チャットGPT「予期せぬ情報漏洩」現行法律の判断は? 「逮捕」の可能性も弁護士が解説
Apple製品に搭載された「siri」や、対話型の「ChatGPT(チャットGPT)」をはじめ、AIアバターやAIカメラなど人工知能(AI)の存在感が高まっている。だが一部では、AIに個人情報や機密情報を入力し学習させることで、重大な情報漏洩の危機にさらされる可能性があるのではと心配の声もある。
質問を入力すると、会話形式でAIから返答があるチャットGPTは、まるで人間と対話しているかのような自然な言い回しや、長文での応答にも対応できることから話題を呼び、企業が業務効率化の目的で使用する例も出始めた。人材仲介大手の「ランサーズ」でも、社内でのチャットGPTの利用を2月下旬から開始し、文章の要約や議事録のまとめなどで活用しているという。
しかし、一方でリスク管理の観点から活用・導入に慎重な企業もある。ソフトバンクは、情報流出の観点から、機密情報の入力をやめるように社員に通知した。また、みずほフィナンシャルグループと三菱UFJ銀行、三井住友銀行は業務でのチャットGPTなどの利用を禁止している。
慎重な姿勢は企業だけではない。自民党は3月30日、文書などを自動生成するAIに関する提言案をとりまとめたが、これには人権侵害や安全保障上のリスクに対応する法規制の検討も盛り込まれているという。
では、万が一業務でAIを使用し、情報漏洩などの予期せぬ事態が起きてしまった場合、現行の法律ではどのように判断されるのだろうか。情報セキュリティマネジメントとDeep Learning for GENERALの資格を持つ宮本聖也弁護士に安全なAI利用についての話を聞いた。
AIに個人情報を学習…「個人情報保護法」に抵触する可能性
業務の中でAIを使用し、学習させたデータなどが仮に第三者によって引き出されてしまった場合、学習させた人とデータを引き出した人はそれぞれ法律で罰されるのでしょうか?
宮本弁護士:データを引き出した人物は、そのデータの内容が企業秘密として管理されていた場合や、特定の者に提供するために蓄積、管理された「限定提供データ」にあたるような場合には、不正競争防止法により処罰されることになります。また、サイバー攻撃によってデータを引き出した場合であれば、不正アクセス禁止法違反として処罰されることになります。
しかし学習させた人については、不正な方法でデータが引き出されたことや、サイバー攻撃によってデータが取得されたことに対する責任を問うのは難しいでしょう。AIのソフトが学習に使用されたビッグデータからどのような特徴を見いだして、学習するかはやはり不透明な部分があり、学習させた行為とデータの引き出しとの因果関係を認めるのが難しいからです。
AIへの知識が足りないせいで起きた事故と、悪意で起こした事件では、処遇は異なりますか。
宮本弁護士:無理解であったか、悪意があったかで処遇は変わりません。たとえば、学習に使用されたビッグデータが個人情報(個人データ、要保護個人情報など)である場合には、目的外使用が禁止されていますので、学習させた人に対して、個人情報保護法により学習に使用したことに対する責任を問うことはできると考えられます。そのため、利用には基本的な法知識は必要です。
ベンダやサービス提供者の責任
では、「情報漏洩」が発生してしまった場合、システムの開発者やサービス提供者の責任はどうなりますか?
宮本弁護士:基本的に、システム開発者(ベンダ)にサイバー攻撃などの責任を問うことはできないでしょう。サイバー攻撃はあらゆる手段を駆使して攻撃し、その攻撃を完全に防ぐ手段はないことから、サイバー攻撃による責任をベンダに問うとなれば結果責任を問うことにつながってしまいます。ですが、サイバー攻撃を防ぐための基本的なセキュリティーシステムに不備があったならば、委託者との関係で契約不適合責任を負うことにはなります。
加えて、サービス提供者については「サービスを停止するなどして流出を防ぐことができ、かつ停止することが期待されていた」といえるので、個人情報や機密情報が流出され得る状況を認識しつつそれを放置しているような場合には、不法行為責任を問うことができるでしょう。
企業に必要な「ルール構築」
これからAI分野の発展によって、過去に事例のない情報漏洩等の事故が起こる可能性もあると思います。個人情報や会社の機密情報などを、悪意のあるサイバー攻撃はもちろん、事故的な流出から守るために、AIサービスを利用する個人・企業は今後どのような対策が必要でしょうか。
宮本弁護士:AIは、学習により成長していく特徴があります。そして、その確度は、学習するビッグデータに依存する部分があります。すなわち、業務目的に合致した大量・多様なデータを多く学習させればより確度の高いAIとなります。一方、誤った学習をさせると、アルゴリズムがだまされて想定していないAIとなってしまうリスクがあります。そうしたAIは、最終的に情報漏洩やサイバー攻撃の対象にもなってしまうでしょう。そのため、AIを利用しようとする企業としては、AIシステム構築段階から関与者を限定し、利用にあたっても利用者を限定するなど取り扱いに十分配慮したルールを構築する必要があります。
AIは従来のシステムと異なり、学習により成長していくソフトであることから、多様な可能性を有しています。その一方、想定外の学習をして情報が流出してしまうなどのリスクもあります。利用者は、個人の特定につながる情報の提供を控えるなどの注意をする必要があるでしょう。
AI分野の発展に伴って、法律を変えていく必要性があると思いますか?
宮本弁護士:利用者の直接的な関与なしにAIに基づく事故が生じることも考えられます。その場合、責任の所在が不明確になったり、因果関係を認めるのが難しい事故も生じるおそれがあります。今後は、現在の法律の解釈や条項の追記をして、責任を負う者を明らかにしたり、因果関係を擬制するなどの法律の整備・制定も必要になってくるのではないかと思います。
- この記事は、公開日時点の情報や法律に基づいて執筆しております。