AI系ガイドライン、使ってますか？

今年は生成AIの進展をうけた国際的な規制やガイドラインの策定が相次ぎ、日本でも経産省が「AI事業者ガイドライン（第1.0版）」を、文化庁が「AIと著作権について」を公表しました。

AI関連のガイドラインといえば、生成AI登場前は「AI・データの利用に関する契約ガイドライン」があり、学習用プログラム、学習済みモデル、学習用データセットごとに契約で扱い方が示されたことで、AIベンダーは活用していたと思います。
一方で、私の体感として、特に伝統的な業種の大手企業をユーザー企業として相手とするときは、これらの企業に上記のガイドラインを参照されることはほぼなく、ユーザー企業から請負型のソフトウェア開発契約書が提示されることが多かったかと思います。
もちろんこれに対してベンダーとして上記ガイドラインをもとにした契約書ひな形の提示や交渉をするわけですが、ユーザー側に活用されていたとはいいがたいものだったと思います。

そして、画像分析や予測を中心的活用として期待されていたAIの活用が思ったよりも進展しなかったこと、生成AIの台頭により、従来型の学習（ファインチューニング）を行うAI開発プロジェクトというのも少なくなってきたことで、AI・データ契約ガイドラインを利用する場面も減ってきていると感じています。

技術の観点からも、いわゆるディープラーニングの仕組みとプログラミングを必須スキルとしていたところから、生成AIサービス（ChatGPT APIやAzure Open AIなど）の「利用」にスキルが移行してきているようです。
とりあえず「動くものをつくる」「成果出す」という目的にとっては、ネットワークやサーバの構築が、AWSやAzureによって「設定するもの」になってきたように、既存のサービスの特性の理解と利用が求められるようになってきているのでしょう。

このような状況において、AI事業者ガイドラインやAIと著作権の活用状況についてはどうでしょうか。

他社の法務の方と両ガイドラインの読み合わせを行ったことがあるのですが、逆に言うとその時点での各社の活用状況は「まだ読む前」であり、またそのときの議論としても「たしかに言ってることはわかるけれども自社での活用イメージが湧かない」といった感じでした。
実際、その時点での私の理解もそうでした。

さてそれから数か月ほど経ち、両ガイドラインを多少なりとも活用する場面というのも、私の業務範囲では出てくるようになりました。

場面としてはガイドラインが想定しているように、生成ＡＩを利用して社内向けのＡＩシステム、社外向けのＡＩサービスの企画検討を行うものでした。

実際に活用したときの感想としては以下のようなものです。

• 『ガイドラインが想定しているものを理解していれば』ガイドラインで示されている観点は網羅的であるので、抜け漏れと方向性の確認に役立つ。逆に言うと、事前知識なく読んで理解できるものではない。

• 両ガイドラインとも抽象的過ぎ（仮想事例があっても）、特にＡＩと著作権については著作権法の理解が無い法務にとっても難解であり、少なくとも事業部が自力で利用できるものではない。

• 個人情報の問題に直面することが非常に多いが、ガイドラインではほぼ言及されておらず、別に補充が必要になる。

• 「AI事業者ガイドラインではこれが求められる」という説明の根拠として役に立つ。一方で、ガイドラインが求めることの具体的な対応（特に説明責任として、どの程度の情報を、どのように提示するか）については、事業部が考えるのか、法務が考えるのかについては、両者の力量と歩み寄りが求められる。

• 外部の生成AIサービスの利用を前提として、安全性やアカウンタビリティなどの評価を自社が適切に行いきれるか（特に英語の情報が多いこと）に難点がある。また主要なサービスが限られているのだから、このような評価を各社が個々に行うことの経済非効率性を感じる。

ガイドラインとしての網羅性はあるが活用するには抽象度が高く、AI技術、個人情報、著作権、セキュリティという１つずつでも難易度の高いスキルが複合的に求められ、しばらくは「ガイドラインのおかげでどうにかなった」となる場面は少ないであろうと思います。

個人的な希望として、個人情報保護法の安全管理措置としての外国制度の把握、クラウド例外適用可否もそうですが、監督官庁が主要サービス（Azure Open APIなど）については具体的なユースケースに沿って評価を行い、必要な対応（ベンダーが公表しているどの情報をみればよいのか、どう理解すればいいのか、著作権、個人情報、セキュリティなどガイドラインが求める観点から何を対応すればいいのか）公表すべきではないかと思うのですが、叶うことはないでしょう。