blog/危機管理・内部統制/情報セキュリティ

ChatGPTに対する各大学の方針・見解から、企業の情報セキュリティを考える

by 弁護士浅見隆行

こんにちは。
弁護士の浅見隆行です。

2023年に入ってから、生成系AI「ChatGPT」が急速に浸透しています。

質問すれば対話で答えが返ってくる。
その答えにさらに質問すれば別の答えが返ってくる。

非常に便利である反面、答えによっては、もっともらしく取り繕っているだけで間違った内容も目立ちます。

こうした状況を受けて、各大学がChatGPTなどの生成系AIに対する考え方や指針を示し始めました。
今回は、各大学の指針を見ながら、企業活動と生成系AIの距離感や情報セキュリティについて考えてみたいと思います。

ChatGPTなど生成系AIに対する各大学の指針・見解

大学では、研究などに使えると同時に、学生が間違った学びをするリスクもあることから、賛否両論です。

3月27日、名古屋大学の杉山総長は、卒業式でchatGPTを利用して祝辞を述べたそうです。
その際、ChatGPTのデメリットとメリットの両方を指摘しました。

「チャットGPTを使ってリポートを書いた人もいるのでは。これは剽窃(ひょうせつ)、盗用の疑いもあり、大学教育の危機と言える」と述べた。
 一方、「必ずしもネガティブ(否定的)ではない」とも発言。「人が多くの時間を費やしてきた調査、検索、形式を整えることをAIに任せ、論文の中身の充実に集中できるとも考えられる」と話した。

2023.4.20 朝日新聞デジタル

4月に入ってからは、その他の大学もWEBサイトや学生向けポータルサイトにChatGPTなど生成系AIに対する方針を掲載するようになりました。

報道されている主な大学の方針や声明は以下のとおりです。

  • 東北大学:「未発表の論文や秘密にすべき情報を入力してしまうと、意図せず漏えいしてしまう可能性がある
  • 東京大学:「学位やレポートについては、学生本人が作成することを前提としているので、生成系AIのみを用いて作成することはできない
  • 京都大学:「AIによる文章作成には誤った情報が含まれるリスクがある」「みずから『文章を書く』ということに伴う重要な検証プロセスが欠けている」「皆さんには、時間をかけてじっくりと自分の文章を練り上げる習慣を、ぜひ身に付けていただきたい」
  • 九州大:「使用は単純に禁止しない。新しい技術を活用し、自ら学び、価値を創造する姿勢を育むことが望ましい」
  • 上智大学:「レポート、小論文、学位論文等において、使用を認めない。使用が確認された場合は、厳格な対応を行う。教員の許可があれば、その指示の範囲内で使うことは可」

また、東京大学は、リスクを詳細に説明してます。
その一部は以下のようなものです。

ChatGPTの原理は、大量の既存の文章やコンテンツの機械学習と強化学習を通じ、確率的にもっともらしい文章を作成していくものです。したがって、書かれている内容には嘘が含まれている可能性があります。非常に話し上手な「知ったかぶりの人物」と話しをしているような感じです。(もっとも、最新バージョンGPT4ではかなり正確性が増しており、相談相手としても相当優秀な存在です。)そのため、ChatGPTを使いこなすには、相当の専門的な知識が必要であり、回答を批判的に確認し、適宜修正することが必要です。また、既存の情報にない新しい知見に関する分析や記述はできません。つまり、ChatGPTが出たからといって、人間自身が勉強や研究を怠ることはできないということです。ただ、教養や専門知識を有する人物が回答内容を批判的に分析し、上手に使いこなせば、定型的な業務の効率を格段に向上させることが可能でしょう。

生成系AI(ChatGPT, BingAI, Bard, Midjourney, Stable Diffusion等)について

大阪大学もリスクについて詳細に説明しています。

このようなツールは、さまざまな問題点に留意しながら利用しなければなりません。まず、インターネット上の情報は、正しいものばかりではなく、生成AIで作られた文章には誤りが含まれることもあります。生成AIから得られた回答を、その真偽を正しく判断せずに自分の言葉として発信した場合、さまざまなリスクをはらむことがあります。このリスクについて、一人ひとりが認識してください。
生成AIへ投げかけた質問事項やその記載内容が、システムに蓄積・学習される可能性があり、情報の漏洩に繋がる恐れがあります。個人情報や機密情報を提供しないように注意してください。また、特に画像生成AIでは、他者が作成した画像や写真などを取り込むこと自体が著作権侵害となる可能性がありますので、注意してください。

生成AI(Generative AI)の利用について

東工大は全面禁止としない方針のもとで、学生に対して利用方針を示しています。

1.本学では、生成系AIのツールとしての危険性と有用性の両面に鑑み、現時点ではその使用を全面禁止とすることはしません。学生の皆さんの主体性を信頼し、良識と倫理観に基づいて生成系AIを道具として使いこなすことを期待します。生成系AIの出力をほぼそのまま鵜呑みにしたレポートを提出することは、皆さんが生成系AIに隷属することにも等しく、甚だ不適切です。
2.生成系AIの使用が許される程度(禁止の有無を含む)は、授業の到達目標や内容,授業担当教員の指導方針・成績評価方針などに委ねられます。授業によっては、レポート作成やプログラミング時の利用を禁止する場合もあれば、文書校正や参考プログラムの生成などにおいて利用を推奨する場合もあるかもしれません。その詳細はシラバスに明記されていないことがありますので、授業担当教員の指示に従ってください。

学修における生成系人工知能の使用に関する本学の考え方について

大学の指針・見解の内容から企業が学べること

各大学が出した指針や見解の内容を見ると、

  • ChatGPTなど生成系AIには間違った内容が含まれているリスクがあるから鵜呑みにしないこと
  • 文章やレポートの作成など価値を創造することではchatGPTなど生成系AIを使用しないこと
  • ChatGPTなど生成系AIに使われるのではなく道具として使うこと
  • ChatGPTなど生成系AIから情報漏えいのリスクがあるから気をつけて使うこと

が、気をつけるべき内容として概ね共通しているように読み取れます。

付け加えるならば、

  • ChatGPTなど生成系AIには、第三者の著作権など知的財産権を侵害する内容が含まれているリスクがある

ということも注意すべき点かもしれません。

ChatGPT時代の企業の情報セキュリティ

ChatGPTなど生成系AIに対してどう向き合うか、これは各企業にとって喫緊の課題です。

  • ChatGPTなど生成系AIを駆使して売上・利益に繋げようとする会社
  • ChatGPTなど生成系AIを研究・商品開発に利用しようとする会社

などは既に現れてきています。

ChatGPTなど生成系AIと情報の保存・管理体制の整備義務

一方で、大学が指摘するようなリスクがあることは否定できません。

取締役、取締役会は、リスクがあることを認識して情報セキュリティ体制の見直しをすることが必要です。

少なくとも、自分たちの会社がchatGPTような生成系AIとどう向き合っていくのか方針を取引先や従業員に向けて出さなければなりません。

これは法律上の義務だと思ってください。

取締役、取締役会は、会社法に基づいて情報の保存・管理に対する体制を整備する義務を負っているからです。要するに、情報セキュリティをしなければならない義務があるのです。

ChatGPT時代の情報セキュリティリスクに応じたアップデート

各大学の見解で指摘されたリスクを企業にあてはめると

  • ChatGPTなど生成系AIを従業員が利用して、会社の情報が漏えいする
  • ChatGPTなど生成系AIで生成された回答が間違っているのに、それに気がつかないまま取引先に提案して、契約後にトラブルが発生する
  • ChatGPTなど生成系AIで生成された回答が間違っているのに、それに気がつかないまま研究、開発を行い事故が発生する
  • ChatGPTなど生成系AIで生成された回答を用いて営業をしたら、第三者の著作権を侵害する

などのリスクは想定されます。

これらのリスクに備えて、取締役、取締役会が、現状の情報の保存・管理体制(情報セキュリティ体制)をアップデートする必要があります。

アップデートの主体は取締役、取締役会です。必要に応じて取締役会で決議することです。
システムなど情報セキュリティの部署に「方針を決めておいて」と丸投げすれば済む話しではありません。

アップデートしないまま放置しているうちにリスクが実際に発生してしまったとき、株主や取引先に損害賠償などの責任を負うのは会社であり、取締役です。

リスクに備えた社内体制のアップデートと取締役の責任については、こちらの記事で説明している日本システム技術事件の判決を参考にしてください。

従業員が金銭を不正に着服してしまうのはなぜなのか。役員にも責任があるのか。

ChatGPT時代を迎えて、今すぐアップデートすべき情報セキュリティの内容

chatGPTなど生成系AIが浸透し始め、各大学でも方針や見解を出し始めている今のうちに、なるべく早く、各企業でも方針や見解を定めることが望まれます。

  • ChatGPTなど生成系AIを業務で使用して研究や商品の開発、企画をすることについての会社の方針を決める
  • ChatGPTなど生成系AIを業務で使用することについての情報漏えいに備えた会社の方針を決める
  • ChatGPTなど生成系AIを業務で使用して良い分野や内容を決める
  • ChatGPTなど生成系AIにあるリスクを従業員に理解してもらう

などは、今からできるのではないでしょうか。

具体的に社内ルール案を考えてみましたので参考にしてみてください↓(2023/05/13)

ChatGPT、BingAI、GoogleBardなど生成系AIを会社の業務で使うときの情報セキュリティの観点からの課題と、社内ルール(ガイドライン)案

このほか、東大が出したリスクに関する説明や、東工大が出した方針は参考になると思います。

utelecon
生成系AI(ChatGPT, BingAI, Bard, Midjourney, Stable Diffusion等)について
https://utelecon.adm.u-tokyo.ac.jp/docs/20230403-generative-ai
目次: 何ができるか、「検索」ではなく「相談」するシステム; 仕組み上、書かれている内容の信憑性には注意が必要; 機密情報や個人情報などを安易にChatGPTに送信することは危険; 将来著作権や...
東京工業大学
学修における生成系人工知能の使用に関する本学の考え方について
https://www.titech.ac.jp/student/students/news/2023/066590
学生の皆さんへ理事・副学長(教育担当) 井村 順一ChatGPTに代表される生成系人工知能(以下、生成系AI)が、大学におけるレポート課題などに対して使用され、世界中で大きな議論を呼んでいます。皆さんには、本学が掲げる「学生の主体的な学び=Student Centered Learning」の精神に則り、良識ある使用が求められます。本学教員とは、3月中旬に生成系AIの使用上の注意点や成績評価法につ...

まとめ

大学が学生や教職員向けにChatGPTなど生成系AIの利用に関する指針や見解を出していることを他山の石にしないようにしてください。

特に取締役、取締役会は、大学の見解で指摘されているリスクを踏まえて、ChatGPTなど生成系AI時代に対応した自社の情報セキュリティ体制のアップデート、方針の決定などに取り組んでください。

アサミ経営法律事務所 代表弁護士。 1975年東京生まれ。早稲田実業、早稲田大学卒業後、2000年弁護士登録。 企業危機管理、危機管理広報、コーポレートガバナンス、コンプライアンス、情報セキュリティを中心に企業法務に取り組む。 著書に「危機管理広報の基本と実践」「判例法理・取締役の監視義務」「判例法理・株主総会決議取消訴訟」。 現在、月刊広報会議に「リスク広報最前線」、日経ヒューマンキャピタルオンラインに「第三者調査報告書から読み解くコンプライアンス この会社はどこで誤ったのか」、日経ビジネスに「この会社はどこで誤ったのか」を連載中。