小規模AIサービス開発・提供における法的リスクの検討材料について
生成AIサービスの開発・提供にあたって、法的リスクを検討するために、リサーチをしていたところ、詳細なものや総論的なものが多く、
スタンダードなケースにおいて、とりあえず何を検討すればよいかを書いてあるものが、あまりなかったので、書いてみることにしました。
事業サイド・エンジニアサイドから、リーガルに相談する場合も、これらの要素をいただけるとスムーズに進むように思います。
1 考え方の枠組み
まず、①個人情報保護法・著作権法※の観点から、違法・適法・グレーを切り分けます。
次に、②違法でないとして、生成AIサービスに対しては、いろいろなステークホルダーの考えもあるので、当該サービスのステークホルダーを踏まえて、どのように設計するかを考えます。
個人情報保護法、著作権法については、開発と生成・利用で分けて考えます。
サービス利用の段階は、①利用者が違法な使い方になりやすいサービスが適切かという問題と、②そういったサービスを提供する場合に、サービス提供行為自体も違法とされるかの問題が生じます。
※ サービスが多様なので、他の法律も絡みうるものの、いったん主要なものに絞りました。
なお、文化庁 AI と著作権に関する考え方について には、以下の注記があることに留意が必要です。
2 個人情報保護法について
個人情報保護法は開発と利用で分けて考えます。
生成AIサービスの利用に関する注意喚起等について(令和5年6月2日)が参考になります。
(1)開発段階
ア 利用目的
取得する個人情報の利用目的の公表が必要です(個人情報保護法21条1項)。
イ 要配慮個人情報
要配慮個人情報は、本人が公開しているなど個人情報保護法20条2項各号の例外をのぞき、本人同意がないと取得できません。
どういった配慮が求められるかは上記サイトに記載されています(収集する情報に要配慮個人情報が含まれないよう必要な取組を行うなど。)。
(2)利用段階
サービスに入力した個人データが「当該プロンプトに対する応答結果の出力以外の目的で取り扱われる場合」は、個人情報保護法違反のおそれがあるとされており、機械学習に利用したり、不正目的監視機能があったりする場合は違反のおそれが高いという見解が多数派の印象です。
開発側としては、そうした機能をつけるか、オン・オフできるようにするか、サービス利用にあたっての規約やガイドに付記するかといったことの検討が必要となります。
解説サイト
3 著作権法について
著作権法は、開発と生成・利用で分けたうえで、生成・利用を入力・生成・送信で分けて考えます。
個別の事案では、具体の生成プロセス・利用プロセスに即して考える必要がありますが、大枠としては以下で考えます。
(1)開発段階
ア 著作物か
学習用データに活用するデータが著作物にあたるかをまず検討します。
イ 著作権法30条の4に該当するか
そのうえで、学習用データに利用する=複製することが、権利制限規定(著作権法30条の4)により問題なしとされるかを検討します。
ここでは、享受目的がある(非享受目的が併存してる場合も含む)かどうかが問題となります。
以下の場合は、享受目的が併存しうると考えられています(文化庁 AI と著作権に関する考え方について(20〜22頁)。
ウ AI利用禁止文言がある場合に、契約違反になるか
まず、利用規約など契約で、著作権法30条の4の権利制限規定を上書きできるかという問題がありますが、この点は肯定説が多いと考えます。
その次に、利用規約があるだけで、同意をしていなくとも、AI学習が禁止されるか、については、契約成立とはいえないという説が多いと考えます。
なお、同意ボタンをクリックしないと先の情報が見えない場合についても、ケースバイケースとする見解も有力のようです。
詳細は以下サイトが参考になります。
エ その他
30条の4但書に関して、情報解析用DBにおけるrobots.txtが入っている場合の問題※などもありますが、細部にわたる話となるため、以下を参照ください。
※文化庁 AI と著作権に関する考え方について(24〜27頁)は、個々の記事をクローリングした結果、記事の提供主体が別途提供、または将来提供予定の情報解析用DB著作物の複製に該当する場合、当該情報解析用DBについての著作権侵害になりうるということに触れています。
(2)生成・利用段階
生成利用段階は、著作物の入力・生成・送信・利用で分けて考える柿沼先生の考え方がしっくりきました。
ア 著作物か
生成されるものが、著作物にあたるかをまず検討します。
イ 依拠性について
以下の柿沼先生の整理がわかりやすいです。
詳細は、以下に譲るとして、
開発段階では、依拠性について、以下を検討することになります。
ウ 行為主体について
誰の行為が問題となるかを考えるにあたり、行為主体を検討する必要があります。
著作物の入力・生成・送信・利用の行為主体については、
一般に、
「入力」は利用者
「送信」は開発者・提供者
「利用」はAI利用者
と考えられ、
「生成」については、開発者・提供者が行う「学習」と利用者が行う「入力」の2つの行為が競合しているため、だれが重要な役割を果たしているかによるものと考えられます。
詳細は、以下などが参考になります。
最判平成 23 年1月 20 日民集 65巻1号 399 頁〔ロクラクⅡ事件〕
エ 権利制限規定について
そのうえで、以下の権利制限規定が適用されるかを、それぞれ検討することになります。
オ その他
①差し止めの対象となるか、②なるとして、差し止めとして、どういった措置がありうるか※、③故意で著作権侵害をした場合には刑事罰リスクもあることなどの問題(開発側としては、大きなリスクとなりえます)などもあります。詳細は以下などが参考になります。
(3)解説
その他、以下などが参考になります。
令和5年度 著作権セミナーAIと著作権(令和5年6月文化庁著作権課)
深掘りしたい方向けには、以下も参考になります。
①AI 時代の知的財産権検討会 中間とりまとめ
②AI と著作権に関する考え方について
③「AIと著作権に関する考え方について(素案)」に関するパブリックコメントの結果について
4 当該サービスのステークホルダーを踏まえて、どのように設計するか
違法ではないと判断できたとして、
①生成AIサービスについては、現状、さまざまな考えがあること、
②まだ制度が未整備のゾーンも多いこと
を踏まえ、どこまで手当をするかについては、炎上リスクや、求められるコンプライアンス水準など、サービスのステークホルダーである利用者(消費者や取引先)、広告主、第三者などの意向も踏まえる必要があると考えます。