1 はじめに

この連載をご覧の皆様は、多かれ少なかれChatGPTにご関心をお持ちだと思われる。そこで、すでに皆様の会社や法律事務所では、ChatGPTに関する何らかのルールを設けているかもしれない。

新聞報道などですでにご存知のことと思うが、大学においては概ね、比較的緩やかな（利用を促進する方向の）ルールが制定されている。それらを要するに、「鵜呑みにしない」「著作権に注意する」「指導教員の指示に従う」といった点さえ守れば、むしろ新しいAIを利用して、そのリテラシーを身につけてほしいーー、そういう方向性を見てとることができる。

これに対し、企業や法律事務所、とりわけ大きな組織においては、厳しいルールを設けたところも多い。この差はどこからくるのかといえば、やはり企業や法律事務所は様々な秘密情報や個人情報等の重要情報を取り扱っていることから、そのような情報がChatGPTに安易に入力され、漏洩や個人情報保護法違反（第1回参照）等につながりかねないという問題意識であろう。そのため、ChatGPTに関するルールは厳しいものにならざるを得ないのかもしれない。

しかし、これが意味するのは、企業や法律事務所においてChatGPT活用が進まない間に、大学でAIのリテラシーを学んだ新社会人が続々と世の中に出てくるかもしれない、ということである。つまり数年後には、読者の皆様の世代が、ある意味では、AIは使えて当然、という新人からの「突き上げ」を食らってしまうかもしれないわけである。

そのような問題意識から筆者は、企業や法律事務所においても、AIのリスクや法的問題に留意しつつ何らかの利活用を検討していくことが――たとえナレッジ蓄積のためのスモールスタートであっても――求められる、と考えている。そのカギは、利活用のための適切なルール策定であろう。それでは以下、本書第4章の内容をもとに、ルール策定について説明していきたい。

 

2 入力に関するルール

まずは、入力、つまりプロンプト（質問、指示）としてどのような内容をChatGPTに入れてよいかという点が問題となる。

大きな話としては、個人情報を入れると個人情報保護法の問題が生じ得る（→第1回）、他人が著作権を持つ著作物を入れると著作権法の問題が生じ得る（→第2回）、営業秘密その他の自社として秘密として守りたい情報や、他社との契約（秘密保持契約）上守らなければならない情報を入れない、といったことが重要である。

ここで、各社それぞれ入力してよい情報の範囲や入力してはいけない情報の範囲が異なり、またそれでよい、ということに留意が必要である。たとえばある企業は、「公開情報」だけではなく「社外秘」まではChatGPTに入れてよいとしている。つまり一定の保護が必要だが、「極秘」等のような強い保護までは必要がない情報はChatGPTに入れてよい、という方針をとっている。この点は、各社のAIを積極的に活用したいという意欲と、従業員のリテラシーとのバランスだと思われ、その意味では「唯一の正解」があるものではなく、自社の状況を踏まえて決定していくべきである。

それでは、ChatGPTそのものではなく、ChatGPTを組み込んだプロダクトについてはどうだろうか。

本書第５章２でも紹介しているように、リーガルテックプロダクトへのChatGPT組み込みの動向として、LegalOnTechnologies社がChatGPTを利用して例文を表示する機能をオープンベータとして組み込んでいる*1。またＭＮＴＳＱは、同社社長が日本組織内弁護士協会（ＪＩＬＡ）で行った講演*2で説明したところによれば、雛形の提供といったＡＩでもできるもの（ＡＩにさせるべきもの）はＡＩが直接現場からの依頼に対応するが、契約条項の修正のように専門家（弁護士・法務担当者）の確認・検証が必要なものは、ＡＩがチャット形式で依頼部門と対話し、その結果を法務として利用しやすい「契約審査依頼書」などの形式で出力する。そしてその内容を踏まえ、法務がＡＩの支援を受けながら契約レビューを行い、依頼部門への説明もＡＩの支援を受けながら行う――。このような未来像に向けてChatGPTの組み込みを進めているそうである。

そして、まさに本記事執筆段階の2023年7月18日にも、Microsoft 365 Copilotの価格等の詳細が報道されている*3。

このようなChatGPT を組み込んだプロダクトに対しては、それがChatGPTのリスクをコントロールするものであれば、それに応じて規制を変える余地もあるところであろう（上記の社外秘情報を入力する企業も、ChatGPTそのものではなく、Microsoft Azure OpenAIを利用しているとのことである）。

 

3 出力物の利用に関するルール

ChatGPTが出力したものを利用する場合には、そのリスクに応じたレビューや確認が必要である。

まず、hallucinationすなわち「誤り」のリスクを踏まえ、当該出力物の内容が正確かどうかを確認すべきである。すでに、NYの弁護士がChatGPTに訴訟対応に必要な裁判例を尋ねたところ偽物の裁判例が回答として出力され、その偽物の裁判例を準備書面に記載したことから、制裁を受けてしまったという事例がある*4。ChatGPTの示した情報については「裏取り」をせずにこれを鵜呑みにして利用すべきではない。

次に、著作権の問題として、第三者の作成した内容をChatGPTがそのままコピーしていないかどうかを確認すべきである。分野にもよると思われるが、筆者が法律分野に関してChatGPTが出力した結果を最初の３０文字程度カッコで括ってGoogleで検索して同じ文字列がインターネット上にあるかどうかを調べると、その程度の分量が完全に一致することはあまりないようである。ただし、それでも分野によってはある程度以上似てしまうことがあり得るため、たとえば、同様の記載をしているものがインターネット上にないか検索して確認するとか、BingAIといった根拠を示すLLMを利用するなどして、その根拠と照らし合わせる等の工夫が望ましい。

さらに、「●●さんは病気ですか？」といった要配慮個人情報を取り出すようなプロンプトはそもそも回避するべきである。ここで、それでも要配慮個人情報等が出てしまうことがあるところ、実務上、たとえば「書き写さない」という対応があり得るだろう（本書第３章1参照）*5。

 

4 その他のルール

その他、セキュリティの観点のルールがある。たとえば、学習はオフとすべきである。また、履歴もオフにするか、定期的に消去することが望ましい。報道によれば、ChatGPTアカウントが盗まれ、その中の履歴データを主な目的として売買されているそうである*6。すなわち、履歴が残っていれば、アカウントが乗っ取られるとその履歴に含まれる業務上のデータが流出する可能性があるということである。

次に、シャドーITの問題がある。要するに、会社やそのIT部門が把握していないところで勝手に従業員が業務上ChatGPT等を利用することで、そのリスクを管理できなくなるというものである。このような事態を避けるため、そもそもChatGPTを利用するかどうかや、利用するなら具体的に何を利用するかを把握すべきである。

最後に、ChatGPTのアカウントをどのメールアドレスで開設するかも問題となる。たとえば、会社のメールアドレスを信用できるかわからない企業に渡さないという考えから、ChatGPT等については会社のメールアドレスでアカウントを開設すべきではない、という考えもある。しかし、個人メールアドレスを使うと、（特に履歴を残している場合）退職後に当該従業員がChatGPTの履歴から、会社の業務データを抜き取ることができてしまうかもしれない。1つの考えとしては、会社として信用できるところと契約をしてそれを使わせる――例えばMicrosoftなら信用できるということであれば、会社でMicrosoft Azure OpenAIを契約して従業員に使わせる――という方法がある。しかし、その場合には費用がかかるところであり、それが費用対効果としてどうかという問題は別途生じるだろう。

 

5 ルールをうまく策定するために

実際にそのようなルールをどのような手順で策定していくのかを見ていこう。

ルール策定は、①利用状況調査、②射程の決定、③どの範囲で利用を認めるかの方向性の決定、④個々の従業員が自ら契約をしての利用のみを認めるか、自社で契約して利用させるかの決定、⑤抽象的なルールの策定、⑥具体的なマニュアルなどへの落とし込み（または、⑦目の前で想定されるプロダクトに限定して具体的なルールを策定することでマニュアルに代える）、という手順で進めることになる。

　まず、①利用状況調査を行うべきである。つまり、自社の状況に応じた、リスクをコントロールしながら、自社にとって有用な範囲でChatGPTを十分に利活用ができるルールにするためには、まず自社のChatGPTなど生成AIの利用状況をきちんと把握することが必要である。たとえば、本社では限定的にしか利用していないかもしれないが、研究所では先進的な利用をしているかもしれない。そのような場合において本社の状況だけで一律的なルールを決めてしまうと研究所は困るかもしれない。そのような可能性を踏まえたきめ細やかなルール策定が必要だろう。

次に②射程を決定する。ChatGPTなのかBardなのか、あるいはBingAIなのかChatGPTを組み込んだリーガルテックなのか、はたまたCopilotなのか、一口に生成AIと言ってもさまざまであることから、具体的に利用されるプロダクトに基づき、そのリスクとメリットを吟味し、たとえばOpenAI社のChatGPTのみ利用可能とする等、ルールのスコープを決める。

さらに、③どの範囲で利用を認めるかの方向性を決定する。

筆者は多数の企業のChatGPT利用のルール作成等の支援をしているところ、各社は以下のものを含む様々な方針を打ち出している。

• ChatGPTが組み込まれたプロダクトに対し（一定の条件を満たした）様々なデータを入れてファインチューニングし、これを積極活用する
• ChatGPTまたはMicrosoft Azure Open AIを会社で契約し、会社のアカウントでこれを利用させる
• 個人が個人アカウント（ただし、会社メールを利用するかは3と4で前述したとおり）で利用することを一定の条件のもとで認める
• 禁止

こうした状況の中、筆者は、そのような多様な対応方針で基本的には良いと考える。筆者が昔から使ってきた言葉に「社内受容性」がある。つまり、その組織でChatGPTを受容している度合いに応じて、その時点における当該組織のあるべきルールや対応方針は変わるということである。

とはいえ、「全面禁止を永久に続ける」と、ノウハウが蓄積せず、リテラシーが溜まらない。そこで、当面は禁止したうえで、試行チーム等を立ち上げて、どの範囲であれば解禁できそうかを検討するという方向性の方が望ましいようには思われる。

そして、上記のメールアドレスの問題のように、④個々での利用のみを認めるか、自社で契約して利用させるかを決定し、⑤抽象的なルールを策定する。しかし、それだけでは目の前の具体的状況で何をすればいいかがわからないので、⑥具体的なマニュアルなどへの落とし込みをするか、または、⑦目の前で想定されるプロダクトに限定して具体的なルールを策定することでマニュアルに代えることが望ましいだろう。

なお、最後に、定期的にルールを見直すべきである。当初は特定のリスクが懸念され、制限的にしか利用できなかったものが、時間の経過を経てそのリスクが管理可能として、より広く利用できるようになるかもしれない。もちろん逆に、新たなリスクに対応したルール作りが必要となる可能性もある。

＊

以上、簡単にルール策定について述べてきた。次回以降は、3回にわたり2040年の法律業務とキャリアデザインについて説明し、本連載の「締め」としたい。