米オープンAIの対話型AI(人工知能)「ChatGPT」をはじめとする生成AI。企業や行政機関などでの利用が急速に進む一方で、機密情報の漏洩などリスクへの懸念が高まっている。欧州連合(EU)でAI規制の対象に生成AIを含める議論が進み、日本でも法規制に関する議論が始まった。
「サムスンの件があるので、(社内での)利用には慎重になっている」と、ある事業会社役員はそう語る。韓国サムスン電子は社員にChatGPTの利用を許可したところ、その後ソースコードなど少なくとも3件の情報漏洩があったと報道された。
生成AIのリスクにどう備えるべきか。職場内でのルールの整備といった足元でのリスク対応に加え、今後を見据えた法整備の議論も進みつつある。
2023年4月14日からグループ国内全社員9万人を対象に、オープンAIの「GPT-3.5」を活用した対話型AIサービスの利用を始めたパナソニックホールディングス(HD)。同社は社内情報や企業秘密、個人情報などを入力しないといった利用ルールを整備した。
情報法が専門の九州大学法学研究院・法学部の成原慧准教授は、「ChatGPTなどを社内で利用する場合は社内ルールを、外部にサービスを提供する場合は利用規約を、まずは整備する必要がある」と説明する。
社内ルールは例えば、「プロンプトに入力した情報がAIの学習に用いられる可能性がある場合、個人情報や企業秘密などを入力しない」「誤った情報や不適切な情報を出力する可能性があるので、出力結果を責任持って確認・判断するための、組織的なチェック体制を構築する」「複数のAIでクロスチェックをする」といったものだ。
また、生成AIを使ったサービスを外部に提供する際には、利用規約の整備が必要だ。例えば、ユーザーの個人情報を扱う場合はその取得範囲や利用目的などを明記する。また、AIが不正確な出力をする可能性があるため、サービス提供側の免責事項を定めたり、出力したアウトプットの知的財産は誰に帰属するのかを決めたりする。
これまでのAIリスクと同じ
成原准教授は、「生成AIの発展は目覚ましいが、従来検討してきたAIリスク以外に特有のリスクがあるかといわれると微妙だ」と指摘する。
成原准教授らは2016年当時勤務していた総務省の研究会で、AIのリスクに対処するための検討を行った。具体的には「機能に関するリスク」と「法制度・権利利益に関するリスク」に分けたうえで、それぞれのリスクの種類に応じたリスクシナリオを作成。発生時期や生起確率、被害の規模、二次的リスク、リスク評価、リスク管理などのシミュレーションをした。
