近時、AI(人工知能)は飛躍的な革新を遂げ、新しいコンテンツを生成する生成AI技術が広まるなど、各種産業においては自動化と最適化が図られ、また人々の日常生活にも少なからぬ変化が生じてきました。他方で、AIの倫理的な問題やプライバシーへの懸念、労働市場における悪影響など、社会的な課題も指摘されています。EUでは、EU域内で一律に適用される人工知能(AI)の包括的な規制枠組み規則(AI法)が成立するなど、統一的な規制整備が進みつつあります。
本稿では、AIに関する日本の法規制について概説します。
1.AIをめぐる現在の規制の紹介(法令・ガイドライン)
(1) AIに関する規制についての近時の議論
日本において、現時点ではAIを包括的に規制する法令は存在せず、拘束力のないガイドラインが定められているのみです。
2019年3月に「人間中心のAI社会原則」(注1)が策定され、またAIに関する一般的なガイドラインとして、総務省主導で「国際的な議論のためのAI開発ガイドライン案」(2017年7月28日)(注2)及び「AI利活用ガイドライン」(2019年8月9日)(注3)が、経済産業省主導で「AI原則実践のためのガバナンス・ガイドライン Ver. 1.1」(2022年1月28日)(注4)が公表されています。さらに、2023年5月のG7広島サミット、G7各国閣僚級会合による「広島AIプロセス包括的政策枠組み」取りまとめを経て、これらの3つのガイドラインを統合・見直し、その後に発展したAI技術の特徴及び国内外におけるAIの社会実装に係る議論を反映して、2024年4月19日に、新たに「AI事業者ガイドライン(第1.0版)」(注5)(以下「新ガイドライン」といいます。)が総務省及び経済産業省より公表されました。
(2) 新ガイドラインの概要
新ガイドラインが対象としているのは、政府、自治体等の公的機関を含む、様々な事業活動においてAIの開発・提供・利用を担う全ての者、すなわち、AI開発者、AI提供者及びAI利用者です。これに対し、事業活動以外でAIを利用する者又はAIを直接事業で利用せず、AIシステム・サービスの便益を享受し若しくは損失を被る者(以下、あわせて「業務外利用者」といいます。)は対象とされていません(注6)。また、データ提供者も新ガイドラインの対象者とはされていません。データ収集は色々な方法が考えられる中で、新ガイドラインでは、データの提供を受ける者・データを入手する者にあたるAIの開発・提供・利用を担う者がデータを取り扱う際の責任負う形で記載がなされています。
新ガイドラインは、AIにより目指す社会として尊重すべき基本理念として、(i)人間の尊厳が尊重される社会(Dignity)、(ii)多様な背景を持つ人々が多様な幸せを追求できる社会(Diversity and Inclusion)及び(iii)持続可能な社会(Sustainability)の3つの価値を掲げ、かかる基本理念を実現するため、各主体が連携してバリューチェーン全体で取り組むべき共通の指針として、人間中心、安全性、公平性、プライバシー保護、セキュリティ確保、透明性、アカウンタビリティ、教育・リテラシー、公正競争確保及びイノベーションの10個に整理しています。これに加えて、AI開発者、AI提供者及びAI利用者の各々にとっての重要な事項を挙げています。主なものは以下のとおりです。
AI開発者にとっての重要な事項としては、データ前処理・学習時における適切なデータの学習及びデータに含まれるバイアスへの配慮、AI開発時における人間の生命・身体・財産、精神及び環境に配慮した開発、適正利用に資する開発、AIモデルのアルゴリズム等に含まれるバイアスへの配慮、セキュリティ対策のための仕組みの導入並びに検証可能性の確保、AI開発後における最新動向への留意、関連するステークホルダーへの情報提供、AI提供者への「共通の指針」の対応状況の説明及び開発関連情報の文書化が挙げられています。
AI提供者にとっての重要な事項としては、AIシステム実装時における人間の生命・身体・財産、精神及び環境に配慮したリスク対策、適正利用に資する提供、AIシステム・サービスの構成及びデータに含まれるバイアスへの配慮、プライバシー保護のための仕組み及び対策の導入、セキュリティ対策のための仕組みの導入並びにシステムアーキテクチャ等の文書化、AIシステム・サービス提供後における適正利用に資する提供、プライバシー侵害への対策、脆弱性への対応、関連するステークホルダーへの情報提供、AI利用者への「共通の指針」の対応状況の説明及びサービス規約等の文書化が挙げられています。
AI利用者にとっての重要な事項としては、AIシステム・サービス利用時における安全を考慮した適正利用、入力データ又はプロンプトに含まれるバイアスへの配慮、個人情報の不適切入力及びプライバシー侵害への対策、セキュリティ対策の実施、関連するステークホルダーへの情報提供、関連するステークホルダーへの説明並びに提供された文書の活用及び規約の遵守が挙げられています。
各主体が連携しバリューチェーン全体で共通の指針を実践して、AIを安全安心に活用するためには、AIガバナンスの構築が重要とされていますが、サイバー空間とフィジカル空間を高度に融合させたシステムを基盤とする社会は、複雑で変化が速く、リスクの統制が困難であることから、AIガバナンスは、事前にルールや手続が固定したものではなく、(i)環境・リスク分析、(ii)ゴール設定、(iii)システムデザイン、(iv)運用、(v)評価といったサイクルをマルチステークホルダーで継続的かつ高速に回転させていく「アジャイル・ガバナンス」の実践が重要とされています。また、(i)環境・リスク分析では便益/リスクの理解、AIの社会的な受容の理解及び自社のAI習熟度の理解、(ii)ゴール設定ではAIガバナンス・ゴールの設定、(iii)システムデザイン(AIマネジメントシステムの構築)ではゴール及び乖離の評価並びに乖離対応の必須化、AIマネジメントシステムの人材リテラシー向上、各主体間・部門間の協力によるAIマネジメント強化並びに予防・早期対応によるAI利用者及び業務外利用者のインシデント関連の負担軽減、(iv)運用ではAIマネジメントシステム運用状況の説明可能な状態の確保、個々のAIシステム運用状況の説明可能な状態の確保及びAIガバナンスの実践状況の積極的な開示検討、(v)評価ではAIマネジメントシステムの機能の検証及びステークホルダーの意見の検討を、それぞれ各主体がAIガバナンスの構築において留意する観点としての行動目標としてあげています。
新ガイドラインの別添(付属資料)では、様々な実践のポイント及び具体的な実践例が挙げられています。AIガバナンスを構築する際には、これらの実践のポイントや実践例を参照して、各主体が置かれている個別具体的な状況や、各主体が開発・提供・利用するAIシステム・サービスの目的、方法、評価の対象等も考慮して、どのようなAIガバナンスを構築するか決めていくことになるであろうと推測されます。また、複数の企業によるAIガバナンスの構築に関する実際の取組事例も紹介されており、今後AIガバナンスを構築しようとする際に参考になると思われます。
新ガイドラインでは、高度なAIシステムに関係する事業者は、広島AIプロセスを経て策定された「全てのAI関係者向けの広島プロセス国際指針」(注7)及び「高度なAIシステムを開発する組織向けの広島プロセス国際指針」(注8)を遵守すべきとし、高度なAIシステムを開発するAI開発者についてはこれらに加えて「高度なAIシステムを開発する組織向けの広島プロセス国際行動規範」(注9)についても遵守すべきとしています。
(3) その他のガイドライン
上記の一般的なガイドラインのほか、個別の分野に特化したガイドラインもいくつか公表されています。例えば、教育現場での生成AIの活用に関して、文部科学省が「初等中等教育段階における生成AIの利用に関する暫定的なガイドライン」(2023年7月4日)(注10)を、佐賀県教育委員会が「生成AI利用ガイドライン【vol.1】」(2023年7月14日)(注11)を公表しており、ヘルスケア領域生成に特化したAI活用のガイドラインとして、日本デジタルヘルス・アライアンスが「ヘルスケア事業者のための生成AI活用ガイド」(2024年1月18日)(注12)を、一般社団法人日本プライマリ・ケア連合学会が「プライマリ・ケアにおけるAI利用ガイドライン」(2023年12月1日)(注13)を公表しています。
2.AIを用いた事業に関する法規制
(1) AIを開発、提供又は利用する事業者において問題になる法規制
(i)著作権
AIと著作権の関係については、今後、裁判例を含む具体的な事例の蓄積、AIに関連する技術の発展、諸外国における検討状況等を踏まえて検討されることになりますが、現時点においても、①学習・開発段階における著作権侵害、②生成・利用段階における著作権侵害、③生成物の著作物性に関する議論が活発化しています。
まず、①主としてAI学習を実施する者が、既存の著作物に係る著作権を侵害することにならないかが問題になります。著作物を利用しようとする場合、原則として著作権者の許諾を得る必要があるところ、2018年に情報解析のための著作物の利用に関して「柔軟な(著作権者の)権利制限規定」(注14)が創設され、「著作物に表現された思想又は感情を自ら享受し又は他人に享受させることを目的としない場合には」著作権者による許諾を要せず著作物を利用できることとされました。この「非享受目的」は、いわゆる「過学習」(overfitting)を意図的に行う場合のように、非享受目的と享受目的が併存する等、複数の目的の内にひとつでも「享受」の目的が含まれていれば否定され、そのAI学習を実施した者は、著作権侵害として、損害賠償請求、差止請求(例、学習済みモデルの廃棄請求等)を受ける可能性があります。
②生成・利用段階における著作権侵害としては、主として、AIサービスの提供者や利用者による、AI生成物の生成及びインターネットを介した送信等の利用行為が、既存の著作物の著作権侵害とならないかが問題となります。AI生成物による著作権侵害は、従来の著作権侵害の有無の判断基準と同様、既存の著作物との「類似性」及び「依拠性」がある場合に認められます。「類似性」の有無は人間がAIを使わずに創作したものと同様に考えることができます。他方「依拠性」は、(i)Image to Imageのように、AIの利用者が既存の著作物を認識していたと認められる場合、及び(ii)既存の著作物を認識していなかったが、AI学習用データに既存の著作物が含まれる場合で、かつ、当該生成AIの開発・学習段階で当該著作物を学習していた場合に、認められる可能性が高くなります。生成・利用段階で著作権侵害が認められる場合、AIの利用者だけでなく、生成AIに関するサービス提供者が著作権侵害について責任を負う可能性が高いものと思われます。
③生成物の著作物性とは、AI生成物が著作権法による保護を受けるかどうかという議論であり、従来の「著作物」の解釈と同様、生成AIに対する指示が表現に至らないアイデアにとどまるような場合には、創作性が認められず著作物性は認められません。個々のAI生成物について、①指示・入力(プロンプト等)の分量・内容、②生成の試行回数、③複数の生成物からの選択、④生成後の加筆・修正等の種々の要素に鑑み、個別具体的な事例に応じて総合的に判断されることになります。
(ii)個人情報保護法
AIの開発や利用にあたっては、個人情報がしばしば利用されることから、「個人情報保護法」に違反しないよう十分注意する必要があります。具体的には、まず、①生成AIを提供する事業者(ChatGPTを提供するOpenAIなど)が、生成AIを開発するために個人情報を取り込もうとする時には、正しく利用目的を示して個人情報を入手したか、実際の利用方法が利用目的から外れていないか、人種や信条といったセンシティブな情報を取得する際のルールに違反していないか、などの問題が起こりやすいと言えます。この問題については、2023年6月にOpenAIに対して、利用目的を日本語で通知することや、センシティブな情報の取得についての注意喚起が行われました(注15)。
また、②生成AIを利用する側でも個人情報についての注意が必要です。例えば従業員の個人情報を管理している企業が、業務効率化のために生成AIを利用する時に、個人情報を入力することが考えられます。この場合、正しく利用目的を示して個人情報を入手したか、実際の利用方法が利用目的から外れていないか、注意が必要です。また、入力された個人情報が生成AI側で学習に使われてしまう場合、入力した側でも、第三者に個人情報を提供したことになる(外国の生成AIを利用した場合には、さらに外国へ個人情報を移転したことになってしまう)可能性があり、個人情報保護法に違反することになります。このように、利用する側でも個人情報保護について十分な注意が必要であり、2023年6月には個人情報保護委員会から「生成AIサービスの利用に関する注意喚起等」(注16)が公表されています。
こうした、生成AI開発・利用における個人情報保護法上の留意点については、新ガイドラインにおいても詳細に言及されており、個人情報保護の観点が強く意識されていると言えます。
(iii)プライバシー
プライバシー権との関係では、AIだからこそ特に注意が必要となる問題が2つ存在します。一つ目は、本人は、一つ一つはそれほどセンシティブとは言えない情報だけを出したのに、AIがそれらの情報を統合して処理した結果、センシティブな情報が明らかになってしまう、という問題です。二つ目は、AIによる処理の結果、本来の自分とはかけ離れた人物像が形作られ、利用されてしまう(しかも、AIの処理が非常に複雑であるため、その正誤を検証することができない)、という問題です。
こうした問題に対し、EUではAIによる処理の中止を求める権利や、AIの判断のみに基づいて重要な決定をされない権利を認める法規制が法律によって認められています(注17)が、日本では実現していません。もっとも、上述のとおり、政府が公表する新ガイドラインでは、AIによる処理を行う場合に、個人の尊厳を尊重すること、人間の判断を介在させること、国際的な個人データ保護の原則や基準を参照したプライバシー保護などが求められており、AI特有のプライバシー侵害の問題が意識されつつあり、今後の議論の進展が待たれます。
(iv)営業秘密
近時、業務の円滑化等の目的から、生成AIに自社の情報を入力し利用する事業者が増えています。しかしながら、従業員が自社の機密情報を生成AIに入力することを許してしまうと、不正競争防止法の「営業秘密」や「限定提供データ」として、同法による保護を受けることができなくなる可能性があります。即ち、「営業秘密」として不正競争防止法によって保護されるためには、①秘密管理性(秘密として管理されていること)、②有用性(事業活動に有用な技術上又は営業上の情報であること)、③非公知性(公然と知られていないこと)が必要ですが、従業員が何のルールもなく生成AIに機密情報を入力できるとすると、①秘密として管理されているとは言えず、当該機密情報は「営業秘密」として認められなくなると思われます(ただし、AIサービス提供事業者との間で、営業秘密を特定した秘密保持契約(NDA)を締結するなど、自社の秘密管理意思を明らかにしているような場合は秘密管理性が失われないとも考えられます(注18)。また、同法上の「限定提供データ」は、①限定提供性(業として特定の者に提供されること)、②相当蓄積性(電磁的方法により相当量蓄積されていること)、③電磁的管理性(電磁的方法により管理されていること)が要件とされるところ、③電磁的管理性が失われると考えられます。事業者においては、自社の機密情報を生成AIに入力しない等ルール作りをすることが望まれます。
(v)競争法
公正な競争の実現が、AIの利用によって妨げられる場合、独占禁止法違反となる可能性があります。この問題について、2021年3月に、公正取引委員会が主催する研究会が取りまとめた報告書(「アルゴリズム/AIと競争政策」)(注19)が公表されています。この報告書では、価格設定・価格調査アルゴリズムにより価格競争が活発になる場合がある一方で、その利用の態様によっては競合する企業間でAIを利用した協調的な価格調整が行われたり、競合する利用者と消費者の取引の妨害(略奪的な価格設定、意図的なランキング操作(注20)など)が行われる場合など、AIが関わる問題が丁寧に分析されており、この問題について当局の関心も高いと言えそうです。
(vi)経済安全保障推進法
2022年5月の経済安全保障推進法の成立を受け、AIは「特定重要技術」(当該技術が外部に不当に利用された場合において、国家及び国民の安全を損なう事態を生ずるおそれがあるもの等三類型が存在する。)に指定されました。これによって、AIの研究開発については、国による研究開発促進支援の対象とされました。同時に、海外への技術漏えい対策、営業秘密の保護、研究の健全性や公正性確保などについて十分な配慮が求められることになります(注21)。
(2) その他規制がある業界
以下では、金融、医療・介護といったいわゆる規制産業とAIの利用について紹介します。
(i)金融(銀行、資産運用、保険)
金融分野では、顧客対応(チャットボットなど)でAIが活用されているほか、銀行、資産運用、保険といった各分野の業務でもAIの利用が進められています。例えば銀行の与信審査、資産運用、保険設計など、金融分野では、昔からデータ分析がビジネスの重要な要素でした。このため、大量のデータを処理するAIと親和性があると言えます。
ただし、AIには、処理過程が人間に確認できず「ブラックボックス」となってしまう、という問題があります。このことが、顧客間で差別的にも見える取扱いが起きたり(AIによる信用スコア算定など)、顧客に対する運用方針の説明が困難となったり(AIアドバイザーを用いた顧客資産運用など)といった問題につながるほか、個人情報保護との摩擦を生じる可能性(個人のヘルスケアデータや遺伝子情報などにリンクした保険新商品など)もあります。
もちろん、登録投資運用業者には各種行為規制が課され(注22)、「金融分野における個人情報保護に関するガイドライン」が定められていますが、金融分野でAI利用についての統一的な規制はありません。また、個別の法律やガイドラインでも、AIを意識した規制はほとんどみられません。もっとも、2020年に割賦販売法が改正され、AIによって貸付可能額を算定する場合の規制が作られるなど、重要な変化も見られています。さらに、銀行や生損保などが参加する業界団体(「金融データ活用推進協会」)が、具体的な設定事例に基づいて生成AI活用で得られる効果とリスクを整理した「金融生成AI実務ハンドブック」を公表し(2024年5月)、また夏頃を目途に、生成AI利用についての自主規制ガイドライン(「金融生成AIガイドライン」)の策定が進められています。
(ii)リーガルテック(契約書レビュー)
日本でも、近時、契約書作成・レビュー、文書管理、リサーチ、フォレンジックといった機能において、いわゆるリーガルテック・サービスが登場してきました。これらのサービスのうち、いわゆる契約書AIレビューサービスについては、弁護士でない者は、報酬を得る目的で、法律事件に関して鑑定をしたり法律事務を取り扱ったりすることを禁止する弁護士法72条との関係で問題とならないかが、論点となってきました。これについては、法務省の回答が出され(注23)「単に言語的な意味内容の類似性を超えて法的効果の類似性を表示するものと評価される場合」は鑑定と評価される可能性が否定できないこと、また弁護士が法律事務所や事業会社においてサービスを利用した結果も踏まえて審査対象となる契約書等を自ら精査し、必要に応じて自ら修正を行う方法でサービスを利用するときであればれば同条項との関係で問題とならないこと等が回答されました。
また、AIを用いた他リーガルテックのサービスの利用に際しては、他社から入手した秘密情報をサービス利用に際して入力することにより、AIサービス提供会社という「第三者」に秘密情報を開示することとなり、自社が秘密保持義務に違反してしまう可能性にも留意が必要です。
注1:https://www.cas.go.jp/jp/seisaku/jinkouchinou/pdf/aigensoku.pdf、
注2:https://www.soumu.go.jp/main_content/000499625.pdf
注3:https://www.soumu.go.jp/main_content/000809595.pdf
注4:https://www.meti.go.jp/shingikai/mono_info_service/ai_shakai_jisso/pdf/20220128_1.pdf
注5:https://www.meti.go.jp/press/2024/04/20240419004/20240419004-1.pdf 、https://www.meti.go.jp/press/2024/04/20240419004/20240419004-2.pdf
注6:ただし、事業活動においてAIの開発・提供・利用を担う者から業務外利用者への必要な対応については、新ガイドラインに記載されています。
注7:https://www.soumu.go.jp/hiroshimaaiprocess/pdf/document03.pdf
注8:https://www.mofa.go.jp/mofaj/files/100573469.pdf
注9:https://www.mofa.go.jp/mofaj/files/100573472.pdf
注10:https://www.mext.go.jp/content/20230718-mtx_syoto02-000031167_011.pdf
注11:https://www.pref.saga.lg.jp/kyouiku/kiji00397834/3_97834_287223_up_4oo0tku4.pdf
注12:https://jadha.jp/news/news20240118.html
注13:https://www.primarycare-japan.com/files/news/news-625-1.pdf
注14: 著作権法(昭和45年法律第48号)第30条の4
注15: https://www.ppc.go.jp/files/pdf/230602_alert_AI_utilize.pdf
注16: https://www.ppc.go.jp/files/pdf/230602_alert_generative_AI_service.pdf
注17:GENERAL DATA PROTECTION REGULATION (GDPR)では、プロファイリングの中止を求める権利(21条「Right to Object」)、プロファイリングのみに基づいて重要な決定を下されない権利(22条「Automated individual decision-making, including profiling」)が認められています。
注18:経済産業省「営業秘密管理指針」14頁参照
https://www.meti.go.jp/policy/economy/chizai/chiteki/guideline/h31ts.pdf
注19:https://www.jftc.go.jp/houdou/pressrelease/2021/mar/210331_digital.html
注20 :飲食店ポータルサイトの評価アルゴリズム変更によって飲食店が損害を受けたと主張する訴訟において、独占禁止法違反が認められた裁判例があります(東京地方裁判所2022年6月16日判決、ただし、控訴審においては独占禁止法違反は否定されました(東京高等裁判所2024年1月19日判決))。
注21 :「特定重要技術の研究開発の促進及びその成果の適切な活用に関する基本指針」
https://www.cao.go.jp/keizai_anzen_hosho/suishinhou/doc/kihonshishin3.pdf
注22 :例えば、誠実義務(金融商品取引法第36条)、契約締結前交付書面の交付(同法37の3)、忠実義務・善管注意義務(同法42条)等一般的な規定が挙げられる。
注23 :2022年10月14日グレーゾーン解消制度に係る回答
(https://www.meti.go.jp/policy/jigyou_saisei/kyousouryoku_kyouka/shinjigyo-kaitakuseidosuishin/press/221014_yoshiki1.pdf)及び2023年8月付法務省大臣官房司法法制部からの回答(https://www.moj.go.jp/content/001400675.pdf)。また、無償であれば「報酬を得る目的」がなく同条に違反しないこと、継続的取引の基本となる契約を締結している会社間において特段の紛争なく当該基本契約に基づき従前同様の物品を調達する契約を締結する場合であって、その契約関係を明らかにするために契約書等を作成する場合に当該サービスを提供するときには「法律事件」に該当せず、同条に違反しないと考えられることが説明されています。
留保事項
・ 本書の内容は関係当局の確認を経たものではなく、法令上、合理的に考えられる議論を記載したものにすぎません。また、当職らの現状の考えに過ぎず、当職らの考えにも変更がありえます。
・ 本書は Blog 用に纏めたものに過ぎません。具体的案件の法律アドバイスが必要な場合には各人の弁護士にご相談下さい。
ジェネレーティブAI(Generative AI)とは、画像、文章、音声、プログラムコード、構造化データなど様々なコンテンツを自動的に生成することのできる人工知能のことを指します。
機械学習により大量のデータを学習した学習モデルが、人間が作成するような絵や音楽、文章などを簡単に生成することができます。
2022年頃から、MidjourneyやStable Diffuisionなど画像生成AIが急速に市場にて普及し始め、2023年初頭から、ChatGPTやBingなど自然言語処理に特化したジェネレーティブAIが急速に普及し始めています1。
ジェネレーティブAIの製品例としては例えば以下のような例があります。
| 製品名 | 分野 | 製品説明 |
| Midjourney, Stable Diffusion, DALL·Eなど |
画像生成 | テキストでの指示に基づき、リアル/芸術的な画像を生成するAI |
| Artbreeder | 画像生成 | アップロードした画像や複数の画像から、他の新しい画像を生成するAI |
| Juke deck | 音楽生成 | ジャンル、テンポ、ムードなどを指定すると、著作権フリーのオリジナル曲を生成するAI |
| Runway ML | 動画生成 | テキストを打つことで、動画が作成できるAI |
| CHAT GPT, Bing |
テキスト生成 | 自然言語でテキスト入力すると、それに自然言語で回答を行うAI。会話エージェント、自動作文、自動翻訳など |
| Catchy | テキスト生成 | 日本語特化のAI文章作成ツール |
なお、本原稿もChatGPTなどのテキスト生成AIを活用して作成しています。具体的には、ChatGPTに「金融機関とジェネレーティブAIについてBlogを書くことを考えています。骨子を教えて下さい。」等と質問したり、「ジェネレーティブAIの商品の例を表形式で教えて下さい。」等と質問した後、出力データを、①人間がチェックし、②人間が再構成し、③人間が修正し、④人間が加筆して、仕上げています。
テキスト生成AIが打ち出すデータは、まだまだ誤りも多く、現時点ではそのままでは使用できません。
AI出力データから大幅な修正加筆をしているのが現状(=まだ人間の仕事がなくなるほどではない)ものの、しかしながら、現時点でも相当程度は業務の効率化に繋がりますし、今後はますます素早く、正確になっていくものと想定されます。
ジェネレーティブAIの急速な進化を受け、多くの金融機関にてAIを利用して業務の効率化が図れないか検討が進められています。
例えば、金融機関は、一般に、対顧客でも行内でも膨大な数の書類を作成しているところ、ジェネレーティブAIにより、説明書類の作成、稟議書の作成等、対顧客業務/行内業務の効率化が可能であれば、大幅なコスト減が可能になりえます。更にAIによる投資助言サービスや自動ポートフォリオ最適化ツールなど、対顧客向けに新しいサービスを提供することや、社内での議論の壁打ち相手2、としてチャットAIからの回答を参考にしてビジネス判断の再検討や思考整理を行うことも考えられます。
| 金融分野におけるジェネレーティブAIの応用分野 (1) 顧客体験やマーケティングの向上 (2) 対顧客業務の効率化 (3) 行内業務の効率化 (4) 投資助言やポートフォリオ最適化 (5) リスク評価や不正検知 (6) 議論の壁打ち相手 |
他方、ジェネレーティブAIの利用には、下記のような新たな倫理的・法的な問題が生じ得ます。
| AIと新たな問題の登場 (1) バイアスの問題 各種審査などに関連し、ジェネレーティブAIの学習に用いられるデータが、特定の人種や地域に偏っている場合、AIが偏った結果を出力する可能性があります。この場合、人種差別や地域差別につながる恐れがあります。 (2) プライバシーの問題 ジェネレーティブAIを用いた金融サービスや商品において、顧客の個人情報が必要な場合、プライバシーの侵害が懸念されます。また、AIが生成した情報を利用する際にも、プライバシーの保護が求められます。 (3) 不正行為の問題 ジェネレーティブAIは、高度な詐欺手法に悪用される可能性があります。例えば、不正な取引の詐欺や、個人情報を盗むためのフィッシングなどが考えられます。 (4) 人間との関係性の問題 ジェネレーティブAIによる自動化が進むことで、人間の労働力や専門性が求められなくなる場合があります。この場合、職業の流動化や失業問題が生じる可能性があります。また、AIによる決定が人間の判断を上回る場合、人間がAIに従属することで、意思決定の権限が人間からAIに移行する可能性があります。 |
以上のように、ジェネレーティブAIと金融分野においては、技術的な問題だけでなく、倫理的・法的な問題や人間との関係性についても十分な考慮が必要です。
現在、金融機関において、もっともAIの活用が検討されている分野は、AIによる業務効率化になります。
筆者らが聞く限り、金融機関から大手のAI会社に対し、AIの利用の相談、業務効率化について多数の相談が寄せられており、新規開発は数か月待ち、とのことです。
例えば、①対顧客の説明資料や契約書、行内の稟議書や各種記録書類、規制当局向け申請書や報告書などの膨大な文章作成をAIによって効率化する、②顧客からの問い合わせをチャットAIによって自動回答(文章回答、音声回答)し、問い合わせ内容を収集、記録し、データ化する、③顧客の不正検知のため架空の取引データを大量に作成する3、④融資先の過去の借入実績等の情報をAIにより分析して融資審査を実施する、等の行為が考えられます。
なお、金融機関のAI利用の特徴として、ChatGPTのようなオープンなデータベースではなく、このようなオープンデータベースに自社独自のデータをも追加した専用のデータベースを利用する(機械学習等させる)、という特徴があるようです。
このような専用のデータベースを利用することにより、より業務に即した回答を得られ、業務の秘密性が確保できるメリットがあります。
ジェネレーティブAIに機械学習をさせるためには、自社の各種のデータをAIに食わせる(=AIに情報を提供して分析して、学習させること)必要があります。
自社でデータを食わせる、又は、外部ベンダーに情報を提供してデータを食わせる場合の両方が考えられますが、金融機関が食わせたいデータには多くの個人情報や秘密情報が含まれており、個人情報保護法や秘密保持義務との関係が問題となります。
現時点での結論としては、以下のようになるのではないかと思われ、それぞれ検討を行います。
| 自社でのデータ利用 | 各部ベンダーの利用 | |
| 個人顧客の情報利用で、プライバシーポリシーに「データ分析等による記入商品やサービスの研究開発のため」等と利用目的を記載 | 利用目的の範囲内であり、可能 | 利用目的の範囲内であり、可能 第三者ベンダーとの間では秘密保持契約を締結する必要がある |
| 個人顧客の情報利用で、プライバシーポリシーに単に「お客様に対するサービス向上のため」等と利用目的を記載 | 議論がありうるが慎重に対処。プライバシーポリシーの改訂を行うことが望ましい | 同左 |
| 法人顧客の情報利用で、特別の秘密保持契約を締結していない | 当然に負担する秘密保持義務との関係が問題となるが、原則として問題ないのではないかと思われる | 第三者ベンダーとの間では秘密保持契約を締結すれば、問題ないのではないかと思われる |
| 個人または法人の顧客の情報利用で、特別の秘密保持契約を締結している | 明示の秘密保持契約の内容によるが、契約上は、通常、難しい | 同左 |
① 個人情報保護法と利用目的
自社でデータを食わせる場合、その処理が利用目的の範囲内であるかが問題となります。個人情報保護法では、個人情報を取扱うにあたり、その利用の目的をできる限り特定する必要があり(個人情報保護法17条1項)4、本人の同意を得た場合を除き、特定した利用目的の達成に必要な範囲を超えて個人情報を取扱うことができません(同法18条1項)。また、個人情報を取得した場合には、あらかじめその利用目的を公表している場合を除き、速やかに、その利用目的を、本人に通知又は公表する必要があります(同法21条1項)。
仮に、AIでの利用があらかじめ設定した利用目的の範囲内ではない場合、利用目的の変更が必要となります。AIでの利用が既に設定された利用目的と関連性を有すると合理的に認められる範囲内であれば、変更手続きは利用目的の変更を本人に通知するか公表することで足ります(同法21条3項)。他方で、変更が認められる合理的な範囲を超える場合には、改めてAIでの利用について本人の同意を得たうえで利用目的を設定する必要があります。
なお、プライバシーポリシーの改訂を行う際で上記の通り本人の同意を必要とする場合、。定型約款を一定の場合には同意なく変更できるとする民法上の定型約款の変更手続の規定(民法548条の4)は適用されないと考えられています5。そのため、インターネット取引の場合には、例えばポップアップ等でプライバシーポリシーの変更箇所を明示したうえで、クリックにて顧客の同意を取る等の手続きを行うことになると思われます。
② プライバシーポリシーの利用目的の記載の具体例
例えば、単に「お客様に対するサービス向上のため」とのみ記載されている場合で、対顧客業務の効率化のために、各種個人情報を食わせる場合を考えます。このような場合でも、「お客様に対するサービス向上のため」であり利用目的の範囲内だと考える議論もありえますが、顧客からした場合、自身に対するサービス提供のためではなく、顧客全般へのサービス向上(業務効率化)のために自身の個人情報を利用することは想定できないのではないか、もしそうだとすれば、利用目的の特定として不十分であり、利用目的の変更が必要なのではないか、等の議論になるように思われます。
次に、「市場調査やデータ分析等による金融商品やサービスの研究や開発のため」等と規定されている場合で、対顧客業務の効率化のために各種個人情報を食わせる場合を考えます。この場合、AIによる分析であることは明示はされていないものの、顧客の個人情報を大量に用いて何らかのデータ分析をし、その結果、金融商品やサービスが研究開発されることは当然予想できると思われることから、一般的にはAIでの利用もプライバシーポリシーの利用目的の範囲内であると考えて良いように思われます。
いずれにせよ個別具体的なプライバシーポリシーの文言と、使用目的を考慮の上、法務部門等とも相談の上、検討する必要があります。
① 個人情報保護法と第三者提供
ベンダー等の他社に個人情報を提供してAIに食わせる場合、上記に加えて、第三者提供の範囲か否かが問題となります。
原則として、個人情報取扱事業者は、第三者に対して個人データを提供する場合、本人の同意が必要となります(同法27条1項)。
もっとも、事業者が、その利用目的の達成に必要な範囲内において個人データの取扱いの全部又は一部を委託することに伴い、個人データが提供される場合には、そのような業務委託先は「第三者」には該当せず、本人の同意は不要となります(同法27条5項1号)。そのため、自ら提供するAIサービスの構築のために、個人情報をAIに食わせる作業をベンダー等に委託することに伴って個人データをベンダーに提供する場合には、本人の同意は不要になると考えられます。但し、委託者は、個人データの安全管理が図られるよう、受託者に対する必要かつ適切な監督を行わなければなりません(同法25条)。
また、特定の者との間で共同して利用される個人データをその特定の者に提供する場合にも、共同利用する旨やその個人データの項目等の個人情報保護法が定める一定の情報をあらかじめ本人に通知又は容易に知り得る状態に置いていれば、本人の同意は不要となります(同法27条5項3号)。例えば、個人データを利用したAIをグループ企業間で利用する場合等に、共同利用をすることが考えられます。
② 業務委託として個人データをベンダーに提供する際の具体例
第三者提供に該当しない業務委託を行う具体的な事例としては、例えば、プライバシーポリシーの利用目的に「市場調査やデータ分析等による金融商品やサービスの研究や開発のため」と明示されている場合には、第三者たる外部ベンダーにAIでの分析のために個人データを提供することも、「事業者が、その利用目的の達成に必要な範囲内において個人データの取扱いの全部又は一部を委託することに伴い」と解釈することができるのではないか、と考えます。
③ 秘密保持契約の締結
個人情報保護法上、第三者提供が可能であるとしても、「委託者は、個人データの安全管理が図られるよう、受託者に対する必要かつ適切な監督を行わなければなりません(同法25条)」とあることから、第三者であるベンダーに秘密保持義務を負わせる等の契約は当然、必要になります。
仮に取得した個人情報の利用目的にAIでの分析が含まれていないとしても、AIに食わせる個人情報を匿名加工情報に加工することで、本人の同意なしに目的外利用や第三者提供が行えることになります。
ここで匿名加工情報とは、一定の方法により「特定の個人を識別できないように個人情報を加工して得られる個人に関する情報であって、当該個人情報を復元できないようにしたもの」を意味します(同法2条6項)。もっとも、個人情報を匿名加工情報に加工する場合、個人情報に含まれる特定の個人を識別することができる記述等の全部又は一部の削除、個人識別符号の全部の削除、個人情報と加工後の個人情報とを連結する符号の削除、特異な記述の削除等、個人情報保護委員会規則で定める基準(同法43条1項、個人情報保護法施行規則34条)による加工を行わなければならず、加工が困難であることも多いものと思われます。
そこで、匿名加工情報に比べて高度な加工技術を要しない仮名加工情報を利用することも考えられます。仮名加工情報とは、一定の方法により「他の情報と照合しない限り特定の個人を識別することができないように個人情報を加工して得られる個人に関する情報」を意味します(個人情報保護法2条5項)。匿名加工情報に比べて抽象化の程度が低いため、個人情報の利用価値が維持される点などにメリットがあります。また、未加工の個人情報と異なり、変更前の利用目的と関連性を有すると合理的に認められる範囲を超えた利用目的の変更が可能です(同法41条9項)。もっとも、匿名加工情報等と異なり、原則として第三者への提供が禁止されています(同法41条6項)。
| 未加工の個人情報 | 仮名加工情報 | 匿名加工情報 | |
| 加工 | 加工なし | 他の情報と照合しない限り特定の個人を識別することができないように加工 | 特定の個人を識別できず、個人情報を復元できないように加工 |
| 目的外利用 | 特定された利用目的の範囲内で利用が可能。 また、変更前の利用目的と関連性を有すると合理的に認められる範囲を超える利用目的の変更が不可 |
特定された利用目的の範囲内で利用が可能。 もっとも、変更前の利用目的と関連性を有すると合理的に認められる範囲を超える利用目的の変更が可能 |
目的外利用が可能 |
| 第三者提供 | 原則、本人の同意が必要 | 法令に定める場合を除き不可(仮名加工情報を作成する前に本人の同意を得ていた場合であっても不可)。なお委託業務の場合には第三者に該当しない旨の規定(法28条5項)は適用される。 | 原則、本人の同意は不要 |
金融機関は、情報の提供者である顧客等との間で当然に秘密保持義務を負い、また、M&Aアドバイスや有価証券の引受など特別な取引を行う際には特別な秘密保持義務を定める秘密保持契約を締結することがあります。AIで情報分析を行う際には、個人情報保護法との関係のみならず、このような秘密保持義務との関係も検討する必要があります。
特別の秘密保持条項を含む契約を締結することなく取得した個人の情報に関しては、個人情報保護法以上の保護を当然の秘密保持義務として負う、という議論は通常は存在しないことから、自社利用、第三者提供とも、概ね、上記で検討した個人情報保護法の議論の範囲で実施するのであれば問題ないのではないか、と考えます。
特別の秘密保持条項を含む契約を締結することなく取得した法人(例えば、通常の銀行取引約定書に基づく取引を行う法人)の情報についても、法人に対する秘密保持義務が、個人に対する秘密保持義務よりも重い等の議論が通常はないことから、個人と同様の範囲で自社利用や第三者提供を行う場合には問題ないのではないか、と思われます。
M&AやIPOアドバイス、有価証券の引受、その他特殊な契約で、金融機関が特別の秘密保持義務を負う契約を締結している場合、このような契約には、例えば、①IPOの目的以外には使用しない、②IPOに関連しない第三者には開示しない、等の条項が多く含まれています。そのような秘密保持契約がある場合、今後のIPO案件での資料作成をジェネレーティブAIで簡易化する等の目的でAIにデータを食わせたり、第三者のベンダーにデータを提供することは難しいのではないか、と思われます。
この点、例えば、リーガルテックに関して、「リスク分析のために契約書ファイルをリーガルテックサービスにアップロードするのは契約書の第三者に対する開示に当たり、その契約書に秘密保持義務が規定されていた場合、契約違反にならないのか」との議論があります。これには、実質的に契約相手方の黙示の同意があると考えられないか、実際の損害がないのでビジネスジャッジの問題になるのではないか、等という議論もあるものの6、本項で議論する状況はリーガルテックの場合に比べても、実際の案件との関係が遠く、黙示の同意についてはより慎重に考慮する必要があります。また実際の損害がないとの議論については、金融機関の場合、一般の事業会社に比してもコンプライアンスリスクに慎重にならざるを得ないことから、より慎重に判断する必要があると思われます。
現時点では、秘密保持契約がある相手方の書類を大量にAIに食わせたい、というニーズはあまり存在しないかもしれませんが、今後、このようなニーズが発生することを考えると、自社で用意する秘密保持契約のテンプレートの内容も考慮をする必要があるかもしれません。
法令上、投資助言・代理業を行うためには金融商品取引業者としての登録が必要です(金商法28条3項、29条)
金商法2条8項11号により、金融商品に関する投資助言とは、①金融商品の価値等の分析に基づく投資判断(投資の対象となる有価証券の種類、銘柄、数及び価格並びに売買の別、方法及び時期についての判断又は行うべきデリバティブ取引の内容及び時期についての判断をいう。)に関し、②口頭、文書(一定の物を除く)その他の方法により助言をすることを約し、③相手方が報酬を支払うことを約束する、という要件になります。
仮に、ジェネレーティブAIに、金融商品のこれまでの値動き、リターン、投資データ等を食わせて、その結果、投資銘柄等を推奨する文章を作成した場合、当該文章作成サービスは、投資助言業に該当する可能性があります。
投資助言に特化したAIで、かつ有償で提供されているAIサービスの場合、投資助言業の取得が必要である場合が多いのではと思われます。現在でも「投資分析サービス等のコンピュータソフトウェアの販売」については、販売店による店頭販売や、ネットワークを経由したダウンロード販売等により、追加サポートなく誰でも使用できるようなツールは投資助言業に該当しないと解されています。他方、ツールの使用に、販売業者等から継続的に投資情報等のデータの提供、その他のサポートを受ける必要がある場合、登録が必要になる場合がある、とされています(下記「金融商品取引業者等向けの総合的な監督指針」参照)。投資助言に特化した有償AIは、多くの場合、AI提供会社が継続的にデータを食わせる、チューニングをする、等をすることにより、価値を担保していると思われ、そのような場合、投資助言業になるのでは、と思われます。
他方、金融機関が一般的な情報提供の趣旨で、無償で投資情報を提供する場合には、「相手方が報酬を支払う」という要件に該当しないことから、投資助言業は必要ありません
問題は、現在はそこまで進化したAIはないと思われますが、例えば汎用的なジェネレーティブAIで、しかしながら当該AIが金融商品の情報も多数収集しており、その結果、投資助言的なことも行うことができる、通常は無償であるが、有償会員になるとより素早いレスポンスを得ること等ができる、等の場合、投資助言業に該当するかです。
筆者らとしては、このようなAIの有償会員になったとしても、あくまでこれは投資助言のための報酬ではなく、AI全般のスピードアップ等のメリットを得るためのものであり、投資助言業に該当しないと考えますが、今後、AIがますます進化していった場合、このように解して良いか、更に検討が必要となると思われます。
| 金融商品取引業者等向けの総合的な監督指針VII-3-1(2)②c ②投資助言・代理業に該当しない行為 イ. 不特定多数の者を対象として、不特定多数の者が随時に購入可能な方法により、有価証券の価値等又は金融商品の価値等の分析に基づく投資判断(以下「投資情報等」という。)を提供する行為 例えば、以下aからcまでに掲げる方法により、投資情報等の提供を行う者については、投資助言・代理業の登録を要しない。 ただし、例えば、不特定多数の者を対象にする場合でも、インターネット等の情報通信技術を利用することにより個別・相対性の高い投資情報等を提供する場合や、会員登録等を行わないと投資情報等を購入・利用できない(単発での購入・利用を受け付けない)ような場合には登録が必要となることに十分に留意するものとする。 a. 新聞、雑誌、書籍等の販売 (注)一般の書店、売店等の店頭に陳列され、誰でも、いつでも自由に内容をみて判断して購入できる状態にある場合。一方で、直接業者等に申し込まないと購入できないレポート等の販売等に当たっては、登録が必要となる場合があることに留意するものとする。 b. 投資分析ツール等のコンピュータソフトウェアの販売 (注)販売店による店頭販売や、ネットワークを経由したダウンロード販売等により、誰でも、いつでも自由にコンピュータソフトウェアの投資分析アルゴリズム・その他機能等から判断して、当該ソフトウェアを購入できる状態にある場合。一方で、当該ソフトウェアの利用に当たり、販売業者等から継続的に投資情報等に係るデータ・その他サポート等の提供を受ける必要がある場合には、登録が必要となる場合があることに留意するものとする。 (https://www.fsa.go.jp/common/law/guide/kinyushohin/07.html#07-03) |
留保事項
・本書の内容は関係当局の確認を経たものではなく、法令上、合理的に考えられる議論を記載したものにすぎません。また、当職らの現状の考えに過ぎず、当職らの考えにも変更がありえます。
・本書はBlog用に纏めたものに過ぎません。具体的案件の法律アドバイスが必要な場合には各人の弁護士にご相談下さい。