AI導入戦略

生成AI導入の同意取得不備 — 著作権・個人情報の二重リスク

AI導入 失敗事例 PoC ベンダー選定
NYT対OpenAI、Getty対Stability AI訴訟が示す生成AI導入の落とし穴。学習データの同意取得不備が著作権侵害と個人情報漏洩の二重リスクを生む構造を、判例と実務対応から整理する。

目次

なぜいま「同意取得」が経営アジェンダなのか

生成AIの企業導入が一巡し、PoC段階から本番化へ移行する企業が増えている。総務省「令和6年版情報通信白書」によれば、日本企業の生成AI活用率は2023年度の9.1%から2024年度には26.7%へ急伸し、「導入を予定」を含めると過半数を超える水準に達した。

一方で、企業法務の現場では生成AIをめぐる訴訟リスクが顕在化している。米国では2023年から2024年にかけて、生成AI事業者を被告とする著作権侵害訴訟が25件以上提起されており、原告側は出版社、写真家、作家、音楽レーベル、画像エージェンシーと多岐にわたる。

問題の本質は「学習データの同意取得不備」に集約される。生成AIモデルは数十億〜数兆のパラメータを訓練するために膨大なデータを必要とするが、そのデータが第三者の著作物や個人情報を含んでいた場合、著作権法と個人情報保護法の双方で違反リスクを抱える。導入企業は「ベンダーが学習させたデータの責任は自社にも及ぶのか」という問いに直面している。

編集部の取材によると、ある製造業のDX推進責任者は「生成AIベンダーから提供された学習データの内訳について、契約交渉時に十分な開示を受けられなかった」と証言した。本記事では、米国で進行中の代表的な2つの訴訟を起点に、日本企業が取るべき実務対応を整理する。

NYT対OpenAI訴訟:報道コンテンツの無断学習が問う境界線

ニューヨーク・タイムズ社(NYT)は2023年12月27日、OpenAIおよびマイクロソフトを相手取り、ニューヨーク南部地区連邦裁判所に著作権侵害訴訟を提起した(訴状全文はCourtListenerで公開)。

訴訟の核心

NYTは訴状において、OpenAIがChatGPTおよびGPT-4の学習データとしてNYTの記事を「無断かつ大量に複製した」と主張している。訴状には100ページ以上にわたる証拠資料が添付されており、ChatGPTがNYT記事をほぼ逐語的に再現した事例が具体的に示されている。

損害賠償請求額についてNYTは訴状で「数十億ドル(billions of dollars)」と明示しており、生成AI関連訴訟としては最大規模となる可能性が高い。NYTは金銭賠償に加えて、GPTモデルおよびChatGPTサービスからNYTコンテンツを学習した部分の「破棄(destruction)」も求めている。

法的争点:フェアユースの限界

OpenAI側は2024年2月の答弁書で「フェアユース(公正利用)」の抗弁を主張した。しかし米国著作権法107条が定めるフェアユース判断の4要素のうち、特に「市場への影響」が争点となっている。NYTは訴状で、生成AIが報道記事を要約・再生成することで、NYT本体への購読者誘導が阻害されていると主張する。

東京大学の宍戸常寿教授(憲法・情報法)は2024年の講演で「日本の著作権法30条の4はAI学習に対して比較的寛容だが、米国のフェアユース判断とは法体系が異なる」と指摘している。日本企業がグローバル展開する生成AIサービスを利用する場合、米国法の影響を受けるリスクを認識する必要がある。

Getty対Stability AI訴訟:画像1200万枚の学習と「すかし」問題

画像エージェンシー大手のGetty Imagesは2023年1月、画像生成AI「Stable Diffusion」を開発するStability AIを相手取り、米デラウェア州連邦裁判所および英国高等法院(High Court of Justice)に著作権侵害訴訟を提起した。

訴訟の特徴:1200万枚という具体的数値

Getty Imagesは訴状で、Stability AIが「Gettyのライセンス画像1200万枚以上を無断でダウンロードし、学習データに使用した」と主張している。この具体的数値は、Stable Diffusionが生成した画像の一部にGetty Imagesの「ウォーターマーク(透かし)」が部分的に再現されていた事実が証拠として挙げられたことに起因する。

英国訴訟は2025年1月に高等法院で口頭審理が開始され、AI学習データに関する欧州初の本格的な司法判断として国際的な注目を集めている。Getty Imagesの法律顧問は声明で「我々はAI技術の発展を妨げる意図はないが、コンテンツ提供者の権利が無視される現状は受け入れられない」と述べた。

商標権侵害の重畳

本訴訟がNYT訴訟と異なる点は、著作権侵害に加えて「商標権侵害」も主張していることだ。生成画像にGettyのウォーターマークが現れる現象は、消費者にGettyが画像を承認・提供したかのような誤認を生じさせる可能性があり、商標法上の問題となる。

日本企業が画像生成AIを広告クリエイティブやマーケティング素材に活用する場合、生成物に第三者の商標やロゴが意図せず混入するリスクは無視できない。電通グループは2024年、生成AI活用ガイドラインで「商用利用前の権利クリアランス確認」を必須プロセスとして明文化している。

日本企業が見落とす「個人情報」の二重リスク

著作権リスクと並んで深刻なのが、個人情報保護法上のリスクである。生成AIの学習データには、ウェブクロールによって収集された個人情報(氏名、所属、写真、SNS投稿等)が含まれる可能性が高い。

個人情報保護委員会の見解

個人情報保護委員会は2023年6月、「生成AIサービスの利用に関する注意喚起等」を公表し、OpenAIに対して個人情報の取り扱いについて行政指導を行った経緯がある。同委員会は2024年5月にも「個人情報保護法の3年ごと見直し」中間整理で、AI開発における個人情報の取り扱いを継続的な検討課題と位置付けている。

二重リスクの構造は以下の通りである:

  1. 入力時のリスク:従業員が業務上の個人情報を生成AIに入力する場合、第三者提供(個人情報保護法27条)に該当する可能性
  2. 学習データのリスク:ベンダーの学習データに自社顧客の個人情報が含まれていた場合、本人同意なき取得(同法18条)の問題
  3. 出力時のリスク:生成AIが特定個人に関する不正確な情報を出力した場合、名誉毀損や個人情報漏洩のリスク

EUのAI Act施行が示す方向性

EUは2024年8月にAI Act(AI法)を施行し、汎用AI(GPAI)プロバイダに対して学習データの「十分に詳細な要約(sufficiently detailed summary)」の公開を義務付けた。施行は段階的で、汎用AI規制は2025年8月から本格適用される。

日本企業がEU市場で事業展開する場合、または欧州顧客を持つ場合、AI Actの域外適用を受ける。ベンダー選定時には、学習データの透明性開示の有無を契約条項で担保することが実務上必須となりつつある。

導入前チェックリスト:契約・運用・モニタリング

編集部が複数の企業法務責任者への取材から整理した、生成AI導入前の確認項目を以下に示す。

契約段階での確認項目

  • 学習データの出典開示:ベンダーが学習データのソース(公開ウェブ、ライセンス取得済みデータ、ユーザー投稿等)を契約書面で開示するか
  • 著作権侵害時の補償条項(Indemnification):第三者から著作権侵害訴訟が提起された場合、ベンダーが導入企業を補償する条項があるか
  • オプトアウト権:自社データを学習に使用させない設定(API利用時のデフォルト学習除外)が技術的に提供されているか
  • データレジデンシー:入力データの処理場所(米国、EU、日本)が指定可能か

主要ベンダーの対応状況を整理すると、Microsoft Azure OpenAI ServiceとAnthropic Claude Enterpriseは「顧客データを学習に使用しない」契約を標準提供している。一方、無償版の生成AIツールは利用規約で学習データへの利用を許諾する条項が含まれる場合が多く、業務利用は推奨されない。

運用段階での確認項目

  • 入力データのマスキング:個人情報・機密情報を入力前にマスキング・トークナイズする仕組み
  • ログ管理:誰が何を入力したかの監査ログ取得
  • 出力の検証フロー:生成された文章・画像を公開前にレビューする責任者の明確化

経済産業省は2024年4月、「AI事業者ガイドライン第1.0版」を公表し、AI開発者・提供者・利用者それぞれの遵守事項を整理した。導入企業は「AI利用者」としての責任範囲を社内規程に落とし込む必要がある。

ベンダー選定で確認すべき5つの開示項目

生成AIベンダーを選定する際、技術仕様や価格に加えて、以下5項目の開示を求めることが望ましい。

  1. 学習データの構成比:パブリックドメイン、ライセンス取得済み、合成データ、ユーザー投稿の割合
  2. 訴訟対応状況:現在進行中の著作権・個人情報訴訟の有無と概要
  3. コンテンツフィルタリング機構:学習段階・推論段階での違法コンテンツ除外の仕組み
  4. モデルカード(Model Card)の公開範囲:学習データの偏り、評価指標、既知の限界の開示
  5. インシデント対応SLA:著作権侵害・個人情報漏洩発覚時の通知・対応プロセス

帝国データバンクの2024年調査によれば、生成AI導入済み企業のうち「契約時にベンダーから学習データの詳細説明を受けた」と回答した企業は34.2%にとどまる。逆に言えば、過半数の企業はリスクを十分に把握しないまま導入を進めている実態がある。

まとめ:判例が示す「同意取得」の経営判断軸

NYT対OpenAI、Getty対Stability AIの両訴訟は、まだ最終判決に至っていない。しかし、訴訟の存在自体が生成AI業界に与えるインパクトは大きく、2024年以降、主要ベンダーは学習データの透明性向上、補償条項の充実、オプトアウト機能の標準実装へと舵を切っている。

経営企画・DX推進責任者にとって重要な意思決定軸は3点である。第一に、コスト最適化のみを基準にベンダー選定すると、訴訟リスクの転嫁を受ける可能性がある。第二に、社内ガバナンス(入力データの管理、ログ取得、レビュー体制)の整備は技術導入と同等以上の優先度を持つ。第三に、EU AI Actや日本の個人情報保護法改正を見据えた「将来的なコンプライアンス維持コスト」を投資判断に織り込む必要がある。

「同意取得不備」という落とし穴は、ベンダー側の問題であると同時に、導入企業の選定プロセス・運用体制の問題でもある。判例を「他社事例」として消費するのではなく、自社の契約書・運用ルールに反映させる作業こそが、PoCを本番化する企業の競争優位を決定づける。

関連記事

AI導入のご相談を承っています

AI導入支援の実務経験を活かし、お手伝いしています。お気軽にご相談ください。

無料で相談する サービス内容を見る

こちらの記事もおすすめです

他のカテゴリも読む

AI最新ニュース AI業界の最新ニュースと企業動向 AI技術ガイド LLM、RAG、エージェントなどのコア技術解説 業界別AI活用 製造・金融・小売など業界別のAI活用動向 導入事例 企業のAI実装プロジェクト事例とコンサルティング知見 研究論文 NeurIPS、ICMLなどの注目論文レビュー