生成AIに機密情報を入力するとNDA違反になる？

ChatGPTをはじめとする生成AIは、業務効率化の強力なツールとして急速に普及しています。契約書の確認や資料の要約、データ分析など、さまざまな場面で活用されている方も多いのではないでしょうか。

しかし、便利さの裏には見過ごせないリスクがあります。それが「秘密保持義務」との関係です。取引先と締結したNDA（秘密保持契約）に違反してしまう可能性があることをご存知でしょうか。

本コラムでは、生成AIの利用がなぜNDA違反となりうるのか、その仕組みと対応策について解説します。

この記事はこんな方に向けて書いています

• 生成AIを業務で利用している企業担当者
• NDA（秘密保持契約）を締結している企業の法務・経営者
• AI活用と情報管理の関係に不安がある方

---

結論｜生成AIへの入力は「第三者への開示」と評価され得る

NDA違反となるリスクは現実に存在する

結論から申し上げると、生成AIに秘密情報を入力する行為は、NDAで禁止される「第三者への開示」に該当する可能性があります。

NDAでは通常、受領した秘密情報を第三者に開示・提供することが禁止されています。生成AIサービスの提供元は、契約当事者ではない「第三者」にあたります。したがって、秘密情報をAIに入力して送信する行為は、形式的には第三者への開示と評価されうるのです。

「AIだから大丈夫」という認識は危険

「AIは人間ではないから開示にあたらない」「機械的な処理だから問題ない」という認識をお持ちの方もいらっしゃるかもしれません。しかし、法的な観点からは、情報の送信先が人間かAIかという点は重要ではありません。

問題となるのは、秘密情報が契約当事者以外の管理下に置かれるという事実です。この点を見落とすと、意図せずNDA違反を犯してしまうおそれがあります。

---

生成AI利用で何が起きているか

入力データはどこに送信されるのか

生成AIを利用する際、入力したテキストはインターネットを通じてサービス提供者のサーバーに送信されます。多くの場合、そのサーバーは海外に所在しています。

つまり、画面上で「質問」しているように見えても、実際には外部のサーバーにデータを送信しているのです。

サーバー上での処理・保存の仕組み

送信されたデータは、サーバー上でAIモデルによる処理を受けます。この際、入力内容が一定期間保存されることが一般的です。保存期間やその目的はサービスごとに異なりますが、利用者側でコントロールできない部分も多く存在します。

AIサービス提供者による利用の可能性

サービスによっては、入力データをAIモデルの改善（学習）に利用する場合があります。また、不正利用の監視やサービス品質向上のために、人間のレビュアーがデータを確認する可能性もあります。

このように、入力した情報がどのように扱われるかは、利用者から見えにくいのが実情です。

---

秘密保持義務との関係｜なぜ問題になるのか

NDAにおける「開示」「提供」の定義

NDAでは、秘密情報の「開示」や「提供」が禁止されるのが一般的です。これらの用語は、情報を相手方に伝達する行為を広く含むものとして解釈されます。

電子データの送信も「開示」に含まれると考えるのが自然であり、生成AIへの入力もこれに該当しうると考えられます。

外部サービスへの送信は第三者開示に該当するか

生成AIサービスの提供者は、NDAの当事者ではありません。したがって、当該サービスにデータを送信することは、NDA上の「第三者への開示」に該当する可能性が高いといえます。

たとえ「機械的な処理のため」であっても、この評価は変わらないと考えるのが妥当です。

秘密情報の「管理義務」違反の観点

NDAには、秘密情報を適切に管理する義務が定められていることも多くあります。外部サービスに情報を送信し、自社の管理下を離れさせる行為は、この管理義務に違反すると評価される可能性もあります。

---

問題となりやすい典型例

取引先から受領した資料の要約を依頼

取引先から受け取った提案書や技術資料を、生成AIに読み込ませて要約を作成するケースがあります。一見便利な使い方ですが、その資料がNDAの対象である場合、秘密情報の開示に該当しうる点に注意が必要です。

契約書ドラフトのレビュー・修正を指示

契約書案を生成AIに入力し、修正案やリスク指摘を求めることもあるでしょう。しかし、契約書には取引条件や当事者名など、秘密性の高い情報が含まれています。これらを外部サービスに送信することのリスクを認識しておく必要があります。

顧客情報を含むデータ分析を実行

顧客リストや売上データなどを生成AIで分析させるケースも見られます。これらに個人情報や取引先の秘密情報が含まれている場合、NDA違反に加えて、個人情報保護法上の問題も生じる可能性があります。

---

「学習オプトアウト」にすれば安全か？

オプトアウト設定でできること・できないこと

多くの生成AIサービスでは、入力データをAIの学習に使用しない設定（オプトアウト）が用意されています。この設定を有効にすることで、データが学習に利用されるリスクは低減できます。

送信・保存と学習利用は別の問題

ただし、注意が必要なのは、オプトアウトは「学習への利用」を防ぐものであり、「データの送信」や「一時的な保存」を防ぐものではないという点です。

オプトアウト設定をしていても、データはサーバーに送信され、一定期間保存される可能性があります。

NDA上の義務はオプトアウトでは解消されない

NDA違反となるかどうかは、「第三者に情報を開示したか」という点で判断されます。学習に使われるかどうかは、この判断には直接影響しません。

したがって、オプトアウト設定だけでNDA上のリスクが解消されるわけではない点にご留意ください。

---

クラウド保管との違い

クラウドストレージサービスとの比較

「外部クラウドストレージにはデータを保存しているのに、なぜAIはダメなのか」という疑問をお持ちの方もいらっしゃるかもしれません。

生成AIへの入力は、クラウドサービスへの単なるデータ保管とは異なる性質を持ちます。

クラウドサービスにデータを保存する場合、通常は当該データは利用者の管理下に置かれ、サービス提供者は限定的な範囲でのみアクセスする構造となっています。これに対し、生成AIでは、入力されたデータが応答生成のために処理される点に特徴があります。

この違いから、生成AIへの入力は、単なる保管を超えて、秘密情報の「第三者への開示」と評価される可能性が相対的に高いと考えられます。

---

実務対応｜安全に利用するためのポイント

入力前のチェックリストを作成する

生成AIに情報を入力する前に、「この情報はNDAの対象か」「入力して問題ないか」を確認するチェックリストを用意することが有効です。

社内ガイドラインで禁止事項を明確化する

どのような情報を生成AIに入力してはならないか、社内ルールとして明文化しておくことが重要です。従業員への周知・教育も欠かせません。

取引先への事前確認・同意取得を検討する

必要に応じて、取引先に対してAI利用の可否を確認し、同意を得ることも選択肢となります。今後の契約書にAI利用に関する条項を盛り込むことも検討に値します。

エンタープライズ版・オンプレミス環境の活用

企業向けのエンタープライズ版サービスや、自社サーバー内で完結するオンプレミス型のAI環境を利用することで、リスクを軽減できる場合があります。

---

まとめ｜生成AIは「外部サービス」として扱う必要がある

生成AIは非常に便利なツールですが、法的には「外部サービスへのデータ送信」であることを忘れてはなりません。取引先との信頼関係を損なわないためにも、NDAとの関係を正しく理解し、適切な対応を講じることが大切です。

もっとも、具体的にどのような対応が必要かは、締結しているNDAの内容や利用するAIサービスの仕様によって異なります。自社の状況に即した判断が求められる場面も多いでしょう。

生成AIの利用ルール整備やNDAの見直しについて、ご不安やご不明な点がございましたら、ぜひご相談ください。現状の契約内容を確認し、リスクを整理したうえで、実務に即した対応策をご提案いたします。

Q&A

＊本コラムは執筆時点な知見に基いて書いています。最新の状況を反映しているとは限りません。