生成 AI 使用ポリシーのガイドライン

概要
生成 AI の急速な普及に伴い、このイノベーションが多くの組織や個人に新たな機会をもたらす可能性があるとして大きな期待が寄せられています。一方、生成 AI はリスクも伴います。こうしたリスクには、周知のもののほか、これから明らかになってくるものもあるでしょう。そのため、生成 AI を使って新しい機能やコンテンツを開発する組織においては、適切な使用ポリシーを定めることが求められます。
よく考え抜かれた思慮深い使用ポリシーとは、組織において生成 AI テクノロジーによるイノベーションを促進すると同時に、リスクを管理できるようにし、さらに、状況の変化に対応できるような余地を残すようなものです。ソフォスは、従業員が新しいイノベーションを安全な方法で追求しながらお客様やパートナーに利益をもたらせるよう、生成 AI に関する実用的な使用ポリシーを策定しています。以前から、このポリシーの共有を求める声を多数いただいておりましたが、このたび、お客様、パートナー、そして業界全体に貢献したいとの思いから、このポリシーを公開する運びとなりました。
この文書に含まれる論点、例、コンテンツ (コピー可) は、業務における生成 AI の公式の使用方針はもちろん、日常的な使用ルールを定めるにあたっても参考となります。このポリシーの枠組みが、生成 AI の探索、調査の初期段階にある皆様の指針となれば幸いです。あらゆる組織は、戦略から実施策に至るまで独自の方針を持つものであり、生成 AI の使用方針についても、組織に応じて調整する必要があります。
この文書はテンプレートではなく、情報提供のみを目的としています。また、法的な助言として用いられることを意図していません。以下に示すガイドラインおよびトピックに基づいてポリシーを採用、施行するにあたっては、まず、法律顧問や専門家に相談することをお勧めします。
定義および検討事項
「ポリシー」の定義
ここでは、組織行動の管理を目的として確立されるルールまたはガイドラインを指す一般的な表現として、「ポリシー」という用語を使用します。この文書は、組織内での生成 AI 使用ポリシーを主眼としています。このようなポリシーは、企業の承認プロセスを通じて正式に採択される場合もあれば、非公式に確立されることもあります。生成 AI に関する組織の方針は、ここで述べているように「ポリシー」と呼ばれることもあれば、それ以外の呼称がついている場合もあります。組織にとって、その目標を世間に伝える手段について検討することは大事ですが、この文書は、生成 AI に関する一般的な方針を主眼としており、その呼称や、実装方法または施行方法についてガイドラインを示すものではありません。
対象範囲
まず最初の検討事項は、生成 AI 使用ポリシーの対象者です。たとえば、すべての従業員のほか、組織と関係のあるサードパーティ (請負業者、ベンダー、テクノロジーパートナー、販売パートナーなど) が対象となりえます。これらのうちどれか 1つのみ、あるいは、すべてを対象としても構いません。
もう 1つの検討事項は、ポリシーの対象となるテクノロジーの範囲です。たとえば、「生成 AI」とは、データセットを用いたトレーニングに基づき、入力 (プロンプト) に対して出力 (テキスト、画像、動画、音声、またはその他の業務コンテンツ) を生成するテクノロジーの種類を指すことがあります。例としては、ChatGPT/Bard (テキスト→テキストまたは画像)、GitHub CoPilot (テキスト→コード)、Midjourney/Stability AI (テキスト→画像)、ModelScope (テキスト→動画)、プログラミング言語のコードなどがあります。生成 AI は、アプリケーション内に機能として含まれる場合もあります。
生成 AI に関する検討事項
生成 AI は、効率と生産性を向上させることで大きなメリットをもたらす可能性があります。一方で、現在の実装においてはリスクが伴います。たとえば、不正確または信頼性の低い出力 (「ハルシネーション」)、偏ったまたは不適切な出力、セキュリティの脆弱性、知的財産 (IP) およびプライバシーに関する懸念、法的に不明瞭な点、組織によっては同意することができないようなベンダーのライセンス規約などです。さらに、生成 AI の出力結果が知的財産保護の対象となるかどうかや、生成 AI が作成したコンテンツの所有権について、法的に不明瞭な点があります。したがって、生成 AI を組織のプロセスやアプリケーションに組み込む際は、生成 AI ツールによって作成された素材を明確にし、知的財産保護に関連して発生しうる複雑な事柄を回避することが重要となります。
生成 AI の急速な発展および変わり続けるリスクの中で、組織においては、以下に示すように、責任をもって生成 AI を導入するための使用ポリシーを取り入れることが有益です。
更新および改訂
生成 AI の分野ではイノベーションが急速に進んでいるため、ポリシーは定期的に見直し、必要に応じて調整する必要があるでしょう。最先端技術は急速に進化し続け、法律や規制の状況もまた同様です。したがって、ポリシーをそのまま放置すると、実状に合わなくなる可能性があります。
生成 AI の導入、実装、使用
多くのベンダーが生成 AI の多様なアクセス方法 (チャットや API など) を開発し、各種アカウント (個人アカウント / 無料アカウント /有料アカウントなど) や異なる利用規約のもと提供しています。一方、組織における実際的な課題としては、生成 AI からの情報へのアクセスや情報交換を従業員やビジネスパートナーに対してどのように許可するかということがあります。
他の業務用アプリケーションと同様、生成 AI の使用を法人アカウントに限定する会社もあるでしょう。組織にとって価値をもたらすものであれば、会社として同意できるような利用規約のもと、アカウントを使用する必要があります。その観点からすると、生成 AI は SaaS ベンダーや他のクラウドサービスプロバイダーなど、運用にデータ収集が含まれる他のサービスと同様と見なしてもよいかもしれません。
新しい生成 AI プラットフォームの実装および導入
生成 AI プラットフォームの導入に伴う承認プロセスについても、検討が必要です。たとえば、組織に新しい生成 AI プラットフォームを導入する際は、それがスタンドアロンアプリケーションであれ、システムの一機能であれ、組織の標準的な調達プロセスに従いながら、生成 AI 特有の質問や条件も追加する必要があります。
実装前に必要な手順としては、以下のようなものがあります。
- 社内の関連部門の担当者からの承認 (例:製品管理、エンジニアリング、データプライバシー、法務、セキュリティ、リスク管理の部門など)。もちろん、一人の担当者が複数部門の承認を兼ねても構いません。
- 商用にする場合の技術的な評価:
- トレーニングデータセットのソースおよび品質。
- 生成 AI モデルのトレーニングデータセットとして、入力および出力データが使用されるかどうか。また、そのような使用を拒否するオプションがあるかどうか。
- 生成 AI モデルを使用するリスク、および、リスクを軽減 / 管理する内部メカニズム。
- 生成 AI システムの利用規約を守れるかどうか。
- 商用にした場合の影響と、それに関連するライセンス上の権利。
- 実装計画に関する業務的な評価:
- 実装費用。
- 予想される ROI (投資対効果)。
- 実際の ROI を計算する追跡メカニズムの開発。
- 実装計画については、次のセクションで詳しく説明します。
承認済みの生成 AI の使用
- 生成 AI のユースケースが新たに発生するたびに、承認プロセスが必要となる可能性があります。各部門ごとに承認者を固定しておけば、新たなユースケースについてについて迅速に理解、処理することが可能となります。
- 安全機能の使用。各ユーザーは、使用可能な安全機能をすべて有効にするとともに、新しい安全機能について注視し、利用可能になったらすぐに有効にすることが求められます。
原則として禁止、例外的に承認
承認済みの標準的な使用範囲から外れるような生成 AI の使用について、レビューおよび承認を求めるという方法も有益です。たとえば、例外的に承認されたユースケースを除き、生成 AI の使用をすべて禁止にするのです。このような方針をとる場合は、イノベーションのスピードも考慮して、承認済みのユースケースのリストを定期的に見直すことが重要となります。
たとえば、例外的に承認されない限り、次のような使用を禁止します。
- 以下に少しでも該当するような入力を要求する。
- (業務関連またはその他の) 機密情報。
- 個人データ、または、組織を特定できる情報。
- 組織の知的財産。
- 独自のコンピュータコード。
- 顧客、サプライヤー、パートナーに関する情報や、その他の保護対象の情報 (PII (個人識別情報) を含む)。
- 従業員に関する情報。
- 組織またはサードパーティのシステムにアクセスするための認証情報。
- 人権や義務に影響を及ぼす可能性のある内容を出力する。
- 組織のテクノロジーやその他の知的財産に、出力結果を組み込む。
- 組織のポリシー、契約上の義務、テクノロジーの利用規約に違反する。
- 違法または非倫理的な使用 (偽情報、情報操作、差別、名誉毀損、プライバシー侵害など)。
生成 AI によって記述されたコード
生成 AI を使って既存のコードをメモリセーフな最新コードへと書き換えることは、複雑かつ野心的な取り組みです。このようなケースに対しては、技術的、倫理的、現実的な検討が必要となります。検討事項の例を以下に示します。
- 品質および信頼性: 元のコードの機能をそのまま維持しながら、メモリセーフの最新コードにする。
- セキュリティおよび脆弱性の分析: 生成されたコードをよく点検して、安全性を検証する。
- パフォーマンス:AI が生成したコードが元のコードのパフォーマンス以上になるかどうか評価して、最適化する。
- 知的財産権: AI が生成したコードの知的財産権を確立することは、現在の法的な枠組みでは完全に対処しきれない複雑なテーマである。
- データのプライバシーおよびコンプライアンス: 生成 AI モデルのトレーニング用の機密データや個人データが誤って公開されないよう、各種規制に従って適切なデータ保護措置を講じる。
個人の生産性向上のための ChatGPT (または同種のツール) の使用
組織によっては、各個人の業務上の生産性を向上させるために、生成 AI プラットフォームの使用が許可されている場合があります。そのような使用においては、以下の点に従います。
- 組織が禁止するような使い方はしない。
- 該当する利用規約、条件、ポリシーを守る。
- 使用を開始する前に、トレーニングデータセットへのデータ提供を拒否する (拒否オプションがある場合)。
- 実装前に、出力の正確性 / 信頼性 / 適切性を検証する。
ChatGPT (および同様の無料の生成 AI ツール) の個人アカウントでの業務利用が許可される例:
- Google 検索や Wikipedia などのインターネットリソースと同様に、事実確認や調査目的で使用する。
- 日常的なメールや内部文書の下書きを作成する。
- 文書を編集する。
- 基本的なアイデアを生成する (例:会社外での交流アクティビティのリストを作成してもらう、特定のコードブロックの動作の仕組みを解説してもらう、関数の記述方法を教えてもらう)。
生成 AI を使用する従業員向けのトレーニングや認定を設定してもいいでしょう。現行のセキュリティトレーニングコースを改訂し、生成 AI に伴うリスクに関する内容を含めるのも一案です。
ユーザーがルールに従わなかった場合、どのような結果が生じうるかについても検討しておきます。ガイドラインを固めるプロセスは、基本的に、企業の公式または非公式のポリシーを定めるときと同じです。
終わりに
生成 AI は、組織のさまざまな側面に影響を与えることが予想され、既知または未知のリスクを適切に抑制する必要があります。このテクノロジーの影響について、我々はまだ理解の途上にありますが、一方で、先進的な組織は、生成 AI によるイノベーションの可能性を惜しみなく追求しています。探求心、好奇心、試行錯誤を奨励しつつ、リスクを軽減する者が、この新しい時代の勝者となるでしょう。
世界に生成 AI が浸透し、その多様な可能性が広がる中で、まずは、組織内で想定されるユースケースに応じて使用ポリシーを確立するという懸命なアプローチを取ることが、はじめの一歩となります。将来的には、ポリシーやガイドラインをより広範なガバナンスおよびリスク管理戦略に統合できる可能性もあります。たとえば、運営委員会の設立や、定期的な監査およびリスク評価の実施のほか、継続的なポリシー改善プロセスを確立することで、リスクを適切に軽減しながら責任ある生成 AI の使用を追求することが可能となるでしょう。