"使っていい"はどこまで？ 生成AIの法的境界線を専門家が解説【対談インタビュー】

生成AIをビジネスで利用するに当たり、多くの企業が直面しているのが法律だ。AIと法律に詳しい柿沼太一弁護士に、企業が生成AIを利用するに当たって考えるべき基本的な内容について尋ねた。

[谷井将人，キーマンズネット]

　AIは昔から、製造業における製品の検品や顔認識における画像認識AI、スマートスピーカーにおける音声認識AIなど、ビジネスの場面で使われてきた。しかし、2022年7月の「Midjourney」や、同年11月の「ChatGPT」の登場から“第4次AIブーム”とも言えるような状況になり、今では活用して当たり前になりつつある。

　生成AIをビジネスで利用するに当たり、多くの企業が直面しているのが法律だ。生成AIを使うことで著作権をはじめとする知的財産権の侵害が発生し、法的に責任を問われるのではないか、どこまでの情報をツールに入力していいのか判断がつかず、生成AIのビジネス利用を鈍らせる場面もあるだろう。

　今回はAIと法律に詳しい柿沼太一弁護士（STORIA法律事務所）に、企業が生成AIを利用するに当たって考えるべき基本的な内容について尋ねた。

プロフィール：柿沼太一氏

STORIA法律事務所、弁護士。専門分野はスタートアップ法務、AI・データ法務、ヘルスケア法務。さまざまなジャンルのスタートアップを、顧問弁護士として多数サポートしている。

経済産業省「AI・データ契約ガイドライン」検討会検討委員（〜2018年3月）。「第2回 IP BASE AWARD」知財専門家部門グランプリを受賞(2021年) 。日本ディープラーニング協会（JDLA）理事（2023年7月〜）日本データベース学会理事（2020年8月〜）。

2025年8月には著書「AIと法 実務大全」を出版。現場の課題を意識した実務的な内容に特化した解説をしている。

ChatGPT登場で、人々は「利用者」に

キーマンズネット　柿沼先生から見て、生成AIブームの前後で相談の内容はどう変わりましたか？

柿沼先生　私は2016年からAIに関わる仕事に携わっていまして、技術の発展も近くで見てきました。生成AIブーム以前は、AIを作る人と使う人が分かれていましたし、一般企業の従業員がオフィスでAIを使うのも一般的じゃなかったと思います。当時の私の仕事は、主にAIを開発する側からの依頼によるものでした。

　「ChatGPT」が登場してから状況が完全に変わり、使う人が爆発的に増えた結果「（生成AIを）使って大丈夫か」「どう使えば安全か」という相談が増えたんですね。

　法律の論点は生成AI登場の前後でほとんど変わってないのですが、AIに詳しくない方も悩まないといけなくなりました。生成AIを作ることに関してもニーズが高まりましたし、10年間やってきて自分の中でも伝えられることが固まってきました。

キーマンズネット　生成AIに関連する立場としては、モデルを開発する「開発者」、モデルをツールやサービスに組み込んで公開する「提供者」、ツールやサービスを利用する「利用者」がいます。利用者が急増したわけですね。

柿沼先生　従来は開発者からのご相談が中心でしたが、近ごろはそれに加えて利用者からのご相談も増えてきたという印象です。利用の流れにも変化が見られるようになったのはごく最近で、ここ半年ほどの傾向ですが、Microsoftの「Copilot」のような生成AIをそのまま使うのがベーシックな使い方でしたが、Googleの「NotebookLM」のように、自分でちょっとした開発ができる環境が次々と整備されつつあり、利用者であり提供者でもあるという企業が増えてきてるんですよね。

キーマンズネット　NotebookLMではただ質問するだけでなく、資料を登録して生成に使ったり、「社内お問合せbot」のようなものを作れますし、RAG（検索拡張生成）では、データベースを接続して、半オリジナルの生成AI環境を作れますよね。

柿沼先生　単に利用しているだけならあまり権利侵害は起こらないですが、開発するとなると他人のデータを収集したり利用したりする作業が発生するので、権利侵害やトラブルが発生しやすくなるんですね。

ガイドライン作成の基本的な考え方

キーマンズネット　利用企業からは具体的にどんな相談が来るのでしょうか。

柿沼先生　「社内でAIを使いたい。そのためのガイドラインを作りたい」という相談が非常に多いですね。だいたい気になることは決まっていまして、AIツールを使うことで「著作権侵害にならないか」「個人情報保護法違反にならないか」「機密情報を入力しても問題ないか」の3つなんですよね。

キーマンズネット　実際に考えるべきポイントもその3つで過不足ないのでしょうか。

柿沼先生　既存の生成AIサービスを使うだけならこれらに気を付けていただければいいと思いますね。ただ、難しいのは、ツールによってリスクの程度に差があるという点です。リスクが高いものもあれば、比較的低いものもあります。

　AIツールには2つのパターンがあって、一つはAIモデル企業がサービスを提供するパターンですね。例えばChatGPTはOpenAIが自社でモデルを開発していて、それをサービスとして自身が提供しているんですよね。

　実際に多いのは他社が開発したモデルを使って製品やサービスとして提供しているパターンですね。例えば議事録ツールの場合、処理に使ってるAIはツールの提供者が持っているわけではなくて、裏側では「Gemini」のAPIなどを使っているわけです。そうすると利用者から見たときに二重構造になります。

　データを入力していいのかを考えたときに、二重構造になっている場合、実質的に2社分の対応を考えなければなりません。正しく判断しようとすると、ツールの提供者がどんなモデルを使っているのかが分からないといけません。オープンになってればいいのですが、そうでない場合もあります。そうするとデータがどう扱われるか分からない状態になって、リスクが判定できないことになるんですよ。そのため、利用して良いかどうかの正確な判断ができず、結果的に使用を見送る判断となってしまいます。「このツール使っても安全ですか」と聞かれることがよくあるんですが「オープンになっている情報からだけでは安全かどうかは判断できないですね」と答えることもままあります。

キーマンズネット　では、生成AIをビジネスで使うならまずは、モデルの所有者を見てリスクを判断する必要があるわけですね。

柿沼先生　最近では、多くの企業がMicrosoftやGoogleといった大手企業の生成AIを活用していると思いますけどね。そうするとガイドラインだけ作ればいいのでそんなに大変ではないです。しかし、それで満足できずに別のツールを使いたいという話が出始めると、ツールの安全性や適合性の確認も必要になってきます。

企業が知っておくべき生成AI利用のガイドラインの基本

キーマンズネット　ガイドラインはどういう方針で作ればいいのでしょうか。

柿沼先生　ガイドラインに記載すべき内容は大きく分けて、どのようなデータを入力してよいか、そして出力された結果をどのように利用してよいかの2点だけなんです。入力に関しては、エンタテインメント企業が生成AIを使うときは、当然成果物を作ることになるので、著作権侵害に特に注意しなければいけませんが、その他の企業は個人情報や機密を入れていいのかがメインになることが多いです。

　出力されたものについても、エンタテインメント企業は気を付けないといけません。生成AIが出力したものに著作権が発生するかどうかは結構シビアな問題になるんですよね。侵害が生じたときのインパクトもエンタメ企業とその他では全然違うので、どういう体制でチェックするかも企業によって違ってきます。

キーマンズネット　ただ、それって生成AIで生成したかに関係なく必要な確認ですよね。

柿沼先生　別にAIだから出力のチェックが緩くていいとか厳しくしないといけないとかはないんですよね。普通に今までやってきたようなチェックをしなさいよという話で。他人のアイデア使いたかったら調査しないといけないし、イラストを売りたかったら似たイラストがないかをチェックしないという部分は変わりません。

　入力も、企業なら機密情報や個人情報の管理規定がすでにあるはずなんですよね。流用できる部分は全然あるので、ガイドラインをゼロから全部作ることはあまないですね。既存のルールを修正して作っていくことになります。

キーマンズネット　情報の入力も、生成AIと関係ないクラウドサービスで発生し得ることですよね。

柿沼先生　個人情報を外部ベンダーが提供するサーバに預ける問題と、生成AIサービスに入力する問題は、理論的には同じ問題と言えます。どちらも「個人データの第三者提供」に関わる問題だからです。機密情報の入力についても、クラウド会計サービスには企業の数字をベンダーに見せているわけで、そういう意味ではそんなには変わらないです。

生成AI利用ガイドラインを作る意味

キーマンズネット　ただ、既存のルールが明文化されていて、それで吸収できるからといって、ガイドラインを作らなくてもいいという話ではないですよね。

柿沼先生　そうですね。中身は一緒でも「生成AIを使うときにはこういうことに注意してね」と示すことには非常に意味があると思っています。ただ、ガイドラインを作るときに、危険性や注意点ばかり書くと誰も使わなくなるので、「こう使ったらうまくいく」というノウハウもセットで書いた方が良いとお伝えすることがよくあります。

　世に出ているガイドラインのひな型は、リスクのことしか書いてないんです。使い方は企業によって違うのでひな型にできないんですよね。上手な使い方は自社で考えて独自のガイドラインを作ることが結構重要だと思いますね。

NotebookLMやRAGを扱うなら開発ガイドラインも

キーマンズネット　NotebookLMやRAGのように、利用者自身が簡単な開発を行えるツールの場合、利用者が同時に提供者の立場でもあるという話でしたが、こういう場合はガイドラインにも違いが出るのでしょうか。

柿沼先生　単に使うだけのユーザーしかいない企業は利用ガイドラインだけあればいいんですが、NotebookLMの利用やRAGの構築やファインチューニングを行う企業には、これに加えて開発ガイドラインの整備が求められます。

　データを収集したり蓄積するので、利用ガイドラインと違う内容を書かないといけません。利用ガイドラインと合わせて二層構造になるわけですね。そうした取り組みを行う企業には、利用ガイドラインと開発ガイドラインの両方を整備するようアドバイスしています。

生成AIを責任もって、安心して使うために

　生成AIガイドラインに書くべき内容は、ある意味で当たり前のことだ。企業として定めているはずの規定や成果物のチェック体制が整っていれば、過度に心配することはない。正しいルールができていれば生成AIを安心して使えるようになる。

　ガイドラインはルールを記述する側面と、その名の通り指針、手引きとしての側面がある。どのように生成AIを使わなければいけないかだけでなく、どのように生成AIを使うと良いかも盛り込むことで、価値あるガイドラインを作れるだろう。