門の責任者が承認するのか。生成AIの利用は業務効率化の話に見えますが、実際には会社の情報管理体制そのものに関わります
外部AIサービスの契約条件を見る
AIガバナンスでは、社内規程だけでなく、利用するAIサービスの契約条件も確認する必要があります。入力データが学習に使われるのか、データがどの地域で保存されるのか、ログがどの程度残るのか、サブプロセッサーが誰か、障害時や情報漏えい時の責任がどう定められているのかは、企業法務として確認すべきポイントです
特に、顧客情報や契約書を扱う場合、秘密保持義務との関係が問題になります。自社が顧客から受け取った情報をAIサービスに入力することが、契約上許されるのか。委託先や再委託先の管理として説明できるのか。個人情報が含まれる場合には、委託、第三者提供、国外移転の観点も確認が必要になる可能性があります
生成AIサービスの利用規約は変更されることもあります。そのため、導入時だけではなく、主要サービスについては一定のタイミングで確認する運用が望ましいと考えています
企業法務としてのAIガバナンス
AIガバナンスは、AIの利用を止めるためのものではありません。むしろ、現場が安心してAIを使えるように、会社としての判断基準を作るためのものです
企業法務の役割は、単に「危ないから使わない」と言うことではなく、どの業務なら使えるのか、どの情報なら入力できるのか、どの段階で人間の確認を入れるべきかを示すことにあります。生成AIを前提にした企業法務では、法務部門が事業のスピードを止めるのではなく、リスクの見立てを言語化して、使える範囲を明確にすることが重要です
LegalAgentでは、AIガバナンスを、社内利用規程、契約確認、業務フロー、法務レビュー体制を一体で考えるテーマだと捉えています。生成AI時代の企業法務では、ルールを作って終わりではなく、実際に現場で使われる仕組みまで設計することが必要になると考えています
LegalAgentの関連サービス
この記事のテーマに関連するLegalAgentのサービスは、以下のページで詳しくご確認いただけます。