生成AIと営業秘密・NDAの注意点 法的リスクと実務対応
この記事の要点
生成AIに入力したデータが「第三者への開示」に当たるかどうかは、NDAの文言と利用するAIサービスの契約内容で決まる。営業秘密・秘密保持契約と生成AI活用の法的な接点と実務対応を解説する。
結論
NDA対象情報を生成AIに入力することがNDA違反かどうかは、NDAの「第三者への開示」の定義と、使うAIサービスの契約内容の両方で判断が必要だ。確認が取れるまでは入力を避けるか、NDA対象であることが明らかな情報を伏せて入力する実務対応が現実的だ。
営業秘密と不正競争防止法
営業秘密は不正競争防止法で保護される。保護を受けるには3つの要件を満たす必要がある。
秘密管理性:「秘密として管理されている」こと。社内でアクセス制限があり、社員が秘密と認識できる状態であることが必要だ。「だれでも見られる共有フォルダに置いてあるが社外秘のつもり」では保護されない。
有用性:事業活動に有用な技術上または営業上の情報であること。特定の製造プロセス・顧客データ・価格戦略などが典型例だ。
非公知性:公になっていないこと。既に公開された情報は営業秘密にならない。
この3要件を満たす情報が、不正な方法で取得・開示・使用されることが「不正競争」として規制される。
NDA(秘密保持契約)との関係
NDAは契約当事者間で「この情報は秘密にする」と合意した契約だ。営業秘密の法的要件(秘密管理性等)とは別に、契約で定めた情報を守る義務が生じる。
典型的なNDAの条項:
「受領当事者は、秘密情報を第三者に開示または漏洩してはならない。
ただし、書面による開示当事者の事前の同意を得た場合はこの限りではない。」ここで問題になるのが「第三者への開示」だ。
生成AIへの入力は「第三者への開示」か
法的にはグレーな問題だ。以下の2つの観点が争点になる。
開示の解釈:AIサービス事業者は「第三者」か。個人の脳内で考えることはNDA違反にならないが、外部のクラウドサービスに送信することは「第三者」への情報の提供と解釈される可能性がある。
委託の解釈:情報の処理を外部に委託する場合、委託先が第三者に当たらないとする解釈もある。ただし、この場合でもNDA上の委託条項(委託先に同等の守秘義務を課す等)の要件を満たす必要がある。
現時点で日本の判例で確立した解釈はなく、NDAの文言・AIサービスの契約内容・情報の機密性などを総合的に判断する必要がある。
実務上の対応
アプローチ1:法務に確認する
新しいAIツールを業務に導入する際に、法務部門・顧問弁護士に「NDAで保護された情報をこのサービスに入力することの適法性」を確認することが最も安全だ。
確認する際に必要な情報:
- 使うAIサービスの名称・プラン
- そのサービスの利用規約とデータ処理方針(日本語訳があれば)
- どのような種類のNDA情報を処理したいか
アプローチ2:入力情報を加工する
NDA対象であることが明確な情報は、固有名詞・識別情報を伏せた形で入力する。
例えば、NDA締結先の企業から受け取った技術仕様書を要約したい場合:
- 悪い:仕様書をそのまま貼り付ける
- よい:固有名詞・会社名・製品名を「A社」「製品B」に置き換えてから入力する
完璧にNDA情報を除外できるわけではないが、識別可能な情報を除くだけで多くの場合はリスクを下げられる。
アプローチ3:社内向けAIを使う
超機密性の高い情報を扱う企業では、自社のクラウド環境に構築した社内向けLLMを使う選択肢がある。Azure OpenAI Service・Amazon Bedrock・Google Cloud Vertex AIなどを使って自社環境内にLLMの実行環境を作ることで、情報が外部に出ない状態を実現できる。コストと技術的な要件は高いが、最高水準の機密情報を扱う場合には検討に値する。
生成AIで作った成果物と営業秘密
生成AIで作った資料・報告書・コードを社外に公開・共有する際の問題も考える必要がある。
プロンプトに機密情報を含めた場合、その情報がAIの出力に反映されることがある。「○○社との契約交渉の戦略について整理してほしい」というプロンプトを使った場合、出力の資料に戦略の詳細が含まれてくる可能性がある。
この出力を第三者に提供することは、営業秘密を含む資料の開示につながる。生成AIで作った資料を社外に提供するときは、プロンプトに含めた機密情報が出力に反映されていないかを確認する工程が必要だ。
AIサービスの契約と守秘義務の検討
法人向けAIサービスを選ぶ際、NDA絡みの観点で確認すべき項目:
| 確認ポイント | 意味 |
|---|---|
| データ処理補足規約(DPA)の有無 | 事業者として適切なデータ処理を担保する契約 |
| 入力データの学習利用の有無 | 機密情報がモデル改善に使われないか |
| 入力データの保存期間・場所 | 一時的な処理か永続的な保存か |
| 従業員のデータアクセス権限 | 事業者の従業員が入力データを見られるか |
| 再委託先(サブプロセッサー)の開示 | データが第三者のインフラに渡らないか |
DPAの締結が整っており、入力データが学習に使われないサービスは、NDAの「委託」としての解釈を取りやすくなる場合があるが、最終的な判断は法務との確認が必要だ。
AI利用と個人情報保護法についてはAI利用と個人情報保護法の基礎を、入力してはいけない情報全般についてはAIに入れてはいけない情報の判断基準を参照してほしい。
まとめ
生成AIと営業秘密・NDAの問題は、法的な解釈が確立していないグレーゾーンが多い。NDAの文言を確認し、「第三者への開示」に当たる可能性がある場合は法務に確認することが最も安全だ。実務上は、機密情報を伏せた形での入力・社内AIの活用・法務確認を組み合わせることでリスクを管理できる。
よくある質問
NDA(秘密保持契約)の対象情報を生成AIに入力することはNDA違反になりますか
NDAの文言によります。「第三者への開示」をNDA違反と定めている契約が多く、生成AIサービスへの入力がこの「第三者への開示」に該当するかは、サービスの契約形態と守秘義務の解釈によって変わります。不明な場合は法務への確認が必要で、確認できるまでは入力を避けることを勧めます。
営業秘密とNDAの違いは何ですか
営業秘密は不正競争防止法で保護される情報で、秘密管理性・有用性・非公知性の3要件を満たす必要があります。NDA(秘密保持契約)は当事者間の契約で定める秘密情報で、法律上の要件は不要です。両者は別の概念ですが、NDAで保護された情報が同時に営業秘密に該当することもあります。
法人向けAIプランを使えばNDAの問題はクリアになりますか
法人向けプランで入力データが学習に使われない保証があったとしても、NDA上の「第三者への開示」問題は別の判断が必要です。データがサービス提供者のサーバーで処理される事実は変わらないため、NDAの適用範囲と照らし合わせた確認が必要です。
生成AIで作成した成果物に含まれるアイデアの権利はどうなりますか
AIへのプロンプトに含めた営業秘密が出力に反映された場合、その出力を第三者に開示することが営業秘密の漏洩につながる可能性があります。生成AIで作った資料を社外に提供するときは、プロンプトに含めた機密情報が出力に含まれていないかの確認が必要です。
関連記事
生成AIのアクセス権限管理 誰がどのAIを使えるかを組織で制御する
生成AIのアクセス権限管理は、ツールの利用者・利用できる機能・取り扱える情報のレベルを組織として制御することだ。実装できる管理の粒度と、各企業規模に合った現実的な方法を解説する。
AIが作った文章の情報漏洩リスク 出力に機密情報が混入するパターンと対策
生成AIの出力に、プロンプトで入力した機密情報が反映されることがある。AIが作った文章を社外に公開・共有するとき、どのリスクがあってどう対処するかを解説する。
AI利用と個人情報保護法の基礎 企業が押さえる判断基準
生成AIの業務利用では、個人情報保護法との抵触に注意が必要だ。第三者提供の要件、委託の適正化、仮名加工・匿名加工の活用方法など、企業が判断すべき具体的な基準を解説する。