キーワード
AIサービス利用法的リスクプライバシーとデータ管理知的財産保護契約と運用ガイド
出展元
初回調査日
Jan 7, 2025 8:36 AM
本記事は概要版になります。もっと詳細に知りたい方は以下の記事をご購入ください。
以下は、追加された観点も踏まえた新しい目次構成と、それを踏まえた各社AIサービス規約・プライバシーポリシーに関する法務レビューのレポートです。日本および米国の企業が利用する際に着目すべきリスクを中心にまとめています。本レポートは2025年1月時点の情報をもとに作成しておりますので、導入の際は最新の情報をご確認ください。
- 1. 総論
- 2. データ管理に関するリスク
- 2.1 データ保存場所と越境移転
- 2.2 入出力データの利用と保持
- 2.3 セキュリティ対策の規定
- 3. 知的財産と機密情報の保護
- 3.1 入出力データの権利関係
- 3.2 企業機密情報の取り扱い
- 3.3 学習利用に関する規定
- 4. サービス提供に関する条件
- 4.1 品質保証の範囲
- 4.2 サービス変更・終了条件
- 4.3 補償と免責事項
- 5. 法的リスクと責任範囲
- 5.1 準拠法と管轄
- 5.2 責任制限
- 5.3 禁止事項と利用制限
- 6. リスク低減に向けた提言
- 6.1 契約面での対応
- 6.2 運用面での対策
- 6.3 総合的な判断指針
- 7. 各社の主要項目比較表
1. 総論
企業がAIサービス(DeepSeek、OpenAI、Anthropic、Googleなど)を利用するにあたっては、データ保護・知的財産・サービス提供条件・責任制限など複数の視点でリスクを検討しなければなりません。特に日本や米国を含むグローバル環境では、下記のような点が共通して重要です。
- データの保持・移転とプライバシー どの国にサーバーがあり、どのように個人データが越境移転されるのか。
- 知的財産権(IP)と学習データ ユーザーが入力したデータが学習に使われるかどうか、生成物の権利帰属はどうなるか。
- 契約解除やサービス停止条件 違反時のアカウント停止・サービス終了のリスク。
- 免責・責任制限の範囲 AIが生成した不正確な情報による損害や逸失利益の扱い。
- 禁止事項と利用制限 高リスク用途(医療・法務等)や違法行為を助長する利用が厳格に禁止されている。
以下、各論点を追加項目を含めて解説します。
2. データ管理に関するリスク
2.1 データ保存場所と越境移転
- 各社の特徴
- DeepSeekは中国拠点のサーバー利用が示唆されており、データが中国国内に保存される可能性がある。
- OpenAIやAnthropic、Googleは主に米国やその他地域のデータセンターを利用。EUやAPAC向けに一部地域限定のデータストレージがある場合も。
- リスク
- 米国企業が提供するサービスでは、米国FISA等に基づく捜査協力要請を受ける可能性。
- 中国企業の場合、中国の個人情報保護法(PIPL)やサイバーセキュリティ法の影響を受ける。
- 日本の個人情報保護法やEUのGDPRとの整合性も慎重に検討が必要。
- 留意事項
- 越境移転の有無・同意取得の要否を、利用企業は自社プライバシーポリシーで利用者に対して開示・同意が求められる可能性。
- B2B利用であっても、従業員や取引先の個人情報を含むデータを入力する際は、海外移転の同意や契約保護(DPAの締結等)が必要になる。
2.2 入出力データの利用と保持
- 各社共通点
- 入力(プロンプト)や出力(生成物)をAIモデルの品質向上のために利用する権利を主張する場合が多い。
- 「企業向けの有償プラン」では、デフォルトで学習利用をオフにする設定が可能な場合も。
- リスク
- 業務機密や個人情報を含む入力データが、AIモデルの学習データとして第三者に帰属される可能性。
- 一度データが学習に使われると、取り消しや完全削除が困難となる。
- 留意事項
- オプトアウトできるかどうか、またはエンタープライズ契約で学習除外する権利を確保できるか。
- 生成されたアウトプットを一定期間保存する場合が多く、ヒューマンレビュー対象になる場合も考慮。
2.3 セキュリティ対策の規定
- 各社のセキュリティ方針
- GoogleやOpenAIはISO 27001等の取得やエンドユーザーデータの暗号化などを標榜している。
- DeepSeekやAnthropicでも類似のセキュリティ対策を提示しているが、具体的な認証取得状況は要確認。
- リスク
- 実装が不十分な場合、企業機密や個人情報の漏えいにつながる。
- APIキー管理や権限設定のミス等、利用企業側の運用責任も重大。
- 留意事項
- 利用者自身が暗号化やアクセス制御を適切に設定する必要あり。
- セキュリティインシデント発生時の報告義務、事後対応について各社規約に定めがあるか確認を。
3. 知的財産と機密情報の保護
3.1 入出力データの権利関係
- 生成コンテンツの権利帰属
- OpenAIは利用規約上「ユーザーが生成物の権利を保持する(ただし学習には利用される)」旨を定める。
- AnthropicやGoogleも利用企業/個人ユーザーの著作権は否定しない一方で、サービス向上のために利活用する権利を留保。
- 商標・ブランド利用
- 生成したコンテンツに企業の商標やブランド名が入る場合、権利侵害リスクを考慮する必要がある。
- 各社は自社ブランドについての利用許諾を制限する場合がある。
3.2 企業機密情報の取り扱い
- 規約上の機密保持条項
- 特にDeepSeek・OpenAI・Anthropic・Googleはいずれも契約上の機密保持義務を定めるが、ユーザーがアップロードした機密情報を本当に厳格に守れるかは「学習データに使われないオプション」等の設定次第。
- 懸念点
- 機密情報をうっかりAIに入力すると、社外秘の情報を第三者が出力で再現する可能性も(“prompt leak”などのリスク)。
- 留意事項
- 社内ポリシーとして、機密情報や個人情報の入力を極力避けるか、どうしても必要な場合は必ず学習除外措置を講じるなどの運用ルールを整備。
3.3 学習利用に関する規定
- Free vs. Paidプラン
- 無償プランは学習データとして使用されることが一般的。
- 有償のエンタープライズ契約では機密データが学習に使われないようにするオプションが提供されることが多い。
- リスク
- 従業員が無償プランに勝手に機密データを入力した場合でも、企業が責任を負い得る。
4. サービス提供に関する条件
4.1 品質保証の範囲
- 各社のスタンス
- AI出力の正確性や信頼性を保証しない、と明示されている。
- SLA(Service Level Agreement)は主に可用性(稼働率)を対象とし、生成内容の品質保証は基本なし。
- リスク
- 生成物の誤りにより損害が発生しても、各社は原則責任を負わない。
- 事実上、「AIの回答が間違っていたとしても利用者責任」が基本。
4.2 サービス変更・終了条件
- サービス変更
- GoogleやOpenAI等は利用者への事前通知を行う旨を規定しているが、一定期間後に新しい規約が発効されるケースあり。
- DeepSeek・Anthropicでも、裁量的にサービス変更・機能停止が行われる可能性がある。
- 終了条件
- 重大な規約違反(禁止事項の逸脱、支払い滞納等)で即時終了する権利が各社に与えられている。
- リスク
- 予告なくサービス仕様が変わると業務システムへの影響大。
- 終了時にデータがどうなるか(ダウンロード期間があるか等)を確認すべき。
4.3 補償と免責事項
- 補償(Indemnification)
- 各社は「第三者からの著作権侵害等の請求」が発生した場合の責任分担を定めることが多い。
- ただし詳細は契約プランによる差がある。
- 免責
- 間接損害や逸失利益については全般的に免責が定められている。
- 許容される範囲かどうか、消費者保護法や強行法規で制限される場合があるため要注意。
5. 法的リスクと責任範囲
5.1 準拠法と管轄
- 各社の例
- OpenAIやGoogleは米国カリフォルニア州法が原則(政府機関やEEA向けに補足規定あり)。
- DeepSeekは中国法が適用される可能性が高い。
- Anthropicも基本はカリフォルニア州法+仲裁規定が多い。
- リスク
- 日本企業が訴訟を提起する際、国外裁判所や仲裁を利用することになりコスト増。
- 中国法や米国法に基づく海外当局による捜査対応など。
5.2 責任制限
- 上限設定
- 賠償額が「過去12ヶ月に支払った費用」を上限とする形式が多い。
- 無償プランの場合は上限を非常に低額(数百ドル~数千ドル程度)とする規定も。
- 留意事項
- AIを使ったサービスで生じた深刻な損害を追及しようとしても、事実上回収不能になる場合も多い。
5.3 禁止事項と利用制限
- 主な禁止事項
- 違法・差別・誹謗中傷・不正アクセス支援等のコンテンツ生成。
- 競合サービスの開発やモデルの逆コンパイル。
- 軍事転用・マネーロンダリング等の違法行為。
- 留意事項
- 企業の従業員が誤って違法行為を助長するようなコンテンツを生成しないよう、社内ガイドラインを整備すべき。
6. リスク低減に向けた提言
6.1 契約面での対応
- エンタープライズ契約交渉
- 学習利用のオプトアウト、機密情報保護条項の強化、独自DPA締結等を検討する。
- SLAの適用範囲、サポートレベルや賠償責任の上限交渉も重要。
- 越境移転の説明と同意
- 個人情報を扱う場合、利用規約と別に、プライバシーポリシー上で海外移転に関するユーザー同意を取得する仕組みが必要。
6.2 運用面での対策
- 社内ポリシーの策定
- AIへの入力内容を制限するルール(機密情報NGなど)、従業員教育、監査プロセスを整備。
- 誤用に備えたログ管理やアカウント管理(APIキー等)の徹底。
- ツール連携時の注意
- 他のクラウドサービスやSaaSと連携する場合、相互のプライバシーポリシーやデータ処理範囲を再チェックする。
6.3 総合的な判断指針
- ビジネス・リスク・コストのバランス
- 生成AIを導入する利点と、法的リスク(責任制限、データ漏えいリスク等)を比較検討。
- 専門家の活用
- 法務・知財・セキュリティ専門家と連携して契約レビューや運用設計を行う。
7. 各社の主要項目比較表
項目 | DeepSeek | OpenAI | Anthropic | Google | |
データ管理:保存場所・越境移転 | 中国(PIPL等が適用) | 主に米国DC/一部地域DC | 米国中心、一部他地域DC | 米国/グローバルDC。EU向け等オプション | |
データ管理:入出力の利用・保持 | 入力データをサービス改善目的で利用 | 無償プランでは学習に利用。Enterpriseで制限可 | 同様に無償は学習利用、商用契約で制限 | 無償/有償で利用形態が異なる。GeminiApps等で人力レビューの可能性 | |
データ管理:セキュリティ対策 | 明示記載ありだが実体要確認 | SOC2/ISO27001準拠を示唆(モデル上) | 具体的内容はドキュメント要参照 | Googleのセキュリティ基準+ISO認定等 | |
知財・機密:入出力権利関係 | 出力に対する権利はユーザーに帰属するも学習利用可 | 生成物はユーザーに権利。入力も学習利用 | 同様に商用プランなどでオプトアウト | 生成物の権利はユーザーに帰属だが、学習への利用権あり | |
知財・機密:企業機密情報 | 流出リスク懸念(中国法適用) | API設定で機密データの扱いに注意 | DPA契約下で制約可 | Workspaceでの機密情報入力に注意(オプトアウト設定が要) | |
知財・機密:学習利用の規定 | とくに無償版で学習利用が規定 | 無償利用はデフォルト学習データ化 | 同様(Consumer版はデフォルト学習) | 有償サービスでオプトアウトオプション。無償だと原則学習 | |
サービス提供:品質保証の範囲 | AI出力の精度保証なし | No warranty | 同様に精度不保証 | SLAは稼働率のみ。生成内容の正確性・完全性は不保証 | |
サービス提供:変更・終了条件 | 事前通知あり/なし明確でない | 規約改訂やサービス終了を通知する場合あり | 同様、事前告知で機能変更 | 30日以上前に通知(機能削減や終了時) | |
サービス提供:補償と免責事項 | 間接損害賠償を免責 | 逸失利益・間接損害等免責 | ほぼ共通 | Googleも間接損害免責。上限は支払額相当 | |
法的リスク:準拠法・管轄 | 中国管轄(可能性大) | 米国カリフォルニア州 | 米国カリフォルニア州+仲裁 | 原則カリフォルニア州法。地域特例有 | |
法的リスク:責任制限 | 支払額ベース、または極めて低額に限定 | 同様に12ヶ月分などで限定 | 同様 | 有償プランは支払額ベース、無償は数千ドル程度と定めることも | |
法的リスク:禁止事項・利用制限 | 中国法準拠。違法行為幇助、アクセス不正、ヘイト発言等禁止 | 同様。逆コンパイルや競合モデル開発、ヘイトコンテンツ等厳禁 | 同様。暴力煽動や差別的行為は禁止 | 軍事転用、医療アドバイス、逆エンジニアリング等を禁止 |
企業がこれらのAIサービスを導入・運用するにあたっては、自社の利用目的や業務内容を踏まえて、下記6つのステップで総合的に判断することを推奨します。
- 契約とプランの選定
- 有償プラン (Enterpriseなど) を利用して、学習オプションの除外や強化されたSLAを確保する。
- プライバシーとデータ移転
- 海外サーバーへの越境移転リスクをプライバシーポリシーに反映・利用者の同意を取得。
- 社内教育・運用フロー
- セキュリティ設定、APIキー管理、機密情報不入力のルールづくりと監査。
- 責任範囲・免責の把握
- 各社とも間接損害等を広く免責している点を踏まえ、保険や再発防止策を検討。
- 禁止事項遵守
- 高リスク用途(医療・金融・法務)での利用には特に注意し、利用規約に抵触しないか点検。
- 継続的モニタリング
- 規約の改定やサービス仕様変更を注視し、必要に応じて社内ルールをアップデート。
適切な検討と運用体制を整えることで、AIの有用性を享受しつつも、法的リスクの低減が期待できます。