本節では、本章の全体構造の説明を行い、なぜ法律と倫理を学ぶ必要があるのか、企業等のレピュテーションの保護と同時に、AIの品質という点から説明します。
この章では、AIに関する法律と倫理を扱います。
8-2.では、AIに関する法律を扱います。AIに関する法律といっても、AI自体を直接規制する法律は2023年8月現在存在していません。このため、個人情報保護法や知財関係の法律など、AIの開発利活用において重要な法律を扱います。なお、自動運転においては道路交通法など、AIの適用ドメインによっては適用される法律が多数存在しますが、それらの法律は扱わずに、①個人情報保護法、②知的財産法、③契約、④不正競争防止法、⑤独占禁止法などの比較的頻繁に遭遇する法律のみ解説します。
次に、8-3.ではAI倫理やAIガバナンスと呼ばれている分野を取り扱います。法律上違法でないとしても、倫理的な観点から開発や利活用において注意すべき点があります。例えば、採用AIにおいて男女で合格率に差があるような場合です。このような合格率に差があることが直ちに違法とまでは言えませんが、このようなAIの開発や利活用を控えた方がよいことは多くの人が納得することでしょう。本書では、このようなAI倫理の問題として、どのような問題が存在しており、これに対してどのように対処してゆくべきか (AIガバナンス) を簡単に説明します。
では、なぜ技術だけではなく、法律や倫理を学ぶ必要があるのでしょうか? それはAIの開発や利活用に必要不可欠だからです。学習用データ収集に違法な行為が存在すると、AI開発を行うことができません。もちろん、法律は法務部署や弁護士が詳しいのですが、これらの人たちは開発活動の1つ1つを全て確認することができません。開発や利活用を実際に行う人が法律や倫理を知っていないと、違法な行為を発見することができず、後になって法律違反が判明し、AIの開発や利活用が頓挫することになりかねません。また、倫理については、企業内にAI倫理の専門家がいないことが普通であり、AI開発者の皆さんが倫理の対応を行う必要があります。もし、倫理的な点に十分な配慮がなされていないとユーザーなどから批判を浴び、サービスの停止などに陥る可能性もあります。さらに考えてみると、通常の場合、男女で合格率に大きな差があるような採用AIを使いたいと思う人はいないはずです。つまり、AI倫理をしっかり行うことは、会社のレピュテーションを守るだけではなく、プロダクトの品質を高めることでもあるのです。AIの品質は、精度等だけではなく倫理的な要素も含むものであるということです。そして、このような倫理的にしっかりとしたAIを作ることが社会や顧客に受け入れられ、利用してもらえるAIを作ることになるのです。
AIの法律や倫理を学習する際には、上記のような点をしっかり意識して学ぶことが重要です。また、本書では紙幅の関係上、最低限の事項と説明しかできません。G検定における法律と倫理をより詳しく知りたい人には、日本ディープラーニング協会監修・古川直裕他著 『ディープラーニングG検定 法律・倫理テキスト』 (2023年、技術評論社)を参考として推薦しておきます。
また、法律および倫理も、AIの技術と同じく日々新しいルールや倫理上の課題が生まれています。書籍の性質上、執筆時点(2023年8月)時点以降の話題を掲載することができません。このため、日々のニュースの確認や、ディープラーニング協会の研究会が発表している報告書などを読んでおくことは非常に重要です。
本節では、AIに関する基礎的な法律として、著作権法、特許権法、不正競争防止法、個人情報保護法、独占禁止法を扱い、またAI開発に関する契約の基礎事項を取り扱います。
AI開発では、しばしば著作権が問題になります。特に、開発を委託先に委託した場合の納品物の著作権の帰属や、学習用データの著作権、Githubなどでアップロードされているコードを利用する場合のライセンスなどが典型でしょう。
まず、著作権とは何なのでしょうか? 所有権との違いから考えてみますと、所有権は有体物(固体、液体、気体)に対する権利であり、手で触れることのできる物に対する支配権です。対して、著作権は、本という手で触れることのできる物に対する権利ではなく、本に書かれている文章という情報に対する権利です。このため、本の所有権とは別に、本に書かれている文章に対する著作権が存在するわけです。
もう少し厳密に著作権を定義すると、著作物を保護するための権利であり、著作物とは「思想又は感情を創作的に表現したものであつて、文芸、学術、美術又は音楽の範囲に属するもの」を言います(著作権法2条1項1号)。では、著作権はこのような著作物に対するどのような権利なのでしょうか? 実は、著作権法に定められた、複製権、公衆送信権などをひとまとめにしたものを著作権と呼んでいます。つまり、著作権とは、このような権利の束というわけです。そして、一度著作権が発生すると、複製や公衆送信を行うことができるのは著作権者とライセンスを受けた者だけということになります。つまり、著作物に対する一定の独占的権利が著作権者に生じます。
では、どのような場合に著作権は発生するのでしょうか? 答えとしては、先ほど述べた著作物を満たすものを著作した場合に発生することになります。なので、著作物とは何かが真の問題ということになります。この点について著作権法は「思想又は感情を創作的に表現した」という点を著作物のポイントとしています (著作権法2条1項1号)。創作的というのは、作者の個性が表れていればよく、例えば子供が描いた絵であっても著作物になります。芸術性の高いものを指すわけではありません。また、著作物は表現である必要があり、事実やアイデアは表現ではないため著作物ではありません。
ニュースについて見ると、「アメリカでAIを規制する大統領令が発布される」という事実に対するニュース記事が様々な報道機関から出されています。扱っている事実は同じですが、ニュースの文言は全く異なるはずです。この場合、あくまで創作性があるのはニュースの記事のみです。事実自体には、作者の個性というものが存在しませんし表現でもありませんので、創作性がありません。つまり、ニュースを見て、事実を知って、それに基づいて自分で記事を書いた場合、著作権侵害にはなりません。
また、プログラムで言うと、アルゴリズムや数学的手法は、誰が書いても同じような表現になるうえに、アイデアのため著作権の保護の対象外です (著作権法10条3項3号参照)。たとえば、Dropoutの手法に関する、あるコードが存在するとして、あくまで保護対象は、当該コードの表現です。当該コードをコピーしたり、コピーまでいかなくともかなり類似しているコードを書くことは、著作権侵害となりますが、当該Dropoutの手法をもとに自分独自でコードを書くことは、当該Dropout手法自体は著作権の保護の対象ではないため、適法です。
また、データについては通常、単なる事実でしかありませんので、著作権の保護の対象ではありません。ただし、データベースについては、情報の選択や体系的な構成に創作性が認められる場合は特別な規定により著作権が認められています(著作権法12条の2)。
また、著作権が帰属するのは著作物の創作を行った者(著作者)です。
著作権といっても、大きく2つの権利が存在しています。1つは、財産権としての著作権であり、もう1つが著作者人格権です。前者は、複製権、公衆送信権、譲渡権などの財産的な権利です。後者は、著作者の精神が傷つけられないように保護する権利です。公表権、氏名表示権、同一性保持権などからなります。著作者人格権は財産権とは異なり人格のための権利ですので、譲渡できません。
従業員等が職務上行う著作を職務著作と言い、著作権法は、職務著作については、法人等の発意に基づいていること、法人等が自己の名義で公開するものであることなどの要件を満たせば、会社等の法人に著作権が原則として帰属することを定めています(著作権法15条1項)。また、プログラムについては外部に公表を予定していないことも多いため、法人等が自己の名義で公表するものであることは不要と定められています。
ただし、あくまで従業員等による著作の場合のみが対象のため、業務委託先が行った著作の著作権は発注者ではなく業務委託先に帰属することになります。
著作権は著作者が一定の独占を得る権利であり、時に過剰な権利となることがあります。このため著作権の例外を、著作権法は多数定めていますが、その中で重要なのはAIに関する著作権法30条の4です。これは、コンピュータによる情報解析に利用するような場合には、複製等を認めるという規定です。
AIの学習用データとして様々なデータが存在しますが、代表的ないくつかについて著作権の成否を解説します。なお、いずれの場合も、データベース著作権が別途発生する可能性があることには注意が必要です。
表形式のテーブルデータの場合、データの内容は男性女性、年齢のような客観的な事実の場合がほとんどです。データの内容がこのような客観的事実の場合は、著作物といえず著作権が発生しません。また、アノテーションの内容も、ある商品を購買したかのような客観的事実のことが多く、このような場合にはアノテーションにより著作権が発生することはありません。
画像データについては、人間がカメラを使って撮影した場合は原則として、著作権が発生しますが、工場における設置カメラによる自動撮影のような場合は、発生しません。また、画像に対するアノテーションは、通常、あるオブジェクトが映っている領域などの客観的事実の記述でしかありませんので、アノテーションにより別途著作権が発生することもありません。
テキストデータについては、人間が当該テキストを執筆した時点で著作権が発生します。アノテーションについては他のデータと同じです。
プログラムも著作物として認められていますので、プログラムのコードを書いた人に著作権が発生します。もちろん、第者のコードをコピーしたような場合は、その部分については、著作権は発生しません。
対して、パラメータは計算の結果得られた数字の羅列ですので、著作物とは言えず著作権の対象ではありません。
続いて生成AIに関する著作権の問題を解説します。
著作物を生成AIの学習のためにコピー等することについては、すでに解説した30条の4により原則的に適法です。
生成AIが生成したコンテンツ (AI著作物) については、AIは人間ではないため創作性が認められず著作権は成立しません。チンパンジーが描いた絵と同じというわけです。ただし、人間がAIを道具として創作したような場合やAI生成画像を作ったような人間に創作的寄与が認められる場合には著作権の成立が認められます。
既存著作物に類似していることを理由に著作権侵害が成立するためには、既存著作物に依拠している必要があります。例えば、人間の場合は既存著作物を見ながら絵を描いたなどが依拠性の典型です。AI生成物がどのような場合に既存著作物に依存しているといえるのかについては、特に学習用データに存在するデータに類似するコンテンツを生成した場合を中心に大きな議論になっています。
特許権とは、アイデアを保護する法制度です。特許権が与えられると該当するアイデアを排他的・独占的に利用することができます。このため特許権者からライセンスを受けないと第三者がそのアイデアを使うことができません。
また、特許の対象となったアイデアを利用することを実施といいます。そして、特許権のライセンスはこのような実施権の付与という形をとります。このようなライセンスは他の第三者にも実施権の付与を行う通常実施権と、独占的排他的な権利を付与し特許権者自身も実施できないこととなる専用実施権が存在します。
では、どのようなアイデアが特許権により保護されるのでしょうか?
まず、特許法上は、アイデアが発明というためには自然法則を利用していることなどが必要になります。また、特許法は、 発明のうち、①産業上の利用可能性、②新規性、③進歩性を主要な要件として、これらを満たすものを特許権の対象としています。
特許権については、特許庁に出願をし、特許庁の審査と登録を受けて初めて権利として成立します。この点、創作により登録など不要で権利を取得できる著作権とは異なりますので注意が必要です。この点について、同一の発明を行った者がいる場合に、日本の特許法は先願主義という先に出願した方に特許を与えるという制度が採用されています。このため、すでに第三者が出願済みの同一発明を出願しても特許庁により特許が拒絶されることになります。
また、従業員が職務に関して行った発明について、一定の場合には特許権が使用者である企業等に帰属する旨を特許法は定めています。つまり、契約や就業規則で使用者があらかじめ特許を取得する旨を定めていればよいのです。ただし、適切な対価を従業員に支払う必要があります。
データはAIにとって不可欠なものです。著作権法等で保護されるデータであればよいのですが、保護されないデータも多数存在し、これらのデータを盗むことなどが放置されてよいわけがありません。
不正競争防止法は、営業秘密と限定提供データという2つの類型のデータについて保護を与えています。
①秘密管理性、②有用性、③非公知性を満たす情報を、不正競争防止法は営業秘密として保護し、不正競争行為と呼ばれる情報の窃取などを処罰しています。営業秘密に該当するかで、しばしば争いになるのが秘密管理性です。これは従業員等に何が営業秘密なのか分かるようにするため、単に企業が「営業秘密だ」と主観的に思っているだけでは足りず、秘密管理の意思が秘密管理措置によって明示されている必要があるというものです。具体的な秘密管理措置としては、情報の性質や企業の規模、従業員の職務などに依存しますが、例えば、営業秘密が他の情報から区別されている(別ファイルになっているなど)ことや、マル秘などの表記の付与、営業秘密のリスト化、閲覧のためのパスワード設定などが挙げられます。
例えば携帯電話会社が集めた携帯電話の位置データに基づく人流データをイベント企業などに提供する等、自社のデータを第三者提供禁止を条件に、IDパスワードを施して提供することがあります。このような場合、条件を満たせば誰でもデータの提供を受けられるため秘密管理性がなく営業秘密によりデータを保護することができません。これでは、安心してデータを第三者に提供することができません。このため、限定提供データという法制度が設けられています。
なお、限定提供データで注意すべきことは、いわゆるビッグデータを事業の一環として提供することを念頭に置いているため、事業の一環としてデータを提供していること、相当量蓄積されているデータであること、電子データであることなどが要限定提供データについても、営業秘密と同じく不正競争行為と呼ばれる情報の窃取等を不正競争防止法は処罰しています。
個人情報保護法は、個人情報に関していくつかの類型を定めており、その類型ごとに規制を行っています。まず、基本的な個人情報の類型について説明します。
個人情報の定義については、以下のように定義されています。
生存する個人に関する情報であって、次の①②のいずれかに該当するもの。
まず、①から説明します。個人を識別できるかという点がポイントになります。識別できるとは、簡単に言えば、情報の人物が誰かを特定できることといえるでしょう。氏名や顔写真は当然、どこの誰だか特定することができます。メールアドレスも、naohiro.furukawa@shoeisha.comのようなメールアドレスですと、翔泳社の古川直裕であると特定できるので個人情報に該当します。対して、電話番号や位置情報は単品であれば、どこの誰の電話か特定することができませんので、個人情報ではありません。ただし、単品ではなく氏名と一緒になっている場合には当然個人情報です。
次に、①のカッコ書きの容易照合性について説明します。例えば、(ID、氏名、住所、購買履歴) というデータが存在したとします。この元データは「どこの誰の購買履歴」か特定できますので当然個人情報です。このデータから分析用に(ID、購買履歴)だけのデータをコピーして作成したとします。このデータ単品で見ると個人情報ではないように思えますが、IDにより元データと照合して、誰の購買履歴かを特定することができてしまいます。このため、この分析用データも個人情報として扱うということです。
続いて、②の個人識別符号ですが、法令で定められた番号や記号などが該当し、具体的には、指紋やDNAなどの生体情報や、運転免許証番号やパスポート番号などの公的機関により与えられる番号が含まれます。顔認識に用いられる特徴ベクトルも前者の生体情報に該当し個人情報に該当します。
個人データベース等とは、個人情報を含む情報の複合体であって、特定の個人情報を検索できるようにしたものです。注意が必要なのは、紙媒体によるデータベースも含まれるということです。名刺を五十音順に検索できるように並べたものも個人データベース等に該当するわけです。
個人データとは、個人データベース等を構成する個人情報です。
保有個人データとは、開示、訂正、削除等の権限を有する個人データを指します。委託により預かっている個人データは保有個人データではありません。
先ほど述べた個人情報の類型ごとにどのような規制がされているのかの概要と主な規制を紹介します。なお、個人情報⊃個人データの保有個人データという関係にあります。このため、例えば、個人データですと、個人情報に関する規制と個人デー夕に関する規制の両方が適用されます。
①利用目的の特定等 個人情報の取り扱いには、利用目的をできるだけ特定する必要があります。原則として、あらかじめ本人の同意を得ることなくこの利用目的を超えて個人情報を取り扱うことはできません。 そして、この利用目的は、あらかじめ公表するか、速やかに通知または公表する必要があります。なお、通常の個人情報は取得の際に同意までは不要で、利用目的の通知または公表で足りますが、後に扱う要配慮個人情報の場合、取得には同意が必要です。
②不適正な利用の禁止等 個人情報は、偽りその他不正の手段により取得してはいけません。また、違法または不当な行為を助長し、または誘発する恐れがある方法により個人情報を利用してはいけません。
①取得利用に関する規制 個人データを正確・最新の内容に保ち、利用する必要がなくなった場合に、遅滞なく消去する努力義務が課されています。
②安全管理義務 個人データの漏洩、滅失または毀損の防止その他の個人データの安全管理のために必要かつ適切な措置を講じなければなりません。 また、従業員に対する必要かつ適切な監督を行う必要があります。また、個人データの取り扱いを委託する場合は、委託を受けた者に対しても必要かつ適切な監督を行う必要があります。
③第三者提供規制 個人データを第三者に提供する場合には、原則として本人の同意が必要になります(オプトイン)。ただし、一定の条件を満たすと、第三者提供に反対をしなかった本人の個人情報を(同意なく) 第三者に提供が可能です(オプトアウト)。 また、一見、第三者提供に見えるような場合でも、一定の場合には「第三者」への提供に該当しないとされている場合があります。この例外で最も重要となるのは、委託に関する例外です。これは、利用目的の達成に必要な範囲内において個人データの取り扱いを委託することに伴って個人データが提供される場合は、同意が不要というものです。例としては、AI開発を第三者に委託する場合に、開発会社に学習用データとして個人情報を提供することです。ただし、あくまで委託ですので、委託元の利用目的の達成に必要な範囲内でのみ個人情報の利用が可能です。
①開示請求 個人情報の本人は、自己に関する保有個人データの開示を請求することができます。企業はこれに原則として応じなければなりません。
②訂正等の請求権 また、本人は以下の事項を請求可能です。 - 内容の訂正、追加または削除 - 利用の停止または消去
ここでは、特殊な個人情報や、個人情報に類似する情報に関する規制について解説します。
要配慮個人情報とは、本人の人種、信条、社会的身分、病歴、犯罪の経歴、犯罪により害を被った事実などの特にセンシティヴな個人情報を指します。 要配慮個人情報に該当する場合、通常の個人情報としての規制に加えて、次のような規制が追加されます。まず、原則的に本人の同意なく取得することができません。また、オプトアウトの方法による第三者提供ができません。
個人情報を自由に利活用したり、第三者提供するため、氏名などを削除するということが行われることがあります。しかし、氏名を削除したとしても、削除前のデータが残っていると容易照合性が認められ、相変わらず個人情報として扱われてしまい、自由な利活用が行えません。
そこで、個人情報保護法は、匿名加工情報という制度を設け、一定の匿名化した情報の比較的自由な取り扱いを認めています。
匿名加工情報とするには、特定の個人を識別することができないように加工する必要があります。例えば、氏名を削除する、住所を市町村レベルまで抽象化する、照合用のIDを削除する、116歳などの特異なデータを削除 (90歳以上とするなど) するなどです。それ以外に対応表の破棄なども必要です。詳細な加工基準については、個人情報保護委員会が公開している個人情報の保護に関する法律についてのガイドライン(仮名加工情報・匿名加工情報編)をご参照ください (https://www.ppc.go.jp/personalinfo/legal/guidelines_anonymous/)。他の要件については、紙面の関係で割愛します。
匿名加工情報といっても、プライバシーに関する情報のため様々な義務が課されますが、一定の事項を公表した場合には、 同意なく第三者提供が可能になります。
匿名加工情報よりも匿名化の度合いが少ない情報として、個人情報保護法は仮名加工情報という制度を設けています。匿名加工情報が比較的自由に第三者提供できる制度でしたが、仮名加工情報は第三者提供が原則として禁止されており、事業者内部での利活用を想定した制度です。
仮名加工情報のための加工としては、氏名等の削除、クレジットカード番号などの財産的損害が生じる恐れのある記述等の削除などで足り、「116歳」など特異なデータの削除等までは必要ありません。
仮名加工情報といっても、元データと容易照合性が認められる場合は依然として個人情報に該当することがあります。この場合は、個人情報等に関する規制が課されることになりますが、仮名加工情報に該当する場合には、規制が一定緩和されます。その中で重要なのが、個人情報では利用目的を変更する場合には原則として本人の同意が必要ですが、仮名加工情報では変更に本人の同意が不要のため、事後的に利用目的を変更して利用することができることになります。この他にも様々な規制の緩和と反対に義務が課されていますが、省略します。
個人情報保護法は、個人関連情報という概念を設けています。個人関連情報とは、生存する個人に関する情報であって、個人情報、仮名加工情報及び匿名加工情報のいずれにも該当しないものをいいます。例えば、IPアドレス、閲覧履歴などがこれに該当します。つまり、誰か個人に関する情報ではありますが、これらだけでは個人情報等に該当するものではありませんので個人関連情報に該当するというわけです。
個人関連情報は、第三者に提供する場合、提供先の第三者が当該個人関連情報を個人データとして取得することが予測されるときは、提供元は、原則として、提供先が当該個人関連情報の提供を受けることについて本人から同意を得ていることを確認しなければなりません。先ほどの例ですと、(IPアドレス、購買履歴)のデータは当該データ単体だけでは個人関連情報ですが、当該データの提供先である第三者が(氏名、住所、IPアドレス)の個人データを持っており、IPアドレスを用いて照合することで、個人関連情報を個人データとすることができます。このような場合は提供先である第三者が、IPアドレスの提供を受けることについて、本人の同意を得ていることを確認する必要があるわけです。
最後に海外の法制度としてGDPRを紹介します。GDPRとはGeneral Data Protection Regulation (一般データ保護規則) の略で、EU領域内の個人情報の保護を目的とした法です。GDPRは、EUに事務所を設置している企業だけではなく、①EUの個人に商品・サービスの提供を行っている場合や、②EU域内の個人の行動を監視している場合にも適用されます。GDPRと日本の個人情報保護法を比較すると、①GDPRの方が保護が及ぶ範囲が広い部分がある、②データポータビリティ権など日本にない権利が定められている、③データ保護責任者の配置等の日本の個人情報保護法にはない義務が定められている、④データ移転に関して厳しい制限がある、⑤高額な制裁金があるといった特徴があります。
独占禁止法は、自由競争を阻害する行為を禁止することで公正かつ自由な競争を促進し、ひいては一般消費者の利益を保護等するための法律です。事業者間で競争があると、事業者は価格を安くし、品質を良くする努力をするようになります。これにより安価で高品質な商品等が国民に供給されることになります。対して、事業者同士が話し合って価格を決定するカルテルが行われると、競争がなくなり、価格はカルテルで自由に決め放題になってしまいます。このようなことを阻止するための独占禁止法なわけです。
では、AIやデータに関してどのような独占禁止法上の問題が指摘されているのでしょうか。少しだけ紹介します。
企業が取得したデータを誰にどのような条件で提供するかはその企業の自由です。 市場支配力のある巨大な事業者が、当該市場における事業活動に不可欠で、代替的な取得が困難なデータを、競争者は以上の目的でデータへのアクセスを禁じたような場合は独占禁止法上の問題が生じえるのではないかと議論されています。
また、AIを用いたカルテルに関する議論もなされています。例えば、すでに価格カルテルの合意が行われているときに、合意が守られているかを監視するAIを用いること、カルテル合意がなされている場合にその合意に従って価格を付けるように設定されたアルゴリズムをカルテルに参加している事業者間で用いることなどが議論されています。
近年、デジタルプラットフォームを用いた取引が増加している一方、取引の透明性や公平性に関する批判もなされています。このようなことから、一定のプラットフォーム事業者を対象に、取引条件等の開示や運営状況の報告・評価等を義務付ける「特定デジタルプラットフォームの透明性及び公平性の向上に関する法律」が存在しています。
契約については、民法という法律で基本事項が定められています。まず、契約における重要な原則が、契約自由の原則です。契約を行う・行わない、契約の内容等は基本的には契約当事者が自由に決めることができるという原則です。
民法では売買契約、賃貸借契約など様々な契約類型について定めが存在しますが、AI開発契約に関していえば、請負契約と準委任契約が重要です。
請負契約とは、仕事の完成を約束し、その結果に対して報酬が払われる契約です。典型的には、建物の建築で、設計図に従って家を建てるという仕事の完成を約束するわけです。対して、準委任契約は事務処理の実行を約束する契約で、仕事の完成を約束するわけではありません。典型的には医師による治療契約であり、診察や手術という行為の実施を約束するもので、患者の完治という仕事の完成を約束するわけではありません。なお、契約不適合責任(瑕疵担保責任)は、完全な目的物の引渡しや完全な結果の実現を前提にしているため、行為の実施のみを約束する準委任契約には適用がありませんが、仕事の完成を約束する請負契約では適用があります。
また、準委任契約には履行割合型と成果完成型と呼ばれる2つの類型が存在します。履行割合型は、事務の履行に対して報酬が支払われるのに対して、成果完成型は事務により得られる成果に対して報酬を支払うものです。成果完成型準委任は請負と似ていますが、請負契約では仕事を完成させる義務が生じるのに対して、成果完成型準委任ではそのような義務は生じません。あくまで、成果の実現(典型的には納品等)を条件に報酬を支払うということになります。
AIの開発を第三者に委託するAI開発契約はどのようなものなのでしょうか。AI開発契約に関するガイドラインとして、経済産業省が「AI・データの利用に関する契約ガイドライン」 (以下、「AI契約書ガイドライン」)を出しています。この他にも、特許庁・経済産業省「研究開発型スタートアップと事業会社のオープンイノベーション促進のためのモデル契約書」(以下「特許庁モデル契約書」)、日本ディープラーニング協会 「ディープラーニング開発標準契約書」などが存在します。
では、AI開発契約はどのような特徴を持つのでしょうか? 以下の事項を挙げることができます。
AI開発契約を理解するには、AI開発の流れを理解する必要があります。まず、AIを導入して解決したい課題の整理、AI以外のソリューションの有無、AIが有効かといった点を確認するアセスメントというフェーズを行います。その結果、AIを用いて解決すべき課題があり、AIが有効であるということになれば、PoC (Proof of Concept:概念実証) というフェーズを行い AIの取扱い範囲の拡大や精度向上、AI導入により生じる様々な課題の解決などを図ります。その結果、実運用が可能であると判断されれば、実装(本開発) フェーズに移行し、実運用のためのAIの作成を行います。実環境にデプロイ後は、保守・運用に移行し、必要に応じて追加学習を行う追加学習フェーズとなります。
各フェーズの名称や各フェーズで実施する内容等については開発者等によりバラつきがあり、また、事案によってはアセスメントを行わないということもあり得ますが、概ね上記のような開発を行います。
アセスメント・フェーズでは、解決すべき課題の特定等を行うのであり、成果物は報告書であることが多いです。このため、準委任契約を利用することが通常です。なお、AI契約ガイドラインでは秘密保持契約 (NDA) (だけ)を締結するとしていますが、同ガイドラインが想定しているのは簡易なアセスメントであり、実際のアセスメントではそれなりの工数が必要なことも多く、有料の準委任契約であることも多いです。
PoCは実運用可能なモデルが作成できるか、モデルを実運用できるかを調査することが目的です。すなわち、調査が目的であり、準委任契約を締結します。成果物は、通常は調査結果をまとめた報告書です。
実装フェーズも、準委任契約で行うことが多いです。これは、最終的にどのようなモデルができるかは、予測ができないためです。成果物としてはモデル (推論用コードとパラメータ)であり、成果完成型準委任を利用することもあります。
追加学習フェーズについては、様々な契約の形が存在しています。保守・運用契約の中で追加学習を行うこともあれば、ある程度規模の大きな追加学習の場合は追加学習のための契約を締結することもあります。契約類型としては準委任契約が一般的です。
なお、AIのモデルだけではなく、ユーザーがモデルを動かすための通常のシステム部分の開発も同時で行うことが多いです。アジャイル形式での開発の場合は準委任契約が通常は用いられますが、ウォーターフォール型契約の場合は要件定義フェーズは準委任ですが、実装フェーズでは主に請負契約を用いることが多いです。
AI開発を進めていく中で、AIに関するコード類、パラメータ、学習用データセットなどの成果物が発生します。これらについて、著作権をはじめとする知的財産権が発生するかを判断や予測のうえ、その帰属についてAI開発契約で定めておく必要があります。
この際重要なことは、知的財産権の帰属交渉に時間をかけ過ぎても開発遅延につながるだけで、得策とは言えないことです。著作権などの権利がどちらに帰属するかにこだわり過ぎるより、一方に著作権などの権利を帰属させつつ、他方に適切な利用権を与え、必要であれば著作権を取得した側に権利の制限を加えるなどの利用条件を適切に設定していくことで処理することが妥当です。
契約当事者双方の事情をよく配慮し、契約当事者にとって何をどう心配しているのか、その懸念は妥当なのかということを考えながら、契約自由の原則で認められる範囲で自由に契約内容を決めていくべきでしょう。
相手方の秘密情報の守秘を約束する秘密保持契約(Non-Disclosure Agreement: NDA)は、AI開発契約の締結検討段階や簡易なアセスメントを行う段階で締結される契約です。
NDA締結のうえでの注意点としては、まず、NDAを締結する目的をはっきりと記載することです。AI開発契約締結の検討目的、アセスメントに関して提供される情報の保護目的などです。また、秘密とされた情報を第三者に開示・漏洩しないことは当然ですが、NDAの目的以外では利用しないという目的外利用の禁止も定める必要があります。つまり、他社から受託しているAI開発案件での使用や自社の営業目的での使用などを禁止することになるわけです。また、守秘義務の期間についても、 提供される情報の要保護性や内容を考えて適切に定める必要があります。
今までのAI開発契約は、特定の会社のために専用のAIを開発する場合の契約でした。ここではクラウド型のAIのような不特定多数のユーザーに提供されるAIの利用契約について紹介します。
このようなAI利用契約のモデル契約書として6.2で紹介した特許庁モデル契約書が存在します。
AI利用契約で気を付けるべき点は、追加学習に関する手当です。AI開発契約とは異なり、クラウド型のAIなどではサービス提供者側の判断で追加学習が行われます。このため、ユーザー側からすると知らないうちにパラメータが変わり、同じデータに対して昨日とは異なる出力がなされることや、ユーザー環境における精度が低下することがあります。これはやむを得ないことですので、このような点を契約書で説明しておき、サービス提供者側が責任を負わない旨を定めておくとよいでしょう。
また、クラウド型AIではユーザーが入力したデータを用いて追加学習を行うことがあります。特に、複数のユーザーのデータを用いて1つのパラメータを更新する場合には、その旨をAI利用契約に明記しておくべきでしょう。
AIの開発や判定が適法なものであることに加えて、社会的な正しさに合致している必要があります。このようなAI倫理の問題について見ていきます。
AIの社会実装が進むにつれて、AIが社会に様々な影響を与えています。当然、その中には社会にとって望ましくない影響も存在します。ここでは、このような問題を扱っていきます。
このようなAIによりもたらされる望ましくない影響に対処しAIを倫理的にしてゆくということで、AI倫理という言葉を用いることがあります。信頼できるAI (Trustworthy AI) や責任あるAI (Responsible AI) という言葉も似たような意味で使われることがあります。
また、AIガバナンスという言葉も存在します。ここでは、概ねAI倫理上の課題に対応するために企業等の組織が行うべき仕組みを指すものとします。
なお、本書では、AI倫理は、AIに関する法律を遵守していることを前提に、プラスとして守るべき社会的な正しさに関する議論であるとします。
ルールには、ソフト・ローとハード・ローが存在します。ハード・ローは、典型的には法律であり、公的機関が定める遵守義務が生じるルールになります。対して、ソフト・ローは、公的機関だけではなく業界団体や学会も定める自主規制、ガイドラインなどであり、遵守義務が生じません。遵守義務の生じないソフト・ローであっても、契約時に業務の実施基準とされたり、裁判時に善管注意義務違反の参考とされることがよくありますので、実務上は重要な意味を持ちます。
ハード・ローは、法的強制力がある一方で、成立や変更には議会の承認が必要で迅速なルール化が難しいことと、厳格な適用が認められるのに対して、ソフト・ローは、法的強制力はありませんが、迅速な変更が可能で、また個々の案件に即した柔軟な運用が可能です。
AIに関するルールとしては、AI法案が代表的なEUを除けば基本的にはソフト・ローです。ただし、EUのハード・ロー路線を採用する国が今後出てくる可能性も存在します。
以下に日本政府等によるガイドライン等のルールを一部紹介しますが、内容を覚えている必要はありません。どのようなガイドラインが存在するか把握する程度で構いません。内容を知りたい人は、ガイドライン本文を読んでください。
内閣府が「人間中心のAI社会原則」という、AIの社会実測を進めるため関係者が注意すべき基本原則を述べるガイドラインを定めています。ここで言う原則とは、プライバシー、公平性のような尊重すべき価値やAIにより引き起こされるリスクと言い換えてもよいでしょう。
総務省による「AI利活用ガイドライン」は、AIをビジネスに利活用する者が留意すべき原則を述べています。
総務省による「国際的な議論のためのAI開発ガイドライン案」は、AI開発者が留意すべき原則について説明しています。
経済産業省による「AI原則実践のためのガバナンス・ガイドライン」では、上記のような原則の実践を支援すべく、実施すべき行動目標を指示し、実践例や実務的な対応例を示しています。
総務省、経済産業省は、今までのAIに関するガイドラインを統合したAI事業者ガイドラインを制定中です。2023年12月にはガイドライン案が公表されており、2024年3月に正式版の発表をしました。
アメリカのホワイトハウスが出したガイドラインであり、AIの開発や利活用等をガイドする原則を説明するものです。
バイデン大統領はAIの安全性等に関して政府機関に対して研究を行うことなどの指示を大統領令として出しています。
アメリカ商務省配下のNISTが定めたAIに関するリスク・マネジメントのためのフレームワークです。
EUは、AIを直接規制する法であるAI法案を発表し、制定を目指しています。AI法案では、AIのリスクに応じた規制を行うリスクベースアプローチが採用されています。またAI法案だけでなく、AIに関する賠償ルールを定めるハード・ローであるAI 責任指令案を公開し、制定を目指しています。
また、EUはAI法案より前に信頼できるAIのための必要事項 (他のガイドラインで言う原則と同じ)を解説する Ethics guidelines for trustworthy AIを出しています。
OECDは、信頼できるAIのための5原則と、政策決定者向けの推薦事項として5つの事項を発表しています。
G7メンバー及び関連国際機関が立ち上げた広島AIプロセスは、「高度なAIシステムを開発する組織向けの広島プロセスの国際指針」及び同国際行動規範を定めています。
Global Partnership On AI (GPAI)は、理論と実務の間のギャップを橋渡しするための国際的な取り組みで、29か国が現在のところ参加しています。
国際標準化機構(ISO)は、AIのマネジメントフレームワーク (ISO/IEC 42001:2023) など、AIに関する国際標準を多数発表しています。
AIの出力が公平でないために問題となることがあります。例えば、採用AIで女性よりも男性を優遇し合格率に差が生じたという事例や、顔認識で男女や肌の色で認識率に差があり、このため顔認識で容疑者を誤認識して誤認逮捕を行ったという事例など多数に及びます。
このような出力の差異、バイアスはなぜ生じるのでしょうか。アルゴリズムの方にバイアスの原因が存在することがありますが、基本的にはデータにバイアスが存在することが原因です。まず、そもそも人間自体が(意識しているかどうかは別として) バイアスだらけの存在だということが知られています。認知バイアスや無意識バイアスと呼ばれるものです。
このようなバイアスが、データ生成、データ収集、アノテーション、前処理などありとあらゆる過程で入り込む可能性があります。
このようなバイアスに対応していくには、まず、開発や利活用しているAIにおいてどのようなバイアスを問題のあるバイアスと評価するかが重要です。融資の決定において年収でバイアスが生じることは当然ですが、年収等が同じでも男女で差が生じるのは問題があるでしょう。つまり、どのような属性(男女や肌の色など) をセンシティヴなものとするかであり、これは AIを適用するドメインや個別的な利活用の状況により異なります。また、国や年齢等によって、何が問題かの判断が変わることもあるでしょう。
また、現在の人間による判断によるバイアスと比較してAIのバイアスを考えるということは重要ですが、他方で、差別やバイアスの再生産という点に気を付ける必要があります。
AIにおいては安全性が重要です。本書では安全性を「AIによって利用者や第三者の生命・身体・財産に危害が及ばないように配慮すること」とします。他方で、AIの有効性も重要です。本書では、有効性は、簡単に、AIがタスクに対して適切に判断ができることを意味するものとします。なお、精度が高いと安全性は通常は高まりますが、例えばガン判定において、ガンであるのに健康と判断することは、ガンがないのにガンと判定することよりも安全性の点からは問題です。全体の精度を下げたとしてもガンを見逃す誤判定を安全性のために回避することがあります。
安全性については、ドメインによっては安全性基準などが存在します。その場合には、その基準に従うことが重要です。また、安全性においては人間がAIの判断を過度に信頼することが事故の原因となることがあります。適切な注意喚起や情報開示が重要です。
プライバシーの定義については様々な見解が存在しています。1人にしてもらうことという意味を超えて、自分に関する情報のコントロール (修正や削除などを含む)、自己情報コントロールまで意味するという見解も主張されています。
学習用データの収集においては、どのようなデータを収集して、どのようなAIの学習にデータを用いるかが問題になります。また、推論段階でのデータ収集においては、どのようなデータを収集して、どのような推論を行い、その推論結果をどのように利用するのかが問題になります。この際に課題になるのは、このような点が開示されていない(いくつかの事項の不開示は個人情報保護法違反になりえます。)ことや、開示されていても本人の気づかないような形で開示されており、本人の期待と収集範囲やデータの利用方法にギャップがあることです。
推論段階では、データを用いた推論により他人に知られたくないようなセンシティヴな事項の推論や、あらゆる道路にカメラを設置して人々の動きを監視するような広範囲な推論が問題になります。AIの開発や導入の当初からこのようなプライバシ一上の課題がないかを検討することが重要です。
また、推論が誤っている場合、誤った情報が真実であるかのようなデータが保存されることになり、自己情報コントロールという点からはプライバシー上の問題だといえます。
プライバシー・バイ・デザインというシステムやAIの開発の仕様設計段階からプライバシー保護の取組みを行う考え方が有用です。また、カメラ画像を用いる場合には経済産業省の「カメラ画像利活用ガイドブック」などを参考に、推論の内容、利用目的、データの保存方法、周知の方法などを検討するとよいでしょう。
透明性という言葉で何を意味するかは、様々なガイドラインでも差異が存在するところです。本書では、情報の開示に関する事項を透明性として扱います。AIにおいて透明性が強く求められる理由の1つには、ディープラーニングなどの複雑なモデルは判断過程がブラックボックスとなり、どのような根拠で判断を行ったのか分からないという点が存在します。ただ、透明性といっても、それだけでは抽象的であり、どのような理由で、誰に対して、どのような情報を開示するのか検討する必要があります。
透明性として、様々なガイドラインで開示が求められることのある事項としては、AIを利用していること、判断の根拠、AI の目的や適切な利用方法、AIに関する責任者等、AIがもたらすであろう影響などです。また、データの来歴 (データがどのように生成され、どのような処理がされてきたか等に関する事実)についても、開示の必要性が指摘されることがあります。
また、アカウンタビリティもAIの原則として挙げられることがあります。ただし、アカウンタビリティと言ってもその意味は明確ではなく、本書ではAIに関して責任を負うことを意味するものとします。AIの出力がもたらされた入力やパラメータ等が追跡できる追跡可能性、出力の原因を探ることのできる検証可能性、必要なドキュメントの文書化、AI倫理に関する事項を実施する責任者や担当組織の明確化などが重要です。
AIに関するセキュリティも重要な価値です。通常のシステムにおけるデータの保護などのセキュリティとは異なり、AIモデル固有のセキュリティがここでは問題です。学習用データを汚染するデータ汚染攻撃、敵対的事例(Adversarial example) を用いた推論結果の操作、推論結果を集めることによる学習用データやモデルの推測、細工をしたモデルの配布というモデル汚染攻撃など様々な攻撃方法が存在しています。
AIの悪用は大きな問題になっており、悪用の防止は守るべき原則です。特に生成AIの悪用については現在大きな問題となっています。動画の顔をAIにより別人に変換できるディープフェイクによるポルノや偽情報やテキスト生成AIを利用した詐欺や危険物の製造方法の調査などが問題になっています。生成AI以外にもサイバー攻撃へのAIの利用などが懸念されています。
AIによる自動化により引き起こされる仕事の喪失から労働者を保護することも重要です。もちろん、AIによりある程度の仕事がなくなることはやむを得ず、仕事の喪失自体をなくすことはできませんが、それを最小化したり、仕事を失う労働者が容易に他の仕事に移行できるように手助けすることなどが重要です。
また、仕事の消滅により生じる影響が不公平になる可能性も指摘されており、若年層や女性が主に就いている仕事が消滅しやすい可能性も指摘されています。
他方で、現在のAIは特定のタスクを行うにすぎずどのような仕事がなくなるかというより、どのようなタスクが自動化できるか考え、人間が行うべきタスクは人間が行い、AIと人間の協働を考えてゆくべきだと指摘されています。
上記に挙げた以外にも個別的なAIの内容や利用場面に応じて様々な権利や原則を考える必要があります。例えば、生成AIにより生成された誤情報の拡散で選挙がゆがめられる、他国がAIを駆使してソーシャルメディア上で一定の層に有効なメッセージを送り選挙に介入するなどの民主主義への影響も着目されています。また、左翼的な人に左翼的なニュースをAIが推薦とすることで、より左翼的な人物となり、社会が二極化する恐れも指摘されています。他にも死者をAIを用いてデジタル上で復活させることに対する死者への敬意、AIの戦争利用の禁止など様々な問題が議論されています。他には、AIによる電力消費による環境への影響なども懸念されています。
現在、大きなブームとなっている生成AIについては、本ユニットで別に扱います。まず、誤情報の問題が挙げられます。誤情報が広がると、先ほど述べたような民主主義への影響があり得ますし、経済活動にも影響を与えるでしょう。また、「女性は家庭に」というようなバイアスのかかったコンテンツが生成され、そのようなバイアスが強化・再生されることもあります。このようなバイアスだけでなく、わいせつ表現などを含めた不適切なコンテンツの防止も重要です。また、非公開の情報で学習した結果を、生成コンテンツ内で表示してしまうことによるプライバシーの問題や機密保護の問題も存在します。
最後にAIガバナンスについて言及します。本書では、AIガバナンスとは、上記したようなAIに関する価値や原則を実現するために企業が行うべき取組みという意味とします。AIガバナンスを適切に実現するためには以下のような事項の実施が求められます。
まず、経営層がAIガバナンスを組織として行うことを意思決定し、関与していくことを明確にする必要があります。
AIに関するポリシーであるAIポリシーを策定する必要があります。これは、上記したAIの価値や原則などの目的に対して、 どのように取り組んでいくのかなどを述べるドキュメントで、プライバシーにおけるプライバシーポリシーに相当するものです。
AIガバナンスに関する業務を実施する責任者や実施担当者・担当組織を任命する必要があります。
開発・導入しようとしている、または現在利用しているAIが自組織や利用者、社会にどのようなリスクを生じさせるかの検討であるAIリスク・アセスメントを行う必要があります。
また、それらのリスクが現実化する可能性の大小や、現実化した場合の害の大小を考え、リスクの程度を特定しておくとよいでしょう。そのうえで、リスクの軽減方法を適切に採る必要があります。また、残存するリスクは適切に受け入れる必要があります。
AI原則等を実現するために必要なAIの目標 (精度等が典型だが、必ずしも測定可能な目標とは限らない)を定め、その目標実現のための手続を定める必要があります。
また、関係する従業員に対して適切な教育を行う必要があります。
必要な文書を文書化して保存しておき、必要な者がいつでもアクセスできるようにしておくことも、重要な点です。
デプロイ後のAIに対するモニタリングも必要です。どのような指標で、どのような頻度やタイミングでモニタリングを行うのか検討する必要があります。
AIに関する手続やルールが守られているかなどAIガバナンスの状況に関する内部監査の実施も重要です。また、内部監査の結果等に基づいた振り返りと改善も行う必要があります。
以下にリスク低減のための様々な措置のうちいくつかの例を紹介します。
AIの出力等に対して人間が関与を行うことでAIの精度等が向上しリスクが低減することがあります。人間の関与の方法としては、AIの判断は参考とし人間が最終判断を下す (AIの出力を最終化前に全件人間が確認する)ものが典型ですが、その他の方法も存在し、最終化後に人間が事後的に出力を全件確認するなどの方法もあり得ます。
なお、人間を関与させることでAIの正しい判断を人間が修正してしまうことで、精度等が下がることもあります。このような場合は原則として、そのような人間の関与を行わない方がよいでしょう。人間を関与させるか、させるとしてどのような方法を取るべきかは個別的に考える必要があるでしょう。
ユーザーや社会からのフィードバックを得ることができるようにし、有用なフィードバックが適切に開発・運用担当者や経営者等に共有される体制を構築しておくことは重要です。AIのリスクは事前に全て予測しきることは難しく、漏れたものを速やかに発見し、改善することが重要です。
AI開発や導入においては、多様なステークホルダーの関与を得ることが重要です。これにより多角的な視点からAIのリスクを検討することができます。ステークホルダーの範囲は自明なわけではなく、また、AIの開発等が進むにつれ範囲が変化することもあります。
AIの開発チームやAIガバナンスの実施チームの多様性を確保することが重要です。性別、年齢等だけではなく、専門性(AI 技術の専門家や法律の専門家など)、バックグラウンドなど様々な点からの多様性を可能な限り確保することが重要です。
データの品質の確保も重要です。また、データについては、どのように生成されたのか等に関するデータの来歴も把握しておくことが重要です。
個人情報の種別について、最も適切なものを1つ選べ。
4
個人関連情報とは、生存する個人に関する情報であって、個人情報、仮名加工情報及び匿名加工情報のいずれにも該当しないものをいいます。
AIの学習済みモデルの著作権について、最も不適切なものを1つ選べ。
4
パラメータについては単なる計算結果のため著作権が発生しません。
経済産業省が公表した「AI・データの利用に関する契約ガイドライン」が推奨する開発方式の各段階に関する説明として、最も不適切なものを1つ選べ。
3
AIの精度の保証は、精度がデータに依存するため事前んい予測することができず、難しいです。
AIにおけるバイアスへの対応として、最も不適切なものを1つ選べ。
1
センシティヴな属性の選定は人間の手によらざるを得ません。これを自動化する技術は実現していません。
AIにおける安全性確保のために取るべき対応策について、最も不適切なものを1つ選べ。
1
提供者側で安全性に関する措置を全て行うことはできず、不審な挙動がないか等のある程度の点検は現場のユーザーに任せざるを得ない場合があります。
AI倫理上の課題に取り組むための手法として、最も不適切なものを1つ選べ。
2
ステークホルダーの範囲は、開発等の進行に伴い変化することがあります。