ChatGPTで情報漏洩が起こった場合、企業はどう対処するべきか

ChatGPTとは、OpenAI社が2022年11月に公開した人工知能チャットボットです。人間が入力した指示に応じて自動的に文章を生成します。

1. （1）ChatGPTの仕組み

   ChatGPTは、大量のテキストデータを機械学習させたアルゴリズムによって動作しています。これは「ディープラーニング」と呼ばれるものです。
   サービスのリリース前にも大量の機械学習が行われましたが、リリース後はユーザー（利用者）が入力する指示の内容を継続的に学習しています。
   
   機械学習が深化するに連れて、人間が自然と感じる文章を出力するChatGPTの機能は、ますます高度なものとなります。

2. （2）ChatGPTのメリット

   ChatGPTは、ビジネスを中心にさまざまな用途に活用できる可能性があります。
   
   たとえば、人間が文章を作成するには時間がかかりますが、ChatGPTに文章の概要や読み手の情報などを入力すれば、それを反映した文章が自動的に出力されます。
   ChatGPTに出力させた文章をそのまま使用できるケースは少ないですが、作られた文章を基に文章を練れば利用することはできるかもしれません。この場合、人間が0から考えるよりも、短時間で文章を作成できるメリットがあります。
   
   また、プログラムのコードや表計算ソフト（Excelなど）の関数を作りたい場合にも、ChatGPTが大いに役立ちます。必要な動作を人間の言葉で指示すれば、瞬時にコードや関数が出力されます。
   指示が適切であれば、検索エンジン（Google）で検索するよりもスピーディーに、かつ有用なコードや関数を得られる可能性があります。

3. （3）ChatGPTの危険性

   ChatGPTが出力する情報は、必ずしも正しいものとは限りません。ChatGPTを使うなら、出力された情報をうのみにせず、自ら検証することも必要です。
   
   また、ChatGPTは入力された指示の内容を学習し、それを基に別のユーザーの指示に対して出力を行います。その性質上、注意すべきなのが機密情報の漏洩です。
   ChatGPTに入力した指示に機密情報が含まれていると、その内容が別のユーザーに対してそのまま表示されたり、不正確に改変されて表示されたりするおそれがあります。
   
   特に機密情報の漏洩については、ChatGPTの利用において指摘されている、もっとも深刻な問題のひとつです。欧米企業を中心に、機密情報の漏洩リスクを懸念して、ChatGPTの利用を禁止している例もあります。

企業がChatGPTを利用するに当たっては、以下の法律のルールを正しく理解しておきましょう。

1. （1）個人情報保護法

   個人情報保護法では、個人情報等の取り扱いに関するルールが定められています。
   
   特定の個人情報を検索可能な形で管理しているものを「個人情報データベース等」といいます（同法第16条第1項）。個人情報データベース等を事業のために使っている者は、「個人情報取扱事業者」に当たります（同条第2項）。
   
   個人情報取扱事業者は、取り扱う個人情報の利用目的を、できる限り特定しなければなりません（同法第17条1項）。個人情報の目的外利用は、原則として禁止されています（同法第18条1項）。
   
   また、取得した個人情報の利用目的は、原則として速やかに通知するか、または公表しなければなりません（同法第21条）。
   個人情報取扱事業者がChatGPTに個人情報を入力する場合は、その入力が利用目的の範囲内であり、かつ本人への通知または公表が行われていることを確認する必要があります。
   
   また、ChatGPTに個人情報を入力することは、個人データの第三者提供に当たります。個人情報取扱事業者が個人データの第三者提供を行う際には、原則として本人の同意が必要です（同法第27条）。
   
   さらに、ChatGPTを運営するOpenAI社は外国事業者であるため、外国事業者への個人データの第三者提供についても、あらかじめ本人の同意を得る必要があります（同法第28条第1項）。その際には、米国における個人情報保護法制に関する情報などを、本人に提供しなければなりません（同条第2項）。

2. （2）不正競争防止法

   ChatGPTに営業秘密（ノウハウや顧客情報など）を入力した場合は、営業秘密の不正な使用・開示として不正競争防止法違反に当たる可能性があります（同法第2条）。
   
   不正競争防止法違反を犯した場合、最大で「10年以下の懲役もしくは3000万円以下の罰金」に処され、またはこれらが併科されます（同法第21条第1項、第3項）。

ChatGPTに入力した機密情報が漏洩してしまった場合は、以下の流れで迅速に対応を行いましょう。なお、ChatGPTの運営会社（OpenAI社）の責任を追及することは難しい点にご留意ください。

1. （1）事実関係を確認する

   まずは、機密情報の漏洩に関する事実関係を確認する必要があります。
   
   たとえば、実際に機密情報を入力した人や、その人と同じ部署の上司などに対してヒアリングを行いましょう。また、入力に用いられた端末を調べるなどして、どのような機密情報が入力されたのかを特定しましょう。
   
   機密情報の漏洩がどこまで広がっているのかを確認することも重要です。報道やSNSなどを確認して、正確な現状把握に努めましょう。

2. （2）必要な対応を検討する

   機密情報漏洩の状況が把握できたら、どのような対応を行うべきかを検討します。
   
   個人情報が漏洩した場合は、個人情報保護委員会に対する報告および本人に対する通知を必要とする場合があります。また、株主や取引先に対しては、どのように情報を発信するのがよいかを検討する必要があります。
   
   事後対応を適切かつ迅速に進められるように、網羅的な検討をスピーディーに行わなければなりません。

3. （3）プレスリリース等で対応状況を発信する

   株主や取引先の信用を維持するためには、不祥事対応の状況を随時発信することが大切です。誠実に対応している状況を発信すれば、企業の評判・信用の失墜を食い止められる可能性があります。
   
   プレスリリースを活用するほか、個別にもメッセージを送信するなどして、株主や取引先の不安の軽減に努めましょう。

4. （4）削除請求等を行う

   漏洩した機密情報がインターネット上で公開されている場合には、サイト管理者に対して削除請求を行いましょう。サイトポリシーを踏まえた理由を記載して削除を請求すれば、問題の投稿が迅速に削除される可能性があります。
   
   サイト管理者が削除に応じない場合は、裁判所に対し問題の投稿に関する削除の仮処分を申し立てることが考えられます。投稿によって会社が著しい損害または急迫の危険にさらされるおそれがあることを説明し裁判所に理解してもらえれば、投稿削除の仮処分命令が発令される場合があります。
   
   また、発信者情報開示請求によって投稿者を特定し、損害賠償請求を行うことも考えられます。
   
   投稿の削除や損害賠償請求に関する対応については、弁護士にご相談ください。

5. （5）関係者に対して処分を行う

   機密情報の漏洩を引き起こした関係者（従業員）に対しては、懲戒処分を検討しましょう。
   
   ただし、従業員の行為の性質・態様などに照らして、重すぎる懲戒処分は無効となります（労働契約法第15条）。過去事例や裁判例などを参考にして、どの種類の懲戒処分が適切であるか慎重にご検討ください。

6. （6）再発防止策を講じる

   再度機密情報の漏洩が発生することがないように、再発防止策を講じることも重要です。
   
   たとえばChatGPTの利用ガイドラインの見直しや、従業員研修の強化など、情報漏洩対策へ速やかに取り組みましょう。

情報漏洩が発生すると、企業の評判や信用は失墜し、業績に致命的な悪影響が生じかねません。安定的に事業を運営するためには、情報漏洩に関する予防策が必要不可欠です。

会社でChatGPTを利用するのであれば、特に以下の予防策を講じ、情報漏洩のリスクを最小限に抑えましょう。

弁護士にご相談いただければ、企業の実情に合った適切な情報漏洩予防策をご提案し、その導入をサポートいたします。

ChatGPTの利用に際しては、機密情報の入力は控えるべきです。利用ガイドラインを整備し、情報漏洩のリスクに関する従業員研修を行って、ChatGPTを通じた情報漏洩を予防しましょう。
万が一情報漏洩が発生してしまったら、弁護士のサポートを受けながら対応することをおすすめします。

ベリーベスト法律事務所は、情報漏洩に関する企業のご相談を随時受け付けております。
月額制の顧問弁護士サービスをご契約いただければ、セキュリティーリスク対策その他の問題について、いつでもご相談が可能です。また、もし機密情報が外に漏れた場合には、削除請求の専門チームが迅速にご対応いたします。

ChatGPTの利用に当たって、機密情報の漏洩に関する予防策や対応にお悩みの企業は、ベリーベスト法律事務所にご相談ください。